RYANT Security Check (RSC)

Každá organizace se setkává s potřebou řešit zabezpečení své LAN či VPN. Jednoznačně největší obavy (a zcela důvodně) mají organizace z neoprávněného přístupu tzv. hackerů do sítě zvenčí. Další důležitými důvody aktuální potřeby kvalitního zabezpečení sítě jsou zejména:

  • rozvoj aplikací vyžadujících zabezpečení (zejména aplikace shromažďující citlivá data či zabezpečující existenčně důležité činnosti firmy),
  • rozšíření přístupu k Internetu,
  • interní hacking,
  • rozšíření trendu „home-workingu“ a jiných způsobů vzdáleného přístupu do sítě,
  • obchodní a zákonné normy,
  • požadavky klientů a obchodních partnerů,
  • nárůst objemu obchodně citlivých dat.

Dobré zabezpečení má i relativně dobře vyjádřitelné finanční přínosy, zejména v oblastech:

  • úspory času při zjišťování „co se to zase stalo“,
  • zamezení ztrátám vyplývajícím z narušení či výpadku připojení do sítě či
  • připojení sítě k Internetu,
  • úspory času a peněz při zjednávání nápravy,
  • zamezení ztrátám ze zneužití sítě či dat.
-

Ačkoli drtivá většina organizací implementovala v průběhu posledních několika let mnoho různých řešení z oblasti antivirového software, firewallů, řízení přístupu do sítě, fyzické bezpečnosti či detekce útoků, problémy s bezpečností nejen přetrvaly, ale naopak jsou na vzestupu. Důvodem je zcela jednoznačně výrazné zvýšení sofistikovanosti útoků.

Firewally a IDS

Hlavním nástrojem obrany proti útokům v IT samozřejmě zůstávají tzv. firewally, které dokážou zabezpečit kontrolu přístupu do sítě, ověřování uživatelů, sestavování VPN, rozdělení sítě na segmenty a jiné typy ochrany.

Firewally principiálně umožňují dva přístupy k bezpečnosti:

  • co není povoleno, je zakázáno – tento přístup omezuje využití síťových služeb, jelikož mnoho z nich znemožní, aniž by byly jakýmkoli způsobem nebezpečné či škodlivé.
  • co není zakázáno, je povoleno – tento přístup sice umožňuje využívat všechny nezakázané síťové služby, to ale s sebou nese bezpečnostní rizika; nový typ útoku není zakázán, a je tudíž povolen.

Firewally jsou ale jen první obrannou hrází proti potenciálním útočníkům. Druhou vrstvou obrany je dnes tzv. Intrusion Detection System (IDS, systém pro zjišťování neoprávněného vniknutí). IDS má ovšem několik nevýhod. Tou zásadní je, že sice dokáže detekovat potenciální útoky, neumí jim ale zamezit, a navíc vyvolává IDS mnoho falešných poplachů. Např. nejčastější metoda, Packet Signatures (“značkování paketů”), je optimální pro detekci známých útoků, které ovšem vyhledává v rámci veškerého síťového provozu na základě srovnávání se známými vzorky útoků.

Služba RSC

Hlavním cílem RYANT Security Check je zajistit pro zákazníky, kteří chtějí bez rizika nesprávných investic zajistit maximální bezpečnost své sítě, velmi jednoduché řešení požadavků.

Výsledkem provedení bezpečnostního auditu je report zahrnující veškeré zjištěné nedostatky v rámci konfigurace sítě a jejích bezpečnostních prvků. Vedle toho jsou zákazníkovi poskytnuta i doporučení ke zjednání nápravy a konzultace a poradenství při implementaci změn, mezi něž obvykle patří redesign bezpečnostních předpisů a následné změny interních procesů či třeba rekonfigurace VPN.

Základem služby RYANT Security Check je zařízení NetScreen IDP, které je jedničkou na celosvětovém trhu IDS. K tomuto produktu RYANT přidává konzultace a reporting na vysoce profesionální úrovni, a to i v režimu „Proof of Concept“, a zmíněný produkt včetně konzultací a reportingu nabízí jako časově vymezenou službu.

Obecně se dají způsoby ochrany sítě pomocí RSC rozdělit do několika kategorií:

Stateful Signatures

Namísto metody Packet Signatures, která kontroluje veškerý síťový provoz, používá RSC vlastní metodu, která kontroluje možnou přítomnost znaků útoku pouze u toho typu provozu, kde se může takový útok vyskytnout. Funguje tak efektivněji a hlavně vyvolává výrazně menší množství falešných poplachů.

Detekce anomálií

Tato metoda je oproti předchozí určena ke zjištění nových (neznámých) či složitějších typů útoků, a to na základě heuristické analýzy chování jednotlivých síťových protokolů. Na úrovni RSC dochází ke srovnání síťového provozu oproti specifikacím protokolů a detekci odchylek. Následně je na základě potenciálního dopadu těchto odchylek provedena klasifikace závažnosti a anomálie s vysokou závažností jsou označeny jako útoky. Typickým příkladem je detekce útoku, při kterém se útočník snaží poslat velký objem dat, která nejsou v souladu s definicí protokolu.

Detekce backdoorů

Backdoory („zadní vrátka“) fungují tak, že útočník kompromituje server či jiný počítač nasazením červa nebo trojského koně a následně pomocí komunikace s tímto nástrojem nad ním získává kontrolu. Způsob, jakým RSC řeší tuto problematiku, spočívá v tom, že aktivně vyhledává interaktivní typy provozu, v rámci nichž detekuje neautorizovaný provoz, a tak dokáže odhalit backdoor komunikující s útočníkem i tehdy, když k tomu dochází v rámci šifrovaného provozu či nad zcela neznámým protokolem.

Honeypot

Asi nejméně nebezpečným, ale o to častějším typem útoků, jsou tzv. „script-kiddies“, tedy útočníci na „úrovni dítěte“, kteří pouze okopírují a případně upraví některý z již existujících typů útoků. Honeypot (hrnec medu), který předstírá, že na něm běží nějaké důležité služby, a přitom odesílá zpět útočníkovi zcela nesmyslná data, je pro obranu proti těmto útočníkům optimálním řešením. Spojí-li se kdokoli s honeypotem a začne s ním komunikovat, je jasné, že se jedná o útok, jelikož na honeypotu neexistují žádné validní služby.

Typické využití

RSC je komplexním řešením bezpečnostních otázek. Jeho součástí jsou konzultace, reporty a samozřejmě i doporučení změn.

Nejtypičtějším využitím služby RSC je její nasazení v rámci Proof of Concept na dobu 30 dní s následným vyhodnocením kvality poskytnutých reportů a doporučení. Tímto krokem zákazník získává velmi levně jednoduchý a jasný přehled o tom, co v jeho síti není zcela v pořádku.

Zákazník následně na základě doporučení buď přistoupí k rekonfiguraci či redesignu své sítě nebo se rozhodne po dobu nutnou k provedení těchto změn rozšířit spolupráci a použít službu RSC pro zajišťování bezpečnosti své sítě po dobu, než se mu podaří potřebné změny provést.

V případě, kdy jsou tyto změny příliš náročné či ekonomicky neúnosné, je možné službu RSC poskytnout na dobu neurčitou s tím, že RYANT převezme kompletní zodpovědnost za zabezpečení sítě zákazníka.

Přínosy a výhody

Jak již bylo zmíněno výše, primárním cílem RSC je zajistit formou komplexní služby ochranu sítě zákazníka. Hlavní přínosy a výhody lze shrnout následovně:

  • Diskrétnost dodavatele: prvním krokem k realizaci je podpis NDA (smlouvy o zachování mlčenlivosti).
  • Jednoduchost a rychlost implementace: řešení je dodáváno jako předinstalovaný server, náročnost na čas na straně zákazníka běžně nepřesahuje 4 hodiny. Samozřejmě nedochází k instalaci žádného software na uživatelské stanice.
  • Záruka kvality: dodavatelem hardwarového řešení, které RYANT používá jako součást služby, je společnost NetScreen, která je světovou jedničkou mezi výrobci firewallů a systémů pro zjišťování neoprávněného vniknutí (IDS).
  • Úspora času i peněz: zákazník nemusí kupovat drahé řešení, aby si vyzkoušel, zda mu bude vyhovovat; namísto toho si objedná na vyzkoušení službu RSC, která kromě zařízení zahrnuje i doprovodné konzultace, nastavení a poradenství.
  • Flexibilita: služba RSC může být poskytována v rozsahu od 30 dní až po libovolně dlouhou dobu. Zákazníkovi tento fakt umožňuje službu využívat jen tehdy, když je to pro něj jednoznačně výhodné, a to bez jakýchkoli investičních nákladů.
  • Maximální bezpečnost: RSC odhalí nejen veškeré útoky, ale i slabá místa v síti, proti kterým by útok mohl být potenciálně veden.

FAQ

Co je to RYANT Security Check?

RSC je služba, která je vždy designována na míru aktuálním potřebám konkrétního zákazníka, pro nějž zajišťuje buď výpomoc s nastavením bezpečnostních pravidel nebo i přímo ochranu sítě. Služba zahrnuje potřebný hardware, software, konzultace, reporty a poradenství.

Co to je Proof of Concept a jakým způsobem je možné jej využít?

Proof of Concept (PoC) umožňuje zákazníkům nasazení RSC na dobu 30 dní za minimální (nákladovou) cenu a bez jakýchkoli dalších závazků. Po skončení PoC získá zákazník jasný přehled o všech (i potenciálních) bezpečnostních rizicích v rámci své sítě.

Co je výstupem RSC?

Jako u každého bezpečnostního auditu je výstupem RSC sada reportů a doporučení týkajících se nejen konfigurace sítě, bezpečnostních prvků, potenciálních rizik, ale i interních procesů, směrnic a nařízení.

Celá naše síť je dobře zabezpečená. Jak nám může RSC pomoci?

RSC může zákazníka (téměř definitivně) utvrdit v tom, že je s jeho sítí po bezpečnostní stránce vše v pořádku. Díky převratnému řešení NetScreen IDP se ale ve většině případů zákazník spíše diví, kolik bezpečnostních děr se v jeho „skvěle zabezpečené“ síti objeví.

Čím se NetScreen IDP liší od jiných IDS?

Především tím, že ve výrazně větší míře využívá heuristickou analýzu pro zjištění anomálií v protokolech a provozu, ale také komplexností, se kterou detekuje všechny možné typy útoků, a to „script kiddies“ počínaje.