Zagadnienie monitorowania oprogramowania wywołuje wiele kontrowersji. Osoby na co dzień zajmujące się realizacją zadań wynikających z konieczności stałego badania poziomu bezpieczeństwa sieci informatycznej wiedzą, iż działania te są prowadzone według przejrzystych zasad, w sposób opisany procedurami, zgodny z wytycznymi wspólnymi dla wszystkich użytkowników sieci, a wykonywane czynności są realizowane cyklicznie, według wcześniej opracowanego harmonogramu. Zasady, które zostały opisane powyżej, nie są tworem z utopijnego świata. W największym uproszczeniu monitorowanie bezpieczeństwa oprogramowania w każdej sieci informatycznej powinno być:
- prowadzone jako proces ciągły,
- realizowane zgodnie ze zdefiniowanymi wcześniej zasadami - tożsamymi dla wszystkich użytkowników w sieci - zgodnymi z polityką bezpieczeństwa firmy, której zasoby podlegają monitorowaniu,
- prowadzone przez kompetentny, rzetelny personel,
- raportowane.
Każdy użytkownik systemu informatycznego objętego monitorowaniem powinien być w związku z tym zaznajomiony z panującymi w jego organizacji zasadami. Zasady te powinny jasno wyznaczać granice, których pracownik nie powinien przekraczać, realizując powierzone czynności służbowe i wykorzystując do ich realizacji sprzęt i oprogramowanie informatyczne udostępniane przez pracodawcę.
Do skutecznego prowadzenia monitorowania bezpieczeństwa oprogramowania może być wykorzystywanych wiele różnorodnych narzędzi informatycznych, od prostych programów antywirusowych instalowanych na pojedynczych urządzeniach począwszy, na zaawansowanych systemach kończąc. Dzięki takim systemom sprawny, doświadczony operator - potrafiący wykorzystać ich zaawansowane możliwości - może prowadzić szereg działań podnoszących bezpieczeństwo chronionych zasobów informatycznych, a sposób jego pracy uzależniony jest od rozwiązania technologicznego stosowanego w danym przedsiębiorstwie. W niewielkich instytucjach dbałość o bezpieczeństwo IT może ograniczać się do stosowania prostego oprogramowania antywirusowego i zapory ogniowej (firewalla programowego lub sprzętowego) minimalizujących prawdopodobieństwo przeprowadzenia skutecznego ataku z zewnątrz na chronioną sieć wewnętrzną.
Im lepsze (niekoniecznie droższe) narzędzia, tym większe jest prawdopodobieństwo wykrycia i usunięcia złośliwego oprogramowania lub zablokowania zewnętrznego ataku na urządzenia wchodzące w skład chronionej sieci komputerowej. Głównym wyznacznikiem sukcesu w przypadku tego typu narzędzi jest czas pojawienia się na stronie producenta nowych definicji wirusów (szczepionek antywirusowych), czas ich instalacji na naszych komputerach, a także stała aktualizacja systemu operacyjnego i odpowiednia konfiguracja zapór ogniowych. Takie działania prowadzone są najczęściej w sposób automatyczny, a ingerencja człowieka ogranicza się jedynie do weryfikacji, czy aktualizacja przebiegła zgodnie ze zdefiniowanym wcześniej harmonogramem, czy konieczne jest jej „ręczne" przeprowadzenie.
By mówić o monitorowaniu, musimy się skupić na rozwiązaniach stosowanych w dużych przedsiębiorstwach, w których codzienne czynności wykonywane przez kadrę pracowniczą są realizowane przy wykorzystaniu dużej liczby komputerów (przeszło kilkuset). W takiej sieci prowadzenie monitorowania bezpieczeństwa IT jest konieczne, gdyż niekontrolowany rozwój złośliwego oprogramowania może doprowadzić do paraliżu działalności całej firmy.
Podstawowym działaniem prowadzonym przez służby monitorujące, odpowiedzialne za zapewnienie odpowiedniego poziomu chronionych zasobów informatycznych, jest dbanie o aktualność oprogramowania antywirusowego na każdym z komputerów funkcjonujących w sieci firmowej. Wystarczy tylko kilka urządzeń, na których zupełnie brak oprogramowania antywirusowego lub oprogramowanie jest zainstalowane, ale bazy sygnatur (definicji wirusów) są nieaktualne, aby doprowadzić do infekcji kolejnych komputerów. Komputery z aktualnymi sygnaturami powinny w krótkim czasie poradzić sobie z wykryciem i usunięciem wirusa, jednakże lawinowo spada wydajność całej sieci komputerowej, ponieważ procesor każdej z zarażonych maszyn musi wykonać dodatkowe operacje związane z koniecznością odparcia ataku przez aplikacje antywirusowe.
Powodów wystąpienia tego typu nieprawidłowości (brak oprogramowania antywirusowego lub nieaktualność sygnatur) może być kilka. Problemem może być brak jasnych reguł przy wdrażaniu nowo zakupionych urządzeń (brak zapisów w umowach z dostawcami dotyczących standardu oprogramowania w kupowanych urządzeniach, brak koordynacji pomiędzy zakupem a wdrożeniem) lub - co gorsza - świadome działanie użytkownika (celowe wyłączanie oprogramowania, odinstalowanie oprogramowania). W przypadku wystąpienia ostatniej z wymienionych ewentualności służby monitorujące powinny pouczyć użytkownika o prowadzeniu przez niego działań niezgodnych z zasadami bezpieczeństwa obowiązującymi w firmie (o ile przepisy takie funkcjonują w przedsiębiorstwie). Jeśli mimo pouczenia sytuacja powtarza się, zazwyczaj wyciągane są konsekwencje dyscyplinarne wobec niesubordynowanego pracownika. Bywa również i tak, iż niektóre starsze systemy operacyjne (np. Windows 95 czy Windows 98), dla których już nie jest realizowane wsparcie ze strony producenta, nie są w stanie w sposób automatyczny przeprowadzić aktualizacji definicji wirusów i w takiej sytuacji konieczne jest przeprowadzenie aktualizacji bezpośrednio przez personel informatyczny.
Prócz realizacji zadań wynikających z konieczności zapewnienia ochrony antywirusowej na odpowiednim poziomie, rozbudowane systemy monitorowania pozwalają dodatkowo na monitorowanie parametrów systemów operacyjnych (sprawdzanie, czy przeprowadzana jest ciągła aktualizacja systemu operacyjnego, które poprawki systemu są zainstalowane, jaki jest stan bezpieczeństwa systemu) oraz na weryfikację wykorzystywanego przez użytkowników oprogramowania. Jest to bardzo istotne z punktu widzenia bezpieczeństwa, gdyż wiele z wykorzystywanych przez użytkowników - samowolnie instalowanych - aplikacji (darmowych w szczególności) ma dodatkowe, ukryte dla przeciętnego użytkownika funkcje. Umożliwiają one wykradanie zapisanych na twardych dyskach informacji lub nawet przechwytywanie loginów i haseł dostępu do systemów informatycznych i wysyłanie w ten sposób pozyskanych informacji na serwery zewnętrzne, zarządzane przez nieuprawnione - z punktu widzenia firmy - osoby. Brak kontroli w tym obszarze może także doprowadzić do zakłócenia stabilności pracy systemów biznesowych wykorzystywanych w firmie (zwiększenie obciążenia procesora, uruchamianie procesów powodujących konflikt z procesami pochodzącymi od aplikacji biznesowych). Systemami pomocniczymi do monitorowania tego typu nieprawidłowości są systemy weryfikujące aktywność użytkowników w zakresie przeglądania stron internetowych. Tego rodzaju monitorowanie budzi wśród pracowników wiele kontrowersji, natomiast, statystycznie rzecz biorąc, przeważająca większość niedopuszczonego do użytkowania w sieci wewnętrznej firmy oprogramowania pobierana jest przez użytkowników właśnie ze stron WWW. Dopiero korelacja zdarzeń wykrytych przez systemy antywirusowe oraz badanie aktywności danego użytkownika w sieci pozwala na jednoznaczne określenie źródła infekcji i rozpoznanie, czy działanie użytkownika jest celowym nadużyciem, czy działaniem nieświadomym, co z kolei warunkuje dalszy sposób postępowania. Najistotniejsze jest to, by infekcja w jak najkrótszym czasie została wykryta, a niebezpieczeństwo zarażenia kolejnych komputerów zminimalizowane. Z punktu widzenia bezpieczeństwa najistotniejsze jest jak najszybsze zdefiniowanie źródła niebezpieczeństwa, a następnie podjęcie odpowiednich kroków zmierzających do wyeliminowania go bądź zminimalizowania ryzyka wystąpienia danego zagrożenia w przyszłości.
Podsumowując, zabezpieczanie sieci można przyrównać do antykoncepcji - istnieje wiele metod, które zapewniają skuteczność bliską 100%, jednak żadna z nich nie gwarantuje nam pełnej skuteczności. Im więcej zabezpieczeń zastosujemy, tym większe są nasze szanse na uchronienie się przed atakiem.
Krzysztof Białek
Zabezpieczenia 2/2008