Anect - Technologie většinou fungují dobře, ale výsledek silně závisí interních procesech

RSS

KALENDÁŘ AKCÍ

< Červen 2010 >
Po	Út	St	Čt	Pá	So	Ne
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

NOVÉ ČLÁNKY

POSLEDNÍ KOMENTÁŘE

Anect - Technologie většinou fungují dobře, ale výsledek silně závisí interních procesech

Na redakční otázky odpovídal Marek Deml, Senior Consultant ICT Consulting

1.    Které parametry provozu sítě je z hlediska bezpečnosti smysluplné sledovat – a proč?

Je potřeba sledovat převážně potencionální útoky vůči business kritickým platformám, tedy platformám ohodnoceným v rámci společnosti Rizikovou analýzou nebo jinou podobnou analýzou jako ty, které jsou kritické pro business. Nedostupnost, snížená výkonnost těchto platforem by v případě incidentu mohla mít přímý negativní např. finanční dopad na chod společnosti.

2.    Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?

V zásadě vždy více informací, než které potřebujeme. Je potřeba filtrovat informace a hledat pouze ty které se týkají těch nejzávažnějších incidentů. Je potřeba klasifikovat předem jednotlivé potencionální incidenty dle rizikovosti a zaměřit se pouze na ty nejzávažnější z pohledu bezpečnosti resp. jejich možného negativního dopadu na společnost.

3.    Mají dnes ještě nějaký smysl nástroje IDS, nebo již byly překonány IPS a pokročilejšími systémy?

V případě závažných a potvrzených útoků mají smysl pouze systémy IPS které nejenom, že útok odhalí tak se i sami mohou bránit a útok izolovat proti dalšímu cílenému rozšíření v rámci interní sítě.

4.    Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

Na toto nelze jednoduše odpovědět v číslech bez znalosti procesů a lidských zdrojů, které jsou použity při implementaci, správě a údržbě daného řešení. Toto hodně závisí na tom jak je nastaven proces pravidelných aktualizací ochran proti novým typům útoků. Technologie sama a aktualizace dodávané výrobcem většinou fungují dobře, ale silně závisí na tom jak fungují interní procesy a lidé při ohodnocení závažnosti a implementaci nových ochran zmíněného řešení.

5.    Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Zde existuje závislost na aktuální síťové topologii ve společnosti, její struktuře, velikosti, heterogenitě atd. Části nebo celá řešení, která do ní nasadit k monitoringu a reakci na bezpečnostní incidenty je potřeba navrhnout po důkladném prostudování současného stavu sítě, její topologie a potřeb společnosti. Jaké prvky nasadit a jak, v jaké architektuře je možné rozhodnout až po detailní analýze potřeb, provedení studie proveditelnosti a úspěšném otestovaní jednotlivých prvků v podobné sestavě v testovacím prostředí, které ve zmenšeném měřítku bude co nejvíce odpovídat cílovému stavu v produkčním prostředí.

IDS/IPS