Strona główna / Analizy / Nie dotykaj zapór sieciowych ręką
czwartek 17 listopad 2011 | Jan Petersen
Nie dotykaj zapór sieciowych ręką
Firma Tufin Technologies specjalizująca się w zarządzaniu cyklem życia zabezpieczeń, ogłosiła dziś wyniki swojej corocznej ankiety na temat zarządzania zaporami sieciowymi. Z odpowiedzi uzyskanych od 100 profesjonalistów bezpośrednio zajmujących się zarządzaniem zaporami sieciowymi i ich audytowaniem wynika, że procesy realizowane ręcznie oraz związane z nimi ograniczenia stanowią dla nich obecnie największe wyzwanie.
Tagi: badanie, raport, bezpieczeństwo, firma,

Choć potwierdza siÄ™ opinia, że wymagania prawne i normy, takie jak SOX, PCI DSS i ISO 27001, stymulujÄ… dziaÅ‚ania w zakresie bezpieczeÅ„stwa, tylko 7% respondentów automatyzuje proces audytu zapór sieciowych. W zwiÄ…zku z tym 40% organizacji poÅ›wiÄ™ca co roku na audytowanie zapór sieciowych co najmniej miesiÄ…c. Aż 85% respondentów stwierdziÅ‚o, że do 50% zmian reguÅ‚ zapór sieciowych wymaga modyfikacji wskutek nieprawidÅ‚owego zaprojektowania. Nic, wiÄ™c dziwnego, że 67% uważa, że ich proces zarzÄ…dzania zmianami stwarza ryzyko naruszenia zabezpieczeÅ„. 

„Z tegorocznej ankiety wynika, że najcenniejszym zasobem menedżera ds. zabezpieczeÅ„ jest czas. Liczy siÄ™ on bardziej od ograniczeÅ„ budżetowych i wszelkich innych czynników. Ze zdziwieniem dowiedzieliÅ›my siÄ™, że poÅ‚owa respondentów nadal wykonuje rÄ™cznie pewne podstawowe zadania, takie jak zaostrzanie liberalnych reguÅ‚, wyszukiwanie nakÅ‚adajÄ…cych siÄ™ reguÅ‚ lub okresowy przeglÄ…d reguÅ‚ pod kÄ…tem przydatnoÅ›ci. Szukanie przez doÅ›wiadczonych administratorów igÅ‚y w stogu siana to strata czasu. Automatyzacja tych zadaÅ„ pozwoli zaÅ› zaoszczÄ™dzić nie tylko czas, ale i pieniÄ…dze. Co wiÄ™cej, znacznie zwiÄ™kszy precyzjÄ™ i skuteczność dziaÅ‚aÅ„ oraz poprawi ogólne bezpieczeÅ„stwo sieci organizacji”— powiedziaÅ‚ PaweÅ‚ Marciniak, Dyrektor Regionalny Tufin Technologies.

Nieuczciwe audyty

O tym, że problem osiÄ…ga masÄ™ krytycznÄ…, najbardziej Å›wiadczy fakt, że 22% respondentów wie o przypadkach oszukiwania podczas audytu, a jako przyczynÄ™ tego najczęściej wskazuje siÄ™ brak czasu. W ankiecie firmy Tufin z kwietnia 2010 r. byÅ‚o takich przypadków zaledwie 10%. NiepokojÄ…ce jest również to, jak wiele organizacji w ogóle nie prowadzi audytu zapór sieciowych — niemal jedna czwarta (23%) nigdy nie audytowaÅ‚a swoich zapór. Ankieta ujawniÅ‚a także ciekawe trendy w obrÄ™bie wszystkich trzech komponentów zarzÄ…dzania cyklem życia zabezpieczeÅ„: dziaÅ‚aÅ„ zwiÄ…zanych z zaporami sieciowymi, zarzÄ…dzania ryzykiem i zgodnoÅ›ciÄ… z przepisami oraz politykÄ… firmy, a także automatyzacji zmian zabezpieczeÅ„.

Zapory sieciowe, zarządzanie ryzykiem, zgodność z przepisami i polityką firmy

  • Jak już wspomnieliÅ›my, niektórzy menedżerowie sieci nie prowadzÄ… audytów sieci, a dodatkowo 11% nie wie, ile czasu zajmuje taki audyt.
  • 84% respondentów nie ma skÄ…d siÄ™ dowiedzieć o tym, kiedy należy zweryfikować lub odrzucić reguÅ‚Ä™ (41%) albo robi to rÄ™cznie (43%.)
  • Niemal poÅ‚owa respondentów — 47% — rÄ™cznie wyszukuje zdublowane lub nakÅ‚adajÄ…ce siÄ™ reguÅ‚y, a prawie 20% w ogóle nie jest w stanie ich znaleźć.
  • Choć gÅ‚ównÄ… przyczynÄ… oszukiwania podczas audytów byÅ‚ brak czasu, ważne okazaÅ‚y siÄ™ też dwa inne powody: nieistotne z punktu widzenia dziaÅ‚alnoÅ›ci firmy parametry audytu (30%) oraz obawy o wizerunek zespoÅ‚u ds. bezpieczeÅ„stwa sieci (także 30%.)

Automatyzacja zmian zabezpieczeń

  • 28% respondentów oznajmiÅ‚o, że zaprojektowanie zmiany reguÅ‚y zapory sieciowej zajmuje im od kilku godzin do kilku dni.
  • Pomimo czasu spÄ™dzonego nad opracowywaniem zmian reguÅ‚ 85% uczestników ankiety stwierdziÅ‚o, że do 50% tych zmian wymaga późniejszych poprawek.
  • 66% respondentów sÄ…dzi, że realizowane przez nich procesy zarzÄ…dzania zmianami zagrażajÄ… lub mogÄ… zagrażać bezpieczeÅ„stwu organizacji. WÅ›ród gÅ‚ównych powodów wymieniano brak formalnych procesów (56%) oraz procesy obejmujÄ…ce zbyt wiele etapów bÄ…dź osób (29%).

„Pomimo naszych sukcesów z ankiety wynika, że zarzÄ…dzanie cyklem życia zabezpieczeÅ„ to dziedzina wciąż dojrzewajÄ…ca. Bez automatyzacji procesów niemożliwe jest audytowanie sieciowych systemów zabezpieczeÅ„, szczególnie gdy firmy używajÄ… coraz wiÄ™cej zapór sieciowych w Å›rodowiskach zwirtualizowanych oraz przechodzÄ… na zapory nowej generacji. 60% respondentów wskazaÅ‚o, że najsÅ‚abszym ogniwem zabezpieczeÅ„ ich sieci jest brak czasu. Trudno chyba o lepsze uzasadnienie biznesowe automatyzacji niezbÄ™dnych, lecz czasochÅ‚onnych i podatnych na bÅ‚Ä™dy procesów z dziedziny bezpieczeÅ„stwa sieci” — powiedziaÅ‚ PaweÅ‚ Marciniak.

Badanie

Ankieta firmy Tufin dotyczÄ…ca zarzÄ…dzania zaporami sieciowymi zostaÅ‚a przeprowadzona online za poÅ›rednictwem serwisu Survey Monkey. UczestniczyÅ‚o w niej 100 administratorów z firm z caÅ‚ego Å›wiata, zatrudniajÄ…cych od mniej niż 500 (40%) do ponad 5000 (30%) pracowników, reprezentujÄ…cych różne branże, takie jak telekomunikacja, usÅ‚ugi finansowe, energetyka, farmacja i transport.

 

Podobne artykuły
Komentarze
comments powered by Disqus
zobacz więcej
Tagi
hosting, e-commerce, badanie, oprogramowanie, nawigacja, router, monitor, procesor, serwer, drukarka, acer, cyberprzestępczość, notebook, panasonic, laptop, smartfon, telekomunikacja, raport, huawei, marketing, internet, nokia, firma, cloud computing, voip, cisco, microsoft, www, android, domena, test, chmura, ibm, samsung, msp, dell, lenovo, wirus, apple, technologia mobilna, łączność, asus, telefon, hp, tablet, intel, gsm, bezpieczeństwo, gps, praca mobilna,
Video
więcej
Video"
więcej
Facebook
więcej