Prečo očí administrátorov nikdy nie je dosť a nikdy neuvidia všetko
22.03.2018
Ľuboslav Tileš, Sales manager ANASOFT
Možno sa to stalo aj vám, alebo niekomu z vášho okolia. Keď sa lekár pri zdravotnom probléme snaží určiť diagnózu, nemá vždy k dispozícii všetky relevantné informácie. Ak o niečom dôležitom nevie, nemusí vyhodnotiť situáciu správne a poľahky zle stanoví diagnózu, alebo zľahčí vážnosť zdravotného stavu pacienta a vystaví ho zbytočným rizikám. Podľa Amercian Journal of Medicine je 10 až 15 percent diagnóz všeobecných lekárov chybných.
V podobnej situácii sa ocitajú aj správcovia počítačových sietí či odborníci na bezpečnosť IT. Nielenže čelia rastúcemu množstvu útokov a hrozieb, keď podľa prieskumu konzultačnej firmy PwC narástol v roku 2015 počet bezpečnostných incidentov po celom svete medziročne o 38 percent. Útoky sú aj čoraz sofistikovanejšie a podobne ako v medicínskej diagnostike sa nedajú vždy odhaliť iba na základe jediného príznaku. Adminom, tak ako lekárom, skrátka niekedy tiež chýba komplexný obraz.
Niektoré udalosti či aktivity totiž vyzerajú samé o sebe neškodne, v širšom kontexte však môžu dopĺňať mozaiku sofistikovaného kybernetického útoku. Keďže digitalizované je dnes takmer všetko, žiadny administrátor nedokáže mať oči všade a sledovať čo sa deje naraz vo všetkých systémoch a zariadeniach – od serverov, storageov, sieťových prvkov, cez databázy a rozličné aplikácie, až po dochádzkový systém.
Napríklad, prihlásenie administrátora na kritický server z nezvyčajného miesta nemusí byť samé o sebe podozrivé. Ale ak z neho v tom istom čase odchádza neobvykle veľa dát, môže to signalizovať podozrivú aktivitu, ktorú je lepšie preveriť.
Takisto napadnutie niektorého z počítačov v sieti vírusom je pomerne bežná udalosť, aká sa vo väčších podnikoch z času na čas nevyhnutne stane. Preto jej správca siete nemusí venovať mimoriadnu pozornosť. Nepovšimnuté môže tiež zostať, keď sa o niekoľko dní na to začnú v dátovom úložisku meniť súbory, keďže zamestnanci zvyknú bežne pracovať s dátami vo firemnej sieti.
Vo vírusovej infekcii a zmenách v dátach administrátor vôbec nemusí vidieť súvislosť. Buď preto, lebo o zavírení ani nevie, keďže v čase infekcie mal službu kolega a ten jej neprikladal patričnú pozornosť, keďže vírus zdanlivo nepáchal žiadne škody. Alebo ho skrátka žiadne prepojenie nenapadne. Pritom môže ísť o vírus, ktorý nenápadne kryptuje dáta, aby mohol potom niekto pýtať od poškodenej firmy „výpalné“ za dešifrovanie.
Podobných scenárov sa dá nájsť neúrekom. Preto je dnes pre spozorovanie hrozieb, pri ktorých treba mať oči súčasne na viacerých miestach a okamžite vyhodnotiť možné súvislosti, lepšie nazerať na informačnú bezpečnosť obrazne povedané z nadhľadu.
Pri holistickom prístupe dnes firmy využívajú nástroje SIEM (Security information and event management), ktoré nielenže zhromažďujú dáta z viacerých zdrojov súčasne, ale okamžite ich aj vyhodnocujú a analyzujú. Výrazne tak znižujú riziko, že niektoré hrozby správcom siete pretečú medzi prsty. Systém samozrejme oddeľuje zrnká od pliev a upozorňuje iba na malé percento relevantných podozrení. Správcovia sa tak nemusia zaoberať desiatkami planých poplachov a majú viac času riešiť skutočné riziká.
Ak doposiaľ nevyužívate SIEM, neznamená to, že vaša sieť nie je bezpečná a dáta sú v ohrození. Perfektná bezpečnosť sa dá vždy dosiahnuť dvomi krokmi. Po prvé, dokonalým nastavením každého prvku technologickej infraštruktúry. A po druhé, dostatkom špecialistov, ktorí budú všetky technologické prvky nielen starostlivo sledovať, ale sa aj navzájom informovať o incidentoch či podozrivých udalostiach a hľadať medzi nimi možné súvislosti.
Ak vaša firma obe kritériá spĺňa a zároveň je pre ňu takéto zabezpečenie efektívne, nemáte čo zvažovať. Pre ostatných stojí za úvahu či by nebolo lepšie mať namiesto jedného či dvoch administrátorov radšej viacero očí schopných vnímať širšie súvislosti.
