Na redakční otázky odpovídal Martin Koldovský, SE Manager Eastern Europe, Check Point Software Technologies

2) Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?

Dnešní síťová a bezpečnostní řešení generují řadu bezpečnostně důležitých událostí, které sami o sobě mohou být jen težko využitelné a proměnitelné na užitěčnou akci = odhalení reálného incicentu a jeho zpracování. Otázka by tedy měla spíše stát JAK vůbec věci, důležité z bezpečnostního hlediska, z monitorování a provozu vyčíst?

Dnešní komplexní vícevrstvová bezpečnostní architektura se skládá z velkého množství zařízení, které slouží k zajištění toho, aby servery, koncová zařízení a aplikace, běžící na síti, byly chráněny před škodlivými aktivitami.

Tato zařízení generují rozsáhlé logovací soubory, které je obtížné a zejména časově náročné interpretovat. V typické firmě může Intrusion Detection System vytvořit až 0,5 milionu zpráv denně a firewall může denně vygenerovat miliony záznamů v logu. Kromě toho, logovaná data mohou obsahovat informace, která při samotném prohlížení jako by odrážela běžnou aktivitu, ale při správné interpretaci odhalují důkazy abonormálního chování, událostí, útoků, virů nebo červů, pokud dojde ke jejich správné korelaci a analýze.

Společnosti potřebují mít kontrolu nad skutečným významem obrovského množství dat, generovaných síťovými a bezpečnostními zařízeními.

Na trhu je řada řešení kategorie Security Information and Event Management (SIEM), které sbírají události z mnoha zdrojů za účelem agregace, korelace a analýzy, bez které by některé incidenty nebyly odhalitelné. Obecné systémy mohou být obtížně upravitelná pro okamžité získávání užitečných výsledků pro konkrétní produkty. Proto Check Point nabící nadstavbu bezpečnostního managementu pro specializované předkonfigurované vyhodnocování událostí z komponent jako je IPS nebo Data Loss Prevention (DLP), ale i dalších s předpřipravenými politikami pro okamžité výsledky a velice přehledným grafickým rozhraním pro odhalení nebezpečných trendů a kritických incidentů při možnosti snadné úpravy pohledů na data pro daný tip nasazení. Tento cenově dostupný doplněk je často využíván i zákazníky, kteří již do obecného „velkého” SIEM systému nainvestovali.

3) Mají dnes ještě nějaký smysl nástroje IDS, nebo již byly překonány IPS a pokročilejšími systémy?

Již před řadou let někteří analytici poukazovali na úskalí IDS systémů a varovali před přilišným spoléháním na tyto pasivní systémy orientované na detekci, s problematickým provázáním s prvky jako firewally, tak aby reálně došlo ke spolehlivému zastavení odhaleného útoku (snaha o nasazení původně pasivního systému do reakčního režimu). Mezi nevýhodami jmenovali časté falešné poplachy nebo naopak nespolehlivou detekci, zvýšené nároky na soustavný monitoring, který je často očekávaný od již tak zaneprázdněných IT administrátorů, krkolomný proces reakce na incidenty apod.

Pozornost organizací se následně přesunula k IPS systémům instalovaným inline – přímo do síťové infrastruktury, do cesty provozu; donedávna reprezentovanými zejména komplexními DEDIKOVANÝMI intrusion prevention systémy. Řada organizací však nemá dedikovaný bezpečnostní personál a znalosti pro využití dedikovaných systémů, které navíc vyžadují oddělenou správu, další hardware a mohou být pro řadu organizací cenově nedostupné. Odpovědí se zdají být integrované IPS, které jsou součástí sjednocené bezpečnostní brány. Ty pak využívají stávající infrastrukturu - existující brána (která zároveň hraje roli firewallu, VPN brány, případně řešení pro kontrolu obsahu jako je AV na bráně, filtrování přístupu na web podle kategorií nebo antispamu na bráně; v poslední době i nových rolí jako je Data Loss Prevention na bráně) a jednotného managementu. Intergrované IPS často přináší mnohem menší nároky na administratory a díky vestavěným předpřipraveným politikám a dostupným monitorovacím nástrojům snadnější nasazení na míru většině typů organizací.

Check Point přináší integrované IPS na bází infrastruktury software blades – nezávislých, flexibilních modulů nasazovaných na sjednocených bezpečnostních branách v podobě specializovaných zařízení (appliances), ale i v podobě čistě softwarové licence na otevřených serverech předních výrobců serverů. Administrátoři mají možnost volby mezi zjednodušeným nasazením na základě předpřipravených politik a volností detailní úpravy politik podobně jako u dedikovaných systému. Zárověň mohou využít výhody úzké integrace s dalšími rolemi brány a jednotným managementem včetně na míru vyladěným vyhodnocováním bezpečnostních incidentů.

4) Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

Záleží samozřejmě na typu útoku a technologii daného IPS. Moderní IPS již dávno nespoléhají pouze na signatury, ale stavějí na opravdové vícevrstvé hybridní architektuře kombinující řadu technologií jako ověřování protokolu, detekce anomálií, analýza chování, již zmínené signatury a další metody pro co nejvyšší úroveň síťového IPS. I samotné firewally jsou dnes mnohem blíže aplikacím a společně s moderním IPS tak mohou tvořit mnohem silnější kombinaci pro odhalení a zastavení i doposud neznámých útoků, které by na základě primitivních signatur nebylo možné.

Check Point se pyšní nejlepším pokrytím slabin prostředí na technologiích Microsoftu (http://www.checkpoint.com/products/softwareblades/misc/ms-vulnerabilty.html). Velká řada vydávaných doporučení k aktuálním slabinám obecně je vydávána se zmínkou, že existující technologie a politiky již účinně zákazníka chrání (http://www.checkpoint.com/defense/advisories/public/index.html).

5) Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Filozofie společnosti Check Point staví na sjednocených bezpečnostních branách na bázi architektury softwarových blade a jednotném managementu. Tak je možné zajistit pokrytí vynucování a vykonávání zabezpečení na více místech, např. i na menších pobočkách, kde by více bezpečnostních technologií dříve nebylo myslitelné investičně ale i z hlediska provozu a správy by nebylo udržitelné a spravovatelné. Tak je možné se v řadě případů vyvarovat kompexních instalací a značně nákladných a roztříštěných technologií.

V odůvodněných případech lze přitom bezpečnost nasazovat i na dedikovaných zařízeních nebo serverech pro určitou funkci a přitom se stále nemuset vzdát sjednoceného managementu.

Horkým tématem součastnosti je konsolidace funkcí např. do datových center pro optimalizaci využívaného hardware a snižování provozních nákladů. Odpovědí je virtualizace, přičemž bezpečnostní řešení nemusí stát bokem. I funkce jako firewall, IPS, VPN, URL filtering, management jsou dnes dostupná jako virtualizovaná řešení, kde funce pro více nezávislých částí infrastruktury nebo pro více zákazníků mohou být plně odděleně nasazovány na menším počtu hardware a provozovány na straně sítě nebo např. u poskytovatele bezpečnostních služeb (MSP).

IDS/IPS