Proč očí administrátorů nikdy není dost a nikdy nespatří vše

30.03.2016

Ľuboslav Tileš, Sales manager ANASOFT

All InformationsMožná se to stalo i vám, nebo někomu z vašeho okolí. Když se lékař při zdravotním problému snaží určit diagnózu, nemá vždy k dispozici veškeré relevantní informace. Pokud o něčem důležitém neví, nemusí vyhodnotit situaci správně a špatně stanoví diagnózu, nebo zlehčí vážnost zdravotního stavu pacienta a vystaví ho zbytečným rizikům. Podle Amercian Journal of Medicine je 10 až 15 procent diagnóz všeobecných lékařů chybných.

V podobné situaci se ocitají i správci počítačových sítí či odborníci na bezpečnost IT. Nejenže čelí rostoucímu množství útoků a hrozeb, když podle průzkumu konzultační firmy PwC narostl v roce 2015 počet bezpečnostních incidentů po celém světě meziročně o 38 procent. Útoky jsou také stále sofistikovanější a podobně jako v medicínské diagnostice se nedají vždy odhalit pouze na základě jediného příznaku. Adminem, tak jak lékařům, zkrátka někdy také chybí komplexní obraz.

Některé události či aktivity totiž vypadají samy o sobě neškodně, v širším kontextu však mohou doplňovat mozaiku sofistikovaného kybernetického útoku. Jelikož digitalizované je dnes téměř vše, žádný administrátor nedokáže mít oči všude a sledovat co se děje najednou ve všech systémech a zařízeních - od serverů, storageov, síťových prvků, přes databáze a různé aplikace, až po docházkový systém.

Například přihlášení administrátora na kritický server z neobvyklého místa nemusí být samo o sobě podezřelé. Ale pokud z něj v téže době odchází neobvykle mnoho dat, může to signalizovat podezřelou aktivitu, kterou je lépe prověřit.

Rovněž napadení některého z počítačů v síti virem je poměrně běžná událost, jaká se ve větších podnicích z času na čas nevyhnutelně stane. Proto jí správce sítě nemusí věnovat mimořádnou pozornost. Nepovšimnuto může také zůstat, když se o několik dní na to začnou v datovém úložišti měnit soubory, protože zaměstnanci zvyknou běžně pracovat s daty ve firemní síti.

Security information and event managementVe virové infekci a změnách v datech administrátor vůbec nemusí vidět souvislost. Buď proto, že o zavirování ani neví, protože v době infekce měl službu kolega a ten jí nepřikládal patřičnou pozornost, protože se virus zdánlivě nedopouští žádné škody. Nebo ho zkrátka žádné propojení nenapadne. Přitom může jít o virus, který nenápadně kryptuje data, aby mohl pak někdo ptát od poškozené firmy "výpalné" za dešifrování.

Podobných scénářů se dá najít nespočetně. Proto je dnes pro pozorování hrozeb, při kterých je třeba mít oči současně na více místech a okamžitě vyhodnotit možné souvislosti, lépe nahlížet na informační bezpečnost obrazně řečeno z nadhledu.

Při holistickém přístupu dnes firmy využívají nástroje SIEM (Security information and event management), které nejenže shromažďují data z více zdrojů současně, ale okamžitě je také vyhodnocují a analyzují. Výrazně tak snižují riziko, že některé hrozby správcem sítě proplouvá mezi prsty. Systém samozřejmě odděluje zrnka od plev a upozorňuje pouze na malé procento relevantních podezření. Správci se tak nemusí zabývat desítkami planých poplachů a mají více času řešit skutečná rizika.

Pokud dosud nevyužíváte SIEM, neznamená to, že vaše síť není bezpečná a data jsou v ohrožení. Perfektní bezpečnost lze vždy dosáhnout dvěma kroky. Za prvé, dokonalým nastavením každého prvku technologické infrastruktury. A za druhé, dostatkem specialistů, kteří budou všechny technologické prvky nejen pečlivě sledovat, ale se i navzájem informovat o incidentech či podezřelých událostech a hledat mezi nimi možné souvislosti.

Pokud vaše firma obě kritéria splňuje a zároveň je pro ni takové zajištění efektivní, nemáte co zvažovat. Pro ostatní stojí za úvahu, zda by nebylo lepší mít místo jednoho či dvou administrátorů raději několik očí schopných vnímat širší souvislosti.

MOHLO BY VÁS TAKÉ ZAJÍMAT

Nepodléhejte iluzi bezpečnosti

Kdy Vaše firma outsourcing IT nepotřebuje

Co všechno se dá při outsourcingu IT pokazit