Ocena stanu

Testowanie systemów ochrony jest jednym z podstawowych elementów zapewniania bezpieczeństwa sieciom komputerowym. Powinno się rozpoczynać od oceny podatności na atak (vulnerability assessment). W tym celu należy zbierać informacje o systemie, takie jak parametry sterowania dostępem, ustawienia na zaporach ogniowych, logowania i - co najtrudniejsze - obserwacje zachowań użytkowników systemu komputerowego. Ta faza pracy jest określana jako ocena stanu (assessment).

Następnie należy porównać aktualną konfigurację i wydajność z obowiązującymi standardami oraz procedurami i przygotować listę odchyleń od tych norm. Proces ten nosi nazwę audytu systemu ochrony. Dysponując informacją określającą, gdzie ochrona nie spełnia przyjętych norm, można określić problemy i ustalić kolejność ich rozwiązywania - odzwierciedlającą priorytety i dostępne zasoby. Na poziomie technicznym jednym z najbardziej wartościowych śródeł informacji o tym, które usterki mogą dotyczyć pracującego systemu, jest baza danych CVE (Common Vulnerabilities and Exposure), udostępniana przez organizację non profit Mitre (http://www.mitre.org). Z kolei ICAT Metabase z Computer Security Laboratory przy National Institute of Standards and Technology zapewnia interfejs do bazy CVE - można specyfikować system operacyjny, zakres danych, typ usterki czy nieszczelności itp., a także natychmiast uzyskać listę nieszczelności do kontroli w testowanym systemie (http://icat.nist.gov/icat.cfm).

Takie przeszukanie pozwala osobom, które nie są ekspertami, uzyskać ocenę zabezpieczeń po niewysokich kosztach. System CVE/ICAT jest też pomocny w szkoleniu personelu zajmującego się ochroną. Ocena i wyszukiwanie nieszczelności mogą także dostarczać podstawowych danych do identyfikowania zmian w systemach po rzeczywistym ataku, ograniczając odbudowę tylko do uszkodzonych elementów.

Jednakże wyszukiwanie luk w systemie jest warunkiem koniecznym, lecz niedostatecznym do utrzymania ochrony na dobrym poziomie. Wyszukiwanie nieszczelności może ujawnić problemy, ale nie może ich rozwiązać. Często też przestarzałe produkty mogą dostarczać niepoprawnych ocen bieżącego stanu ochrony systemu. Pamiętać też należy, że niektóre skanery mogą być stosowane na zewnątrz przez potencjalnych napastników, dostarczając im istotnych informacji wywiadowczych do wykorzystania w przyszłości.

Poszukiwanie nieszczelności i ocena uszkodzeń to stosunkowo tanie sposoby uszczelniania ochrony, nieodnoszące się jednak bezpośrednio do praktyki. Taką konfrontację z praktyką może zapewnić zespół wynajętych hakerów. Aktywne testowanie symulujące ataki systemowe, chociaż niebezpieczne, zapewnia najlepszą diagnozę słabych punktów ochrony systemu.

Zobacz także

• Audyt bezpieczeństwa systemów IT
• Ciągłość działania i dyspozycyjność (Business Continuity and Availability)
• ILM Cykl życia informacji
• Ocena bezpieczeństwa sieci
• Strategia ochrony informacji
• Wzmocniony system operacyjny
• Zapory ogniowe w nowej roli - ochrona aplikacji
• Zarządzanie cyklem życia informacji
• Zarządzanie incydentami