Hlavní navigace

Názory k článku IT bezpečnost je předražená

  • Článek je starý, nové názory již nelze přidávat.
  • 3. 10. 2008 10:28

    anonymní
    Dobrý den,

    chtěl bych reagovat na váš poslední odstavec. Rozhodně si nemyslím, že all-in-one řešení je k ničemu.
    Vyjmenujme si nejprve bezpečnostní komponenty které by současné firemní bezpečnostní řešení rozhodně mělo zahrnovat:

    - firewall (na paketové úrovni, ochrana proti DOS útokům, řízení šířky pásma pro kritické firemní aplikace)
    - VPN gateway (IP Sec protokol pro site-to-site a SSL VPN pro uživatele)
    - IPS (blokování útoků na aplikační vrstvě, blokování zranitelností aplikací a protokolů)
    - antivir a antispam ( pro protokoly SMTP, POP3, HTTP, případně i HTTPS)
    - řízení nebo blokování IM/P2P aplikací, blokování phishingu, blokování spyware a URL filtering

    Takže řekněme že jsme dospěli k zjištění že máme pět důležitých komponent. Pokud budete těchto pět komponent implemetovat jako samostané instalace, garantuji vám že se z toho dříve nebo později:
    a) zblázníte
    b) rezignujete na dlouhodobě pečlivé provádění provozně nutných konfiguračních změn

    To už nezmiňuji ten fakt, že neznám jediného bezpečnostního výrobce který by všech pět vyjmenovaných komponent vyráběl a všechyny byly na současné odpovídající bezpečnostní úrovni. Takže budete konfigurovat pět bezpečnostních komponent ve velmi rozdílných GUI (v tom lepším případě).

    Určitě namítnete, že poslení dva komponenty je možné spojit, protože se jedná o kontrolu na aplikační vrstvě. Ano souhlasím, je to logické spojení, takže pojďme je spojit do jednoho komponentu. Správa aplikační bezpečnosti takového řešení bude jednodužší, určitě se to projeví na jednoduchosti konfigurace a spolehlivosti řešení.

    Dále možná namítnete že se celkem logicky nabízí fakt že i první tři komponenty (firewall, VPN gateway, IPS) se dají logicky spojit do jednoho komponentu. Opět souhlasím stejně jako v předchozím případě.

    Takže jsme minimalizovali pět bezpečnostních komponent do dvou. To je úspěch, správa takového bezpečnostního řešení bude podstatně jednodužší, nebude nás tak výrazně časově zatěžovat, budeme dostávat provozní reporty v rozumné podobě a budeme mít čas i na další provozní úkoly i úvahy o možných vylepšeních celkového bezpečnostního řešení ve firmě, například implementaci NAC řešení a podobně.

    A já se vás ptám, proč nespojit poslední dva komponenty do jednoho ? Co nám v tom brání ? Pokud jsme spojili předchozí komponenty proč nespojit i zbývající dva ? Pokud jsme logicky spojovali předchozí komponnety je spojení posledních dvou - na "paketové" (byť IPS rozhodně nepracuje na paketové vrstvě ale na všech vrstvách) a aplikační úrovni opět pouze logickým spojením.
    Možná namítnete, že se spojováním komponent v jeden celek snižuje celková bezpečnost a zvyšuje zranitelnost celého řešení. Pokud dojde ke kompromitaci jednoho komponentu je kompromitované celé řešení. Ale to není pravda. Pokud jednotlivý komponent all-in-one řešení pracuje v chráněném prostředí, například v Linux/Unix prostředí v chroot nebo jail pak už ze samotného principu nemůže ke kompromitaci celého řešení dojít (neuvažujme o Windows řešení tam vše běží se systémovým účtem nebo účtem administrátora). A pokud by snad ke kompromitaci jednoho komponentu došlo, disponují současné all-in-one řešení vnitřními mechanismy které upozorní na nestandardní chování, případně takový komponent administrativně zastaví. Určitě také namítnete že pokud se jedná o jediný box, jeho výpadkem je firma zcela odříznuta od Internetu. To také není pravda, protože all-in-one řešení disponují fukcemi jako ja vysoká dostupnost - High Avalilability nebo Clustering.

    Takže po mé poměrně obsáhlé obhajobě all-in-one řešení se vás chci zeptat a neberte prosím mou následující otázku osobně: Co vám vadí na all-in-one řešení ?


    Aleš Kotmel
    Annex NET, s.r.o.

    P.S. Omlouvám se zapoměl jsem na proxy server. Ale ten se nedá dost dobře zařadit protože plní funkce na paketové úrovni (poskytuje služby pouze z některých sítí ale také na aplikační úrovni filtrováním obsahu - Java aplety, Active X). Hlavně bych ale musel přepsat celý příspěvek a já jsem ještě neměl ranní presso ...

    ;-)
  • 3. 10. 2008 9:43

    Hexer (neregistrovaný)
    Zdravim... dam jen radu... musite byt lepsi "manager/obchodnik" nez jste nyni... je to docela casta chyba IT kdy si muzete predstavit tluste obroucky bryli a slovnik kteremu "obycejny" clovek nerozumi... Pokud nejste jen nejaky servisak ale pracujete na vyssi pozici tak hold musite trosku zapracovat na komunikaci... za posledni 4 roky se mi nestalo, ze by managment schvalil jine reseni nez mnou navrhovane nebo mnou odsouhlasene, ale je to dano predevsim tim ze jim to vysvetlim polopate a pak jsou i oni zasveceni do problemu, citi ve me duveru (vzdyt ten clovek mi vysvetlil proc je to dobre!) a jsou ochotni jednat...

    Nebo si myslite ze nekdo kdo ridi spolecnost potrebuje od jednoho ze svych oddeleni slyset DELATE TO BLBE! HW FIREWALL NEMA SMYSL MY POTREBUJEME FIREWALL NA PROXku...

    Ruku na srdce kdo to ma poslouchat... :) Musite se naucit trosku komunikovat/manipulovat s lidma a to vcetne tech kteri nejsou z vaseho oboru...
  • 3. 10. 2008 10:40

    petr_p (neregistrovaný)
    Sjednocené řešení má také nezanedbatelné problémy:

    Optimální řešení všech problémů od jednoho dodavatele většinou nedostanete. (Jak sám připouštíte.) Takže zákazník musí slevit ze svých požadavků, pokud chce vše v jednom.

    Další problém je, že veškerou funkcionalitu soustředíte do jediného místa, takže pokud tam dojde k selhání, přicházíte o všechny služby. (Např. upgrade jedné části si vynutí restart a ve výsledku lidem přestane fungovat VPN.)

    Takže nakonec celé to je o penězích a o lidech, kteří jsou schopni najít hrozby, ohodnotit rizika a posoudit nabízená řešení.
  • 3. 10. 2008 23:37

    Jarda (neregistrovaný)
    Ad restarty: pokud potrebujete 99,999 dostupnost, jedno zarizeni nestaci. Proto ty kriticke casti (a plati to i o firewallech/UTM/rikejte jim jak chcete) byvaji alespon zdvojene. U lepsich implementaci jako bonus ziskate celkovy vykon blizici se souctu vykonu pouzitych zarizeni.
  • 5. 10. 2008 21:17

    anonymní
    Boze ty jsi ale v*l. Kdyz nepujde it ve firme ktera dela zednicinu, nic se nestane, prinejhorsim se o den zpozdi fakturace. Zkus ale rict v bance, letecke spolecnosti, logistice, vydavatelstvi atd - 'aspon na sebe budete mit den cas...'. Nebo to, ze prisli o data, je nepolozi - uz vidim, jak ztrata bankovnich dat je nedulezita. Nebo ztraceny archiv pro firmu co se zabyva treba zpravodajstvim (fotografie ze sportu, valecne konflikty (nebo si myslis, ze tato data se daji sehnat znovu ??)).
  • 6. 10. 2008 12:14

    melkor (neregistrovaný)
    Pan je, koukam, odpornik ...

    Zalohuje, ale tvrdi, ze zalohy jsou zbytecne.
    A stale zije ve svete PC ...

    FYI: Na vlastni oci jsem videl, jak vyhorel zdroj takovym zpusobem, ze vyhodil UPS na druhem monci salu. A odpalil v te masine skoro vsechno, vcetne back-plainu. Nechci ani rikat, kolik by stala oprava, kdyby to nebylo kruto servisni smlouvou ...
  • 6. 10. 2008 12:22

    melkor (neregistrovaný)
    IMHO porad zbyvaji dva problemy:
    1. chyba v [implementaci] algoritmu - da se predejit multiplikaci reseni, napr. centralni antivir je od jineho vyrobce nez antiviry na stanicich
    2. vendor lock-in - tady neni bezbolestna cesta, kdyz je vse od jednoho dodavatele ...
  • 8. 10. 2008 22:23

    m (neregistrovaný)
    btw. pracuji jako "it magor" v jedné firmě, svojí 3, 8 let... současný rozpočet je včetně "provozu" cca 1 mega měsíčně (počítam i energie, konektivity po republice, platy podřízených....)
  • 4. 10. 2008 22:05

    bnvbv (neregistrovaný)
    Puvodne jsem to myslel tak, ze s clovekem diskutujicim Vasim stylem bych se radsi moc nebavil. Obcas bohuzel musim a na internetu nastesti o nic nejde. Je to takove "zpestreni sobotniho vecera".

    Disk: Kdyz se podela disk, tak si myslim, ze si poradim stejne dobre jako Vy, akorat mi to bude trvat o par hodin dele. Navic bych byl vul, kdybych data, co mam na disku, nemel jeste na jinem disku. Obvykle bych prisel maximalne o den prace a uz se mi to bohuzel stalo.

    Market: Muj pocit je, ze zde v diskuzi vystupuji spise takovy ti ITici, co by radi byli duleziti, ale zaplatpanbuh nejsou. (Sebereflexe: A co jsem ja, kdyz zde diskutuji?) S vedoucima IT se obvykle da docela dobre domluvit, to jsou obvykle rozumni lide. Problem vidim u mezinarodnich spolecnosti, kde mistni sef IT muze byt sebevic vstricnejsi domluve, ale stejne je vazan obskurnimi povinostmi k materske firme. Zapojovace kabelu a vymenovace switchu neresim, trochu si rypnu, ale to je mnohdy povl.

    HW: Kdybych mel ze dne na den shanet HW v cene desitek MKc, tak neco neni v poradku. To uz by opravdu musel do baraku uhodit blesk a spalit veskerou elektroniku v baraku a nejspis by musel uhodit i do centraly v jinem meste. Byl bych prijemne prekvapen, kdyby se takovy prirodni ukaz obesel bez ztrat na zivotech, to by me asi mrzelo vic.
  • 5. 10. 2008 21:31

    P. (neregistrovaný)
    Naopak, ten pan o prispevek vyse to popsal dobre. Celkem dobre vystihl podstatu veci, naopak Vase tvrzeni, ze problem je s upgrady apod je zcestny. Enterprise reseni neni zalozene ve vysledku na jednom boxu, mate sice komplexni reseni v kostce, ale fyzicky se o to stara vice zarizeni v HA:
    switche ve stacku nebo s vice supervisory
    FW opet v clusteru s replikaci spojeni - vypadek jednoho nevynuti rozpad spojeni (nebo je lze balancovat na zaklade za ACE moduly, lze navysovat vykon libovolne nahoru)
    IPS sondy v HA nebo s dynamickym routingem
    Geoclustery ....

    Z praxe co se vypadku tyce, napriklad na Cisco ASAch v clusteru (jak A/S tak A/A) je vypadek pri upgradu/reloadu nulovy. To same treba pri load balancingu na ACE modulech/appliancich.

    Ve vyssim svete je na vsechno reseni, je to samozrejme o penezich, ale realizovat to lze (a kupodivu to vesmes funguje).

    Ve vysledku stejne ale neni problem s utokem zvenku, nejvetsi problem je zevnitr - zavirovane pocitace, trojske kone, lidsky utocnik zevnitr site atd. Tam uz nastava velky problem a vse nemusi vyresit ani NAC atd...
  • 8. 10. 2008 22:21

    m (neregistrovaný)
    pán je znalec, koukám.. viditelně má komplex z ITiku (už se těším na reakci že jich aspoň 5 už vykopal protože si to zajištuje sám)


    managor (majitel) - chci aby furt fungovala pošta
    otazka: co je to furt, co je to fungovat

    když tohle není někdo schopen odhadnout (ITik mu dodá odhady kolik stojí backup HW, kolik stoji cluster, kolik stojí jiná lokalita, kolik stojí něco...) a on začne blábolit že to nepotřebuje..


    obvykle když dostanu úkol "zajistit 100 procentní spolehlivost nějaké aplikace" tak vyhodím částky v řádu jednotek milionů..(a to ještě slíbím max 99,99)

    rychle každý vychladne.. každý kdo tvrdí že to jde "levněji" si lže do kapsy, spoléhá že "jemu se to neposere" nebo že to nějak opraví

    ano, když stráví půl dne hledáním záloh a vyplatí se mu to, ať zálohuje spánembohem cmd souborem na usb disk
    jeho ušlý zisk budou 4 hodiny "pakárny", to je pár set-tisíc kč..

    nic kritického


    jste prostě jen blbej flamer kterému někdo šlápl na nohu
  • 6. 10. 2008 12:25

    melkor (neregistrovaný)
    Ehmmm, neco jineho je firmicka o deseti lidech, neco jineho je reseni site o nekolika tisicich stanic a stovkach serveru. Nic proti *BSD, ale skalovatelnost ...
  • 3. 10. 2008 10:24

    Necros (neregistrovaný)
    Kazdy, kdo teze publikovane v clanku verejne odmitne, dostane zdarma na rok licenci k pouzivani produktu McGregory's Unimpregnable Firewall, Professional Edition, dale pak sestimesicni licenci ke komplexnimu bezpecnostnimu systemu Malcolm's Malware Malformator a k tomu jeste dvouletou licenci k antivirovemu produktu dle vlastniho vyberu.

    Plati jen do vycerpani skladovych zasob.
  • 3. 10. 2008 20:15

    bnvbv (neregistrovaný)
    Kdyz me reknes, ze nezalohovani polozi firmu, tak bych te taky vykopal. Nevim proc, ale nemel bych z tebe dobry pocit.

    Kdyz me budes neco polopate vysvetlovat, tak uz to bude lepsi, ale nechtej po me, abych ti predkladal, kolik me bude stat, kdyz nebude podle tvyho. Myslel bych si, ze mas mit nejaky odhad a zkusenosti.

    Par ITiku jsem uz potkal a zjistuju, ze nejlepsi je si je poslechnout, ale hlavne si o tom nekde neco precist a nastudovat, protoze oni maji schopnost vrazet lidem hrozne kliny do hlavy. Zatim jsem dospel k zaveru, ze nejlip se o ty pocitace/servery staraji ti, co jsou na tech strojich fakt zavisli a maji snahu. Ale ono to je podobne i programatoru, taky mnohdy tvori programy, ktere nejsou sami nuceni pouzivat kazdy den a podle toho ty programy vypadaji.

    S tou dulezitosti to taky neprehanej. Kdyz nebude den fungovat IT, tak to bude docela prijemny den, kdy budu mit cas na sebe. Kdyz to bude tyden, tak je ITik debil, protoze internetove pripojeni a par aplikaci, co potrebuju k zivotu, si dokazu sam rozchodit rychleji.
  • 3. 10. 2008 18:27

    stoural (neregistrovaný)
    "z. Je to nuz, ale nic moc, je to sroubovak, ale tak na jeden dva srouby, je to pilka, ale tak na klesti na podpal ..."

    Presne. Ale kdyz jej potrebujete, tak vam pomuze. A to tady jde.
  • 3. 10. 2008 23:31

    Jarda (neregistrovaný)
    Specielne s antispamem bych byl veeelmi opatrny. Antispam totiz neni jenom blacklist nebo online databaze podezrelych mailu. Dobry antispam je taky graylisting (predpoklada korektni implementaci SMTP), bayesianske filtry (predpoklada datove uloziste) atd., a to jsou metody krapet nad moznosti bezneho UTM zarizeni. Takze plati jako vsude: Nikdo neumi vsechno a Monokultura skodi.
  • 3. 10. 2008 12:23

    Petr (neregistrovaný)
    Tohle vse davno v jednom baliku a velmi funkcnim existuje.Jmenuje se to http://www.openbsd.org ;-)

    Jde pak uz jen o spravnou konfiguraci site a umerny pocet serveru.To znamena,ze treba Antispam,Antivir a Posta klidne mohou byt na jednom serveru,ale zcela jiste tam s nima nema co delat treba firewall nebo ftp nebo DNS servery atp.

    To je z pohledu vhodneho produktu ciste na bezpecnost.Kdyz vezmeme v uvahu kombinace,tak treba vnitrni a vnejsi bezpecnost bude resit OpenBSD a databazovy server kvuli vykonu bude resit FreeBSD.K vnitrni bezpecnosti je treba prijmout urcita pravidla,nechat si je podepsat a taky je dodrzovat a tvrde vyzadovat,to znamena i aplikovat snizovani platu,vypovedi atp. za prohresky.
  • 3. 10. 2008 14:11

    bman (neregistrovaný)
    Dle mě jsou UTM řešení vhodná do menších firem, kde je méně zaměstnanců a není moc prostředků investovaných do IT, tak toto řešení bude pravděpodobně vycházet nejlépe.

    Ale jinak bych volil rozdělení po jednotlivých produktech.
    Firewall má dle mého názoru pořádně provádět filtrování a ochranu proti síťovým útokům, případně některým specifickým útokům na aplikační vrstvě. AV, AS a další takové věci bych nedoporučoval. Důvody?

    1. Více komponent, více zranitelností.
    2. Firewall jako centrální prvek musí být spolehlivý a výkonný. Není dobré, aby např. kvůli AV kontrole, která vytíží vlastní stroj došlo ke zpožďování veškerého provozu.
    3. Kontrola SMTP - je rozdíl, pokud jako MX použiji jeden z ověřených MTA nebo UTM řešení, protože výrobce UTM řešení naimplementuje jen to nejnutnější a toto vlastní MTA bude pravděpodobně obsahovat více chyb.

    Pro větší organizace není ani výkonnově reálné mít vše na jednom stroji. Výkonnově nejnáročnější je dnes asi AV brána pro HTTP (FTP) provoz. Může nastat situace, kdy i relativně výkonný stroj může mít problém s výkonem. Vím o situacích, kdy i jeden uživatel dokázal nevědomky dostat takový stroj téměř k DoS. Pokud mám tento stroj zvlášť, dojde max k problémům s HTTP provozem, ale neodszřelí se nic jiného jako na UTM řešení.

    A za poslední, bezpečnost je vždy kompromis mezi cenou/výkonem a co je schopna daná společnost do této oblasti investovat.
  • 3. 10. 2008 15:02

    z (neregistrovaný)
    Viz predchozi reakce, allin reseni jsou vzdy v jednotlivych funkcionalitach horsi. Je to uplne stejne, jako kdyz si koupite povestny svycarsky nuz. Je to nuz, ale nic moc, je to sroubovak, ale tak na jeden dva srouby, je to pilka, ale tak na klesti na podpal ...

    Pro vasi informaci, existuji aplikace, ktere sjednocuji konfiguraci mnoha ruznych nastroju do jedineho GUI.

    Mimochodem, vas post mi prijde jako PR/sebechvala. Firem, ktere tvrdily jak umi "vsechno" uz sem videl ... a vzdy stal jejich prudukt bud za starou backoru, nebo byl presne jak ten nuz, od vseho trochu a nic poradne. Priciny ? Jednoduche, firma disponuje omezenym poctem vyvojaru, ti musi hasit aktualni problemy a na koncepcni vyvoj neni cas.
  • 3. 10. 2008 8:05

    zdenek (neregistrovaný)
    Podle me by otazka mela znit: jsou podle vas bezpecnostni produkty nehorazne predrazene? :)
  • 3. 10. 2008 14:52

    z (neregistrovaný)
    Kdyz si vas nekdo najme (protoze oboru nejspis rozumite), rekne te mu, ze kdyz nebude zalohovat, tak to jeho firmu driv nebo pozdejs polozi a on si mysli (a taky se podle toho chova) ze prehanite, tak jak ho chcete presvedcit ?

    Kdyz nekomu vysvetlujete (polopate) ze je potreba XYZ a on to odmite s tim, ze "je to drahe", aniz by byl schopen predlozit kolik ze jej bude stat, kdyz se neco podela, tak ho tezko presvedcite o tom, ze to "drahe" je vlastne "zadarmo".

    Neznam moc ITku, kteri by meli pristup ve "svych" firmach ke vsem smlouvam, penalizacim, .... takze si asi tezko muzou neco takovyho spocitat sami.

    Moje osobni zkusenosti jsou spis takove, ze na bezpecnost se obecne sere a resi se to az ve chvili, kdy k nejakemu pruseru dojde. Jen malo firem ma ve vedeni managery misto managoru(od slova magor), kteri si uvedomuji, ze data / funkcnost HW/SW je pro firmu zivotne dulezita. Jen malo kdy jsou ochotni pripustit, ze pokud mesic nepride do prace marketing, nikdo si toho nevsimne, ale kdyz nebude den fungovat IT, bude to firmu stat miliony a po tydnu ji to spolehlive polozi.
  • 3. 10. 2008 7:23

    Nemous (neregistrovaný)
    Podle mne je předchozí anketa vytvořená zcestně. Neměli byste se spíš ptát, zda jsou prostředky investované do bezpečnostních technologií investovány účelně? Já sám pracuji pro velkou zahraniční firmu z automobilového průmyslu, kde míra zabezpečení je (a byla) typicky dost vysoká. Podle mne jsou ale pořizované technologie opravdu nevýkonné a nechrání proti těm rizikům, které jsou potřeba eliminovat.
    V mnoha případech jsem slyšel on našeho managementu názory, které mne překvapily svou naivitou: když koupíme ten dražší systém, určitě bude výkonnější, ne? Vysvětlováním faktu, že dražší systém je pro nás nevhodný, protože my nemáme rizika, na které je zaměřený, mnohdy nejsou vyslyšena. Takže investice do bezpečnosti jdou velké, ale špatně cílené. O tom to je.
  • 3. 10. 2008 9:06

    Zappo (neregistrovaný)
    Uprimne, agentura Gartner je sice vyznamnym hracem na trhu, ale samy firmy, ktere se o jeji pruzkumy opiraji potvrdi, ze Gartneri udelaji pruzkum tak, aby vysel jak chteji.
    K tomu ale psat nechci - co je v clanku naznaceno a sice ze firmu by mel chranit spolupracujici homogenni system, oproti soucasnemu stavu nekolika specializovanych produktu ruznych firem, nepovazuju za spravne.
    Homogenita systemu vede jen k tomu, ze v pripade chyby na jednoho vyrobce (toho, od koho system mate) jste vystaveni riziku skrz naskrz, zatimco pokud jsou pouzity ruzne technologie, tak se toto minimalizuje. Koncept naraznikoveho firewallu jednoho vyrobce a interniho firewallu vyrobce druheho, demilitarizovanych zon a k tomu nasazene aplikacni ochrany je podle me daleko odolnejsi vuci utoku.
    Ano, aby se z toho nestal gulas tak to chce nejake znalosti a urcite se to neda stavet principem "koupime vsechno a pak to nejak nasypeme dohromady" - ale to je spis o designu sitoveho prostredi nez o pouzitych technologiich, kteryma je realizovan.
    A jeste jednu vec - reseni "na vsechno" jsou podle me k nicemu. Firewall ma delat firewalling a nehrat si na antispam a antivir v jednom, proxy server nema zkouset plnit ulohu firewallu atd. To je cesta do pekel.
  • 4. 10. 2008 8:36

    Martin V (neregistrovaný)
    Když bych Vám řekl, že když nezálohujete, tak budete mít hodně velké problémy a Vy byste mne vykopal? Tak to asi pořád všechno píšete na obyčejný papír a tabulky databaze na čtverečkovaný?
    Asi nejspíš ano, protože jestli IT u Vás znamená nahodit internet, tak asi IT opravdu nepotřebujete.
  • 4. 10. 2008 9:38

    anonymní
    Uz se tesim, az se vam podela disk a budete nekde na webu brecet, jak z nej dostat alespon cast dat. Znam nekolik firem, ktere nepoprali sluchu svym ITkum a dojeli na to, a pak nekolik jinych, ktere sice prezily, ale s nekolikaletymi nasledky.

    Jinak je videt, ze o tom vite kulovy, kdyz nebude fungovat den IT napr v nejakem z marketu, tak to znamena v nejlepsim pripade nekolikamilionovou ztratu (nelze prodavat, nefunguji kasy, nelze zjistit co je/neni skladem, nelze prijimat zbozi, ...).

    => debil jste vy, chci totiz videt, jak do druheho dne zajistite HW v cene desitek MKc, jelikoz jste usetril a nezaplatil si servis.