Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
Первое издание этой книги не являлось единственным источником для моих рассуждении о глубинах информационной безопасности. И все же его я часто рекомендовал студентам и коллегам, желающим углубить свои знания о безопасности, и они находили эту книгу поучительной. Это еще одно ее отличие от толстых книг, в которых перечисляются вебсайты с хакерскими инструментами и дается сомнительный совет: «Эта книга в корне изменит ваше представление о безопасности». Если вы ищете одну из таких книг по безопасности, то мой совет будет заключаться в том, чтобы вы не откладывали эту книгу в сторону… по крайней мере, пока ее не прочитаете.
Юджин X. Спаффорд.
Декабрь 2002 года
Благодарности
Я выражаю особую признательность моему редактору Денизе Уэлдон-Сиви. Мне никогда бы не удалось закончить книгу без нее. Ее идеи, вдохновение и энтузиазм придали особую окраску этой книге. Рэндалл Миллен воодушевил меня на написание первой страницы и оказывал мне постоянную поддержку.
Я также глубоко благодарна моему издателю и его персоналу, включая Рэйчел Борден из Sun Microsystems Press, Джона Бортнера из SunSoft marketing и редактора Грега Дунча из Prentice Hall. Я благодарю их за поддержку и работу по координации деталей, оставшихся за сценой.
Дэн Дж. Лэнджин написал раздел «Юридические обязанности по защите информации и сетей» для 11-й главы.
Конечно, я должна также поблагодарить моего прежнего работодателя Sun Microsystems. Особую благодарность я испытываю к техническому директору Sun Эрику Шмидту, за создание обстановки, в которой поощрялись творчество и тяга к знаниям. Среди его сотрудников я особо хочу поблагодарить Хамфри Поланена.
Многие из экспертов по компьютерной безопасности отдавали мне свое время и делились ценной информацией, чтобы научить меня хитростям своей профессии. Мне бы хотелось сказать спасибо Мэтью Арчибальду, Касперу Дику, Дэну Фармеру, Алеку Маффетту, Брэду Пауэллу и Маркусу Рануму.
Специалисты из других областей также нашли для меня время в своей занятой жизни, чтобы сделать общие замечания, предложения и оказать поддержку. Этими щедрыми людьми, в алфавитном порядке, являются: Диана Браунинг, доктор Том Хафкеншил, Сьюзен Ларсен, Джон Маккарти, Тим Мерфи, Мишель Парри, Ричард Пауэр, Боб Шотвелл, Стив Смаха, Джин Спаффорд, Кейт Уотсон и Дебора Ярборо.
Наконец, я хочу выразить признательность всем моим друзьям и семье за неиссякаемые вдохновение и поддержку.
Спасибо!
Об авторе
Линда Энн Маккарти является признанным авторитетом в области технологий безопасности, а также писателем и «глашатаем» данной отрасли. Кроме того, Маккарти — руководитель службы консультантов по вопросам безопасности отдела технического директора в Symantec Corporation. Совсем недавно Маккарти занимала пост вице-президента по системным разработкам в Recourse Technologies, компании по разработке программ для обнаружения, поимки и отслеживания хакеров.
До этого Маккарти была старшим вице-президентом в NETSEC, компании, предоставляющей услуги по управляемому обнаружению вторжения и реагированию на него. Еще раньше она работала менеджером по исследованиям и разработкам в области безопасности в Sun Microsystems и была основателем Network Defense Fund.
По просьбе руководителей компаний Маккарти взламывала системы в их корпоративных сетях и показывала, как легко можно получить доступ к секретам компании, обрушить промышленные системы и даже вызвать катастрофу в их глобальных операциях. Вместо этого она направляла свои знания на обучение менеджеров тому, как избегать подобных бедствий.
Линда вела несколько учебных курсов в Sun Microsystems по архитектуре аппаратных средств, системному администрированию и безопасности UNIX.
Введение
Век массового подключения очень агрессивен. Поток свободно перемещающейся во всех направлениях информации и электронная коммерция, вышибающая все новые двери, больше не позволяют нам обходиться в сетевой защите одним только хорошим брандмауэром при подключении к Интернету.
Я затратила много времени, проводя аудиты безопасности распределенных сетей. Во многих случаях я обнаруживала, что информация могла быть легко изменена, украдена или уничтожена и при этом не оставалось бы следов произошедшего инцидента. Системные администраторы и другие «полномочные представители» знали, что настройка защиты их систем не была проведена. Но они не знали, каким высоким оставался при этом уровень риска. Также не знали об этих рисках и руководители компаний.
Эта книга научит вас, как избежать их ошибок. Если вы являетесь руководителем высшего уровня, менеджером, системным администратором или любым другим сотрудником, отвечающим за безопасность сети, то вы должны занять активную позицию в этом вопросе.
Не делайте тех же ошибок, что и эти люди. Это может вам стоить вашей компании.
Об этой книге
То, что вы собираетесь прочитать, не является плодом моего воображения. Здесь собраны описания реальных аудитов. Каждая глава посвящена отдельному аудиту, который я проводила в реальной, живой, функционирующей компании. Если бы я использовала действительные названия компаний, то вы, вероятно, узнали бы среди них своих партнеров по бизнесу.
Конечно, я не использовала действительных названий компаний, имен сотрудников или других участников событий по очевидным юридическим и этическим причинам. Но я привела здесь реальные факты, касающиеся риска и моего подхода к аудиту в каждом конкретном случае.
Читайте внимательно, особенно если вы являетесь руководителем верхнего уровня, линейным менеджером, системным администратором, юристом или профессиональным представителем правоохранительных органов. Описываемые риски являются рисками, которые вы должны себе представлять.
В любом случае реальные риски кроются не только внутри операционных систем. Серьезные риски скрываются в способах установки систем, проведения настройки, технической поддержки и управления. Именно эти факторы главным образом определяют риск для вашей компании.
Указывая на эти риски, я надеюсь, что люди, отвечающие за информацию в сетях, начнут занимать активную и вдумчивую позицию в обеспечении безопасности.
Как устроена эта книга
Хотя все описываемые аудиты являются реальными, я начинаю каждую главу с выдуманной истории, рассказанной от первого лица. Работая в различных компаниях, я начала понимать, что большинство людей станут воспринимать безопасность серьезно только тогда, когда что-либо произойдет с их системами, их информацией и их компанией, — это одна из причин, по которой детское «Я» остается в людях на всю жизнь. Я ввожу читателя в каждую из этих историй для передачи ощущения того, что это может случиться с вашей информацией и с вашей компанией.
В следующем разделе каждой главы описываются действительные риски для безопасности, которые я обнаружила при проведении аудита. В этом разделе также объясняется происхождение этих рисков. Это ведь не происходит так, что не успели вы проснуться утром, как узнали, что защита вашей сети в самовольной отлучке. Бреши в защите обычно образуются по недосмотру или из-за плохого планирования в течение длительного времени. В этом разделе объясняется, каким образом можно дойти до такого состояния.
В последнем разделе каждой главы «Мы пойдем другой дорогой…» вам будет, главным образом, рассказано о том, как избежать подобных проблем. Я надеюсь, что вы прочитаете эти разделы внимательно и близко к сердцу воспримете мои рекомендации.
О хакерах
На протяжении всей книги я использую термин «хакер», чтобы обозначить того, кто получает неавторизованный доступ к системам и информации. Некоторые специалисты используют для этого термин «кракер» (cracker), замечая при этом, что некоторым программистам нравится называть себя «хакерами», в то время как они являются в действительности составителями программ высшей квалификации и не склонны к преступной деятельности. Я все же решила использовать термин «хакер», так как он более распространен за пределами круга экспертов по безопасности, и любому выбравшему эту книгу он будет понятен.
Я присвоила «хакеру» мужской пол, и, хотя им может быть и женщина, я не хотела надоедать, часто употребляя оборот «он или она».
Наконец, эта книга о хакерах, но не для них. Если вы являетесь начинающим хакером (wanna-be), то вам не удастся в этой книге научиться взлому систем. Вам лучше поставить книгу обратно на полку.
Глава 1
Отражение атак
Обнаружение, изоляция и устранение инцидентов во многом напоминают обезвреживание взрывных устройств — чем быстрее и лучше вы это проделаете, тем меньший урон нанесет инцидент, связанный с безопасностью системы.