- Chciej wiedzieć więcej
Zdarza się, że podjęcie przez administratora IT złej decyzji w pozornie błahej sprawie dotyczącej konfiguracji określonej usługi może pociągnąć za sobą poważne konsekwencje w obszarze bezpieczeństwa. Dlatego zarządzanie środowiskiem nie powinno koncentrować się wyłącznie na kwestiach związanych z utrzymaniem systemu. Należy w równym stopniu obejmować analizą infrastrukturę pod kątem bezpieczeństwa stosowanych rozwiązań.
Często administratorzy rozliczani są z ciągłości działania systemu, rzadziej ze stanu zabezpieczeń. W natłoku bieżących zadań często nie mają czasu na zwrócenie uwagi, na jakiś dodatkowy checkbox, którego zaznaczenie wpływa na bezpieczeństwo systemu. Mimo wszystko zawsze dobrze jest wiedzieć więcej. Zwłaszcza, kiedy jest to kwestia jednego czy dwóch kliknięć. Brak świadomości zagrożeń może drogo kosztować, a sytuacje potencjalnego zagrożenia zdarzają się częściej, niż nam się wydaje. W systemach operacyjnych jest parę oczywistych problemów wynikających z architektury oraz z tego, jak działają. Pomimo trudności, które związane są z konkretnym systemem, możemy jednak tworzyć scenariusze potencjalnych zagrożeń, tym samym kreując rozwiązania problemów, jakie mogą się pojawić. Niestety w czasie moich pentestów, ciągle widzę, że popełniane są te same błędy. Ich powszechność sprawia, że w łatwy sposób mogą zostać wykorzystane przez osoby o złych intencjach.
2. Jeśli to możliwe, wyklucz użytkowników z łańcucha zaufania
Użytkownik zna wartość przetwarzanych przez niego informacji, nie musi natomiast wiedzieć, jakich technologii użyć, żeby te informacje zabezpieczyć. Dlatego też warto zastanowić się nad wdrożeniem technologii, która będzie pozwalała na zautomatyzowane wdrażanie zabezpieczeń. Użytkownik jest zawsze najsłabszym ogniwem, więc dlaczego w ogóle mielibyśmy na nim polegać? Ufajmy technologii, polegajmy na konkretnych rozwiązaniach. Przerzucanie odpowiedzialności za bezpieczeństwo danych na użytkowników ponosi za sobą konsekwencje.
3. Test penetracyjny infrastruktury prawdę ci powie
Testy penetracyjne najczęściej zamawiają osoby odpowiedzialne w firmie za bezpieczeństwo IT, bądź samo IT. Są to osoby chcące sprawdzić, jaki jest w danej chwili poziom bezpieczeństwa ich infrastruktury. Zdarza się też, że sami administratorzy nie boją się weryfikacji swojej pracy i proszą o test. Dzięki temu mogą dowiedzieć się, jakie błędy popełniają i co mogą poprawić, by zwiększyć bezpieczeństwo zarządzanego systemu. Powodem, dla którego firmy decydują się na zlecenie przeprowadzenia takiego testu jest najczęściej chęć sprawdzenia, czy ich system jest bezpieczny. Taki test trwa najczęściej do tygodnia, chociaż w przypadku dużej infrastruktury może potrwać dłużej.
Tak na marginesie: 99 proc. prowadzonych przeze mnie testów penetracyjnych kończy się znalezieniem przeze mnie punktów wejścia do infrastruktury, czyli potencjalnej możliwości ataku.
4. Poświęć uwagę zależnościom między komponentami infrastruktury
Często architektura zostaje zbudowana bez poświęcenia dostatecznej uwagi zależnościom między komponentami infrastruktury. W wyniku zmiany w jednym elemencie systemu może zdarzyć się, że komunikacja z bazą danych może zostać samoczynnie zmieniona. Również komunikacja między użytkownikami, czy przesyłanie dokumentu może w wyniku nieuwagi adresata przesyłanego pliku, stać się sytuacją potencjalnie niebezpieczną. Mały błąd popełniony w jednym komponencie infrastruktury, może okazać się zagrożeniem dla bezpieczeństwa całego systemu.
5. Zwróć szczególną uwagę na usługi typu Web oraz inne wystawione do świata
Najbardziej narażoną usługą na atak jest usługa wystawiona do świata; często jest to po prostu strona internetowa. Powód jest prosty: ponieważ daje największe możliwości, jeśli chodzi o atak z zewnątrz. Dodatkowo większość firmowych stron internetowych nie przeszła żadnych testów bezpieczeństwa. To, czy atak się powiedzie, zależy od wielu czynników. Największy wpływ na to, czy ktoś włamie się do naszego systemu ma ilość możliwych punktów wejścia oraz ilość informacji jaką jesteśmy w stanie uzyskać będąc tylko zwykłym anonimowym użytkownikiem. Zagrożenia mogą pojawić się też wewnątrz, szczególnie jeśli mamy do czynienia z dużą organizacją, gdzie jest wielu użytkowników, a ich intencje bywają różne.
6. Nie obawiaj się szyfrowania danych
Niestety wiele firm obawia się ciągle szyfrowania. Sama obawa wynika z braku znajomości możliwości ‘recovery’. Niechęć do zastosowania nowego rozwiązania może natomiast wiązać się z kosztami wynikającymi ze zmiany. Ponadto administratorzy często mają nadmiar pracy, wtedy też bezpieczeństwo systemu ma dla nich niższy priorytet, niż wprowadzenie zmian usprawniających infrastrukturę. Prawidłowe podejście do kwestii bezpieczeństwa informacji w organizacji powinno jednak uwzględniać również aspekt szyfrowania wiadomości. Jest to jedna z możliwości technologicznych ograniczająca odpowiedzialność użytkowników za wyciekanie informacji.