Yhteiskunnan ja yritysten toimintojen siirtyessä yhä laajemmin IT-järjestelmien ja dataverkon varaan on turvallisuuteen panostettava. Monella toimialalla vaatimustenmukaisuus (compliance) säädökset asettavat jo riman korkealle.  Toisilla se on vapaaehtoista, mutta yhtä kaikki moni tasapainoilee kustannusten ja riskien ohuella nuoralla. Tietoverkon seuranta on pakko automatisoida.

Olen simuloinut verkkoautomaation takaisinmaksun ja kannattavuuden lukuisia kertoja.  Eräs sen vaikeimmista osa-alueista on tietoturvaan liittyvän seurannan järjestäminen. Mikäli toimiala ei ole pakottavan säännösten (esim PCI DSS) alainen, nähdään helposti verkon tietoturvan edellyttämän dokumentoinnin olevan liian kallis. Dokumentoinnin puuttuessa verkon todellista tilannetta ja riskejä ei tiedä kukaan.

Verkon tietoturvasäädösten tarkastukseen valmistautuminen on aikaa vievä, paljon työtä vaativa asiantuntijatehtävä. Kun vaadittavat tiedot on manuaalisesti kerätty ja toimitettu tarkastajille, on aikaa kulunut liikaa. Verkkoympäristö on jo muuttunut. Liiketoimintaympäristön muutoksen voimakkuus, nopeus ja monimuotoisuus ovat ennennäkemättömiä. Olemme siirtyneet jatkuvan muutoksen ympäristöstä hetkellisen muutoksen ympäristöön. Säädösten (PCI DSS, HIPAA, SOX, GLBA) ja teollisuusstandardien (ISO 27001/2, NIST) loputon paraati edellyttää verkon omistajalta jatkuvia tarkistuksia. Verkkoautomaatio on tähän ainoa ja mahdollinen toimintamalli.

Tärkeimmät syyt tarkastuksen ongelmiin ja sen kustannuksiin

Verkkojen tarkastukset poikkeavat taloudellisesta tarkastuksesta. IT-päälliköiden on osoitettava paitsi, että verkko täyttää sääntelystandardit tällä hetkellä, myös sen, että se täytti ne myös aikaisemmin. Lisäksi useimmat säännöstenmukaisuusstandardit velvoittavat tekemään ennakoivia toimenpiteitä arkaluontoisten tietojen ja heikkouksien suojaamiseksi. Suurin osa vaatimustenmukaisuuden tarkastamiseen liittyvistä ongelmista voidaan johtaa kolmesta syystä:

  1. Vaatimuksia on vaikea todistaa – vaikka toimisitkin sääntöjen mukaisesti, sinulla ei ole ajan tasalla olevia asiakirjoja.
  2. Olet joutunut virran vietäväksi: ilman automaatiota on mahdotonta seurata, kuinka verkkolaitteiden, käytäntöjen, sääntöjen ja poikkeusten päivittäiset muutokset vaikuttavat vaatimustenmukaisuuteen.
  3. On epäselvää kenen vastuulla dokumentointi on, millä tasolla se tehdään ja kuka omistaa verkon dokumentaation?

Mitä tarkastajat odottavat ja miksi se on ongelma?

Tarkastajat haluavat nähdä verkon dokumentoinnin. Yleensä dokumentaatio sisältää Microsoft Visio- ja Word-asiakirjoja. Valitettavasti useimpien organisaatioiden tilanne on, että niiden kaaviot ovat vanhentuneita, niistä puuttuu oleellinen tieto tai niitä ei ole lainkaan. Tiedämme, että meidän tai palvelun tarjoajan tulisi ylläpitää dokumentaatiota, mutta siihen ei ole aikaa.  Päätämme tehdä myöhemmin, mutta ”myöhemmin” ei tule koskaan.  Asiantuntijoiden aika menee tulipalojen sammuttamiseen ja aina on uusi projekti odottamassa. Tämä on johdon valinta, joka sekin toimii taloudellisten tavoitteiden ja turvallisuuden ristipaineessa.

Vaikka markkinoilla on ohjemistoja, jotka auttavat tuottamaan yksinkertaisia ​​topologiakaavioita, tarkastajat pyytävät myös dokumentointia taustalla olevasta suunnittelusta ja operatiivisista käytännöistä: palomuurisäännöt, käyttöluettelot, käytäntöpohjainen reititys, kokoonpanon suojaus ja paljon muuta (sekä nykyisiä että historiallisia).  He odottavat, että nämä asiakirjat toimitetaan pyynnöstä. Se, mitä tarkastajat lähtökohtaisesti etsivät, on varmuus siitä, että arkaluontoiset tiedot on suojattu. He tarkistavat, onko laitteesi suojattu – asianmukainen todennus, salasanan salaus, suorituksen aikakatkaisut, telnet poistettu käytöstä jne. – ja että verkko on segmentoitu, jolla rajoitetaan pääsyä.

Tarkastus on tietojen keräämistä ja tietoturva-asetusten analysointia. Ei vain tänään, vaan viime viikolla, viime kuussa – riippumatta siitä, minkä ajanjakson tarkastajat valitsevat testata. Työ ja käytettävä resursointi vaatimustenmukaisuuden osoittamiseksi on haaste; pahimmassa tapauksessa se on  mahdotonta ilman pari kuukauden etumatkaa. Mikään ei aseta tarkastajalle ”suurta hälytysastetta” enemmän kuin se, että vastuulliset ryntäilevät ympäriinsä vetääkseen asiat yhteen. Monet yritykset kamppailevat jo tietääkseen tarkalleen, millaisia ​​laitteita heillä on verkossaan.

Automaattinen verkon dokumentointi ratkaisee nopeasti ongelman

NetBrain on eräs maailman johtava tekoälyavusteinen verkkoautomaatioohjelmisto. Sen avulla on helppoa varmistaa, että kaikki tarvitsemasi dokumentaatio on tarkastajan käytettävissä 24/7/365.  NetBrainin rakentaa tietomallin, joka tallentaa kaiken oleellisen verkosta historiatietoineen – laitteiston, kokoonpanotiedostot, reittitaulut, CDP / ARP / MAC / STP-taulukot, ja paljon muuta. Tämä verkon ”digitaalinen kaksonen” on tarkka dokumentaatio, joka on aina ajan tasalla automaattisesti.

NetBrain luo dynaamisesti datarikkaita verkkokarttoja riittävällä tarkkuudella ja nopeudella. Lintuperspektiivin yleiskaaviot, palvelukeskusten ja toimipisteiden kartat sekä nykyisetja historialliset liikennevirrat.  Tämän tyyppistä karttaa on mahdoton luoda manuaalisesti, koska se tarkoittaa kirjautumista erilaisiin laitteisiin tarkistaaksesi reititystiedot reaaliaikaisten liikennevirtojen ja linkkien käytön ymmärtämiseksi. Tällaisen kartan rakentaminen tyhjästä ja käsin on altis virheille, staattinen eikä todennäköisesti heijasta reaaliaikaista verkkoa riittävän tarkasti ollakseen luotettava.

Automaatio estää ajautumisen hallitsemattomaan tilaan

Vaatimustenmukaisuusvaatimukset velvoittavat yritykset ryhtymään ennakoiviin toimiin verkon tietoturvaloukkauksien, hyökkäysten ja muiden haavoittuvuuksien estämiseksi, havaitsemiseksi, rajoittamiseksi ja korjaamiseksi. Se, kuinka aktiivista sen täytyy olla, ei ole erityisen tarkkaan määritelty. Paras lähestymistapa on järjestelmällinen prosessi, joka pyrkii jatkuvaan noudattamiseen, tilaan, jossa vaatimustenmukaisuus saavutetaan ja ylläpidetään. Jatkuva noudattaminen ei ainoastaan paranna yleistä turvallisuusasentoa, mutta mahdollistaa sen todistamisen ja rauhallisemmat yöunet. Verkkoautomaatio tarkastaa säännöllisesti muutokset ja löytää verkkoon liitetyt lailliset ja laittomat laitteet. Paraskaan erikoistyökalu ei auta, jos ei tiedä mitä laitteita verkossa on.

Johtopäätös

Verkon vaatimustenmukaisuuden tarkastuksen valmistelun ei pitäisi olla kuin taas uusi ”superdieetti”,  jossa saavutat lyhytaikaisen painonpudotuksen, vain palauttaaksesi kaiken takaisin muutamassa viikossa. Juuri niin tapahtuu monien tarkastettujen ja sertifioitujen verkkojen kanssa.  Lisäksi sama rumba käydään läpi uudestaan ja uudestaan. Tämä lähestymistapa vie paljon aikaa ja resursseja, eikä se tee verkosta yhtään turvallisempaa. Tietoverkon seuranta on pakko automatisoida.

 

Hannu Rokka, Senior Advisor

5Feet Networks Oy