Podniky investují mnoho času, úsilí a peněz do zabezpečení svých systémů. Ty nejvíce dbající na bezpečnost mohou mít bezpečnostní operační centrum. Samozřejmě používají firewally a antivirové nástroje. Pravděpodobně tráví spoustu času monitorováním svých sítí a hledáním varovných anomálií, které by mohly naznačovat narušení. Co se týče IDS, SIEM a NGFW, nasazují skutečnou abecedu obranných prostředků.
Kolik z nich se však zamyslelo nad jedním ze základních kamenů svých digitálních operací: operačními systémy nasazenými na počítačích zaměstnanců? Byla bezpečnost vůbec zohledněna při výběru operačního systému pro stolní počítače?
Vzniká otázka, na kterou by měl být schopen odpovědět každý pracovník IT:
Poptali jsme se několika odborníků, co si myslí o bezpečnosti těchto tří možností:
Jak jsme se k tomu dostali
Jedním z důvodů, proč podniky možná nehodnotily bezpečnost operačního systému, který nasadily zaměstnancům, je to, že se rozhodly před lety. Vraťte se dostatečně daleko a všechny operační systémy byly přiměřeně bezpečné, protože byznys s nabouráváním se do nich a krádežemi dat nebo instalací malwaru byl v plenkách. A jakmile je jednou provedena volba operačního systému, je těžké uvažovat o změně. Málokterá IT organizace by chtěla mít starosti s přechodem globálně rozptýlených pracovníků na zcela nový operační systém. K čertu, dostávají dost odporu, když převádějí uživatele na novou verzi vybraného operačního systému.
Přesto, bylo by moudré to znovu zvážit? Liší se tři přední desktopové operační systémy svým přístupem k zabezpečení natolik, aby se změna vyplatila?
Jistě, hrozby, kterým čelí podnikové systémy, se za posledních několik let změnily. Útoky se staly mnohem sofistikovanějšími. Osamělého mladistvého hackera, který kdysi ovládal představy veřejnosti, nahradily dobře organizované sítě zločinců a stínové, vládou financované organizace s rozsáhlými počítačovými zdroji.
Stejně jako mnozí z vás mám s existujícími hrozbami přímé zkušenosti: Na mnoha počítačích se systémem Windows jsem byl infikován malwarem a viry, a dokonce jsem měl i makroviry, které infikovaly soubory na mém počítači Mac. Nedávno rozšířený automatický hacker obešel zabezpečení mých webových stránek a infikoval je malwarem. Účinky takového malwaru byly vždy zpočátku nenápadné, něčeho, čeho byste si ani nevšimli, dokud se malware nedostal tak hluboko do systému, že začal znatelně trpět výkon. Pozoruhodné na těchto napadeních bylo, že jsem nikdy nebyl konkrétním cílem záškodníků; v dnešní době je stejně snadné napadnout 100 000 počítačů botnetem jako tucet.
Záleží opravdu na operačním systému?
Operační systém, který nasadíte svým uživatelům, má sice význam pro váš postoj k bezpečnosti, ale není to jistá ochrana. Za prvé, v dnešní době je pravděpodobnější, že k narušení dojde proto, že útočník sondoval vaše uživatele, nikoliv vaše systémy. Průzkum mezi hackery, kteří se zúčastnili nedávné konference DEFCON, ukázal, že „84 procent z nich používá jako součást své strategie útoku sociální inženýrství“. Nasazení bezpečného operačního systému je důležitým výchozím bodem, ale bez vzdělávání uživatelů, silných firewallů a neustálé ostražitosti lze napadnout i ty nejbezpečnější sítě. A samozřejmě vždy existuje riziko uživatelem staženého softwaru, rozšíření, nástrojů, zásuvných modulů a dalšího softwaru, který se zdá být neškodný, ale stává se cestou pro malware, který se v systému objeví.
A bez ohledu na to, jakou platformu si vyberete, jedním z nejlepších způsobů, jak udržet systém bezpečný, je zajistit včasnou aplikaci aktualizací softwaru. Jakmile se totiž záplata dostane do oběhu, hackeři ji mohou zpětně analyzovat a najít nový exploit, který mohou použít v další vlně útoků.
A nezapomínejte na základní věci. Nepoužívejte práva roota a neudělujte hostům přístup ani ke starším serverům v síti. Naučte své uživatele vybírat opravdu dobrá hesla a vyzbrojte je nástroji, jako je 1Password, které jim usnadní mít různá hesla pro každý účet a webovou stránku, kterou používají.
Podstatné je, že každé rozhodnutí, které učiníte ohledně svých systémů, ovlivní vaši bezpečnost, dokonce i operační systém, na kterém vaši uživatelé pracují.
Windows, oblíbená volba
Jste-li správcem zabezpečení, je velmi pravděpodobné, že otázky, které tento článek vyvolal, by se daly přeformulovat takto: Byli bychom bezpečnější, kdybychom přešli od systému Microsoft Windows? Říci, že systém Windows dominuje na podnikovém trhu, by znamenalo podcenit věc. Společnost NetMarketShare odhaduje, že neuvěřitelných 88 % všech počítačů na internetu je vybaveno některou z verzí systému Windows.
Pokud vaše systémy patří mezi těchto 88 %, pravděpodobně víte, že společnost Microsoft pokračuje v posilování zabezpečení systému Windows. Mezi jeho vylepšení patří přepsání a přepracování kódové základny operačního systému, přidání vlastního systému antivirového softwaru, vylepšení firewallů a zavedení architektury sandboxu, kde programy nemají přístup do paměťového prostoru operačního systému ani k jiným aplikacím.
Obliba systému Windows je však sama o sobě problémem. Bezpečnost operačního systému může do značné míry záviset na velikosti jeho instalované základny. Pro autory malwaru poskytuje systém Windows obrovské hrací pole. Soustředění se na něj jim přináší největší užitek z jejich úsilí.
Jak vysvětluje Troy Wilkinson, generální ředitel společnosti Axiom Cyber Solutions: „Systém Windows je ve světě zabezpečení vždy na posledním místě, a to z mnoha důvodů, především kvůli míře přijetí ze strany spotřebitelů. Vzhledem k velkému počtu osobních počítačů se systémem Windows na trhu se hackeři historicky nejvíce zaměřovali na tyto systémy.“
Je jistě pravda, že od Melissy po WannaCry a další, většina škodlivého softwaru, který svět viděl, byla zaměřena na systémy Windows.
macOS X a zabezpečení skrze nejasnost
Pokud bude nejpopulárnější operační systém vždy největším cílem, může pak použití méně populární varianty zajistit bezpečnost? Tato myšlenka je novým pojetím starého – a zcela zdiskreditovaného – konceptu „zabezpečení skrze nejasnost“, který tvrdil, že nejlepší obranou proti útokům je udržování vnitřního fungování softwaru ve vlastním vlastnictví, a tedy v tajnosti.
Wilkinson na rovinu uvádí, že macOS X „je bezpečnější než Windows“, ale spěchá dodat, že „macOS býval považován za plně bezpečný operační systém s malou pravděpodobností bezpečnostních chyb, ale v posledních letech jsme byli svědky toho, že hackeři vytvářeli další exploity proti macOS.“
Jinými slovy, útočníci se rozvětvují a vesmír Maců neignorují.
Bezpečnostní výzkumník Lee Muson ze společnosti Comparitech říká, že „macOS bude pravděpodobně výběrem z řady“, pokud jde o výběr bezpečnějšího operačního systému, ale varuje, že není neproniknutelný, jak se kdysi myslelo. Jeho výhodou je, že „stále těží z nádechu zabezpečení skrze neznámost oproti stále mnohem většímu cíli, který představuje nabídka společnosti Microsoft.“
Joe Moore ze společnosti Wolf Solutions dává společnosti Apple o něco větší kredit a říká, že „z hlediska bezpečnosti má MacOS X skvělé výsledky, zčásti proto, že není tak rozšířeným cílem jako Windows, a zčásti proto, že Apple odvádí docela dobrou práci, pokud jde o bezpečnostní problémy.“
A vítězem je …
To jste asi věděli od začátku: Mezi odborníky panuje jasná shoda, že nejbezpečnějším operačním systémem je Linux. Ale zatímco pro servery je to nejoblíbenější operační systém, podniků, které jej nasazují na stolních počítačích, je málo.“
A pokud byste se přece jen rozhodli, že Linux je tou správnou cestou, museli byste se ještě rozhodnout, kterou distribuci systému Linux zvolit, a tam už je to trochu složitější. Uživatelé budou chtít uživatelské rozhraní, které se jim bude zdát známé, a vy budete chtít co nejbezpečnější operační systém.
Jak vysvětluje Moore: „Linux má potenciál být nejbezpečnější, ale vyžaduje, aby uživatel byl něco jako zkušený uživatel.“ Takže ne pro každého.
Distribuce Linuxu, které se zaměřují na bezpečnost jako na primární funkci, zahrnují Parrot Linux, distribuci založenou na Debianu, která podle Moora poskytuje řadu nástrojů souvisejících se zabezpečením hned po vybalení z krabice.
Důležitým rozdílem je samozřejmě to, že Linux je open source. Skutečnost, že programátoři mohou vzájemně číst a komentovat svou práci, se může zdát jako noční můra zabezpečení, ale ve skutečnosti se ukazuje, že je to důležitý důvod, proč je Linux tak bezpečný, říká Igor Bidenko, CISO společnosti Simplex Solutions. „Linux je nejbezpečnější operační systém, protože jeho zdrojový kód je otevřený. Kdokoli si jej může prohlédnout a ujistit se, že v něm nejsou žádné chyby nebo zadní vrátka.“
Wilkinson upřesňuje, že „operační systémy založené na Linuxu a Unixu mají méně zneužitelných bezpečnostních chyb, které jsou známy ve světě informační bezpečnosti. Kód Linuxu je přezkoumáván technickou komunitou, což přispívá k bezpečnosti:
To je jemné a možná neintuitivní vysvětlení, ale tím, že každý řádek kódu operačního systému čtou desítky – nebo někdy stovky – lidí, je kód ve skutečnosti robustnější a snižuje se šance, že chyby proklouznou do volné přírody. To má hodně společného s tím, proč PC World rovnou přišel s tvrzením, že Linux je bezpečnější. Jak vysvětluje Katherine Noyesová: „Microsoft se může chlubit svým velkým týmem placených vývojářů, ale je nepravděpodobné, že by se tento tým mohl srovnávat s globální základnou uživatelů Linuxu – vývojářů po celém světě. Bezpečnost může těžit jen díky všem těm očím navíc.“
Dalším faktorem, který PC World uvádí, je lepší model uživatelských práv v Linuxu: Podle Noyesova článku mají uživatelé Windows „ve výchozím nastavení obvykle administrátorská práva, což znamená, že mají přístup v podstatě ke všemu v systému“. Linux naproti tomu „roota“ výrazně omezuje.“
Noyes také poznamenal, že rozmanitost, která je možná v prostředí Linuxu, je lepší pojistkou proti útokům než typická monokultura Windows: Je prostě k dispozici mnoho různých distribucí Linuxu. A některé z nich se liší způsobem, který specificky řeší bezpečnostní problémy. Bezpečnostní výzkumník Lee Muson ze společnosti Comparitech nabízí tento návrh distribuce Linuxu: „Operační systém Qubes je tak dobrým výchozím bodem pro Linux, jaký můžete právě teď najít, přičemž podpora od Edwarda Snowdena masivně zastiňuje jeho vlastní extrémně skromné nároky.“ Jiní bezpečnostní experti poukazují na specializované bezpečné linuxové distribuce, jako je Tails Linux, navržený pro bezpečné a anonymní spouštění přímo z USB flash disku nebo podobného externího zařízení.
Building security momentum
Inergie je mocná síla. Ačkoli panuje jasná shoda v tom, že Linux je nejbezpečnější volbou pro stolní počítače, nedošlo k žádnému davu, který by se zbavoval počítačů se systémy Windows a Mac ve prospěch tohoto systému. Nicméně malý, ale výrazný nárůst rozšíření Linuxu by pravděpodobně vedl k bezpečnějším počítačům pro všechny, protože při ztrátě podílu na trhu je to jeden z jistých způsobů, jak upoutat pozornost společností Microsoft a Apple. Jinými slovy, pokud dostatečný počet uživatelů přejde na Linux na stolních počítačích, je velmi pravděpodobné, že se počítače se systémy Windows a Mac stanou bezpečnějšími platformami.