Jak nakládat s daty a spravovat zařízení
- 1/12
- 2/12
- 3/12
- 4/12
- 5/12
- 6/12
- 7/12
- 8/12
- 9/12
- 10/12
- 11/12
- 12/12
6 min
Dobře vedená správa dat, zařízení a softwaru (souhrnně označovaných jako aktiva) pomáhá předcházet tomu, aby nad námi získali nadvládu častí původci nebo akcelerátory bezpečnostních incidentů – prostředí bez pravidel (nebo také lidově „cochcárna“) a různé šedé zóny.
Udělat si ve věcech pořádek a mít průběžný přehled je sada opatření, která nemusí být nákladná, a přitom nám v případě řešení probíhajícího incidentu může pomoci natolik, že pro nás bude mít hodnotu: k nezaplacení.
V roce 2017 došlo k napadení společnosti Equifax. Útočníci*ce využili v té době již dlouho známou zranitelnost v softwaru Apache Struts, pro kterou ovšem vývojář okamžitě vydal bezpečnostní záplatu. Kvůli selháním v interních procesech ale nikdo ve společnosti Equifax tuto záplatu nevyužil a neprovedl aktualizaci software.
Útočníci*ce získali přístup k osobním údajům přibližně 147 milionů lidí, včetně jmen, adres, rodných čísel a čísel kreditních karet.
Jednou z hlavních příčin úspěšnosti tohoto útoku byla nedostatečná správa software a zanedbání aktualizací. Kromě toho nebyla jednotlivá data klasifikována a přiměřeně chráněna, což nakonec útočníkům*icím umožnilo jejich zneužití.
- Jak takový úklid provést? Vlastně docela jednoduše. Klasifikace a ocenění datKlasifikace a ocenění dat jsou procesy, během nichž jsou data organizována podle jejich citlivosti (klasifikace) a důležitosti (ocenění). Tento proces nám pomůže se rozhodnout, jaká bezpečnostní opatření jsou pro ochranu různých typů dat potřebná. Jak tedy v jednotlivých krocích postupovat?
- Identifikace dat: Nejprve musíte zmapovat veškerá data v organizaci. Zahrňte všechny dokumenty, databáze, e-maily, smlouvy a další informační zdroje.
- Klasifikace dat: Data rozdělte do kategorií podle úrovně jejich citlivosti. Například:
- Veřejná data: Informace, které jsou dostupné veřejnosti, například tiskové zprávy nebo zprávy o činnosti organizace.
- Interní data: Data, která jsou určena pouze pro interní potřebu, například interní směrnice, plány a rozpočty.
- Důvěrná data: Data zahrnující osobní údaje zaměstnanců, finanční informace nebo informace o klientech*kách, dárcích*kyních a partnerech.
- Ocenění dat: Každé klasifikované skupině dat přiřaďte hodnotu z hlediska jejich důležitosti pro organizaci a možného dopadu v případě ztráty nebo zneužití. Například:
- Kritická data
- Data, jejichž kompromitace by měla závažné důsledky pro organizaci, jako jsou finanční ztráty nebo právní postihy.
- Zde nastavte nejpřísnější podmínky ochrany a zálohování
- Důležitá data
- Data, jejichž kompromitace by mohla způsobit škody, ale ne tak závažné jako u kritických dat.
- Běžná data
- Data, jejichž kompromitace by měla žádné nebo jen zcela minimální důsledky (nebo vůbec žádné).
Zavedení bezpečnostních opatření: Na základě klasifikace a ocenění dat zaveďte odpovídající ochranná opatření, například šifrování důvěrných dat a omezení přístupu pouze na vybrané zaměstnance.
Přehled o zařízeních a softwaru
A jak na správu zařízení a dat? Udělejte si seznam, co kde máte, kolik toho máte, kdo zařízení nebo software používá a je za toto používání odpovědný („vlastník aktiva“), zda je zařízení připojené k interní síti nebo k internetu apod.
- Inventarizace zařízení: Zaznamenejte veškerá zařízení používaná ve vaší organizaci, včetně notebooků, stolních počítačů, mobilních zařízení, serverů, tiskáren a síťových prvků. U každého zařízení evidujte:
- Typ zařízení (např. notebook, server), verze a systémový software
- Uživatelé (kdo zařízení používá)
- Umístění (kde je zařízení fyzicky umístěno)
- Stav zabezpečení (např. antivirový software, šifrování)
- Připojení (interní síť, internet)
- Správa softwaru: Vytvořte seznam všech používaných programů, aplikací a systémů. Věnujte také pozornost licencím a pravidelné aktualizaci. Vše udržujte „v kondici“ a aktualizované. Mnoho úspěšných útoků proběhlo s využitím zranitelnosti v neaktualizovaném software.
- Název softwaru
- Verze
- Oprávnění (kdo administruje a kdo používá)
- Aktualizace a bezpečnostní záplaty
Klasifikace a ocenění dat pomáhá určit, jaká úroveň bezpečnostních opatření je potřebná pro různé kategorie dat.
Je důležité mít přehled o všech datech, zařízeních a softwaru v organizaci, včetně jejich stavu zabezpečení a aktuálnosti.
Automatizace správy aktiv a pravidelné audity zajišťují včasné odhalení zranitelností a umožňují organizaci reagovat na potenciální hrozby.
Klasifikace dat: Proces rozdělení dat do kategorií podle jejich citlivosti.
Ocenění dat: Stanovení hodnoty dat z hlediska jejich významu pro organizaci a možného dopadu při jejich ztrátě, poškození nebo neautorizované úpravě.
Inventarizace: Proces zaznamenávání a sledování všech zařízení a softwaru v organizaci.
Automatizovaná správa aktiv: Nástroje a systémy, které monitorují a spravují zařízení, software a data, včetně jejich stavu zabezpečení a aktualizace.
Bezpečnostní záplata (Security patch): Aktualizace softwaru, která opravuje zjištěné zranitelnosti nebo chyby a zajišťuje vyšší úroveň zabezpečení systému.
Zranitelnost nultého dne (Zero-day vulnerability): Zranitelnost, která je objevena v softwaru nebo systému, ale zatím pro ni neexistuje dostupná bezpečnostní záplata. Útočníci mohou tuto zranitelnost zneužít dříve, než je opravena.