Banky nedrží hotovost na stolech v hale, ale ukládají ji v bezpečnostních schránkách uvnitř trezorů, za zamčenými dveřmi uvnitř budovy, kterou chrání dohled a zabezpečuje brána. Stejně tak i segmentace sítě nabízí podobnou ochranu pro aktiva organizace.
Potřeba segmentace sítě se mnoho let široce diskutuje, ale přitom zůstává jedním z nejméně implementovaných bezpečnostních opatření a zřídkakdy se nasazuje jako strategická obrana.
Když v nedávném průzkumu dostali IT profesionálové otázku, aby popsali segmentaci své sítě, jen 30 % respondentů uvedlo, že segmentaci vytvořili strategickým způsobem jako ochranu před nejnovějšími hrozbami.
Další třetina prozradila, že svou segmentaci „nastavili a zapomněli na ni“, a podobný počet uvedl, že ji občas zkontrolují – obvykle v době auditu. Brutálně upřímných 6 % respondentů uvedlo, že vůbec netuší, o čem je řeč.
K čemu nemuselo dojít?
Řada nedávných narušení bezpečnosti dostatečně jasně ukázala, jak důležité je mít pečlivě implementovanou a dobře udržovanou segmentaci sítě. Segmentace sítě by například při řádném nastavení a údržbě výrazně zkomplikovala cestu z nákupního portálu do prostředí, kde byla uložená data držitelů karet společnosti Target, jejíž narušení sítě způsobilo únik 40 milionů čísel kreditních karet.
Stejně tak by se výrazně omezila škoda při nedávném úniku ze společnosti Home Depot, při kterém došlo k vyzrazení údajů k 56 milionům kreditních karet.
Správná segmentace by také omezila dopad narušení systémů společnosti CHS (Community Health Systems), kde došlo ke krádeži osobních zdravotních informací a osobních identifikátorů 4,5 milionu pacientů.
Efektivní segmentace sítě je náročný úkol, ale lze ho rozdělit na pouhých pět základních kroků. Jsou to:
* Pochopení struktury firmy a jejích procesů. Abyste věděli, co máte chránit, potřebujete vědět, jak finance vstupují do podnikatelského toku a jaké komponenty front-endu (například pokladní terminály) a back-endu podporují základní funkce podniku.
Poté je nezbytné určit, jaká aktiva, data a personál jsou rozhodující pro zajištění nepřetržitého fungování firmy.
* Vytvoření plánu. Je potřebné klasifikovat, izolovat a chránit nejdůležitější komponenty. Seskupit související položky dohromady, například všechny servery Windows do jedné virtuální sítě LAN (VLAN).
Další skupiny aktiv mohou zahrnovat infrastrukturu (směrovače, přepínače, VPN a VoIP) v jedné VLAN a bezpečnostní aktiva (IDS, firewally, webové filtry a skenery) v další.
Servery finančního oddělení a oddělení lidských zdrojů obvykle také potřebují vlastní sítě VLAN z důvodu důvěrné povahy informací, které zpracovávají a ukládají.
Dále budou potřeba samostatné sítě VLAN pro skupiny zaměstnanců, takže správci serverů Windows mohou být v jedné, správci zabezpečení v další a výkonný management ve třetí.
Data vyžadující zvláštní ochranu, jako jsou čísla kreditních karet, která musí splňovat předpis PCI-DSS, nebo informace o pacientech, jež podléhají dalším předpisům, by měly být izolované od ostatních údajů do svých vlastních sítí VLAN.
* Zjistěte, kdo má přístup k jakým datům. Tento problém se redukuje na jednodušší otázky: kdo potřebuje spravovat směrovače a přepínače? Kdo potřebuje přístup k systémům lidských zdrojů a finančním systémům? Kolik lidí by mělo dokázat dálkově ovládat bezpečnostní kamery?
Buďte nemilosrdní. Neexistuje-li žádná potřeba, neměl by existovat ani žádný přístup. Organizace fungující výhradně na místní nebo regionální vnitrostátní úrovni mohou dokonce potřebovat hromadnou blokaci vzdálených zeměpisných regionů na vrstvě IP.
Obecně je vhodné využít přístup postavený na blokování všeho ve výchozím stavu pro každou VLAN. Vaším cílem je omezit přístup k citlivým informacím, tak aby ho měli jen ti, kdo ho ve společnosti skutečně potřebují, a vytvořit překážky pro zastavení nebo alespoň zpomalení vetřelců, kteří by se prolomili přes jednu vrstvu zabezpečení, aby nemohli páchat další škody.
* Zavedení segmentace. Ve velké organizaci je segmentace sítě významným dlouhodobým projektem, ale každý krok na této cestě zvyšuje úroveň zabezpečení. Začněte někde, řekněme se správci sítě nebo se správci serverů Windows...
Tento příspěvek vyšel v Security Worldu 1/2015.Oproti této on-line verzi je výrazně obsáhlejší a přináší další poznatky a tipy, které lze využít při praktické implementaci segmentace sítě u vás ve firmě.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU