Unalomig ismételt közhely, hogy a vállalati IT-környezet akkora változáson ment keresztül az elmúlt években, ami majdnem teljesen értelmetlenné tette a korábban megelőzésre alkalmazott tűzfal–vírusirtó–behatolásdetektáló biztonsági szentháromságot. Hogyan védjük a hálózati határainkat, ha nem is tudjuk megmondani, hol húzódnak azok?
A fenti kérdés újabbakat nyit: hogyan védjük a végpontjainkat, ha a dolgozóink a munkakörükből fakadó teljesítményelvárások miatt a saját privát eszközükön is követelik a céges hozzáférést? Hogyan üzemeltessünk szignatúra alapokon működő hálózati vagy akár végponti detektorokat, ha a támadások, fenyegetések másodpercek alatt képesek átváltozni, új formát ölteni, amit az eredeti forgalommintára fejlesztett IPS/IDS képtelen lesz felismerni?
Sok biztonsági szakember a meglévő rendszerek szabályainak drákói szigorításával válaszol ezekre a kihívásokra, és lázasan keresi azokat a megoldásokat, amelyekkel elkerülheti a túl szűkre szabott keretek miatt előálló produktivitás csökkenést, de valahogy mégis emelheti a cég biztonsági felkészültségét?
Nem állítom, hogy a fent említett rendszerek minden cél nélkül valók lennének a mai IT-környezetben. Meg kell találni azokat a modern üzemeltetési eszközöket, amelyekkel egy merev, statikus tűzfal szabályrendszer kezelésébe némi agilitást lehet fokozatosan csempészni (lásd policy szervező megoldások, mint például a Tufin csomagja), netán minden felesleges örökségtől, sallangtól megtisztított, naprakész szabályrendszert lehet karbantartani. Meg kell találni azokat a végponti kiegészítő védelmeket, amelyekkel alkalmazkodni lehet a folyamatosan változó támadásokhoz (automatizált, szabályrendszer alapú felhasználói szint kezelés, például CyberArk ViewFinity) és olyan forgalom-monitorozási, felhasználói aktivitást megfigyelő metódusokat kell alkalmazni, amely valahogy biztosítja a mozgó célpontok azonosítását a hálózatokon. Mindezen felül sokkal nagyobb hangsúlyt kellene kapnia a szó szerint vett adatvédelemnek.
Mindenki tegye a szívére a kezét egy pillanatra, és válaszoljon őszintén a következő kérdésre! Tudja-e, hogy melyik tárolóban (szerveren, megosztáson, könyvárban, adatbázisban, csatolmányként, rekordként, hivatkozás formájában) vannak a cége szempontjából legértékesebb adatai? És a simán „csak” értékesek? (Feltételezvén, hogy pótolhatatlan adatunk nincs, mert mindent rendszeresen mentünk, onsite és offsite egyaránt.) Tudja-e, hogy a fenti kategóriákból pontosan melyek azok az adatok, amelyek védettségét nemcsak saját érdekünk, de a szabályozó testületek vizsgálata is diktálja? De ha azt tudja is, hol kell figyelni az adatokra (felmérésék szerint a cégek kevesebb, mint 10 százaléka vallja magáról, hogy tökéletesen tisztában van az adatvagyonával), azzal vajon tisztában van-e, hogy milyen felhasználói kör férhet hozzájuk, és pontosan milyen jogosultságokkal?
A vázolt problémahalmazra két megközelítésből is lehet jó megoldást találni, és talán célszerű a kettőt párhuzamosan kezelni. Mindkettőnél lebegjen a szemünk előtt, hogy a biztonság nem egy állapot, hanem egy folyamat, amit működtetnünk kell! Az első a humán megközelítés: megfelelő céges adatvédelmi szabályzattal, és annak rendszeres és praktikus oktatásával, és a végrehajtás–betartás–betartatás következetességével emelni kell a felhasználók biztonságtudatosságát. A második a technológiai megközelítés: alkalmazzunk olyan rendszereket, kontrollokat, amelyek lehetőleg az adott problémakör széles aspektusát lefedik, és nem nehezítik a biztonság menedzsmentjét, nem szűkítik tovább a felhasználók mozgásterét. Ezt a két megoldást szem előtt tartva és folyamatában alkalmazva, reméljük, hogy ezen megoldások válnak előbb-utóbb közhellyé.
A blogbejegyzés az IT Business cikkének átdolgozott változata.