Minule jsme si povídali o klíčových principech, s jejichž pomocí můžeme vybudovat solidní základy pro bezpečnost v organizaci. Dnes se podíváme na některé další, ať už technické, procesní nebo organizační. Tyto principy už většinou nejsou tak univerzálně použitelné, nicméně nám umožní posílit obranu organizace a přizpůsobit bezpečnost jejím potřebám.

Defense in Depth

Představme si na chvíli, že žijeme v menším domě na okraji města. Máme zahrádku, psa, auto, dobré sousedy, prostě idylka. A teď se chystáme na dovolenou. Nemáme doma nic cenného, tak prostě zavřeme dveře a okna kvůli průvanu a vyrazíme. No, asi málokdo to takhle udělá. Obvykle zavřeme okna, zamkneme vchodové dveře, zadní dveře i garáž, zapneme alarm a kamery, vypustíme psa, požádáme sousedy, aby ho krmili a dali nám vědět, kdyby se tam dělo něco divného. V případě potřeby bychom zavolali policii. Prostě uděláme maximum, abychom po návratu nezažili šok.

Stejný princip se používá v kybernetické bezpečnosti. Nespoléháme se na jednu vrstvu ochrany, ale používáme více vzájemně se doplňujících opatření. Na koncových stanicích mohou být antiviry a lokální firewally, na síťové úrovni firewally a IDS/IPS systémy, a na aplikační úrovni například DLP nebo kontrola přístupu. Další vrstvu může tvořit DNS filtrace nebo reputační databáze.

Tomuto konceptu se říká Defense in Depth. Jeho cílem je, aby selhání jedné ochrany nevedlo ke kompromitaci celého systému. Jednotlivé bezpečnostní mechanismy a opatření se vzájemně doplňují a vytvářejí tak funkční víceúrovňovou ochranu.

Zero-trust

Koncept Zero Trust představuje odlišný přístup k bezpečnosti než tradiční model založený na perimetru. V klasickém pojetí je po ověření uživatele nebo systému v rámci sítě často implicitně předpokládána důvěra a přístup k dalším prostředkům uvnitř prostředí.

Zero Trust tento předpoklad odstraňuje. Každý přístup k prostředkům musí být vždy explicitně ověřen, bez ohledu na to, odkud požadavek přichází. Neexistuje automatická důvěra jen proto, že je zařízení „uvnitř sítě“.

Základem rozhodování o přístupu není pouze umístění v síti, ale kombinace identity uživatele, stavu zařízení, kontextu požadavku a aplikačních politik. Každý přístup je tedy průběžně vyhodnocován.

Cílem Zero Trust je minimalizovat dopady kompromitace jednoho účtu nebo zařízení tím, že se omezuje možnost laterálního pohybu v prostředí. Zero Trust není náhradou konceptu Defense in Depth, ale doplňuje jej o důraz na průběžné ověřování každého přístupu.

Security by Design

Tento koncept se uplatňuje převážně ve vývoji, kdy bezpečnost je součástí návrhu už od samého začátku. Typickým příkladem je role-based access control (systém je navržen tak, aby umožňoval řízení přístupu uživatelů podle jejich rolí), správné nakládání s hesly (ukládání jen hashovaných se salt, omezení počtu neúspěšných přihlášení) nebo ošetření vstupů uživatele (validace, sanitizace, parametrizované dotazy). Bezpečnost není doplňkem, ale základní vlastností systému.

Security by Default

Security by Default znamená, že systém je po instalaci nebo prvním spuštění nastaven v maximálně bezpečné konfiguraci. Výchozí nastavení minimalizuje rizika tím, že zapíná bezpečnostní funkce, vypíná nepotřebné služby, používá silné výchozí politiky a neumožňuje slabé nebo nebezpečné chování. Uživatel může konfiguraci změnit, ale výchozí stav je vždy bezpečný.

Security by Obscurity

Security by Obscurity je poněkud kontroverzní princip. Říká, že pokud útočník neví, jak věci fungují, nemůže na ně útočit. Když neví, kde hledat heslo, nemůže je najít. Je tedy založený na utajení, ne na odolnosti.

Za kontroverzní je označován proto, že spoléhá na to, že útočníka nenapadne stejné řešení, jako obránce. Ovšem, jak říká (snad) Terry Pratchett, jakmile je jednou myšlenka ve vzduchu, putuje někdy nečekanými směry. A tak tento princip ve skutečnosti bezpečnost nezvyšuje, spíše dělá z hledání zranitelnosti zábavnou hru.

Typickým příkladem jsou zamknuté dveře. Celé příbuzenstvo ví, že klíč od domu je pod rohožkou. Když příbuzní přijedou bez ohlášení, mohou si odemknout a počkat uvnitř domu. Ale neví to nikdo jiný, takže se od domu tak snadno nedostane.

V světě Microsoftích produktů se doporučuje např. přejmenování doménového účtu Administrator. Snižuje to pravděpodobnost úspěšného útoku neznalým uživatelem. Ale každý jen trochu poučený útočník ale ví, že Administrator má RID 500 a podle něj lze skutečný účet Administrator najít i po přejmenování. Dá se tedy říct, že se doporučuje princip využívat, ale pouze jako doplněk. Nespoléhat na něj jako na primární – nebo dokonce jedinou – ochranu.

Continous Monitoring

Abychom byli schopni reagovat na hrozby, musíme mít přehled o našem prostředí. Continuous Monitoring je proces, kdy organizace průběžně sbírá, vyhodnocuje a koreluje bezpečnostní data (např. logy, ale i třeba alerty), aby dokázala rychle detekovat hrozby a reagovat na ně dříve, než způsobí škody. Typickým nástrojem, který toto pro organizaci dělá, je SIEM (Security Information and Event Management. A pracoviště, které má tyto činnosti na starosti, obvykle nazýváme SOC (Security Operations Center).

Four Eyes

Princip čtyř očí vyžaduje, aby žádná osoba nemohla provést důležitou nebo rizikovou operaci sama. Druhá osoba musí akci ověřit, potvrdit nebo schválit. S tímto principem se můžeme setkat často v silně regulovaných prostředích, jako např. ve finančním sektoru, nebo v armádě.

V běžném IT prostředí se můžeme setkat např. s obálkovými hesly. Heslo pro kritický účet nebo kritické operace je rozděleno na dvě části. Každá polovina je vytištěna na lokální (pro zachování důvěrnosti ne síťové) tiskárně. Jednu polovinu si vemze CEO, druhou CIO. Každý svůj výtisk uloží do obálky. Přelep obálky opatří svým podpisem pro ověření integrity obálky.

Pro vyzvednutí hesla se musí sejít správce trezoru, CEO a CIO. Správce otevře trezor a vyndá obálky. CEO a CIO zkontrolují každý neporušenost své obálky a vyzvednou svou půlku hesla. Až teď je heslo použitelné.

Ne vždy musí jít jen o čtyři oči. Napadne vás, kdy je potřeba očí hned čtrnáct? Správně, slyším támhle vzadu, že jde o vyzvednutí českých korunovačních klenotů. Klenoty jsou uloženy v Korunní komoře a k jejímu otevření je potřeba sedm klíčů, každý držený jinou osobou.

Shrnutí

Ukázali jsme si principy a koncepty, které sice nejsou klíčové pro bezpečnost, nicméně bez jejichž pomoci se nám bezpečnost organizace může dosahovat hůře.

Je důležité připomenout si, že bezpečnost nestojí na jednom principu nebo opatření. Je to skládačka z mnoha dílků, které se doplňují a navzájem posilují tak, aby selhání jednoho opatření nemělo fatální důsledky. Pochopením a správným aplikováním vhodných konceptů, principů a opatření vzniká odolná vrstva, díky které může bezpečnost fungovat nejen teoreticky, ale hlavně v každodenní praxi.