Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
Чарльз считал свою финансовую сеть безопасной. В конце концов, разве не за это платят системным администраторам? Как они могли проявить такую безответственность? И почему они не заметили брешь в защите до того, как информация не была раскрыта через Интернет?
Но Чарльз забыл главный принцип распределения ответственности. В конечном счете именно руководитель его уровня несет ответственность за надежность и целостность информации в корпоративных сетях, а не системные администраторы. Финансовые аудиторы и акционеры, в частности, привлекают к ответственности именно руководящих работников. Если прогнозы доходов выставлены на общее обозрение в Интернете, то финансовые аудиторы, акционеры и репортеры служб новостей преследуют высшее руководство, а не системных администраторов.
Для лучшей иллюстрации роли руководителей в компьютерной безопасности давайте взглянем поближе на события, происходящие до и после того, как была раскрыта финансовая информация ISD.
День 1-й: Незащищенные системы
По требованию Чарльза для проведения аудита безопасности был немедленно вызван Мартин Паттерсон, собственный эксперт ISD по безопасности. Мартин был одним из пяти сотрудников группы безопасности в ISD и, бесспорно, лучшим гуру по вопросам безопасности в компании. Он относился со всей серьезностью к любому пробелу в безопасности и всегда ставил реагирование на инциденты выше остальных своих задач. Обычно Мартин оставлял все свои дела и набрасывался на каждый инцидент, касающийся безопасности, со свирепостью питбуля.
Мартин начал аудит с зондирования информации финансовых систем и тестирования сети на наличие дыр. Менее чем за полчаса Мартин обнаружил потрясающие факты. Для компании, в которой так много говорилось о приверженности к безопасности, действительное состояние дел оказалось ужасающим.
Мартин обнаружил, что системы компании были установлены стандартным способом, без настройки безопасности. Наиболее ответственные системы были обезличены и плохо защищены, что превращало всю сеть в зону повышенного риска. Более того, в защите сети было так много дыр, что под конец рабочего дня к ней можно было подобраться «на расстояние выстрела». И такие системы хранили самую секретную финансовую информацию компании!
Далее Мартин узнал, что системы были широко открыты и не имели контрольных или отслеживающих механизмов. Это облегчало доступ и сводило к нулю шансы быть пойманным. Любой с самыми небольшими знаниями в области безопасности мог приятно провести целый день в этой сети.
Чарльз также попросил Мартина найти источник посылки электронного письма с прогнозами доходов. Поэтому после тестирования систем Мартин попытался отследить путь электронного письма. Он предполагал, что его попытки будут бесплодными. Так и оказалось. Мартин зашел в тупик, пытаясь установить «дом» хакера.
Хотя финансовый директор не мог поверить в то, что путь электронного письма нельзя отследить, для меня в этом не было ничего удивительного. Довольно легко можно обмануть Sendmail и создать иллюзию, что электронное письмо послано от кого-то другого. С таким заданием легко могла бы справиться моя 13-летняя сестра Лаура.
В любом случае имитация адреса отправки почты почти всегда заводит преследователя хакера в тупик. Когда вы сталкиваетесь с этим, то лишь оцениваете умение хакера изобретать доменные имена и идете дальше. То же сделал и Мартин.
Мартин завершил аудит и объединил полученные результаты в конфиденциальном отчете для руководства. Теперь нужно было подготовиться к самому трудному - как представить отчет руководству. К счастью, прошли те времена, когда гонцу за плохие вести отрубали голову. Но еще остались топоры в переносном смысле. При докладе о высоком риске безопасности вас может ждать неприязнь начальства или понижение с такой же вероятностью, как и похлопывание по плечу. Мартину повезло — Чарльз похлопал его по плечу.
Оценив тщательность работы, проделанной Мартином, Чарльз вместе с тем был абсолютно поражен ее результатами. Чарльз был крайне уверен в том, что все системы сети были защищены. Так же считали и все другие руководители. И все же аудит показывал, как легко информация могла быть изменена, украдена или уничтожена без оставления хотя бы одного следа для поимки взломщика. Чарльз поблагодарил Мартина за предоставленные факты (Майк даже стал как бы героем!) и немедленно отдал распоряжение подчиненным ему менеджерам исправить положение.
Год спустя: Неавторизованный доступ продолжается
В течение следующего года произошло несколько успешных взломов интранет ISD (успешных для хакера, разумеется). Единственной положительной стороной в них было то, что Чарльз получил сообщения о взломах от руководителя внутреннего аудита ISD, а не от CNN.
Не допустить, чтобы факты взломов попали в заголовки газет, является главной целью финансовых директоров. Осуществление этой цели значительно труднее, чем кажется. Многие хакеры сегодня считают высшим шиком передать отчет о своем взломе непосредственно агентствам новостей. Хакерам известно, что сопутствующий вред от плохой рекламы может быть больше, чем ущерб, причиненный самой атакой. Поэтому в некоторых случаях вызвать затруднения, связанные с опубликованием факта атаки, является истинной целью атаки. Чарльзу удалось относительно без шума решить эту проблему.
Несмотря на такую удачу, Чарльз оставался в плохом положении. Он был разъярен и не переставал удивляться, что в его сети оставались дыры. Разве он не приказал своим сотрудникам устранить проблему еще в прошлом году? Может быть, кто-то не выполнил его указаний? Теперь Чарльз стал искать головы. И я не думаю, что они ему нужны были для расширения штата сотрудников. Он хотел положить их на плаху.
В это время Чарльз встретился с директором по информационным технологиям и руководителем внутреннего аудита компании для обсуждения имеющихся рисков для безопасности. Они решили, что пришло время нанять независимого аудитора безопасности. И здесь на сцене появляюсь я.
Рисуя общую картину, я опиралась на опыт ранее проведенных аудитов. Это — большое преимущество! Обычно аудитор тратит много времени на интервьюирование сотрудников, про смотр схем сети и зондирование информации для определения незащищенных систем.
Я знала, какие системы были уязвимыми, из прошлогодних проверок, поэтому они казались мне местом, с которого я должна была начать тестирование. Первой и главной причиной такого подхода была возможность показать статистику, опираясь на твердые факты. Руководители любят статистику. Все, что я могла поместить в график или круговую диаграмму, было мне на руку, и я знала, что подача информации руководителям в таком виде прибавляла мне вес.
Большинство руководителей, с кем я работала, были очень сообразительными. Но перед ними проходил очень большой поток информации, и им была нужна точная и понятная информация, суть которой умещалась на одной странице. Итоговый отчет для руководства должен передавать мысль с первого взгляда. Добавлю, что многие отчеты об аудите безопасности, которые я видела, вызывали во мне бурю негодования. Плохо написанный и оформленный отчет, представленный на быстрый просмотр руководителю высшего уровня, не только не имеет смысла, но и перечеркивает всю пользу от проделанного аудита. Так как необходимость устранения риска и получение на это денег очень часто идут бок о бок, то важно, чтобы высшее руководство поняло степень риска и его возможные последствия.
Отчеты, представляемые вышестоящему руководству, должны быть короткими (в идеале — в одну страницу и никогда больше двух), легко читаемыми и легко понятными.
Результаты моего аудита позволяли легко передать их смысл руководству. Я уже представляла, как будет выглядеть график, еще до начала проведения аудита. Я решила показать процентное отношение незащищенных мест, найденных в прошлом году, к найденным сейчас. Это было бы замечательно! Я запомнила эту мысль и начала аудит.
Знакомясь с отчетом по аудиту, составленным Мартином в прошлом году, я обнаружила, что его трудно читать. В нем сообщалось обо всех рисках, но техническим языком и без каких-либо логических связей. Если бы руководство получило этот отчет, то оно бы не знало с чего начать. Я потратила больше времени, чем планировала, чтобы докопаться до полезной информации в отчете.
Разобравшись с отчетом Мартина, я поняла, с какими системами финансовой сети связан наибольший риск. Я прозондировала вначале информацию этих систем. Затем сняла копию таблицы паролей и запустила программу Crack. Мне нравится начинать аудит с взлома паролей, потому что я хочу увидеть, как много можно их взломать с первого захода. В таблице содержалось 520 паролей пользователей — это довольно много. Поэтому мне, возможно, удастся взломать некоторые из них. И мне удалось. Просмотр файла crack.out показал, что 10 паролей были угаданы с первого раза. Я столько и ожидала. Оставив просмотр дальнейших результатов программы Crack на более позднее время, я сосредоточилась на аудите систем повышенного риска.