Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
Это я говорила уже не раз и буду повторять снова и снова: часто слабым звеном в безопасности является незнание. Все технические достижения в мире будут бессильны, если персонал не обучен и попросту игнорирует имеющиеся средства защиты.
Системный администратор JFC Дэйв ясно представлял себе, что безопасность нужна. Но у него не возникло ни одной мысли, как ее настроить. Если вы окажетесь в подобной ситуации, то учитесь, как настраивать безопасность, у того, кто это знает. Ни на кого не надейтесь. Дэйв уже так поступил. Он подумал, что Фред возьмет на себя решение проблемы. К несчастью, Фред не считал обеспечение безопасности Drug 10 частью своей работы. Дэйв добился бы большего, если бы Фред научил его, как настраивать безопасность в данном случае. Еще большего Дэйв добился бы, если бы его начальник обеспечил надлежащее обучение.
Проследить весь процесс настройки
Если я вам скажу, что установлю на вашей системе безопасную конфигурацию, то как проверить, что я именно так и сделаю? Если конечная ответственность за систему лежит на вас, то потрудитесь отслеживать, как вам оказывается обещанная помощь. Используйте случай приобрести опыт по настройке безопасности, наблюдая за реальным выполнением процедур. Если у вас не было возможности присутствовать при этом, то хотя бы решительно спросите специалиста, все ли он (она) сделал в соответствии с планом. Из-за ограничений по времени, наложения приоритетов решения проблем и просто спешки не всегда нужно надеяться, что люди сделают то, что они собирались сделать.
Никогда не считайте, что проблемы безопасности решены, не проверив действительного положения.
Не подключать незащищенные системы к Интернету
Это и так известно всем, но для еще большей ясности: Никогда в жизни не подключайте незащищенный сервер базы данных к Интернету! (Если, конечно, вы не задумали в дальнейшем ходить от двери к двери в униформе вашей компании и торговать энциклопедиями…)
Контрольный список
Используйте этот список для определения того, что делается в вашей компании для контроля внешних подключений. Можете ли вы поставить «Да» напротив каждого пункта?
— Участвует ли руководство в процессе утверждения внешних подключений?
— Отслеживает ли кто-либо (предпочтительнее, кто-либо важный) внешние подключения?
— Знает ли руководство, сколько сотрудников компании и подрядчиков имеет внешние подключения?
— Выключены ли ненужные сетевые службы?
— Оценивается ли необходимость всех внешних подключений перед их утверждением?
— Проводятся ли в вашей компании профилактические аудиты для поддержания контроля над внешними подключениями?
— Обеспечивается ли достаточное обучение сотрудников, отвечающих за безопасность?
— Имеются ли процедуры по отключению соединений при прекращении работы сотрудников и подрядчиков?
— Существуют ли политики и процедуры для внешних подключений?
— Существуют ли политики и процедуры для установки брандмауэров?
— Существуют ли политики и процедуры для установки клиентских подключений (экстранет)?
— И что самое главное: отслеживается ли выполнение политик и процедур, связанных с подключениями?
Заключительные слова
Сегодня в насыщенной различными видами связи деловой среде внешние подключения стали такой же частью бизнес-структуры, как телефоны, круглосуточная доставка и межофисные низкие перегородки. На то, что ваш партнер расставил все средства защиты, просто так полагаться нельзя. Уверенность можно получить только при наличии безопасной архитектуры, правильного ее воплощения и тестирования.
McConnell Drugs поверила в то, что JFC расставило все необходимые средства защиты — средства, которые защитили бы информацию как JFC, так и McConnell Drugs. Такое доверительное рукопожатие могло бы привести к уничтожению информации и репутации McConnell, a JFC могла бы завершить свой путь в суде. Сотрудники McConnell легко могли бы «скачать» плохой файл, содержащий «троянского коня», «червя» или вирус.
Если вы все еще не знаете, какой разрушительной может быть атака вируса, то вы счастливчик. Исследование CSI 2002 года показало, что 85 процентов респондентов обнаруживали вирусы. Это неудивительно, если принимать во внимание скорость, с какой новые его «штаммы» распространяются. Как говорится в «Обзоре направлений развития атак» ("Overview of Attack Trends"), опубликованном CERT, «программы-вирусы, подобные Code Red, распространяются самостоятельно до состояния глобального насыщения менее чем за 18 часов». А ущерб? Computer Economics[26] сообщила, что общий удар, нанесенный Code Red и его «двоюродным братом» Code Red II по американской экономике, оценивается в 2 миллиарда долларов.
Внешние подключения представляют собой большую проблему и ими трудно управлять. Знаете ли вы, сколько модемных подключений имеется в вашей компании? Разрешено ли вашим инженерам устанавливать модемы в лаборатории, в которой хранится исходный код вашей программы? Если вы не можете ответить на эти вопросы, то вас может ожидать большой сюрприз.
К сожалению, даже компании с серьезными юридическими и моральными намерениями контролировать доступ часто оказываются одураченными. Аудит безопасности одной такой организации (большой больницы, где стремились закрыть доступ к конфиденциальным файлам пациентов) обнаружил в ней 75 неразрешенных модемов. Почти в каждом случае врач или администратор, обладающие достаточной пробивной силой, находили обходный путь вокруг политики, предусмотренной для внешних соединений. Для того чтобы быть полезными, политики безопасности должны быть применимы к каждому без исключений. Политики с правилами, которые легко «объехать», не стоят даже бумаги, на которой они написаны.
Защита вашей системы от атак требует большего, чем «честное слово и одно крыло».[27] Она требует обучения, решительности и сильного стремления к контролю над доступом к вашим системам. Анализируя контроль за доступом в вашей компании, убедитесь, что правила являются действительно правилами, а не общими директивами, которые сотрудники могут свободно игнорировать при малейшем ощущении их неудобства.
Глава 5
Обучение безопасности
Всегда существовал большой разрыв между тем, что пишут о безопасности, и тем, что действительно происходит в реальном мире, — никто и никогда не будет говорить о том, как их взломали, о значительном инциденте, связанном с безопасностью, о множестве проблем, выявленных последним аудитом безопасности, и о том неприятном факте, что политики безопасности в их организации нет.
Дэн Фармер, исследователь в области безопасностиВы быстро поднимаетесь по служебной лестнице. Причина этого кроется не в том, что вы приятели с генеральным директором. Вы действительно являетесь генератором блестящих идей, которые всегда помогают удерживать вашу компанию впереди конкурентов. Вы не зазнались. Но вы уверены в успехе, сильны и видите перспективу. Клиенты, желающие, чтобы их дела шли наилучшим образом, обращаются к вам, и ваши результаты можно оценить докторской степенью.
В последние месяцы ваши идеи лились рекой. Вы так были увлечены работой, что даже не задумывались о том, что все блестящие идеи по вашему бизнесу, планы и результаты разработок, стратегии победы в конкурентной борьбе хранятся в одном мощном персональном компьютере.
Сегодня утром ваш секретарь сообщила вам, что она подготовила материалы для доклада на совете директоров. Вы благодарите ее и думаете о том, как вам повезло получить себе в помощники эту отличную студентку летних курсов университета по управлению бизнесом. Вы закрываете сессию на вашем компьютере, забираете материалы для доклада и идете на совет директоров.
Но вы даже не предполагаете, что ваш любимый будущий мастер делового администрирования[28] тайком собирает все ваши блестящие идеи и секреты компании. Она — шпионка! Более того, она является подпольным экспертом по безопасности мирового класса и может выуживать информацию из ваших систем, не оставляя после себя ни малейшего следа своего посещения. У вас не будет ни одной улики в том, что она зашла прямо в «переднюю дверь» вашего компьютера и украла ваши идеи.
Как и любой промышленный шпион, ваш секретарь продает информацию конкурентам. На этот раз деньги достанутся ей без большого труда. Ваши системные администраторы настроили системы так, что каждый может легко прочитать, изменить, уничтожить или украсть информацию в вашей сети. Они не позаботились об установке средств контроля за работой систем и обнаружения вторжения, поэтому никто не узнал о существовании бреши в безопасности. Вы думаете, что я рассказываю фильм недели? Не заблуждайтесь.
