Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
Имеется ли у вас договор с вашим Интернет-провайдером? Если договор есть, то не указано ли в нем, что провайдер не отвечает за вашу информацию, то есть за информацию, о которой он должен заботиться? У вас может не быть провайдера, обслуживающего вашу информацию. Но если вся ваша информация содержится внутри вашей интранет, то вы можете также не заметить рисков, которые были обнаружены в TransWorld. Ваш системный администратор может провести установку всей сети, используя системы только со стандартными настройками. В таком случае каждая из систем вашей интранет будет подвержена риску.
Вам нужно выяснить, когда в вашей компании делался последний аудит безопасности. Это единственный способ убедиться в том, что ваши системы защищены. Иначе вы играете в «русскую рулетку» вашей информацией, не говоря о том, что ваши акционеры могут лишиться твердых доходов.
Помните, что руководители отвечают за надежность и целостность информации.
Знать, каким рискам вы подвергаетесь
Знаете ли вы, какому риску подвергается информация в сети вашей компании? Большинство хакеров ищут информацию, которую можно продать: финансовую информацию, информацию о клиентах, номера кредитных карточек. В «Обзоре компьютерных преступлений и вопросов безопасности» CSI 2002 года указывается, что инциденты, о которых сообщили только 26 респондентов, причинили убытки в 170 827 000 долларов от кражи информации о собственности.
И если вы еще думаете, что «стандартный» хакер является рано развившимся тинейджером, без присмотра и с плохой социальной ориентацией, то зря. Все в большем количестве «хакерские» кражи совершаются намеренно и хорошо организованно. Есть случаи, когда участие в них переходит на правительственный уровень. В марте 2002 года официальные представители ФБР сообщили о непрекращающихся взломах компьютеров со стороны организованных преступных группировок из России и Украины, в результате которых было украдено более миллиона номеров кредитных карточек. Пятнадцатилетний мальчик, о котором думает большинство людей, может вполне оказаться пятидесятилетним бюрократом, собирающим компромат по заданию своего правительства. Помните это, думая о том, какие части и стороны вашей корпоративной информации вам необходимо защищать. Постарайтесь убедиться в том, что все люди, имеющие доступ к вашей информации, понимают, что и от кого им следует защищать.
Очевидно, одна информация более важна, чем другая. По этой причине нужно делать анализ действительного риска, которому подвергается ваша сеть. Проведена ли экспертами в вашей компании классификация информации? Приняла ли ваша компания повышенные меры безопасности в отношении информации повышенного риска? Может быть, да. Может быть, нет.
Избегать стандартных установок систем
Стандартная установка систем без проведения настроек безопасности может проводиться только при отсутствии риска для информации в сети. Ваша сеть установлена стандартно? Правильно ли это? А может быть, в вашей компании забыли простые истины?
Так же как и оценка риска, политики и процедуры настройки систем должны отражать конкретные нужды компании. В защите вашей сети могут оставаться многочисленные дыры в случае, если вы не приняли нужных мер предосторожности при установке и поддержке систем сети. Если интранет вашей компании состоит из одних стандартно установленных систем, то будьте уверены — ваша информация под угрозой.
В условиях роста компьютерной преступности изготовители вынуждены предлагать стандартные системы с легко осуществимыми настройками. Не ждите от них чудес — требуйте от вашего поставщика более высоких уровней защиты в их продуктах. Если этого потребуют все, то изготовителям придется удовлетворить эти требования, чтобы выжить.
Протестировать вашу сеть
Если вы не проверили вашу сеть на наличие дыр, то это может сделать кто-нибудь другой. Есть шансы, что этот другой будет не на вашей стороне и будет вовсе не борцом за мир во всем мире и за свободу слова в Интернете. Скорее всего, он или она окажется хакером, выискивающим секреты компаний. И хотя вы недавно провели свой аудит и убедились, что ваша сеть безопасна, ваша информация с большой вероятностью может подвергаться риску. Из своего опыта я могу почти гарантировать то, что если ваши служащие не знают, как проводить аудит безопасности, и никогда его не проводили, то ваша информация в опасности. Привлеките эксперта к проведению аудита вашей сети или приобретите правильный инструмент и обучитесь пользованию им.
Доступен широкий выбор инструментов проведения аудита безопасности. (Подробнее см. в Приложении А, «Люди и продукты, о которых следует знать».)
Не надейтесь и не притворяйтесь, что ваша сеть в безопасности. Полную уверенность можно получить только после аудита!
Изучить людей, которые знают вашу информацию
Не считайте системных специалистов, обслуживающих вашу сеть, специалистами по безопасности. Великие программисты, инженеры и системные администраторы не всегда являются хорошими защитниками информации. Различие их предпочтений и запасов знаний может давать удивительные результаты.
В особенности будьте подозрительны в отношении новых Интернет-провайдеров. Быстрый рост числа служб, обеспечивающих доступ в Интернет, оказывает воздействие на безопасность двумя путями. Во-первых, большое количество предпринимателей, имеющих благие намерения, но без опыта в вопросах безопасности (а также с малым опытом общего применения компьютеров), устремилось в провайдерский бизнес. Они строят большие планы в получении огромных прибылей при малых затратах, а то и при отсутствии таковых. И в то же время увеличение численности новых провайдеров создало бескрайнее поле новых привлекательных целей для предприимчивых хакеров.
И они их «окучивают». В феврале 2000 года какой-то тинейджер, используя уже готовые и широко доступные инструменты, запустил атаки по типу «отказа от обслуживания», которые заблокировали доступ законным пользователям на сайты Amazon, eBay и Buy.com. Хотя доступ на сайты не был полностью блокирован, все же доступ к наиболее важным страницам был закрыт. Так, участники аукциона на сайте eBay обнаружили, что не могут видеть описание выставленных предметов. Доходы продавцов соответственно упали, что отразилось и на прибыли eBay, которому пришлось любезно продлять время проведения всех аукционов, пострадавших от атаки. Подобная атака на Yahoo в том же месяце была столь интенсивной, что почти на три часа заблокировала его пользователей. Для компаний, существующих главным образом в киберпространстве, атаки по типу «отказа от обслуживания» могут стать фатальными. Британский Интернет-провайдер Cloud-Nine Communications в конце концов закрылся в начале 2002 года после того, как подвергся широкой кампании атак по типу «отказ от обслуживания». Как сказал Бернгард Уорнер (Bernhard Warner) из агентства «Рейтер», промышленные эксперты описывали это закрытие как «первый пример компании, прекратившей свое существование из-за хакеров». Может быть и первый, но определенно — не последний.
Как широко распространены подобные атаки? В 2001 году исследователи из University of California в Сан-Диего зафиксировали 12 800 атак по типу «отказ от обслуживания» в течение одного трехнедельного интервала.
Предусмотреть или потребовать необходимое финансирование безопасности
Безопасность всегда зависит от ее финансирования. Очевидно, что вы не захотите потратить на защиту какого-либо объекта больше того, чем он стоит. Поэтому вам нужно знать, какую информацию вам нужно защитить и сколько она стоит. Думайте об информации как о деньгах. Допустим, вам нужно защитить 10 миллиардов долларов. Сколько вы собираетесь потратить для их защиты? Возможно, вам следует начать с крепкого, безопасного сейфа, сигнализации и круглосуточной камеры наблюдения. Возможно, вы захотите добавить вооруженную охрану. И снова это будет зависеть от степени риска. Степень риска может определяться местоположением. В какой вы стране? В каком городе? Что по соседству? В любом случае анализ риска означает определение различных его уровней. К примеру, ваш сейф расположен в Соединенных Штатах, одном из самых безопасных государств на планете. Никаких проблем. Но подождите. Определяем конкретное место внутри Соединенных Штатов: южный район центра Лос-Анджелеса, первый этаж, общественное здание, в зале, напротив ломбарда. Уже проблема? Подобным же подходом нужно пользоваться при оценке риска для вашей информации. Детальная и методическая оценка покажет вам, что нужно защитить и какой уровень защиты вам потребуется. Первым шагом, конечно, является определение риска. Люди в TransWorld никогда не проводили оценку риска, так как считали, что риску ничто не подвергается. Они полагали, что хакер никогда не заберется в их сеть. Не думайте так же. Это приведет вас к тому, что вы окажетесь неподготовленными и уязвимыми к моменту атаки. Иммунитета нет даже у экспертов. Спросите об этом в координационном центре CERT, главный офис которого размещен в Carnegie Mellon University (CMU). Это — одна из ведущих организаций, ответственных за предупреждение общества о новых вирусах и других угрозах безопасности в киберпространстве. В мае 2001 года CERT сама подверглась атаке по типу «отказ от обслуживания». Оценка риска, знание того, как вы должны реагировать, и стремление защитить свою сеть являются главными составляющими отражения атаки, подобной этой. Анализируя стоимость вашей информации при оценке риска, берите в расчет реальную цену потери этой информации. Приведу результаты состязания Forensic Challenge, проведенного в марте 2001 года некоммерческой группой профессионалов в области безопасности Honey Project. Участники состязания должны были проанализировать реальный компьютерный взлом, кропотливо установить, к чему был доступ, и определить, какой ущерб (если таковой имелся) был нанесен.