Image
2.1.2015 0 Comments

Zo života IT manažéra: Nastal čas riešiť resty, do ktorých sa nechce, alebo na ne nebol čas

ITN_riesit resty.jpg Náš manažér bezpečnosti si našiel čas, aby dokončil niekoľko, už dlhšiu dobu čakajúcich úloh.

V oblasti rizík a zraniteľností u nás stále zostávajú niektoré nevyriešené problémy. Sú to záležitosti, ktoré sa odsúvajú z dôvodu každodenných mimoriadnych udalostí, rozpočtových obmedzení alebo interných príkazov. Keď ale nastane ten správny čas, snažím sa to zmeniť. Tu sú tri veci, ktoré v súčasnej dobe intenzívne riešim.

Konfigurácia VPN bola vždy spornou záležitosťou medzi tímami zabezpečenia, desktopov a sietí. Súčasný klient VPN sa užíva v režime rozdeleného tunelovania. Keď niekto VPN používa, prenáša sa šifrovaným tunelom len komunikácia so zdrojmi v našej sieti. Všetko ostatné – ako sú webový e-mail, sociálne médiá či osobné ukladanie súborov ako Dropbox – sa smeruje cez miestne internetové pripojenie používateľa k internetu.

To ale veľkú časť prenosov vzdialeného používateľa ponecháva bez ochrany a patričnej kontroly. Dáta, ktoré neprechádzajú tunelom, tak neprejdú cez naše firewally pre filtrovanie obsahu URL a nevidia ich ani naše nástroje na prevenciu proti narušeniu (IPS), systém pokročilej analýzy malwaru, naša technológia na kontrolu aplikačnej vrstvy a dokonca ani softvér na prevenciu straty citlivých dát (DLP), ktorý rozpoznáva prípady únikov dôležitých informácií - či už úmyselných alebo náhodných.

Moje výhrady voči rozdelenému tunelovaniu sa vždy stretávali s protiargumentami zástupcov ostatných oddelení, ktorí sa obávajú, že v prípade vynútenia priechodu všetkých prenosov cez infraštruktúru našej firmy prostredníctvom VPN bude dochádzať k ich spomaľovaniu.

Táto patová situácia sa však môže čoskoro vyriešiť, pretože tento rok sa plánuje upgrade sieťovej infraštruktúry a pridanie ďalších pokročilých funkcií, takže vylúčenie možnosti rozdeleného tunelovania výkon siete nijako nezasiahne.

Nechcená publicita

Ďalším rizikom, ktorému sa teraz venujem, je webové rozhranie k podnikovému e-mailu. Pred niekoľkými rokmi sme nasadili produkt Microsoft Outlook Anywhere, takže používatelia môžu spúšťať klienta Outlook bez nutnosti pripojenia cez sieť VPN.

Nepáči sa mi však, že táto konfigurácia umožňuje sťahovanie e-mailov z našich serverov do ľubovoľného vzdialeného počítača. Môžu nimi byť napríklad zdieľané verejné desktopy, aké možno nájsť napríklad vo vestibulách hotelov. Potom, čo používateľ na takomto počítači prestane so svojím e-mailom pracovať a odíde preč, zostanú v tomto PC aj naďalej správy elektronickej pošty, kalendár aj kontaktné informácie.

Každý ďalší používateľ tohto verejného počítača si môže otvoriť klienta Outlook a zobraziť všetky spomínané informácie, z ktorých by niektoré mohli mať veľmi citlivý charakter. Nedokáže sa síce pripojiť k serveru Exchange a odosielať alebo prijímať poštu, ale e-maily, prílohy, kontakty a položky kalendára pre neho budú úplne viditeľné.

Chcem použiť riešenie Microsoft Outlook Web Access (OWA) založené na prehliadači. Ak sa použije OWA a dôjde k riadnemu uzavretiu prehliadača a zmazanie webovej histórie, súborov cookie a cache, nezostane na klientskom počítači fakticky žiadna pošta. To je cesta, ktorou sa uberáme pri migrácii všetkých našich zamestnancov na cloudový e-mail Microsoft 365. Obmedzíme tak možnosť použitia riešenia Outlook Anywhere len na firemné počítače.

Odhalené zoznamy

A konečne tretia položka na mojom aktuálnom zozname úloh je problém, ktorý sa týka oprávnenia. K jeho odhaleniu došlo počas vyšetrovania nedávneho incidentu vo vnútri firmy. Náš analytik DLP zistil, že oprávnenie pre zdieľaný sieťový disk, ktorý obsahoval citlivé firemné dokumenty, sa nastavila tak, že všetci používatelia domény môžu z ľubovoľnej zložky zobraziť zoznam súborov.

Hoci si ľudia nemohli súbory stiahnuť ani zobraziť, môže byť zobrazenie zložky alebo názvov dokumentov riskantné.

Povedzme, že napríklad oddelenie ľudských zdrojov má zložku s názvom "Prepúšťanie" a v nej tabuľku nazvanú "Prepúšťanie v roku 2014." Každý, kto by takéto názvy videl, by mohol vytvárať špekulácie a za chvíľu by mohli kolovať zvesti o prepúšťaní.

Potom, čo sme zistili túto konfiguráciu v niekoľkých zložkách, musíme urobiť hĺbkovú kontrolu a opravu oprávnení všetkých zdieľaných priečinkov vo firme. Plánujeme tiež niektoré nové technické revízie a nastaviť procesy, aby nemohlo k nesprávnemu nastaveniu oprávnení vôbec dôjsť.

Tento príspevok do Zápisníka manažéra pre bezpečnosť napísal skutočný manažér bezpečnosti, ktorý tu vystupuje ako Mathias Thurman. Jeho pravé meno ani meno zamestnávateľa z pochopiteľných dôvodov neuvádzame.

Zdroj: computerworld.cz


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Biznis

Šiesty ročník STARTUP AWARDS pozná víťazov a obsahom aj návštevnosťou prekonal všetky predchádzajúce

06.12.2016 00:15

Tohtoročné Startup Awards, ktoré sa konali v piatok 2. decembra v bratislavskom Istropolise, už majú svojich víťazov. V súťaži vyberala zahraničná odborná porota spomedzi dvanástich nápadov celkom v š ...

Biznis

Amazon bude prevážať dáta v kamiónoch. Chce tak ušetriť čas

05.12.2016 10:02

Na svojej používateľskej konferencii re:Invent predstavil Amazon nový spôsob, ako môžu zákazníci presúvať veľké objemy dát do jeho cloudovej služby Amazon Web Services (AWS). Pre veľké firmy, ktoré c ...

Biznis 1

Xiaomi vraj neutrpí poklesom predaja smartfónov, živia ho iné zdroje

02.12.2016 00:19

Prepad predaja smartfónov na čínskom trhu nebude mať významný dosah na spoločnosť Xiaomi, pretože bude kompenzovaný predajom inteligentných domácich spotrebičov a príjmami zo softvéru. Povedal to star ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá