W świecie, w którym nowe luki w tego typu oprogramowaniu wykrywane są każdego dnia, a oparte na nich aplikacje typu exploit pojawiają się po kilku godzinach, wykorzystanie oprogramowania niewspieranego przez producenta może stwarzać poważne ryzyko dla organizacji. Ryzyko dotyczące, dodajmy, także wizerunku, marki i innych miar typowo biznesowych. Aby w pełni zadbać o kompleksową ochronę środowiska informatycznego, niezbędne jest posiadanie precyzyjnych informacji na temat wszystkich zasobów IT, które w dowolny sposób mogą zostać wykorzystane do przeprowadzenia włamania.
Niestety praktyka pokazuje, że w wielu firmach wiedza na temat rozwiązań funkcjonujących w firmowym środowisku IT jest – w najlepszym razie – niepełna. Nic dziwnego, często zdarza się przecież, że różnego rodzaju aplikacje i systemy wdrażane są w organizacji bez szerszego planu, w odpowiedzi na – niecierpiące zwłoki – oczekiwania biznesowe. Na to nakładają się różnego rodzaju inicjatywy realizowane bezpośrednio w ramach poszczególnych działów biznesowych. Źródłem problemu okazuje się też brak szczegółowej inwentaryzacji sprzętu oraz oprogramowania – pośrednio więc rozwiązań wspierających monitorowanie środowiska IT.
INNE SPOJRZENIE NA BEZPIECZEŃSTWO
Kontrolą firmowego działu IT często nie są też objęte zasoby utrzymywane poza lokalną infrastrukturą. Z ubiegłorocznych analiz – wyspecjalizowanej m.in. w katalogowaniu oraz bezpieczeństwie zasobów cyfrowych – firmy RiskIQ wynika, przykładowo, że niemal dwa na trzy serwisy internetowe należące do 35 największych amerykańskich banków utrzymywano poza firmową infrastrukturą IT.
Tymczasem, jako potencjalne zagrożenia eksperci RiskIQ wymieniają m.in. utrzymywane poza bezpiecznym, firmowym środowiskiem IT witryny internetowe, niepotwierdzone certyfikatami – i rozpowszechniane za pośrednictwem nieoficjalnych kanałów – aplikacje mobilne oraz wykorzystywane w serwisach internetowych biblioteki i elementy kodu pochodzące z zewnętrznych źródeł. Zdaniem autorów analizy, mogą one stanowić drogę rozprzestrzeniania się m.in. dla złośliwych aplikacji. Potencjalnie mogą również stać się narzędziem w ręku cyberprzestępców planujących kompleksowy atak, a jednocześnie stosunkowo rzadko pozostają pod bieżącą kontrolą działu IT.
Z innego badania RiskIQ wynikało natomiast, że na tydzień przed ostatecznym zakończeniem okresu wsparcia oprogramowania Microsoft Windows Server 2003 na platformie tej bazowały co najmniej niektóre serwery www największych brytyjskich firm. Oznacza to, że najprawdopodobniej znajdowały się one poza kontrolą osób odpowiedzialnych za bezpieczeństwo. Ogółem, przeprowadzone w ubiegłym roku analizy pokazały, że przedsiębiorstwa zaliczane do grona 30 największych, notowanych na Giełdzie Papierów Wartościowych w Londynie, spółek indeksu FTSE miały ponad 73 tys. aktywnych instancji serwerów www.
Na rozwiązaniach wchodzących w skład platformy Microsoft Windows Server 2003 bazowało ponad 2,5 tys. takich serwerów. Co ważne, autorzy analizy podkreślają, że nie chodziło wyłącznie o serwery obsługujące pojedyncze, zapomniane i trudno osiągalne witryny internetowe. W niektórych przypadkach, na tydzień przed zakończeniem ostatecznego okresu wsparcia tej generacji oprogramowania firmy Microsoft, było ono stosowane na potrzeby flagowych serwisów internetowych największych brytyjskich firm. Co więcej, w środowiskach IT 30 firm z czołówki indeksu FTSE wykryto także niemal pół tysiąca instancji wcześniejszej – niewspieranej od niemal roku – usługi IIS 5.0. Podobne zaniedbania, choć w mniejszej skali, analitycy RiskIQ wykryli również w 30 największych spółkach niemieckiego indeksu DAX. Tam jednak skala wykorzystania potencjalnie newralgicznego zbioru usług internetowych IIS 6.0 była kilkakrotnie mniejsza.
ZASOBY POD KONTROLĄ
Brak należytej staranności administratorów, niewystarczające procedury i mechanizmy monitoringu, uwarunkowania historyczne – to tylko niektóre spośród potencjalnych powodów tego rodzaju zaniechań. Skutki użycia niewspieranego i pozostającego poza praktyczną kontrolą oprogramowania serwerowego mogą być jednak bolesne dla każdej organizacji.
Pod szczególną kontrolą winny znaleźć się punkty styku infrastruktury wewnętrznej i publicznej, takie jak: zapasowe witryny internetowe, utrzymywane pod jedną marką serwisy zewnętrzne, dedykowane strony internetowe typu landing page, aplikacje mobilne, witryny w serwisach społecznościowych oraz elementy infrastruktury, takie jak serwery www czy DNS, a także adresy IP. Wszystkie tego typu komponenty, stanowiąc przestrzeń potencjalnie narażoną na atak, powinny być uwzględnione w firmowych politykach bezpieczeństwa. W przypadku wykrycia ataku wykorzystującego wspomniane elementy, niezależnie od skali działań cyberprzestępców, mogą doprowadzić firmę do utraty wizerunku, a co za tym idzie – narazić na wymierne koszty.
Tymczasem, o ile większość mechanizmów bezpieczeństwa koncentruje się na monitorowaniu i ochronie zasobów znajdujących się wewnątrz organizacji, o tyle w wielu organizacjach punkty styku infrastruktury IT ze światem zewnętrznym pozostają poza kontrolą.
NOWA PERSPEKTYWA
Aby zadbać o bezpieczeństwo IT w szerszym, rozumianym także jako ochrona wizerunku, marki oraz własności intelektualnych organizacji, niezbędne jest szerokie spojrzenie wykraczające poza lokalne środowisko IT, a nawet – zintegrowane z nim rozwiązania partnerów. Potrzebne staje się zebranie i skonsolidowanie informacji dotyczących – w idealnych warunkach – wszystkich zasobów cyfrowych firmy osiągalnych z internetu. Tego rodzaju „zewnętrzna” perspektywa pozwala łatwiej podejmować decyzje dotyczące priorytetów w obszarze bezpieczeństwa IT.
W realizacji tego typu analiz pomocne okazują się zautomatyzowane narzędzia oferowane w formie usług chmurowych – taka jak dostępna w modelu usługowym platforma RiskIQ. Za sprawą wykorzystania modelu usługowego dużo łatwiejsze staje się racjonowanie dostępnych informacji na potrzeby konkretnych działań optymalizacyjnych.
Co ważne, funkcjonalność rozwiązań tego rodzaju jest komplementarna względem systemów opartych na mechanizmach automatycznych testów penetracyjnych. Poza informacjami na temat udostępnianych z lokalnej infrastruktury zasobów dostarcza także informacji dotyczących wykorzystywanego na te potrzeby oprogramowania serwerowego czy adresacji IP. Analiza taka ułatwia również wykrywanie m.in. kradzieży treści, fałszywych aplikacji mobilnych oraz witryn phishingowych wprost pobierających treść z infrastruktury konkretnej firmy.