Sérülékenység-kezelés Microsoft módra

A Microsoft is fokozottan nagyobb figyelmet fordít az informatikai biztonságra, aminek egyre több jelét láthatjuk. Ezen jelek egyike a március 15-én kiadott "Managing Computer Vulnerabilities at Microsoft" című kiadvány, ami a cég IT biztonsági kockázatkezelési stratégiájának kivonatát tartalmazza. A mindössze 7 oldalas dokumentummal azért érdemes foglalkozni, mert a benne leírtakat illene minden nagyobb cégnél alkalmazni.

Hirdetés

Az alaphelyzet mindenhol azonos: a hackerek megfelelő szoftveres eszközökkel gyakorlatilag minimális tudással ki tudják használni a hálózatok sérülékenységét. A cégek jelentős része csak a támadás után szünteti meg a lyukakat, holott sokkal olcsóbb és fájdalommentesebb, ha proaktív (megelőző) lépésekkel csökkentik a rendszerrel kapcsolatos kockázatokat. Ezt nevezik kockázatkezelésnek (risk management).

A Microsoft (követendő) példája a következő: először döntést kell hozni arról, hogy az IT biztonság a vállalat számára fontos. Ha ez megtörtént, akkor fel kell mérni a jelenlegi állapotokat (audit), kockázatelemzést kell csinálni (risk assessment), és meg kell hozni a szükséges védelmi intézkedéseket. Erre több módszertan is létezik, például a CERT-CC OCTAVE módszertana. Ezeket a lépéseket aztán rendszeres időközönként meg kell ismételni.

A redmondi cégnél három csoport között oszlik meg a kockázatmenedzsment felelőssége. Az első a Monitorozó és Megfelelőségi csoport, akiknek a feladata a rendszermonitorozás, a megfelelőség biztosítása, a támadásokra adott válaszlépések megtétele és a sérülékenységek rendszeres felmérése. A Biztonsági konzultációs csoport feladata a biztonsági tesztelések lefolytatása, a biztonsági architektúra megtervezése és a különböző szabályzatok kidolgozása és betartatása. A harmadik a Termékfejlesztő és támogató csoport, amely a webhelyeket működteti és biztonsági segédeszközöket fejleszt.

Az első csoport eszközei közé tartozik a Microsoft Baseline Security Analyzer, ami mindenki által használható, célja a Microsoft termékek sérülékenységeinek feltárása. Nagyobb hálózatoknál mi is javasolni szoktuk ennek használatát. Emellett további, közismert hacker-szoftvereket is bevetnek a védelem érdekében. Ezzel a rendszeres sérülékenység-auditok is elvégezhetők.

Bár a hír kevéssé tűnhet érdekesnek, mégis ki kell emelnünk, hiszen a biztonságos informatikai környezet működtetésének az alapját az adott dokumentumban vázoltak jelentik, hiába van egy hálózat jól megtervezve, ha nem megfelelő a működtetése. Ezt pedig minden felelős rendszergazdának, szakembernek érdemes fejben tartani!

Krasznay Csaba (BME ITSec Csoport - IHM-együttműködés)

Azóta történt

Előzmények