Για να είναι μια εταιρεία σίγουρη για την ασφάλεια των πληροφοριακών της δεδομένων δεν αρκούν η επένδυση σε σχετικά εργαλεία και η συμμόρφωση με σχετικές πολιτικές. Χρειάζεται και τακτικός έλεγχος για τη διασφάλιση του ότι επικρατεί... τάξη και ασφάλεια.

Το security audit είναι μια συγκεκριμένη διαδικασία που στόχο της έχει την αξιολόγηση των κινδύνων που διατρέχει μια εταιρεία στον τομέα της ασφάλειας της πληροφορίας και των μέτρων που λαμβάνονται ώστε οι κίνδυνοι αυτοί να μετριάζονται. Πρόκειται για μια διαδικασία την οποία διεκπεραιώνει μία ομάδα ελεγκτών οι οποίοι διαθέτουν τόσο τεχνική όσο και business γνώση σχετικά με τα πληροφοριακά πάγια και τις επιχειρησιακές διαδικασίες της εταιρείας.

Οπως και σε οποιοδήποτε άλλο έλεγχο, οι ελεγκτές παίρνουν συνεντεύξεις από επιλεγμένα στελέχη προσωπικού, διεξάγουν αξιολογήσεις σχετικά με τα ευάλωτα σημεία, καταγράφουν τις υφιστάμενες πολιτικές και ελέγχους ασφαλείας και εξετάζουν τα πάγια Πληροφορικής που σχετίζονται με τα παραπάνω. Στις περισσότερες περιπτώσεις, οι ελεγκτές επαφίενται σε μεγάλο βαθμό σε εργαλεία τεχνολογίας προκειμένου να ολοκληρώσουν τη διαδικασία του ελέγχου.

Θέστε τις σωστές ερωτήσεις
Συχνά, οι έλεγχοι αυτοί έχουν περισσότερο νόημα όταν εστιάζουν σε συγκεκριμένα ερωτήματα. Για παράδειγμα:

  • Πόσο δύσκολο είναι το να παραβιάσει κανείς τα passwords;
  • Υπάρχουν λίστες ελέγχου της πρόσβασης για τα πάγια του δικτύου;
  • Υπάρχουν access logs για την καταγραφή του ποιος ήρθε σε επαφή με ποια δεδομένα;
  • Γίνεται τακτικό σκανάρισμα των ατομικών υπολογιστών για adware και malware;
  • Ποιος έχει πρόσβαση σε εταιρικές πληροφορίες σε μορφή back-up;

Οι παραπάνω ερωτήσεις αποτελούν ένα μικρό παράδειγμα των θεμάτων που θα πρέπει να θίγει μια προσπάθεια security audit. Ο έλεγχος της ασφάλειας αποτελεί, παράλληλα, μια συνεχή διαδικασία που θα πρέπει να επιφέρει στην επιχείρηση διαρκή βελτίωση.

Επιπλέον, οι έλεγχοι αυτοί δεν θα πρέπει να περιορίζονται στη διασφάλιση του ότι οι πρακτικές που ακολουθούνται είναι σύμφωνες με τα πρότυπα ασφαλείας. Θα πρέπει να εξετάζουν τη φύση και την ποιότητα των ίδιων των προτύπων και πολιτικών ασφαλείας. Σε πολλές περιπτώσεις, οι πολιτικές ασφαλείας χάνουν το νόημά τους καθώς εμφανίζονται νέες τεχνολογίες ή δημιουργούνται νέες διαδικασίες. Το security audit αποτελεί το αποτελεσματικότερο εργαλείο για τον καθορισμό του κατά πόσο εξακολουθούν να έχουν νόημα οι υφιστάμενες πολιτικές.


Η διαδικασία του audit, «σπιθαμή προς σπιθαμή»
Χωρίς να καταργούν την ανάγκη για δράσεις που θα πρέπει να προηγούνται ενός security audit, τα παρακάτω βήματα θα πρέπει να ακολουθούνται κατά τη διάρκεια του ελέγχου της ασφάλειας:

1. Καθορισμός του φυσικού εύρους του ελέγχου: Η ομάδα των ελεγκτών θα πρέπει να ορίζει την περίμετρο ασφαλείας μέσα στην οποία θα πραγματοποιηθεί ο έλεγχος. Η περίμετρος αυτή μπορεί να κυκλώνει ένα λογικό σύνολο παγίων -όπως το LAN ενός data center- ή επιχειρησιακές διαδικασίες -όπως το financial reporting. Σε κάθε περίπτωση, το φυσικό εύρος επιτρέπει στους ελεγκτές να διαχειρίζονται άνετα τη διαδικασία ελέγχου παγίων, διαδικασιών και πολιτικών.

2. Καθορισμός του εύρους διαδικασιών του ελέγχου: Αυτό είναι συνήθως το σημείο έναρξης των security audits. Εάν το εύρος των διαδικασιών είναι υπερβολικά μεγάλο, ο έλεγχος ενδέχεται να συναντήσει δυσκολίες. Από την άλλη, αν το εύρος είναι περιορισμένο, η αξιολόγηση των κινδύνων μπορεί να είναι μερική και ελλιπής.

3. Αναδρομή στο ιστορικό της ασφάλειας: Αυτό είναι ένα βήμα της διαδικασίας το οποίο παραβλέπεται συχνά. Αφορά την αναδρομή στο ιστορικό ασφαλείας, σε «ευαισθησίες» και τρωτά σημεία που είναι ήδη γνωστά, σε παραβιάσεις ασφαλείας που ήδη προκάλεσαν ζημιά αλλά και σε πρόσφατες αλλαγές στην υποδομή Πληροφορικής και τις επιχειρησιακές διαδικασίες. Θα πρέπει ακόμα να περιλαμβάνει την αξιολόγηση προηγούμενων ελέγχων ασφαλείας. Επιπλέον, οι ελεγκτές θα πρέπει να κάνουν μια πλήρη απογραφή των παγίων που βρίσκονται στο φυσικό εύρος του ελέγχου και μια πλήρη λίστα των security controls που σχετίζονται με τα πάγια αυτά.

4. Ανάπτυξη πλάνου ελέγχου: Ενας από τους παράγοντες που κρίνουν την αποτελεσματικότητα ενός ελέγχου είναι η ανάπτυξη ενός αναλυτικού πλάνου το οποίο περιλαμβάνει την περιγραφή του εύρους του ελέγχου, κρίσιμες ημερομηνίες και σημεία και, τέλος, συμμετέχοντες.

5. Αξιολόγηση κίνδυνου ασφάλειας: Από τη στιγμή που θα ορίσετε ένα αποτελεσματικό πλάνο, μπορείτε να περάσετε στην «καρδιά» του ελέγχου -στην αξιολόγηση, δηλαδή, του κινδύνου. Η αξιολόγηση αυτή θα πρέπει να καλύπτει τα ακόλουθα σημεία:
A. Εντοπίστε τα πάγια εκείνα που έχουν πρώτη προτεραιότητα λόγω της αξίας τους για το business. Για παράδειγμα, οι web servers που υποστηρίζουν την εφαρμογή καταχώρησης παραγγελιών έχουν μεγαλύτερη σημασία από το web server που υποστηρίζει το εσωτερικό blog της Διεύθυνσης Πληροφορικής.
B. Εντοπίστε τις δυνητικές απειλές στα πάγια που υπόκεινται σε έλεγχο. Ως απειλή ορίζεται κάτι που έχει τη δυνατότητα να εκμεταλλευτεί ένα τρωτό σημείο κάποιο παγίου.
Γ. Δημιουργήστε μία λίστα από τα τρωτά σημεία που παρουσιάζει κάθε τύπος ή κατηγορία παγίων.
Δ. Εντοπίστε τα υφιστάμενα security controls για κάθε κατηγορία παγίων. Τα controls αυτά θα πρέπει να χρησιμοποιούνται σε τακτική βάση και περιλαμβάνουν τεχνολογίες όπως τα firewalls, διαδικασίες όπως το backup δεδομένων και προσωπικό όπως ο systems administrator ο οποίος και διαχειρίζεται τα πάγια αυτά.
E. Καθορίστε τις πιθανότητες συγκεκριμένων κινδύνων. Οι ομάδες ελέγχου θα πρέπει να κάνουν ποιοτική αξιολόγηση του πόσο πιθανό είναι να εκδηλωθεί μία απειλή για ένα συγκεκριμένο τύπο παγίων. Ο υπολογισμός των πιθανοτήτων θα πρέπει να συνυπολογίζει και την ικανότητα των υφιστάμενων controls να μετριάσουν τον κίνδυνο. Η πιθανότητα αυτή θα πρέπει να αποτιμάται και με αριθμούς.
Ζ. Καθορίστε τον αντίκτυπο της απειλής. Οι auditors θα πρέπει να κάνουν μια ποιοτική αξιολόγηση της δυνητικής κλίμακας της ζημιάς για κάθε τύπο παγίων και να την αποτιμούν σε αριθμούς.
Η. Πραγματοποιήστε έναν υπολογισμό του κινδύνου. Η πράξη αυτή δεν είναι άλλη από τον πολλαπλασιασμό των δύο παραγόντων που αναφέρθηκαν παραπάνω (πιθανότητα Χ ζημία) και το γινόμενό τους ισούται με το ρίσκο. Οι υπολογισμοί αυτοί θα πρέπει να γίνονται για κάθε τύπο παγίων ξεχωριστά και δημιουργούν μία λίστα προτεραιοτήτων για τις προσπάθειες που θα πρέπει να γίνουν προκειμένου να μετριαστεί ο κίνδυνος.

6. Τεκμηρίωση των αποτελεσμάτων του ελέγχου: Τα αποτελέσματα που προέκυψαν θα πρέπει σαφώς να τεκμηριώνονται λεπτομερώς και να παρουσιάζονται στους αρμόδιους για τη λήψη αποφάσεων. Η σχετική αναφορά θα πρέπει να περιλαμβάνει μια περίληψη, τους στόχους του audit, τις απαιτούμενες διορθώσεις/αναβαθμίσεις και υποστηρικτικά στοιχεία. Η αναφορά αυτή θα πρέπει να παρουσιάζεται και σε μορφή powerpoint.

7. Καθορισμός και εφαρμογή νέων/αναβαθμισμένων controls: Το απώτερο όφελος ενός security audit είναι η άντληση συγκεκριμένων προτάσεων για τη βελτίωση της ασφάλειας των επιχειρησιακών δεδομένων. Οι προτάσεις αυτές θα πρέπει να συνίστανται σε α) controls τα οποία μπορεί να υιοθετήσει η επιχείρηση, β) προθεσμίες για την υιοθέτησή τους και γ) αρμόδιους για την επιβολή τους.


Οι 4 καυτές ζώνες
Οι αναλυτές του κλάδου εκφράζουν έντονες απόψεις σχετικά με την πηγή προέλευσης της πλειοψηφίας των απειλών ασφαλείας στα ερχόμενα χρόνια. Η Gartner εκτιμά ότι οι επιχειρήσεις θα είναι σε θέση να προλάβουν το 80% όλων των παραβιάσεων ασφαλείας εφόσον υιοθετήσουν αποτελεσματικές πολιτικές στους τέσσερις ακόλουθους τομείς:

Network access controls: Η διαδικασία αυτή ελέγχει την ασφάλεια ενός χρήστη ή συστήματος που προσπαθεί να συνδεθεί στο δίκτυο. Είναι η πρώτη διαδικασία ασφάλειας που συναντά οποιοσδήποτε (άνθρωπος ή σύστημα) προσπαθεί να συνδεθεί με τα πάγια Πληροφορικής της επιχείρησης. Τα network access controls θα πρέπει να παρακολουθούν και την ασφάλεια των χρηστών και συστημάτων που είναι ήδη συνδεδεμένα στο δίκτυο. Σε κάποιες περιπτώσεις, η διαδικασία αυτή θα αφορά και τη διόρθωση ή τη μετρίαση του κινδύνου βάσει διαγνωσμένων απειλών και σε προφίλ χρηστών ή συστημάτων.

Intrusion prevention: Η πρόληψη των παραβιάσεων καλύπτει, ως διαδικασία, πολύ περισσότερα απ’ ότι το παραδοσιακό intrusion detection. Είναι πιο κοντά στο access control καθώς αποτελεί το πρώτο επίπεδο ασφάλειας που μπλοκάρει χρήστες και συστήματα που προσπαθούν να εκμεταλλευτούν γνωστές ευαισθησίες. Η διαδικασία αυτή θα πρέπει να περιλαμβάνει την επιβολή πολιτικών και ελέγχων που ελαχιστοποιούν το εύρος μιας επίθεσης στο σύνολο του δικτύου. Αν και τα συστήματα intrusion detection αποτελούν εμφανές και μη διαπραγματεύσιμο συστατικό της διαδικασίας, το ίδιο ισχύει και για άλλες τεχνολογίες -όπως τα firewalls.

Identity & access management: Η διαδικασία αυτή ελέγχει το ποιος έχει πρόσβαση σε τι και πότε. Το authentication και το authorization αποτελούν κεντρικούς άξονες της διαδικασίας, αλλά η συνεπής διαχείριση των πολιτικών και της αποθήκευσης αποτελούν εξίσου σημαντικούς παράγοντες.

Vulnerability management: Η διαδικασία του vulnerability management αφορά τη διαχείριση των baseline security configurations για όλο το εύρος των παγίων. Επίσης, εντοπίζει και μετριάζει τους κινδύνους εκτελώντας αναλύσεις των βαθύτερων αιτίων και λαμβάνοντας διορθωτικά μέτρα έναντι σε συγκεκριμένες απειλές.

Το Network Access Control στο μικροσκόπιο
Τα network access controls αποτελούν συνήθως την πρώτη γραμμή άμυνας απέναντι σε κινδύνους ασφαλείας. Οι επιχειρήσεις θα πρέπει να εστιάζουν στα ακόλουθα βασικά βήματα όταν κάνουν έλεγχο των network access controls:

1. Ορισμός και απογραφή του δικτύου συμπεριλαμβανομένων όλων των συσκευών και πρωτοκόλλων που χρησιμοποιούνται στο δίκτυο. Το πιο χρήσιμο εργαλείο για να γίνει αυτό είναι συνήθως ένα προηγούμενο διάγραμμα του δικτύου στο οποίο αποτυπώνονται όλα τα routes και οι κόμβοι. Τα δίκτυα τυχαίνει συχνά να αλλάζουν σε καθημερινή βάση οπότε ένα αυτοματοποιημένο εργαλείο απογραφής μπορεί να βοηθήσει σημαντικά. Η ομάδα των ελεγκτών θα πρέπει ακόμα να δώσει προτεραιότητα σε κρίσιμα πάγια ή στοιχεία του δικτύου και να διαχωρίσει τα εσωτερικά από τα εξωτερικά πάγια. Μέσα από το πρώτο αυτό βήμα δημιουργείται η «καταγραφή της αλήθειας» η οποία και αποτελεί σημαντικό σημείο αναφοράς στη συνέχεια της ελεγκτικής διαδικασίας.

2. Εντοπισμός του ποια συστήματα και ποιοι χρήστες έχουν πρόσβαση στο δίκτυο, συμπεριλαμβανομένων των εσωτερικών και εξωτερικών φορέων. Οι ελεγκτές θα πρέπει ακόμα να ξεκαθαρίσουν τα σημεία πρόσβασης διαφορετικών ομάδων στο δίκτυο (πχ. από το γραφείο, το σπίτι, ή κάποιο άλλο σημείο). Αυτό αποτελεί προέκταση του ορισμού του δικτύου από άποψης παγίων και καταγράφει τα στοιχεία που αλληλεπιδρούν με το δίκτυο ή το χρησιμοποιούν.

3. Εντοπισμός και καταγραφή συγκεκριμένων απειλών που θα μπορούσαν να θέσουν το δίκτυο σε κίνδυνο καθώς και των «ελαττωμάτων» του δικτύου. Ενας ιός, ή μία εισβολή, αποτελούν παραδείγματα απειλών. Ενα λάθος στο configuration ενός router αποτελεί παράδειγμα «ελαττώματος».

4. Ανάπτυξη των πολιτικών και μηχανισμών ελέγχου που μετριάζουν τους κινδύνους που εντοπίστηκαν κατά το τρίτο βήμα. Υπάρχει μια σειρά από ελεγκτικούς μηχανισμούς που μπορούν να εφαρμοστούν άμεσα στη διαδικασία του network access control. Κάποιοι από αυτούς είναι οι μηχανισμοί authentication για όλους του χρήστες και συστήματα, τα access controls που περιορίζουν την πρόσβαση κάποιων συστημάτων και χρηστών και το  enforced network routing που διασφαλίζει ότι χρησιμοποιούνται μόνο συγκεκριμένα routes του δικτύου.

Ανεξάρτητα από την προσέγγιση, ένα security audit αποφέρει σημαντικά οφέλη στις περισσότερες επιχειρήσεις με το να μετριάζει τους κινδύνους, να αυξάνει την προβλεψιμότητα της λειτουργίας και να περιορίζει τον «πυροσβεστικό» ρόλο του ΙΤ.