Aktualności
2011-03-19
Chronione cząstki
Bezpieczeństwo IT w CERN.
CERN, Europejska Organizacja Badań Jądrowych (lub – zgodnie z oryginalnym francuskim rozwinięciem skrótu: le Conseil Européenne pour la Recherche Nucléaire) jest jednym znajwiększych i najbardziej szanowanych centrów naukowo-badawczych na świecie. Zajmuje się fizyką podstawową, badając, z czego zbudowany jest Wszechświat iw jaki sposób funkcjonuje.

WCERN-ie znajduje się wielki kompleks tak zwanych akceleratorów i zderzaczy cząstek, pozwalających na spojrzenie wgłąb ich struktury subatomowej. Akceleratory przyspieszają wiązki cząstek, nadając im ogromną energię, po czym  cząstki zderzane są między sobą (albo zinnym, stacjonarnym celem). Specjalne detektory obserwują i zapisują wyniki tych zderzeń. Uzyskane rezultaty pozwalają fizykom na badanie właściwości cząstek i poznanie praw natury. Bardzo często pojedynczy eksperyment prowadzony jest przy współpracy kilkuset (a nawet kilku tysięcy) naukowców z całego świata. Obecnie w CERN prowadzonych jest kilkadziesiąt różnych eksperymentów, w ramach których wykrywane są zderzenia cząstek rozpędzanych w sześciu różnych akceleratorach, włączając najsilniejsze na świecie urządzenie tego rodzaju – Wielki Zderzacz Hadronów (ang. Large Hadron Collider – LHC).

Poza poszukiwaniem i odnajdywaniem odpowiedzi na pytania o Wszechświecie, celem CERN jest także przesuwanie granic współczesnych technologii, zacieśnianie współpracy międzynarodowej poprzez naukę, a także szkolenie naukowców jutra. Dlatego 2250 stałych pracowników CERN każdego roku przyjmuje około 15 tysięcy gości: fizyków i kooperantów (tzw. „użytkowników”): studenci przyjeżdżają na kilka miesięcy wysłuchać wykładów, odbyć szkolenia, pisać prace magisterskie (lub doktorskie). Profesorowie regularnie odwiedzają CERN, utrzymując stały kontakt ze swoimi zespołami badawczymi pracującymi w ośrodku (czy po prostu ze znajomymi z pracy), uczęszczając na warsztaty lub wykłady. Technicy i inżynierowie przybywają w celu zamontowania przygotowanych urządzeń i instrumentów w detektorach CERN. Młodzi ludzie przyjeżdżają, aby uczestniczyć w szkoleniach. Przy tym wielu użytkowników zdalnie podłącza się do sieci CERN czy też korzysta ze światowej sieci komputerowej WLCG (ang. Worldwide LHC Computing Grid), łączącej CERN z największymi światowymi centrami obliczeniowymi. CERN jest głównym węzłem sieci (tzw. „tier-0”).

Wolność badań a bezpieczeństwo
Tak rozległa społeczność użytkowników akademickich czyni standardyzację nierealną. Patrząc z perspektywy IT, użytkownicy pracują na swoich laptopach, mając zainstalowane ulubione systemy operacyjne w różnych językach. Programiści tworzą kod w swych ulubionych językach programowania. Użytkownicy uruchamiają dowolne narzędzia iprogramy i korzystają z wszelkich rozwiązań technologicznych, które uważają za konieczne w osiągnięciu swych celów naukowych. Krótko mówiąc – CERN to rozległe środowisko akademickie, co implikuje wolność wyboru i komunikacji.

Zespół Bezpieczeństwa CERN musi więc odnaleźć punkt równowagi pomiędzy potrzebami tutejszego środowiska akademickiego, wymogami poszczególnych urządzeń i eksperymentów, a bezpieczeństwem. Do zadań Zespołu   należy: zmniejszenie zarówno prawdopodobieństwa, jak i ewentualnych skutków naruszeń bezpieczeństwa, profilaktyka iochrona przed zagrożeniami sieciowymi, utrzymywanie wysokiej skuteczności wwykrywaniu i reagowaniu na ataki.

Szkolenia
W tak różnorodnej społeczności świadomość użytkowników, edukacja i szkolenie mają pierwszorzędną wagę. Często właśnie użytkownicy są najsłabszym ogniwem w łańcuchu zabezpieczeń – niekoniecznie są świadomi zagadnień bezpieczeństwa IT i nie zawsze się nimi przejmują. Potrzebny jest zatem impuls, który pobudzi ich do poszerzenia świadomości, lub – najlepiej – do zrozumienia zagrożeń bezpieczeństwa IT.

Jako podstawę, wszyscy nowi użytkownicy infrastruktury CERN przechodzą wprowadzający kurs poświęcony kwestiom bezpieczeństwa IT – zaraz po przyjeździe do ośrodka. Równolegle należy odbyć dodatkowe szkolenie online, zakończone testem obejmującym 10 pytań wielokrotnego wyboru. Pomyślne zaliczenie testu jest konieczne do otrzymania konta pozwalającego na dostęp do infrastruktury obliczeniowej CERN. Test ten musi być odnawiany co 3 lata. Ponadto CERN prowadzi regularne kampanie uświadamiające we wszystkich swych oddziałach, przypominające główne zasady bezpieczeństwa, takie jak „Zabezpiecz swój komputer”, „Uważaj na e-maile iWWW”, „Pilnuj swoich haseł”, „Chroń swoje pliki i dane” czy wreszcie „Stosuj się do zasad korzystania z infrastruktury CERN”. Tych pięć głównych komunikatów dotyczy każdego (i wszędzie – nie tylko w CERN). Kampanie to także plakaty iulotki zawierające dodatkowe, uzupełniające informacje.

Wperspektywie długoterminowej, Zespół Bezpieczeństwa CERN współpracuje z Działem Zasobów Ludzkich, aby zintegrować wiedzę, świadomość i zachowania związane z bezpieczeństwem IT, zaktualnymi procesami biznesowymi.

Wyszukiwanie podatności

Szkolenie profilaktyczne to coś dobrego, ale musi być ono wsparte kontrolą. Dlatego Zespół Bezpieczeństwa regularnie skanuje główne zasoby obliczeniowe wposzukiwaniu podatności. Wszystkie strony internetowe hostowane w CERN są skanowane przy użyciu opublikowanego przez Google narzędzia „Skipfish”, jak również przy pomocy „Wapiti” i „w3af”. Systemy wymagające publicznego dostępu z zewnątrz (np. serwery WWW) muszą przejść dodatkowe testy wykonane przez „Nessusa” i „Skipfisha”. Uzyskane rezultaty najczęściej pozwalają dobrze ocenić jakość konfiguracji i zabezpieczeń serwera. Reguły dostępowe na firewallu zewnętrznym CERN można utworzyć tylko dla maszyn, które pomyślnie przejdą opisane testy.

Wykryte możliwe podatności są raportowane bezpośrednio do właściciela zagrożonej witryny czy systemu i muszą zostać naprawione. Zwykle odbywa się to przy współpracy z Zespołem Bezpieczeństwa, który udziela niezbędnego wsparcia. Rzadko zdarza się, aby Zespół Bezpieczeństwa musiał uciekać się do ostrzejszych środków i blokować dostęp do strony internetowej lub też odcinać system od sieci. A ścisła współpraca zużytkownikiem jest zawsze okazją do zareklamowania opisanych wcześniej sesji szkoleniowych.

Reagowanie na incydenty
Mimo stosowania szerokiej gamy środków prewencyjnych, nieuniknione jest występowanie incydentów bezpieczeństwa. Zespół Bezpieczeństwa wdrożył szereg zaawansowanych systemów wykrywających ataki, które monitorują działania wykonywane w scentralizowanych systemach obliczeniowych CERN, ale też ogólnie – w całej infrastrukturze ośrodka.  
Zarówno wszystkie czujki, jak i sam proces analizy są całkowicie zautomatyzowane, a właściciel zainfekowanego systemu zostaje automatycznie powia- domiony o zagrożeniu bezpieczeństwa. Zespół Bezpieczeństwa CERN pomaga użytkownikowi rozwiązać wykryte problemy, a incydenty wymagające bardziej zaawansowanej obsługi są przekazywane do zespołu CSIRT (ang. Computer Security Incident Response Team).

Podsumowanie
Społeczność użytkowników CERN jest wyjątkowo rozległa i ponadto przyzwyczajona do wolności badań i komunikacji. Bez naruszenia tej wolności byłoby niezwykle trudno (niemożliwie?) scentralizować lub ustandardyzować środowisko obliczeniowe. Zatem w CERN przeważają środowiska heterogeniczne. Stojąc przed takim wyzwaniem, Zespół Bezpieczeństwa CERN musiał wciągnąć do ścisłej współpracy samych użytkowników: w CERN to oni są odpowiedzialni za bezpieczeństwo i jakość ochrony swoich własnych zasobów. Zespół Bezpieczeństwa dostarcza zaś im pomocy iwsparcia, koncentrując się przede wszystkim na edukacji i zmianie niekorzystnych nawyków. Kiedy już „bezpieczeństwo” będzie jednym z celów każdego użytkownika, ogólny jego poziom także wzrośnie. Do tego czasu, zaawansowane systemy zabezpieczeń oraz wykrywania incydentów uchronią CERN przed zbyt wieloma i zbyt widocznymi incydentami bezpieczeństwa. Zespół Bezpieczeństwa CERN nieustannie ciężko pracuje w celu utrzymania pożądanego status quo.

Stefan Lüders, CERN