Ręczne zarządzanie zmianami w zaporach sieciowych mogą doprowadzić do naruszenia zabezpieczeń
Tufin Technologies ogłosił wyniki swojej corocznej ankiety na temat zarządzania zaporami sieciowymi. Z odpowiedzi uzyskanych od 100 profesjonalistów bezpośrednio zajmujących się zarządzaniem zaporami sieciowymi i ich audytowaniem wynika, że procesy realizowane ręcznie oraz związane z nimi ograniczenia stanowią dla nich obecnie największe wyzwanie.
Choć potwierdza się opinia, że wymagania prawne i normy, takie jak SOX, PCI DSS i ISO 27001, stymulują działania w zakresie bezpieczeństwa, tylko 7% respondentów automatyzuje proces audytu zapór sieciowych. W związku z tym 40% organizacji poświęca co roku na audytowanie zapór sieciowych co najmniej miesiąc. Aż 85% respondentów stwierdziło, że do 50% zmian reguł zapór sieciowych wymaga modyfikacji wskutek nieprawidłowego zaprojektowania. Nic więc dziwnego, że 67% uważa, że ich proces zarządzania zmianami stwarza ryzyko naruszenia zabezpieczeń.
„Z tegorocznej ankiety wynika, że najcenniejszym zasobem menedżera ds. zabezpieczeń jest czas. Liczy się on bardziej od ograniczeń budżetowych i wszelkich innych czynników” — powiedział Paweł Marciniak, Dyrektor Regionalny Tufin Technologies. „Ze zdziwieniem dowiedzieliśmy się, że połowa respondentów nadal wykonuje ręcznie pewne podstawowe zadania, takie jak zaostrzanie liberalnych reguł, wyszukiwanie nakładających się reguł lub okresowy przegląd reguł pod kątem przydatności. Szukanie przez doświadczonych administratorów igły w stogu siana to strata czasu. Automatyzacja tych zadań pozwoli zaś zaoszczędzić nie tylko czas, ale i pieniądze. Co więcej, znacznie zwiększy precyzję i skuteczność działań oraz poprawi ogólne bezpieczeństwo sieci organizacji”.
O tym, że problem osiąga masę krytyczną, najbardziej świadczy fakt, że 22% respondentów wie o przypadkach oszukiwania podczas audytu, a jako przyczynę tego najczęściej wskazuje się brak czasu. W ankiecie firmy Tufin z kwietnia 2010 r. było takich przypadków zaledwie 10%. Niepokojące jest również to, jak wiele organizacji w ogóle nie prowadzi audytu zapór sieciowych — niemal jedna czwarta (23%) nigdy nie audytowała swoich zapór.
Ankieta ujawniła także ciekawe trendy w obrębie wszystkich trzech komponentów zarządzania cyklem życia zabezpieczeń: działań związanych z zaporami sieciowymi, zarządzania ryzykiem i zgodnością z przepisami oraz polityką firmy, a także automatyzacji zmian zabezpieczeń. Najważniejsze wnioski:
Zapory sieciowe, zarządzanie ryzykiem, zgodność z przepisami i polityką firmy
- Jak już wspomnieliśmy, niektórzy menedżerowie sieci nie prowadzą audytów sieci, a dodatkowo 11% nie wie, ile czasu zajmuje taki audyt.
- 84% respondentów nie ma skąd się dowiedzieć o tym, kiedy należy zweryfikować lub odrzucić regułę (41%) albo robi to ręcznie (43%.)
- Niemal połowa respondentów — 47% — ręcznie wyszukuje zdublowane lub nakładające się reguły, a prawie 20% w ogóle nie jest w stanie ich znaleźć.
- Choć główną przyczyną oszukiwania podczas audytów był brak czasu, ważne okazały się też dwa inne powody: nieistotne z punktu widzenia działalności firmy parametry audytu (30%) oraz obawy o wizerunek zespołu ds. bezpieczeństwa sieci (także 30%.)
Automatyzacja zmian zabezpieczeń:
- 28% respondentów oznajmiło, że zaprojektowanie zmiany reguły zapory sieciowej zajmuje im od kilku godzin do kilku dni.
- Pomimo czasu spędzonego nad opracowywaniem zmian reguł 85% uczestników ankiety stwierdziło, że do 50% tych zmian wymaga późniejszych poprawek.
- 66% respondentów sądzi, że realizowane przez nich procesy zarządzania zmianami zagrażają lub mogą zagrażać bezpieczeństwu organizacji. Wśród głównych powodów wymieniano brak formalnych procesów (56%) oraz procesy obejmujące zbyt wiele etapów bądź osób (29%).
„Pomimo naszych sukcesów z ankiety wynika, że zarządzanie cyklem życia zabezpieczeń to dziedzina wciąż dojrzewająca” — powiedział Paweł Marciniak. „Bez automatyzacji procesów niemożliwe jest audytowanie sieciowych systemów zabezpieczeń, szczególnie gdy firmy używają coraz więcej zapór sieciowych w środowiskach zwirtualizowanych oraz przechodzą na zapory nowej generacji. 60% respondentów wskazało, że najsłabszym ogniwem zabezpieczeń ich sieci jest brak czasu. Trudno chyba o lepsze uzasadnienie biznesowe automatyzacji niezbędnych, lecz czasochłonnych i podatnych na błędy procesów z dziedziny bezpieczeństwa sieci”.
- Ankieta firmy Tufin dotycząca zarządzania zaporami sieciowymi została przeprowadzona online za pośrednictwem serwisu Survey Monkey. Uczestniczyło w niej 100 administratorów z firm z całego świata, zatrudniających od mniej niż 500 (40%) do ponad 5000 (30%) pracowników, reprezentujących różne branże, takie jak telekomunikacja, usługi finansowe, energetyka, farmacja i transport.