Yhteiskunnan ja yritysten toimintojen siirtyessä yhä laajemmin IT-järjestelmien ja dataverkon varaan on turvallisuuteen panostettava. Monella toimialalla (vaatimustenmukaisuus) säädökset asettavat jo riman korkealle.  Toisilla se on vapaaehtoista, mutta yhtä kaikki moni tasapainoilee kustannusten ja riskien ohuella nuoralla.

Olen simuloinut verkkoautomaation takaisinmaksun ja hankkeen kannattavuuden lukuisia kertoja.  Eräs sen vaikeimmista osa-alueista on säädökset erityisesti, jos toimiala ei ole minkään pakottavan säännösten piirissä.  Seuranta ja sertifioinnit ovat liian kalliita. Säännöllisen tarkastuksen puuttuessa verkon todellista tilannetta ja riskejä ei tiedä kukaan.

Verkon tietoturvasäädösten tarkastukseen valmistautuminen on aikaa vievä, paljon työtä vaativa tehtävä. Se vie viikkoja (joskus kuukausia) työaikaa. Kun tiedot ovat lopulta tarkastajilla, on aikaa kulunut liikaa ja verkkoympäristö on jo muuttunut. Vaatimustenmukaisuus onkin liikkuva tavoite. Nykyinen muutoksen voimakkuus, nopeus ja monimuotoisuus ovat ennennäkemättömiä. Olemme siirtyneet jatkuvan muutoksen ympäristöstä hetkellisen muutoksen ympäristöön. Säädösten (PCI DSS, HIPAA, SOX, GLBA) ja teollisuusstandardien (ISO 27001/2, NIST) loputon paraati edellyttää tarkistuksia. Automaatio on tähän ainoa kustannustehokas toimintamalli.

Tärkeimmät syyt tarkastuksen ongelmiin ja sen kustannuksiin

Verkkojen tarkastukset poikkeavat taloudellisesta tarkastuksesta. IT-päälliköiden on osoitettava paitsi, että verkko täyttää sääntelystandardit tällä hetkellä, myös sen, että se täytti tietyn ajan kuluessa aikaisemmin. Lisäksi useimmat säännöstenmukaisuusstandardit velvoittavat tekemään ennakoivia toimenpiteitä arkaluontoisten tietojen ja heikkouksien suojaamiseksi. Suurin osa vaatimustenmukaisuuden tarkastamiseen liittyvistä ongelmista voidaan johtaa kahdesta syystä:

  1. Vaatimuksia on vaikea todistaa – vaikka toimisitkin sääntöjen mukaisesti, sinulla ei ole ajan tasalla olevia asiakirjoja, jotka tukevat sinua.
  2. Olet joutunut noudattamisdirektiiviin virran vietäväksi: on vaikeaa seurata, kuinka verkkolaitteiden, käytäntöjen, sääntöjen ja poikkeusten jatkuvat muutokset vaikuttavat vaatimustenmukaisuuteen.

Mitä tarkastajat odottavat ja miksi se on ongelma?

Riippumatta siitä, mitä vaatimustenmukaisuussäännöksiä tai standardeja he tarkistavat, tarkastajat haluavat nähdä tarkan dokumentoinnin ja paljon dokumentaatiota. Yleensä dokumentaatio sisältää Visio-kaavioita ja Word-muotoisia asiakirjoja. Useimpien organisaatioiden ongelma on, että niiden kaaviot ovat aina vanhentuneita. Tiedämme, että meidän pitäisi dokumentoida kaikki, meillä ei ole aikaa.  Päätämme tehdä myöhemmin, mutta ”myöhemmin” ei tule koskaan.  Ja suurin syy on se, että valtaosa yrityksistä luottaa edelleen manuaaliseen kaavioiden luomiseen ja päivittämiseen.  Manuaalinen dokumentointi vie yksinkertaisesti liian kauan ja inhimillisiä virheitä on liikaa.

Vaikka on välineitä, jotka auttavat tuottamaan yksinkertaisia ​​topologiakaavioita, tarkastajat pyytävät myös dokumentointia taustalla olevasta suunnittelusta ja käytännöistä: palomuurisäännöt, käyttöluettelot, käytäntöpohjainen reititys, kokoonpanon suojaus ja paljon muuta (sekä nykyisiä että historiallisia).  Ja he odottavat, että nämä asiakirjat toimitetaan pyynnöstä. Se, mitä tarkastajat lähtökohtaisesti etsivät, on varmuus siitä, että arkaluontoiset tiedot on suojattu. He tarkistavat, onko laitteesi suojattu – asianmukainen todennus, salasanan salaus, suorituksen aikakatkaisut, telnet poistettu käytöstä jne. – ja että verkko on segmentoitu aliverkoihin, jotka rajoittavat pääsyä tiettyihin tietoihin, jotta vain tietyt ryhmät pääsevät siihen.

Se on tietojen keräämistä, analysointia ja dokumentointia varten. Puhumattakaan kaikista mahdollisista reiteistä, joita sovellusliikenne voisi kulkea. Ei vain tänään, vaan viime viikolla, viime kuussa – riippumatta siitä, minkä ajanjakson tarkastajat valitsevat testata. Työ ja käytettävä resursointi vaatimustenmukaisuuden osoittamiseksi on parhaimmillaan haaste; pahimmassa tapauksessa se on käytännössä mahdotonta ilman muutaman viikon etumatkaa. Tarkastajien kattavien asiakirjojen toimittaminen heti, kun he sitä pyytävät, tekevät asioista sujuvamman. Mikään ei aseta tarkastajalle ”suurta hälytysastetta” enemmän kuin se, että vastuulliset ryntäilevät ympäriinsä vetääkseen asiat yhteen.

Ja aivan liian usein yksi suurimmista dokumentointihaasteista on alkeellisinta: tarkan inventaarioraportin luominen. Monet yritykset kamppailevat jo tietääkseen tarkalleen, millaisia ​​laitteita heillä on verkossaan.

Dynaaminen dokumentaatio toimittaa automaattisesti ”todisteet” tarkastajalle

NetBrain verkkoautomaatio varmistaa, että sinulla on kaikki tarvitsemasi tarkastajan käytettävissä. Kaikki alkaa verkon syvästä ja patentoidusta löytämisestä. NetBrainin rakentaa verkostasi tietomallin, joka pohjimmiltaan tallentaa kaiken – kokoonpanotiedostot, reittitaulut, CDP / ARP / MAC / STP-taulukot, varastotiedot ja paljon muuta. Toistuva vertailuarvo varmistaa, että tämä koko verkon ”digitaalinen kaksonen” on tarkka ja ajan tasalla. Nämä toistuvat vertailuarvot tarjoavat lokitietojen arkiston, johon voidaan viitata tarkastusten aikana, jotta voidaan osoittaa vaatimustenmukaisuus ajan myötä.

Tätä älykkyyttä hyödynnetään luomalla dynaamisesti datarikkaita verkkokarttoja riittävällä tarkkuudella ja nopeudella. Dynaamiset kartat luodaan pyynnöstä minkä tahansa kaavion tuottamiseksi, jonka tarkastaja mahdollisesti haluaa nähdä: lintuperspektiivin yleiskaaviot, kampuksen kartat ja erityisesti elävät ja historialliset kartat liikennevirrasta ja linkkien käytöstä. Itse asiassa kaikki vaatimustenmukaisuusmääräykset edellyttävät, että säilytät kaikkien datakeskusten ja WAN-polkujen normaalitilat ja epäonnistuneet tilakaaviot.

Tämän tyyppistä karttaa on mahdoton luoda manuaalisesti, koska se tarkoittaa kirjautumista erilaisiin laitteisiin tarkistaaksesi reititystiedot reaaliaikaisten liikennevirtojen ja linkkien käytön ymmärtämiseksi. Tällaisen kartan rakentaminen tyhjästä ja käsin on altis virheille, staattinen ja todennäköisesti ei heijasta reaaliaikaista verkkoa riittävän tarkasti ollakseen luotettava.

NetBrainin A / B-polkulaskin on korvaamaton.

Kirjoita vain lähde- ja kohdeosoite, ja NetBrain kartoittaa dynaamisesti koko reitin päästä loppuun – palomuurien ja lataustasapainojen kautta virtuaalilaitteiden kautta. Toistuvat vertailuarvot tarkoittavat, että tulevaisuudessa voit vetää myös historiallisia vuokaavioita.

Nämä kartat ovat dynaamisia, mikä tarkoittaa paitsi sitä, että ne päivittyvät automaattisesti lennossa, myös että voit porautua käytännössä kaikkiin yksityiskohtiin. Kun staattisten kaavioiden kuvakkeet ovat vain piktogrammeja, jotka kuvaavat laitteen olemassaoloa, dynaamisen kartan kuvakkeet ovat vuorovaikutteisia ja tietopohjaisia ​​- napsauttamalla niitä saadaan digitaalisen kaksoistietomallin kaapatut tiedot.

Oletetaan, että PCI-vaatimustenmukaisuuden tarkastaja haluaa vahvistaa luottokorttitapahtumat. NetBrain suorittaa kattavan analyysin jokaisesta reitin varrella tapahtuvasta hyppystä ottaen huomioon PBR, ACL, NAT ja muut. Kaikki nämä tiedot näytetään ja dokumentoidaan suoraan dynaamisessa kartassa.

Tämä on täsmälleen sellaista dokumentaatiota, jota tarkastajat etsivät, ja voit viedä dynaamiset kartat Microsoft Visioon (mitä useimmat tarkastajat vaativat niitä) yhdellä napsautuksella. NetBrain eliminoi paljon manuaalisia tarkastusten valmisteluvaiheita mahdollistamalla eräajona Visio-kaaviot keskitetyn arkiston kanssa ja pitämällä ne ajan tasalla ennalta määriteltyyn aikatauluun samoin kuin varastoraportit Excelissä ja suunnitteludokumentit Wordissa.

Automaatio estää ajautumisen

Vaatimustenmukaisuusvaatimukset velvoittavat yritykset ryhtymään ennakoiviin toimiin verkon tietoturvaloukkauksien, hyökkäysten ja muiden haavoittuvuuksien estämiseksi, havaitsemiseksi, rajoittamiseksi ja korjaamiseksi. Se, kuinka aktiivista sen täytyy olla, ei ole erityisen tarkkaan määritelty, mutta paras lähestymistapa on järjestelmällinen prosessi, joka pyrkii jatkuvaan noudattamiseen, tilaan, jossa vaatimustenmukaisuus saavutetaan ja sitten jatkuvasti ylläpidetään. Jatkuva noudattaminen ei vain paranna yleistä turvallisuusasentoa, mutta myös auttaa IT-ryhmiä vähentämään resursseja vaativaa taakkaa tarkastusta valmisteltaessa – koska olet aina valmis.

Jos sinulla on vaikeuksia jatkuvan vaatimustenmukaisuuden saavuttamisessa, on vaikeuksia valvoa jokaista verkkokonfiguraatiota sääntöjen mukaisesti (laitesalasanat ovat salattuja, aikakatkaisut on määritetty, myyjän oletusasetuksia ei ole vielä olemassa jne.).  Suuremmissa verkoissa asiantuntijat eivät voi analysoida kaikkia määrityksiä käsin.  Perinteiset ”skriptit” nopeuttavat prosessia vain vähän – ne rikkoutuvat suuremmassa mittakaavassa ja niitä on vaikea ylläpitää.

Automaatio muuttaa digitaalista maailmaa turvallisemmaksi

NetBrainin automaatio vahvistaa kaikki verkon kokoonpanot turvallisuuskäytäntöjesi (”kultaiset säännöt”) perusteella tarkastelemalla jokaisen laitteen kokoonpanoa, etsimällä ennalta määritettyjä sääntöjä jokaisesta laitteesta ja ilmoittamalla kaikista laitteista, jotka eivät ole vaatimusten mukaisia. Kun olet noudattanut vaatimuksia, automaatio auttaa sinua pysymään siellä.  Ei ole harvinaista, että organisaatiot ”ajautuvat” takaisin noudattamatta jättämiseen, kun otetaan huomioon nykyaikaisen verkon dynaaminen luonne. Itse asiassa olemme saavuttaneet pisteen, jossa seuranta on tehtävä automaatiolla. Tapahtumien hallintajärjestelmä voidaan jopa määritellä käynnistämään automaattinen haavoittuvuuden arviointi heti, kun muutos tapahtuu.

Johtopäätös

Verkon vaatimustenmukaisuuden tarkastuksen valmistelun ei pitäisi olla kuin taas uusi ”superdieetti”, jossa saavutat lyhytaikaisen painonpudotuksen, vain palauttaaksesi kaiken takaisin muutamassa viikossa. Juuri niin tapahtuu monien tarkastettujen ja sertifioitujen verkkojen kanssa.  Lisäksi sama rumba käydään läpi uudestaan ja uudestaan. Tämä lähestymistapa vie paljon aikaa ja resursseja, eikä se tee verkosta yhtään turvallisempaa.

Parempi tapa on ylläpitää jatkuvasti ja automaattisesti turvallisuuskäytäntöjäsi (jotka ovat yhdenmukaisia ​​valtuutettujen määräysten kanssa) niin, että olet aina vaatimusten mukainen ja valmis tarkastusta varten hetkessä. Kun tarkastajat alkavat seuraavaksi pyytää todisteita vaatimustenmukaisuudesta (nykyinen ja historiallinen), sinulla on kaikki lokit kirjautuneena ja saatavana käden ulottuvilla.

 

Hannu Rokka, Senior Advisor

5Feet Networks Oy