Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
Какие были показаны результаты? Взломщик менее чем за минуту вторгся в университетский компьютер через Интернет и находился в нем менее получаса. Но поиск того, что он наделал за это время, занял в среднем у каждого участника состязания более 34 часов. В реальной ситуации пострадавшие компании выплатили бы специалистам по 2000 долларов. Подобное неравенство, выявленное в проведенном состязании Forensic Challenge, еще раз подчеркивает большую стоимость «чистки» после того, как взломщик скомпрометировал сеть,[11] говорит Дэвид Диттрич (David Dittrich), старший инженер по безопасности в University of Washington и главный судья состязания. По его оценке, если бы у штатных сотрудников не хватило опыта и был бы приглашен консультант со стороны, то эти 34 часа обошлись бы компании примерно в 22 000 долларов.
Не экспортировать глобальные разрешения чтения/записи
Не делайте этого! Разрешения на доступ к файлам, устанавливающие, кто может читать и изменять файл, — очень простое понятие. Главное заключается в том, что чем больше вы предоставляете доступа к файлам вашей системы, тем выше риск того, что эти файлы будут изменены, уничтожены или украдены. Если вы предоставляете возможность всему миру читать вашу информацию и иметь к ней доступ, то рано или поздно кто-нибудь сделает это таким способом, которого вы не желали, не предполагали и не представляли себе. Такую ошибку сделали парни из Trans World.
Я видела много прорех в безопасности, но эта заслуживает главного приза. Я впервые увидела, как кто-то экспортирует разрешения чтения/записи файловых систем (глобальные) через Интернет. И хотя это была чрезвычайная ситуация, я далее сталкивалась с избыточностью разрешений на доступ к файлам снова и снова. В чем причина? Системные администраторы часто не ограничивают разрешения на доступ к файлам. Иногда они просто не знают, как это делать. В других случаях они слишком заняты, чтобы об этом беспокоиться. Но беспокоиться нужно!
Стереть старые учетные записи
Обновляйте ваше системное хозяйство. Учетные записи неактивных пользователей, как, например, записи уволенных или долго отсутствующих сотрудников, представляют широко распространенный вид риска для безопасности. Как раз такой учетной записью воспользовался взломщик в TransWorld.
Хакеры могут легко воспользоваться неактивными учетными записями для хранения информации, как, например, взломанных паролей. Изменения в пользовательских файлах трудно обнаружить, так как владельцы их не просматривают. Во избежание такой проблемы убедитесь в том, что удаление или отключение неактивных учетных записей делается регулярно.
Тестировать пароли
Надо отдать должное — люди из TransWorld хорошо позаботились о паролях. Из 1000 учетных записей пользователей я смогла взломать лишь четыре пароля. Правда, это на три пароля больше, чем мне было нужно! Не ждите, когда хакер пройдется по вашим паролям и взломает их. Запускайте программу-«взломщика паролей» (password cracker) в ваших файлах с паролями и учите ваших пользователей тому, как выбрать надежный пароль.
Пароли образуют первую линию обороны против неавторизованных пользователей, и их взлом является одной из самых популярных форм компьютерной атаки. Хороший пароль не может быть обычным словом. Его легко взломать, найдя это слово в словаре. Хороший пароль должен представлять собой выражение, не являющееся словом (nonword). Учите своих пользователей, как выбрать хороший пароль, не являющийся словом и удобный для запоминания.
Системным администраторам также нужно проверить, насколько надежно выбрали пароли их пользователи, при помощи программы, названной "Crack". Если вы — системный администратор и не имеете копии программы "Crack", то постарайтесь получить ее, так как хакеры уже ее имеют. Гарантирую!
Перед запуском "Crack" или другого «взломщика паролей» в сети вашей компании, убедитесь в том, что не нарушаете политики безопасности вашей компании. Использование "Crack" в системе, к которой у вас нет доступа, может стоить вам работы, большого штрафа или даже привести в тюрьму.
Сделать исправления программ (патчи), повышающие безопасность
Нет идеальных систем. Во всех есть дыры, которые нужно залатать. При установке любой системы в сети нужно устанавливать и патчи безопасности в них (в операционные системы). Также необходимо установить патчи безопасности, предусмотренные для решения известных проблем в коммуникационных программах (таких, как Netscape Navigator, Java, HTML и т. п.). Если ваша сеть велика и вручную вам с этим не справиться, то подумайте об установке программного обеспечения, позволяющего ставить патчи в автоматическом режиме.
Выполнять политики и процедуры
Как минимум, должны разрабатываться и совершенствоваться политики и процедуры для установки систем, обслуживания информации и обеспечения основной физической безопасности. Если у вашего системного администратора не будет системных политик и процедур, то системы после установки могут иметь рискованные настройки. Это случилось в сети TransWorld. У них не было ни политик, ни процедур настройки безопасности, и система после установки была подвержена риску.
Если вся ваша сеть после установки имеет настройки с высоким уровнем риска, то последующий перевод системы на требуемый уровень безопасности будет связан со значительными затратами времени и людских ресурсов. Для того чтобы этого избежать, убедитесь в том, что ваши системы не остались в состоянии стандартных настроек и без необходимых политик и процедур. Подробнее о политиках и процедурах см. главу 8, «Безопасность внутренних сетей».
Использовать экспертов
Привлечение экспертов со стороны не является признаком слабости вашей группы. Напротив, это признак здравомыслия! Пока ваша компания невелика, вам, возможно, не требуется штатный эксперт по безопасности на полный рабочий день. Поэтому имеет смысл, чтобы не раздувать штат и сберечь ресурсы, при необходимости привлекать эксперта на временную работу. Но не ждите, когда вся сеть выйдет из-под контроля.
Не так давно я беседовала с руководителем информационной службы компании, входящей в список Fortune 500. Я сообщила ему, что от инженеров и руководящих работников его компании я узнала о нескольких рискованных настройках систем в их сети. Им следовало бы нанять аудитора безопасности и протестировать их сеть. Я сказала, что аудит не обойдется им дорого и позволит точно узнать, какому риску они подвергаются. Ответ руководителя информационной службы был необычным. Он сказал: «Линда, это как если бы из моего самого дорогого костюма вытащили одну нитку. Ничего не стоит это сделать, но последствия будут дорогими». Я поняла его так, что по-настоящему дорогим будет не аудит, а «чистка» выявленных во время него зон риска. Проблемой при таком подходе будет то, что рано или поздно кто-то будет готов выдернуть эту нитку. Вопросами будут (кроме «Когда?»): «Кто?» и «С какой целью?». Надеюсь, что на вопрос «Кто?» будет ответ — аудитор, а не хакер, а на вопрос «С какой целью?» — анализ риска, а не выискивание возможной добычи.
Обучать использованию
Безопасность не является предметом, на который обращают внимание большинство технических специалистов или системных администраторов в учебных заведениях или при практической подготовке. Обеспечьте, чтобы ваши сотрудники имели хотя бы базовую подготовку. Помните, что проблемы безопасности не стоят на месте. Поэтому занятия по безопасности многолетней давности — не в счет.
Одной из проблем в TransWorld было то, что Джордж и Натан занимались (предположительно) защитой информации клиентов, не обучившись этому предмету в течение хотя бы одного часа. Это сумасшествие! Добейтесь, чтобы ваши сотрудники были обучены тому, как обеспечивать безопасность обслуживаемых ими систем.
Контрольный список
Используйте этот контрольный список для определения того, рискует ли ваша компания из-за стандартных установок систем. Можете ли вы поставить «Да» напротив каждого пункта?
— Знаете ли вы, что пытаетесь защитить в вашей сети?
— Участвует ли руководство в оценке риска?
— Имеются ли политики и процедуры для настройки систем?
— Охватывают ли эти политики и процедуры разрешение доступа к файлам, пароли и установку патчей?
— Имеется ли политика, охватывающая физическую безопасность?
— Все ли учетные записи пользователей имеют пароли?
— Были ли изменены учетные записи, по умолчанию установленные во время установки системы?
— Входит ли в политику запрещение гостевых учетных записей, установленных по умолчанию?
— Регулярно ли отключаются неактивные учетные записи?
