Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 5. maj 2006.
Dansk Tipstjeneste lader automatikken forhindre oplagte angrebsforsøg, mens tvivlstilfældene overlades til menneskelig vurdering.
Den kvarte million danskere, der spiller om penge med Dansk Tipstjenestes webbaserede spil, skal have adgang til tjenesterne. Samtidig skal hackere og orme holdes ude. Det giver et sikkerhedsdilemma: Hvis Tipstjenesten er for restriktiv, bliver kundernes netværkstrafik blokeret. Er den for eftergivende, kan et angreb lykkes.
Som løsning har organisationen valgt en kombination af automatisering og manuel sagsbehandling. Den automatiserede del består af et IDS/IPS-system. Et IDS (Intrusion Detection System) slår alarm, når der opstår noget mistænkeligt, mens et IPS (Intrusion Prevention System) forhindrer angreb i at finde sted. Af sikkerhedsårsager vil Dansk Tipstjeneste ikke offentliggøre, hvilket produkt, de anvender.
Systemet er placeret bag firewallen. Her behandler de al den trafik, som firewallen lader passere. Systemet samarbejder med programmet Internet Scanner, der løbende scanner Tipstjenestens systemer for kendte sårbarheder.
- Ud fra sårbarhedsscanningen opbygger systemet en profil af, hvilke typer angreb Tipstjenesten kan være sårbar over for. Dermed ved den, hvornår der er grund til at slå alarm. Endvidere bliver den løbende opdateret med nye sårbarheder via nettet. Når den ser trafik, der tydeligvis er et forsøg på at udnytte en sårbarhed, blokerer den for datapakkerne, fortæller partner Michael Albek fra SecureDevice, der har leveret systemet.
Hvis systemet ser trafik, der ser mistænkelig ud, men som ikke er et klart forsøg på at udnytte en sårbarhed, slår den alarm til et døgnovervåget center hos sikkerhedsfirmaet Fort Consult. Her vurderer en sikkerhedsekspert alarmen og kontakter Dansk Tipstjeneste, hvis hændelsen vurderes at være et reelt sikkerhedsproblem.
- En stor fordel ved systemet er, at vi har nogle eksperter, vi kan rådføre os med. Endvidere er det en fordel, at systemet løbende opdateres med de nyeste former for angreb. Ulempen ved løsningen er, at den er dyr, fordi den kræver døgnbemanding, siger it-teknikchef Poul Richardt Jensen, Dansk Tipstjeneste.
- Tipstjenesten bruger udelukkende systemet til at beskytte mod angreb udefra. Men man kan også sætte det op til at beskytte mod orme og virus indefra. Ved at opdele nettet i segmenter med flere bokse kan man så lukke af for et segment, før det når at inficere resten af nettet, supplerer Michael Albek.
Poul Richardt Jensen ser gerne, at endnu mere i fremtiden kan overlades til intelligensen i netværket.
- Men det er stadig meget vigtigt, at vi ikke standser trafik, der ser mærkelig ud, men som er lovlig. Gør vi det, kan vi miste indtjening, fordi folk ikke kan få adgang til vores spil, siger han.
Han har endnu ikke hørt fra brugere, der ikke har kunnet komme til at spille på grund af sikkerhedssystemet.
Systemet er Dansk Tipstjenestes andet forsøg med ekstern sikkerhedsovervågning. Det første kom på banen i 2002 kort efter, at tjenesten havde åbnet for spil via internettet. Systemet bestod af en boks, der indsamlede informationer fra logfiler og sendte dem til analyse hos et sikkerhedsfirma. Herfra slog man så alarm, hvis der viste sig noget mistænkeligt.
- Det havde den ulempe, at der var en forsinkelse, fra angrebet kom, og til det blev opdaget, fortæller Poul Richardt Jensen.
I slutningen af 2004 gik organisationen derfor i gang med at lede efter en løsning, der passede bedre til kravene.
- Vores vigtigste krav til løsningen var, at vi ville kunne opdage og standse et angreb, før det rammer os, siger Poul Richard Jensen.
Man endte med en løsning, hvor overvågningen er outsourcet, men hvor det er muligt senere at hente den ind i virksomheden.
- Den dyre del af løsningen er den, hvor sikkerhedsfirmaet har folk siddende 24 timer i døgnet. Det er derfor, vi har option på selv at overtage det. Men det vil naturligvis også koste penge, hvis folkene skal sidde hos os, siger Poul Richard Jensen.
Dansk Tipstjeneste får nu jævnligt statistikker over, hvor mange angrebsforsøg systemet har standset. Det er de færreste angreb, der vurderes som alvorlige. Langt de fleste standses automatisk.
Poul Richard Jensen har dette råd til andre organisationer, der overvejer en IDS/IPS-løsning:
- Man skal gøre sig klart, hvad man gerne vil have, så man investerer i en løsning, der afspejler ens behov - hverken mere eller mindre, siger han.
Billedtekst:
beskrivelse - Vi lod IDS/IPS-systemet indsamle data om den type trafik, der forekom på nettet. Ud fra den viden dannede vi en beskrivelse af den trafik, systemet skal behandle, siger Michael Albek (t.h.) fra leverandøren SecureDevice.
- I forhold til andre webservere er vores trafik forholdsvis ensartet, fordi det i høj grad handler om data til og fra vores online-spilapplikationer, supplerer it-teknikchef Poul Richardt Jensen, Dansk Tipstjeneste. Foto: Torben Klint
Billedtekst:
automatik - I fremtiden skal systemet kunne standse endnu flere typer af angreb automatisk, uden at der skal et menneske ind over, siger it-teknikchef Poul Richardt Jensen, Dansk Tipstjeneste. Foto: Torben Klint
Billedtekst:
alarm - Når IDS/IPS-systemet opdager et højrisiko-angreb, går alarmen videre til en sikkerhedskonsulent, der vurderer den. Er der fare på færde, slår han alarm til Dansk Tipstjeneste, fortæller Michael Albek fra SecureDevice. Foto: Torben Klint
OriginalModTime: 04-05-2006 09:03:01
