Ugotavljanje odstopanj od varnostne politike

Posted on 08/07/2013

0


Povzetek

Namen projekta je bila vzpostavitev učinkovitih procesov in orodij za ugotavljanje morebitnih odstopanj od varnostnih politik na izbranih področjih informacijske varnosti. V SRC-u se je pod vodstvom in koordinacijo svetovalca za informacijsko varnost Sama Gaberščka, CISM, oblikovala ekipa iz več oddelkov, strokovnjakov za operacijski sistem Windows, podatkovne baze Oracle, MSSQL ipd. Projekt pri vodilnem svetovnem proizvajalcu na področju farmacevtike je bil izveden v dveh delih med oktobrom 2011 in decembrom 2012. V prvi fazi je obsegal pripravo orodij in procesov za opredeljena področja informacijske varnosti, v drugi fazi pa sodelovanje pri uvajanju in izvedbi teh procesov na več deset lokacijah globalno. Rezultati projekta omogočajo izboljšano stanje informacijske varnosti v organizaciji, boljši vpogled in nadzor tako nad trenutnim stanjem kot nad trendi.

Ugotavljanje odstopanj od varnostne politike 

Varnostna politika in njene zahteve so namenjene zmanjševanju izpostavljenosti različnim grožnjam. Odstopanja od varnostnih pravil predstavljajo ranljivosti in v primeru uresničitev groženj nastaja poslovna škoda, ki se ji organizacije želijo izogniti.

Nekatera pravila informacijske varnosti lahko uveljavljamo s tehničnimi nastavitvami opreme, medtem ko za druga ne obstaja takšna rešitev, npr. za pravila, da na prosto dostopnih virih ne hranimo zaupnega gradiva ali da varnostne popravke za odkrite varnostne ranljivosti pravočasno stestiramo in nameščamo. S tem je odprt prostor za nastanek odstopanj od pravil. Odstopanja od varnostnih zahtev lahko nastajajo kot posledica malomarnosti in človeških napak, lahko pa tudi kot namerna dejanja. Nastajanje teh ranljivosti težko preprečujemo, lahko pa njihov obstoj ugotavljamo z nadzorom.

Stare neodpravljene ranljivosti so vektor napada, ki je pogosto uspešen in ima za posledico nastanek poslovne škode. Pred leti je virus, poimenovan SQL Slammer, udaril na strežnikih, ki niso imeli nameščenih varnostnih popravkov, ki jih je je Microsoft izdal pred več kot pol leta. Virus, ki se je razmnoževal izredno napadalno, je v nekaj urah povzročil zaustavitev delovanja sistemov v jedrski elektrarni, največjih bankah, letalskih družbah in je imel celo vpliv na splošno hitrost delovanja interneta, dokler ni prišlo do prvih protiukrepov upravljavcev internetnih dostopov.

Najslabši možen način odkritja ranljivosti je varnostni incident in z njim povezana škoda, ki jo utrpi organizacija. Drugi način odkrivanja ranljivosti, ki smo jim izpostavljeni, so revizije informacijskih sistemov, vendar so te tipično izvajane poredkoma in zahtevajo posebno načrtovanje oziroma pogosto najem zunanjih strokovnjakov. Ranljivosti lahko odkrivajo tudi zaposleni v organizaciji, vendar je pri tem treba pripraviti objektivne postopke pregleda ter nadzora, da operativne aktivnosti in nadzor niso v isti osebi.

V vodilni svetovni farmacevtski organizaciji so se tega dobro zavedali in sklenili nadgraditi nadzor nad usklajenostjo z varnostnimi zahtevami.

Cilji nadgradnje nadzora so vključevali razvoj orodij za identifikacijo odstopanj od varnostnih zahtev, vključitev varnostnih zahtev v orodja kot vsebinska merila za identifikacijo odstopanj, vzpostavitev postopkov zajema podatkov in identifikacije odstopanj, globalno komunikacijo in koordinacijo aktivnosti ugotavljanja odstopanj, kot tudi razvoj procesa nadzora trendov glede ugotovljenih odstopanj.

(slika 1: Postopek ugotavljanja odstopanj)

(slika 1: Postopek ugotavljanja odstopanj)

V SRC-u smo vzpostavili interdisciplinarno ekipo s posameznih področij delovanja SRC-a ter s tem lahko zagotovili izvedbo aktivnosti na različnih IT-platformah, kot so denimo strežniki Windows, strežniki AIX, podatkovni bazi MSSQL in Oracle, komunikacijska oprema Cisco ipd.

Po analizi varnostnih zahtev in opredelitvi meril za izbrane varnostne zahteve smo nalogo nadaljevali z zajemom podatkov za ugotavljanje odstopanj. Za to smo uporabili podatke iz že vzpostavljenih orodij (npr. sistem Qualys za obvladovanje ranljivosti), uporabili druga orodja za pregledovanje IKT-virov (npr. NetScan za pregled IKT-opreme v omrežju) ali pa razvili povsem nova orodja (npr. skripte za zajem podatkov o določenih nastavitvah v strežnikih).

(slika 2: NetScan)

(slika 2: NetScan)

V nadaljevanju smo razvili orodja za identifikacijo odstopanj s primerjavo zajetih podatkov z opredeljenimi merili in pripravili poročila o odstopanjih, ki so bila pripravljena odgovornim osebam na več kot 40 lokacijah globalno ter ločeno pregledna poročila tudi za globalno odgovorne za informacijsko varnost. Z namenom učinkovitega izvajanja smo zajem podatkov, njihovo analizo ter pripravo poročil v veliki meri avtomatizirali in s tem ob zaključku projekta omogočili izvedbo ugotavljanja odstopanj za izbrana področja na vseh lokacijah globalnega podjetja v zgolj enem tednu.

S tem je bila izjemno povečana učinkovitost ugotavljanja odstopanj od varnostnih zahtev, saj organizacija sedaj v času, ki ga v drugih organizacijah morda namenijo zgolj za načrtovanje izvedbe takšnih aktivnosti, svojim odgovornim osebam na posameznih lokacijah že dostavi seznam ugotovljenih odstopanj, če ta obstajajo, na osnovi katerih lahko ukrepajo. Učinkovitost in način izvedbe omogoča redno izvajanje na mesečni ravni brez velikih obremenitev in potrebnih virov za izvedbo.

Poleg tega lahko globalno odgovorni za informacijsko varnost spremljajo trende, ugotavljajo, ali odstopanja nastajajo izjemoma ali pa so sistemske narave, in na tej osnovi načrtujejo razvoj varnostne politike v organizaciji.

Rezultati projekta omogočajo izboljšano stanje informacijske varnosti v organizaciji, boljši vpogled in nadzor tako nad trenutnim stanjem kot nad trendi ter tudi zmanjšujejo možnosti presenečenj v obliki neugodnih revizijskih ugotovitev.

Samo Gaberšček

Posted in: InfoSRC 73