O dosluhování bezpečnostních IT technologií se mluví již dlouho. Existují však detekční techniky nové generace schopné zachytit moderní a pokročilé kybernetické útoky? Pojďme se podívat na roční praktické zkušenosti s kognitivní behaviorální analýzou určené k monitoringu sítě a detekci neznámých útoků. Stanou se i tyto technologie obětí pokročilých útočníků, tak jak se tomu stalo u antivirů či IDS/IPS?
DLP, cloud a mobilní zařízení
Se stále větším rozvojem cloudových služeb ve firemní sféře se mění i přístup k ochraně informací a dat uložených mimo firemní síť. Z pohledu bezpečnosti už není klíčové vědět, jen jaká data chránit, kde se nalézají, kdo s nimi může nakládat, jaký je způsob zabezpečení serverů, ale je třeba věnovat pozornost i metodám přístupů k externím službám, zabezpečení přenosů přes internetovou síť a dohledu nad správci samotného cloudu.
Jaké bezpečnostní hrozby spojené s IT očekáváme v roce 2012? Není jich málo. Obecně předpokládáme nárůst všech typů útoků a hrozeb, přesto budou některé dominovat. Ty tam jsou doby „klasického“ spamu. Útočníci dnes pracují sofistikovaněji a snaží se například zneužívat důvěryhodné certifikáty. Ty nejpodstatnější hrozby si přiblížíme v následujícím textu.
v oblasti bezpečnosti IT
V záplavě zkratek pro různé ISO normy a standardy bychom v oblasti ICT měli věnovat pozornost těm, které jsou mezinárodně uznávané a jejich zavedení má pro organizaci přínos. K certifikaci dle ISO 27001 (ISMS), ISO 20000 (ITSM) či k BCMS (BS 25999) nás dovedou tři cesty – buď požadavek zákazníků, nebo požadavky výběrových řízení, nebo v nejlepším případě z vlastní vůle organizace. Získání certifikátu v oblasti ISMS, ITSM a BCMS je jednak prestižní a jednak konkurenčně výhodné. Kdy a proč zavést jednotlivé systémy je shrnuto v tomto článku.
Aké hrozby predpokladáme v oblasti IT na rok 2012? Nie je ich málo a tie najpodstatnejšie bližšie objasníme v nasledujúcom texte. Všeobecne sa očakáva nárast všetkých typov útokov a hrozieb, napriek tomu niektoré hrozby budú dominovať.
Výrazný trend je zvyšujúce sa množstvo nevyžiadanej pošty. V tomto prípade nejde o klasický spam, ktorého množstvo v posledných rokoch, naopak, klesá, ale o rozosielanie nevyžiadaných obchodných ponúk. Ide o situáciu, keď zákazník odsúhlasí posielanie obchodných oznámení firme (obyčajne pri on-line nakupovaní tovaru). Obchodníci však kontaktné údaje o zákazníkoch poskytujú (často priamo predávajú) ďalším subjektom. E-mailová schránka je potom zahltená ponukami na zľavy, výhodný nákup dovolenky a ďalšími oznámeniami. Tieto ponuky sú písané po slovensky, zle sa detegujú ako nevyžiadaná pošta a riešenie predstavuje prakticky len e-mailový gateway, ktorý bude neustále aktualizovaný o nové vyhľadávacie frázy na selekciu nevyžiadanej pošty.
v podmínkách státní správy a samosprávy
S postupující elektronizací státní správy a samosprávy (SSS) se významně zvyšuje také potřeba zabezpečení informačních systémů i informací samotných. Praktické řešení však není vždy jednoduché a zejména v oblasti SSS můžeme narazit na řadu specifik, která budování systémů řízení informační bezpečnosti znesnadňují. Pojďme se krátce zamyslet nad těmito specifiky a nad jedním z mnoha možných řešení, které nám může výrazně pomoci.
Odhalte je pomocí detekce chování
Velkou většinu úspěšných průniků do počítačových systémů, které byly odhaleny v poslední době, spojuje několik základních charakteristik. Zpráva „Shady Rat“2, která popisuje skupinu z řady systematických průniků do sítí desítek podniků, státních institucí a mezinárodních institucí po celém světě jasně ukazuje, že pokročilí útočníci jsou schopni systematicky pronikat do cílových organizací, dlouhodobě tam působit bez odhalení a získávat značné množství strategických dat.
Základním předpokladem pro úspěšnou obranu proti pokročilým útokům je zajištění maximální viditelnosti síťového provozu jako celku. NBA tento předpoklad pomáhá naplnit a je často používáno k ověření, že komunikace v síti probíhá dle očekávání a je v souladu s nastavením síťových prvků.
Ochrana firemních dat pomocí DLP systémů
Únik, ztráta, případně zcizení dat jsou v současné době velkým problémem pro všechny organizace. Jedná se o hrozbu, nejen z pohledu ztráty citlivých informací, finančních ztrát, ale i poškození reputace společnosti. Přesto jen část firem řeší pravidla pro ochranu dat, jež by měly podobným incidentům předcházet. Tato pravidla navíc nebývají dodržována a citlivá data tak bez jakéhokoliv omezení posílají zaměstnanci ven z firmy, případně si je odnášejí domů. Vyplývá z toho, že samotná pravidla pro nakládání s daty nestačí. Pro dodržování bezpečnostních politik je nutné zvolit správný systém.
Každý zamestnanec, ktorý pri svojej práci využíva informačné technológie, je v súčasnosti vystavený mnohým bezpečnostným rizikám a nástrahám. Často si ich ani neuvedomuje a pritom spravidla práve koncový používateľ je najslabším článkom bezpečnosti organizácie. Ak má používateľ nízke povedomie o informačnej bezpečnosti, nedokáže adekvátne reagovať na hrozby typu phishingu, pharmingu a pod., nerozpozná prejavy počítačových vírusov a svojím správaním môže nevedomky podporovať šírenie spamu, hoaxu atď. Ak nie sú jasne stanovené zodpovedajúce procesy, prípadne sa nekladie dôraz na bezpečnosť, potom zamestnanec, ktorý je pracovne vyťažený, nemá na riešenie otázok bezpečnosti nijaký dôvod. V prípade výskytu bezpečnostného incidentu predstavuje chýbajúca bezpečnostná dokumentácia významný problém. Zamestnanec sa nemá kam obrátiť o radu, ako sa v danej chvíli zachovať, zamestnávateľ nemá v ruke priamy nástroj, ktorým by od zamestnanca vymáhal zodpovednosť.
Každý, kdo měl na starosti chod ICT zázemí, řešil otázky v souvislosti s možnými havarijními situacemi, kdy část ICT může být z různých důvodů mimo provoz a s ním i některé firemní procesy. Předcházení těmto nestandardním stavům je dílčí část pracovní náplně odpovědných zaměstnanců společně s jejich rutinní správou ICT. S rostoucími požadavky na dostupnost prostředků informačního systému rostou i požadavky na zajištění kontinuity ICT a tyto požadavky stále více vedou k budování havarijních plánů a plánů obnovy ICT, tj. DRP – disaster recovery plans. Jak takové plány vytvořit? Co vše mají obsahovat a v čem nám vlastně mohou pomoci? Na tyto otázky jsme se zeptali Martina Tobolky, konzultanta společnosti AEC.
Co je Business Continuity Management a proč jej mít zaveden ve výrobní praxi
Nejčastější příčiny přerušení kontinuity procesů organizace patří technická selhání (výpadek dodávek energie, selhání technického nebo programového vybavení), přírodní živly (požár, povodeň) a lidský faktor (hrozby úmyslné i neúmyslné – chyby uživatelů, podvody, krádeže, napadení IS) apod. Řízení kontinuity činností (Business Continuity Management - BCM) je proces, který připraví organizaci na řešení těchto havarijních situací a zmírní jejich případné následky.
Jen velice těžko byste v rámci České republiky hledali konferenci věnovanou bezpečnosti ICT s tak dlouhou tradicí a charakterem, jakým se může pochlubit konference Security. V únoru se konala již podevatenácté. Letošním ročníkem, který se stejně jako minulý konal pod záštitou ISACA, provázel publicista Miloš Čermák, čerstvý držitel ceny Křišťálová lupa v kategorii Osobnost roku. Nosným tématem konference se stala personální bezpečnost zaměřená na zaměstnance jako uživatele informačních systémů. V této oblasti je stále mnoho prostoru k zlepšování.
Více než 250 bezpečnostních manažerů a specialistů se sešlo 16. února v pražském Aquapalace hotelu, kde pro ně byl přichystán maraton přednášek a prezentací. Jak se už stalo v posledních ročnících tradicí, konference probíhala paralelně ve dvou synchronních blocích, aby každý účastník dostal možnost navštívit poslechnout si přesně ty přednášky, jejichž témata odpovídají jeho zájmům.
Pro pořádající společnost AEC byla konference o to významnější, že za necelý měsíc oslaví 20. výročí založení firmy. V současnosti organizátoři zpracovávají všechny podněty od jednotlivých účastníků a pomalu již začínají připravovat Security 2012, kdy také samotná akce vstoupí mezi „cetileté“. Organizátoři tímto děkují všem přednášejícím, účastníkům i všem dalším, kteří se podíleli na vytvoření nezaměnitelné atmosféry konference Security 2011, a slibují, že udělají vše proto, aby i další ročník byl místem, kde řada z bezpečnostních odborníků nalezne inspiraci pro svou práci.
V souvislosti s různými změnami i novinkami také oblast bezpečnosti prochází neustálým vývojem. Pohled na technické i organizační zabezpečení se mění s mnoha různými faktory, mj. se změnami ekonomické situace, příchodem nových technologií, novými typy útoků atd. Jaké aktuální otázky nyní bezpečnostní specialisté řeší? Jaké bezpečnostní technologie jsou nyní v organizacích nově implementovány? Na co by si organizace měly dát pozor, aby bezpečnostní incidenty komplikovaly jejich fungování co nejméně?
Martin Tobolka: "Jste si jisti, že se Vás legislativa netýká?"
Otázky k tématu "Legislativa, normy, Software Asset Management"
Revoluce v papírování začala 1. listopadu loňského roku, kdy všem úřadům a právnickým osobám zapsaným v obchodním rejstříku byly aktivovány datové schránky. Klasické doručování úředních písemností poštou se tím přesunulo na internet. Datové schránky nejdříve sloužily pouze pro komunikaci mezi orgány veřejné moci. Od začátku letošního roku si mohou prostřednictvím datové schránky zasílat mezi sebou faktury a jiné doklady i právnické osoby, fyzické osoby a podnikající fyzické osoby. Komunikovat bez omezení obsahu datové zprávy budeme moci od 1. července 2010.
Penetračné testy sa v priebehu posledných rokov stali neoddeliteľnou súčasťou riadenia informačnej bezpečnosti v rámci každej väčšej organizácie. Pri testoch technici simulujú správanie útočníka s cieľom odhaliť pokiaľ možno všetky zraniteľné miesta skúmaného informačného systému. Výhody pre organizáciu sú nesporné. Výsledky testov jej umožnia zmapovať riziká chodu dôležitých informačných systémov a zároveň investovať do ich zabezpečenia efektívnym spôsobom.
Témata týkající se zajištění dostatečné úrovně informační bezpečnosti organizace patří mezi často diskutovaná. Bohužel se tak děje spíše na „teoretické“ úrovni. Prosazení konkrétních bezpečnostních opatření a procesů do praxe pak ve valné většině případů selhává. Většinou se řeší pouze zabezpečení samotných informačních technologií, ale neméně důležitá opatření v oblasti organizační bezpečnosti se ztrácí ve zmatcích hierarchie organizace.
on-line verze: SystemOnLine.cz - 1. díl, 2. díl, 3. díl
Zatím jsme si řekli, jakým způsobem přistupovat k analýze informační bezpečnosti organizace, jak řídit rizika a navrhovat bezpečnostní opatření, jakou bezpečnostní dokumentaci můžeme použít, a naznačili jsme si, jakým způsobem stanovená bezpečnostní opatření prosazovat. Náš miniseriál uzavřeme tím, že se podíváme na některé možnosti, jak ověřit správnost fungování bezpečnostních opatření, podporu kontinuálního fungování a zlepšování bezpečnostního systému organizace.
on-line verze: SystemOnLine.cz
Dokážeme pomocí současných prostředků účinně zabránit šíření a působení malware? Dostaneme v budoucnu do rukou lepší zbraně? Můžeme očekávat účinnější „anti-x“ řešení nebo se přece jen musíme vydat jinou cestou? Ještě nedávno patřila problematika antivirové ochrany k nejvíce rozebíraným bezpečnostním tématům. S tím, jak se informační bezpečnost stala komplexním oborem, pozměnila se i role antivirové ochrany. V současnosti se zpravidla jedná o komplexní balík technických a procesních nástrojů, jejichž cílem je efektivně ochránit organizaci před působením neustále se zdokonalujícího škodlivého kódu – malware.
Témata spojená s datovými schránkami plní již několik měsíců stránky odborných i všeobecně zaměřených médií, která propírají různé aspekty jejich neúprosně se blížícího ostrého provozu. I když se některé články dotýkají i dílčích bezpečnostních témat, nemohu se zbavit pocitu, že jen málokdo si plně uvědomuje všechny dopady, které bude zavedení datových schránek mít na řešení informační bezpečnosti jak na straně soukromých firem, tak i pro samotné státní orgány. Základní a nejzávažnější problém nespočívá v technických ani procesních aspektech datových schránek, ale v tom, že jejich používání mění formu, ve které jsou informace nejčastěji přenášeny a používány.
on-line verze: SystemOnLine
V minulém úvodním dílu našeho miniseriálu jsme se věnovali problematice analýzy informační bezpečnosti organizace. Dnes pokročíme dále a nastíníme si, jak postupovat při následné definici bezpečnostních opatření, kterými kroky začít a s jakými úskalími se při jejich implementaci nejčastěji potkáváme.
on-line verze: SystemOnLine.cz
Dnem 1. 7. 2009 nabyl účinnosti zákon č. 300/2008 Sb. o elektronických úkonech a autorizované konverzi dokumentů, který právnickým osobám ukládá za povinnost komunikovat s organizacemi veřejné správy elektronickou cestou prostřednictvím datových schránek (ISDS). Takovým řešením je například novinka na trhu – AEC ePodatelna. Datová schránka je elektronické úložiště, které je určeno k doručování a provádění úkonů vůči orgánům veřejné moci. Příkladem nejčastějších typů vyměňovaných datových zpráv je podání žádostí o rozhodnutí úřadu, předkládání přiznání k dani, pojistné na sociální zabezpečení, důchodové pojištění, reportovací povinnost právnických osob vůči organizacím veřejné správy, apod.
Témata týkající se zajištění dostatečné úrovně informační bezpečnosti organizace patří mezi často diskutovaná. Bohužel se tak děje spíše na „teoretické“ úrovni. Prosazení konkrétních bezpečnostních opatření a procesů do praxe pak ve valné většině případů selhává. Většinou se řeší pouze zabezpečení samotných informačních technologií, ale neméně důležitá opatření v oblasti organizační bezpečnosti se ztrácí ve zmatcích hierarchie organizace.
on-line verze: SystemOnLine.cz
Různé služby pro informační bezpečnost jsou dnes již nedílnou součástí našeho trhu s ICT. Různé typy penetračních testů, bezpečnostních analýz, konzultací atd. najdeme v nabídkách jak menších firem, tak i velkých systémových integrátorů. Smutnou realitou dnešního trhu jsou ale často značné rozdíly v kvalitě těchto služeb. Ukažme si tedy na příkladech několika typických oblastí bezpečnostních služeb, co bychom měli od svých dodavatelů požadovat a na co si dát pozor…
on-line verze: SystemOnLine.cz
Oracle Czech Customer Newsletter 05/2009Oracle řešení pro datové schránky je postaveno ve spolupráci s partnery na otevřených standardech a umožňuje tedy zahrnout kteroukoliv již hotovou komponentu třetí strany. Jednou z nich je elektronická podatelna společnosti AEC. AEC ePodatelna představuje moderní a bezpečné řešení elektronické podatelny primárně určené pro oblast veřejné správy, u které je povinnost na základě platných legislativních požadavků elektronickou podatelnu zřídit a provozovat. Stejně tak ji však lze s úspěchem využít i v podmínkách ostatních organizací a institucí, které přijímají a zpracovávají větší objemy elektronických podání včetně podání ověřených elektronickým podpisem, časovým razítkem nebo jsou zasílány šifrovaně.
on-line verze: Oracle.com
Security World 1/2009I když je skartace dat jedním z témat, kterému je v oblasti informační bezpečnosti již několik let věnována určitá pozornost, situace v praxi tomu dle mého názoru bohužel příliš neodpovídá. Řada organizací ponechává tuto oblast více či méně neošetřenou.
on-line verze: SecurityWorld.CZ
Penetrační testy se v průběhu posledních let staly nedílnou součástí řízení informační bezpečnosti v rámci každé větší organizace. Při testech technici simulují chování útočníka s cílem odhalit pokud možno veškerá zranitelná místa zkoumaného informačního systému. Výhody pro organizaci jsou nesporné. Výsledky testů jí umožní zmapovat rizika chodu důležitých informačních systémů a zároveň investovat do jejich zabezpečení efektivním způsobem. Při dosahování těchto cílů zadavateli výrazně pomůže pečlivá příprava projektu.
on-line verze: bankovnictvi.iHned.cz
Pokud jste se v rámci svých pracovních úkolů někdy podíleli na řešeníotázek zabezpečení organizace, jistě budete souhlasit s tvrzením, že vybudování a udržení potřebné úrovně informační bezpečnosti je nelehký úkol, který vyžaduje spoustu času a úsilí. Při tomto snažení je nutné se věnovat všem oblastem bezpečnosti, protože zanedbání nějakého detailu v jedné oblasti se může ve výsledku projevit degradací celého systému.
on-line verze: SystemOnLine.cz
Jan Poduška: "Bezpečnost a uživatelský komfort stojí proti sobě"
Otázky k tématu "Bezpečnost paměťových médií".
Petr Nádeníček: "Při outsourcingu bezpečnosti si dejte pozor na bezpečnost samotnou"
Otázky k tématu "Outsourcing".
Petr Nádeníček: "Mimo vysloveně utajovaných skutečností chybí jakékoliv bezpečnostní standardy"
Otázky k tématu "Průmyslová špionáž".
Daniel Kefer: "Ani používané technologie nejsou připraveny na rizika nastupujícího Web 2.0"
Otázky k tématu "Webová bezpečnost – hrozby skryté pod pláštěm".
Hana Vystavělová: "Nejdůležitější roli hraje podpora vedení"
Otázky k tématu "Bezpečnost pro SMB – I malí mohou mít velké problémy".
Oldřich Válka: "IP telefonie? Tudy cesta spamerů nepovede."
Otázky k tématu "Spam – nekonečný příběh".
Tomáš Vobruba: "Samotný produkt není zárukou ničeho"
Otázky k tématu "Bezpečnost virtualizace - servery a datastorage".
Penetrační testy se v průběhu posledních let staly nedílnou součástí řízení informační bezpečnosti v rámci každé větší organizace. Při testech technici simulují chování útočníka s cílem odhalit pokud možno veškerá zranitelná místa zkoumaného informačního systému. Výhody pro organizaci jsou nesporné: Výsledky testů jí umožní zmapovat rizika chodu důležitých informačních systémů a zároveň investovat do jejich zabezpečení efektivním způsobem.
Víte, ze které strany může přijít útok na vaši IT infrastrukturu a data v ní uložená? I když používáte moderní prvky zabezpečení, využíváte procesní politiky, provádíte aktualizace, instalujete bezpečnostní patche, máte vytvořenou bezpečnostní politiku, přesto existuje jedna důležitá zranitelnost, která bývá velmi často opomíjena.
on-line verze: SystemOnLine
Evropská unie
Evropský fond pro regionální rozvoj
Investice do vaší budoucnosti