Autor: Vojtěch Bednář, externí redaktor ICT SECURITY

Otázka, zda ochranu stanic v síti koncentrovat spíše do koncových bodů, nebo do jejich nadřazených prvků je skoro stejně stará, jako podnikové sítě samotné. Dodnes nemá uspokojivou odpověď, lze se jí však přiblížit. Nakolik?

Zajištění bezpečnosti pracovních počítačů patří mezi stěžejní úkoly managementu systémové bezpečnosti ve firmách a v organizacích. Není divu. Právě koncové stanice jsou zdrojem většiny klíčových dat a současně také nejohroženějším místem. Právě v kontaktu s nimi jsou totiž uživatelé informační infrastruktury. Tedy ti, kteří představují potenciální největší zdroj obtíží a bezpečnostních ohrožení.

Datová úložiště, servery a další síťová zařízení, která se nacházejí nad vrstvou klientských systémů lze chránit s využitím vysoce restriktivních politik a postupů, které se koncentrují na vymezení jejich rolí v informační infrastruktuře. Tato pasivní obrana do jisté míry přispívá kromě kompromitace dat i k minimalizaci rizika například zanesení škodlivého kódu, nebo zneužití známé bezpečnostní chyby systému. V případě klientských počítačů je ovšem potřeba mnohem celistvější obrana před vnějšími i vnitřními riziky. Přitom se jedná o obranu, která takřka vždy vybírá svou daň na výkonnosti, případně na použitelnosti těchto zařízení.

Vnitřní versus vnější

Základní ochranou a současně minimálním standardem v této oblasti je kombinace antivirového systému, firewallu a komplexního nástroje chránícího před útoky zvenčí. V domácnostech a v SMB sektoru jsou tyto prvky koncentrovány přímo na pracovní stanice, jsou organickou součástí jejich systémového softwaru. Ať už v podobě toho, co nabízí operační systém, nebo (navíc) v podobě produktů třetích stran. Tento přístup označujeme jako ochranu na straně klienta a v daném případě se jedná o jedinou možnost. Ve větších infrastrukturách je ale poněkud nepohodlná. Proč? Příčin je více, jmenujme hlavní.

1. Klientská ochrana se hůře spravuje
2. Klientská ochrana snižuje výkonnost jednotlivých stanic a spotřebovává jejich prostředky
3. Klientská ochrana může vstupovat do nežádoucí interakce s uživatelem
4. Klientská ochrana je náročná na aktualizaci a na údržbu, a to především v rozsáhlejších infrastrukturách

v důsledku těchto výtek a pod hlavičkou snižování nákladů se začala prosazovat ochrana vnější, neboli perimetrická. Jejím principem je odsunutí základních ochranných prvků, tedy antivirového/antimalwarového systému, firewallu, IDS/IPS systému a dalších (včetně pach-managementu) na specializovaná zařízení, která se v infrastruktuře nacházejí „nad“ klientskými stanicemi. Tato zařízení (ať už na hardwarové, či softwarové bázi) zajišťují to, že případná rizika jsou eliminována ještě předtím, než by se dostala do míst, na něž jsou zacílena, tedy ke konkrétním pracovním stanicím. Bezpečnostní nástroje vytvářejí okolo pracovních stanic „perimetr“.

I když by bylo snadné říct, že zařízení perimetrické ochrany jsou zejména vhodným doplněním klientských (end-point) bezpečnostních systémů, skutečnost je taková, že jsou velmi často nabízeny jako jejich náhražka, a to s argumentem úspory investic, nákladů na správu a systémových prostředků. Před několika léty též započal trend integrovat perimetrické nástroje ochrany do společných celků, bezpečnostních systémů (tak zvaných aplikací). Tyto aplikace jsou nabízeny jako společný produkt a v „jednom balení“ typicky formátu standardního serveru, respektive síťového zařízení nabízejí všechny základní bezpečnostní prvky. Na mnoho administrátorů a zejména pro management, který rozhoduje o financích na jejich pořízení je tak vyvoláván dojem, že bezpečnostní řešení perimetrického typu je možné si koupit jako ucelený produkt. Tedy, i když to zní poněkud zvláštně, že koupí a zapojením příslušného zařízení dojde k jednorázovému a trvalému zajištění bezpečnosti všeho, co se v topologii sítě nachází „za ním“.

Chyba perimetru

Na slepé spoléhání se v možnosti perimetrické ochrany doplatilo již hodně firem a organizací. Typické jsou dva typy bezpečnostních selhání, které se v těchto případech opakují. První spočívá v tom, že zařízení na perimetru sítě není schopno zachytit útok typu zero-day. Každá komplexní bezpečnostní aplikace má také určitou míru přirozené chybovosti (tedy množství nezachycených hrozeb v poměru k objemu datového provozu). I když je tato chybovost velmi nízká a dodavatelé bezpečnostních aplikací se snaží ji marginalizovat, prakticky platí, že čím vyšší je vytížení systému, tím vyšší pravděpodobnost propuštění jediné hrozby, která následně v prostředí klientských stanic bez implementované end-point bezpečnosti způsobí katastrofu.

Druhým typem rizika je obejití bezpečnostního perimetru. Aby perimetr fungoval, je nutné minimalizovat datové vstupy do klientských stanic mimo něj. To se provádí úplnou koncentrací síťového provozu a zablokováním jiných datových vstupů (zejména optických mechanik a USB portů příslušných počítačů). I tak však není možné riziko bezpečnostního průniku skrz některou z koncových stanic zcela vyloučit. Typickým příkladem tohoto typu selhání bylo napadení jednoho z počítačů na palubě Mezinárodní kosmické stanice. Překonání bezpečnostní ochrany na kterékoli jedné stanici pak může způsobit poškození celé sítě, neboť většina ochranných mechanismů bezpečnostního perimetru není mířena dovnitř, ale ven. Bezpečnostní parametr (respektive úplné spolehnutí se na něj) tak spíše než stav reálné bezpečnosti z principu vytváří stav loterie, kdy pravděpodobnost selhání je tím vyšší, čím více máme pracovních stanic, a čím větší množství dat jimi proteče.

Chaos lokální

Ale ani úplné spoléhání se na lokální ochranu není ideální. Některé z vad tohoto přístupu byly vyjmenovány již výše, ve skutečnosti jich ovšem existuje celá plejáda. Udržení všech místních antivirových systémů firewallů, IDS a dalších nástrojů v aktuálním stavu vyžaduje centrální administrační systém. Ten je dalším z mnoha hladových krků spotřebovávajících systémové prostředky infrastruktury, nehledě na jeho pořizovací cenu. Může se to zdát s podivem, ale v mnoha organizacích, které zakládají svou bezpečnost na end-point security takový centrální systém ani neexistuje. Důsledkem je, že v mnoha středně velikých organizacích (např. úřady, nemocnice), správci infrastruktury ani nevědí, v jakém stavu se nacházejí jejich pracovní stanice. Malou výhodou je, že se použitím takového přístupu poněkud snižuje riziko přenosu nákazy malwarem, nebo distribuce útoku z jedné klientské stanice na další. Fakticky však může zavládnout chaos.

Kompromisy

Ideálním řešením kompromisu mezi lokální a perimetrickou ochranou pracovních stanic je zapojení obojího v silné, a vzájemně spolupracující podobě. Reálně toho ovšem takřka nejde dosáhnout, částečně z technických, hlavně však z finančních a z organizačních příčin. Nabízí se proto několik možných kompromisů, které se snaží o zachování předností obou přístupů při co nejmenším riziku jejich selhání. Jsou jimi

1. Slabá koncová ochrana
2. Slabá perimetrická ochrana
3. Hybridní ochrana

Slabá koncová ochrana spočívá v implementaci jednoduchý, respektive základních ochranných nástrojů na straně klientských počítačů a přesun větší části zodpovědnosti na perimetr. Na klientských systémech zůstává jednoduchý firewall (to co nabízí operační systém) a jednoduchý anti-malware program, komplexní antivirový/malwarový systém spolu s IDS/IPS strukturou je přesunut na perimetr. Podstatné je, že klientská část tohoto bezpečnostního řešení nevyžaduje žádnou a pokud tak minimální administraci, zatímco je schopna chránit koncové stanice i před předpokládanými výpadky v perimetru.

Druhý z přístupů je opačný. Na koncové stanice jsou implementovány bezpečnostní nástroje silného a komplexního typu. Přesto zůstává určitá úroveň perimetrické ochrany formou firewallu a anti-malwarového filtru na perimetrické úrovni systému. Produktem toho je výrazně nižší riziko nakažení nebo kompromitace koncových stanic v důsledku selhání perimetru vlivem jeho přetížení, na druhé straně oproti předchozímu řešení se díky časově náročnější aktualizaci end-point security zvyšuje nebezpečí nakažení koncových stanic rychle se šířící hrozbou.

Třetí řešení spočívá v rozdělení jednotlivých prvků ochrany dle jejich úlohy. Antivirový a anti-malware systém se může nacházet v silné podobě na klientských systémech, zatímco firewall a IDS/IPS systém na perimetrické části infrastruktury. Podstatou tohoto řešení je rozložení zodpovědnosti a tedy i rizika mezi různé komponenty. Selhání kterékoli z nich nelze vyloučit, ale celková míra rizika je při hybridní ochraně zejména u rozsáhlejších infrastruktur nižší.

Nevýhodou hybridního přístupu je kromě náročnosti na administraci srovnatelné s end-point řešeními to, že většina dodavatelů bezpečnostních nástrojů prosazuje z pochopitelných důvodů komplexní balíky. Ty však ne vždy musí být ideálním řešením.

Ideální řešení, přesněji ideální kompromis je individuální záležitostí každé organizace, každého jednotlivého případu. Na základě zde představených možností ochrany nelze paušalizovat. Nikdy bychom však neměli podlehnout představě, že bezpečnost si lze koupit v provedení jednoho jediného prvku, který po zapojení mezi vnější síťové prostředí a klienty zařídí vše, a zbaví nás všech starostí. Stejně jako že instalace komplexního balíku na všechny klientské stanice a jeho následné ponechání osudu není cestou do pekla.

Bezpečnostní management