Zagadnienie
monitorowania oprogramowania wywołuje wiele kontrowersji. Osoby na co dzień
zajmujące się realizacją zadań wynikających z konieczności stałego badania
poziomu bezpieczeństwa sieci informatycznej wiedzą, iż działania te są
prowadzone według przejrzystych zasad, w sposób opisany procedurami, zgodny z
wytycznymi wspólnymi dla wszystkich użytkowników sieci, a wykonywane czynności
są realizowane cyklicznie, według wcześniej opracowanego harmonogramu. Zasady,
które zostały opisane powyżej, nie są tworem z utopijnego świata. W
największym uproszczeniu monitorowanie bezpieczeństwa
oprogramowania w każdej
sieci informatycznej powinno być:
- prowadzone jako
proces ciągły,
- realizowane zgodnie
ze zdefiniowanymi wcześniej zasadami - tożsamymi dla wszystkich użytkowników w
sieci - zgodnymi z polityką bezpieczeństwa firmy, której zasoby podlegają
monitorowaniu,
- prowadzone przez
kompetentny, rzetelny personel,
- raportowane.
Każdy
użytkownik systemu informatycznego objętego monitorowaniem powinien być w
związku z tym zaznajomiony z panującymi w jego organizacji zasadami. Zasady te
powinny jasno wyznaczać granice, których pracownik nie powinien przekraczać,
realizując powierzone czynności służbowe i wykorzystując do ich realizacji
sprzęt i oprogramowanie informatyczne udostępniane przez pracodawcę.
Do
skutecznego prowadzenia monitorowania bezpieczeństwa oprogramowania może być
wykorzystywanych wiele różnorodnych narzędzi informatycznych, od prostych
programów antywirusowych instalowanych na pojedynczych urządzeniach począwszy,
na zaawansowanych systemach kończąc. Dzięki takim systemom sprawny,
doświadczony operator - potrafiący wykorzystać ich zaawansowane możliwości -
może prowadzić szereg działań podnoszących bezpieczeństwo chronionych zasobów
informatycznych, a sposób jego pracy uzależniony jest od rozwiązania
technologicznego stosowanego w danym przedsiębiorstwie. W niewielkich
instytucjach dbałość o bezpieczeństwo IT może ograniczać się do stosowania
prostego oprogramowania antywirusowego i zapory ogniowej (firewalla
programowego lub sprzętowego) minimalizujących prawdopodobieństwo
przeprowadzenia skutecznego ataku z zewnątrz na chronioną sieć wewnętrzną.
Im
lepsze (niekoniecznie droższe) narzędzia, tym większe jest prawdopodobieństwo
wykrycia i usunięcia złośliwego oprogramowania lub zablokowania zewnętrznego
ataku na urządzenia wchodzące w skład chronionej sieci komputerowej. Głównym
wyznacznikiem sukcesu w przypadku tego typu narzędzi jest czas pojawienia się
na stronie producenta nowych definicji wirusów (szczepionek antywirusowych),
czas ich instalacji na naszych komputerach, a także stała aktualizacja systemu
operacyjnego i odpowiednia konfiguracja zapór ogniowych. Takie działania
prowadzone są najczęściej w sposób automatyczny, a ingerencja człowieka
ogranicza się jedynie do weryfikacji, czy aktualizacja przebiegła zgodnie ze
zdefiniowanym wcześniej harmonogramem, czy konieczne jest jej „ręczne"
przeprowadzenie.
By
mówić o monitorowaniu, musimy się skupić na rozwiązaniach stosowanych w dużych
przedsiębiorstwach, w których codzienne czynności wykonywane przez kadrę
pracowniczą są realizowane przy wykorzystaniu dużej liczby komputerów (przeszło
kilkuset). W takiej sieci prowadzenie monitorowania bezpieczeństwa IT jest
konieczne, gdyż niekontrolowany rozwój złośliwego oprogramowania może
doprowadzić do paraliżu działalności całej firmy.
Podstawowym
działaniem prowadzonym przez służby monitorujące, odpowiedzialne za zapewnienie
odpowiedniego poziomu chronionych zasobów informatycznych, jest dbanie o aktualność
oprogramowania antywirusowego na każdym z komputerów funkcjonujących w sieci
firmowej. Wystarczy tylko kilka urządzeń, na których zupełnie brak
oprogramowania antywirusowego lub oprogramowanie jest zainstalowane, ale bazy
sygnatur (definicji wirusów) są nieaktualne, aby doprowadzić do infekcji
kolejnych komputerów. Komputery z aktualnymi sygnaturami powinny w krótkim
czasie poradzić sobie z wykryciem i usunięciem wirusa, jednakże lawinowo spada
wydajność całej sieci komputerowej, ponieważ procesor każdej z zarażonych
maszyn musi wykonać dodatkowe operacje związane z koniecznością odparcia ataku
przez aplikacje antywirusowe.
Powodów
wystąpienia tego typu nieprawidłowości (brak oprogramowania antywirusowego lub
nieaktualność sygnatur) może być kilka. Problemem może być brak jasnych reguł
przy wdrażaniu nowo zakupionych urządzeń (brak zapisów w umowach z dostawcami
dotyczących standardu oprogramowania w kupowanych urządzeniach, brak koordynacji
pomiędzy zakupem a wdrożeniem) lub - co gorsza - świadome działanie użytkownika
(celowe wyłączanie oprogramowania, odinstalowanie oprogramowania). W przypadku
wystąpienia ostatniej z wymienionych ewentualności służby monitorujące powinny
pouczyć użytkownika o prowadzeniu przez niego działań niezgodnych z zasadami
bezpieczeństwa obowiązującymi w firmie (o ile przepisy takie funkcjonują w
przedsiębiorstwie). Jeśli mimo pouczenia sytuacja powtarza się, zazwyczaj
wyciągane są konsekwencje dyscyplinarne wobec niesubordynowanego pracownika.
Bywa również i tak, iż niektóre starsze systemy operacyjne (np. Windows 95 czy
Windows 98), dla których już nie jest realizowane wsparcie ze strony
producenta, nie są w stanie w sposób automatyczny przeprowadzić aktualizacji definicji
wirusów i w takiej sytuacji konieczne jest przeprowadzenie aktualizacji
bezpośrednio przez personel informatyczny.
Prócz
realizacji zadań wynikających z konieczności zapewnienia ochrony antywirusowej
na odpowiednim poziomie, rozbudowane systemy monitorowania pozwalają dodatkowo
na monitorowanie parametrów systemów operacyjnych (sprawdzanie, czy
przeprowadzana jest ciągła aktualizacja systemu operacyjnego, które poprawki
systemu są zainstalowane, jaki jest stan bezpieczeństwa systemu) oraz na weryfikację
wykorzystywanego przez użytkowników oprogramowania. Jest to bardzo istotne z
punktu widzenia bezpieczeństwa, gdyż wiele z wykorzystywanych przez
użytkowników - samowolnie instalowanych - aplikacji (darmowych w szczególności)
ma dodatkowe, ukryte dla przeciętnego użytkownika funkcje. Umożliwiają one
wykradanie zapisanych na twardych dyskach informacji lub nawet przechwytywanie
loginów i haseł dostępu do systemów informatycznych i wysyłanie w ten sposób
pozyskanych informacji na serwery zewnętrzne, zarządzane przez nieuprawnione -
z punktu widzenia firmy - osoby. Brak kontroli w tym obszarze może także
doprowadzić do zakłócenia stabilności pracy systemów biznesowych
wykorzystywanych w firmie (zwiększenie obciążenia procesora, uruchamianie
procesów powodujących konflikt z procesami pochodzącymi od aplikacji
biznesowych). Systemami pomocniczymi do monitorowania tego typu
nieprawidłowości są systemy weryfikujące aktywność użytkowników w zakresie
przeglądania stron internetowych. Tego rodzaju monitorowanie budzi wśród
pracowników wiele kontrowersji, natomiast, statystycznie rzecz biorąc,
przeważająca większość niedopuszczonego do użytkowania w sieci wewnętrznej
firmy oprogramowania pobierana jest przez użytkowników właśnie ze stron WWW.
Dopiero korelacja zdarzeń wykrytych przez systemy antywirusowe oraz badanie
aktywności danego użytkownika w sieci pozwala na jednoznaczne określenie źródła
infekcji i rozpoznanie, czy działanie użytkownika jest celowym nadużyciem, czy
działaniem nieświadomym, co z kolei warunkuje dalszy sposób postępowania.
Najistotniejsze jest to, by infekcja w jak najkrótszym czasie została wykryta,
a niebezpieczeństwo zarażenia kolejnych komputerów zminimalizowane. Z punktu
widzenia bezpieczeństwa najistotniejsze jest jak najszybsze zdefiniowanie
źródła niebezpieczeństwa, a następnie podjęcie odpowiednich kroków
zmierzających do wyeliminowania go bądź zminimalizowania ryzyka wystąpienia
danego zagrożenia w przyszłości.
Podsumowując,
zabezpieczanie sieci można przyrównać do antykoncepcji - istnieje wiele metod,
które zapewniają skuteczność bliską 100%, jednak żadna z nich nie gwarantuje
nam pełnej skuteczności. Im więcej zabezpieczeń zastosujemy, tym większe są
nasze szanse na uchronienie się przed atakiem.
