W sieciach informatycznych każdej instytucji znajduje się wiele systemów komputerowych, a ich praca powinna być na bieżąco kontrolowana przez administratora. Pracownicy niewielkich jednostek nie będą mieli problemu z samodzielnym sprawdzeniem kilku maszyn. Cóż jednak począć, gdy w naszym urzędzie jest wiele stacji roboczych i serwerów, a zasoby ludzkie na utrzymanie sieci są ograniczone? Odpowiedź jest właściwie tylko jedna: musimy skorzystać ze skanerów zabezpieczeń.

Podatności, luki, patche

W różnych strefach naszej sieci decydujemy się na rozwiązania, które w założeniu mają spełnić wymagania opracowanego systemu zabezpieczeń. Dlatego tak powszechnie stosujemy IPS (Intrusion Prevension Systems) wraz z firewallem na brzegu sieci, system VPN (Virtual Private Network) w strefie DMZ, back-firewall oraz systemy kontroli dostępu wewnątrz sieci, czyli w strefie bezpiecznej. Wymienione funkcjonalności to tylko przykłady zabezpieczeń, które powinny być stale konfigurowane i audytowane. Nie możemy również zapominać o sprawdzaniu poziomu ochrony komputerów stacjonarnych i laptopów pracujących w sieci instytucji.

Skąd jednak brać informacje o nowych zagrożeniach i lukach w zabezpieczeniach naszych systemów? Głównym ich źródłem w tym szybko zmieniającym się środowisku jest oczywiście Internet. Istnieje wiele portali, zajmujących się gromadzeniem informacji o podatnościach, wykrywanych w różnych systemach i aplikacjach (patrz ramka: "Gdzie szukać informacji o bezpieczeństwie"). Dla jednego z popularnych systemów operacyjnych w pierwszej połowie bieżącego roku, pojawiło się aż 12 biuletynów bezpieczeństwa. Jak więc sobie poradzić z tak ogromną liczbą informacji? Dobrą praktyką jest sprawdzanie, czy w systemach zainstalowane są odpowiednie poprawki, które "łatają" luki opisane w CVE czy MSB. W systemach i aplikacjach Microsoftu pomaga nam w tym Windows Server Update Services, czyli usługa sieciowa, która w oparciu o zdefiniowane przez administratora reguły może dbać o instalację poprawek bezpieczeństwa w naszej sieci dla stacji roboczych i serwerów. W pozostałych systemach, np. Linux istnieją inne aplikacje, takie jak apt-get, które wyszukują aktualizacje bezpieczeństwa, pobierają je i automatycznie instalują w systemie. Są to jednak tylko "automaty" wspomagające aktualizowanie oprogramowania. Potrzebujemy jeszcze potwierdzenie, że konfiguracja naszego systemu jest faktycznie właściwa i jest w stanie oprzeć się różnego rodzaju atakom.

Magiczny Nessus

Przy takiej liczbie zagrożeń musimy mieć pewność, że nasze konfiguracje są odpowiednie, a systemy mają wszystkie wymagane poprawki zabezpieczeń. Podstawowym sposobem jest audytowanie bezpieczeństwa sieci. Audyt wewnętrzny jest elementem weryfikacji stanu zabezpieczeń, który możemy wykonywać samodzielnie (i regularnie). Dzięki wspomaganiu się sprawdzonymi narzędziami służącymi do oceny zabezpieczeń możemy przeprowadzić bardzo dokładną analizę. Co ciekawe, pierwsze wyniki mogą nas na początku zaskoczyć!

[...]

Autor jest wieloletnim menedżerem Działu Integracji Systemów. Obecnie jest audytorem bezpieczeństwa systemów sieciowych oraz trenerem kadr IT w sektorze administracji publicznej. Specjalizuje się w zabezpieczeniach systemów i aplikacji oraz projektowaniu wielopoziomowych rozwiązań bezpieczeństwa.