Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
Использовать программы обнаружения взлома
Программы-детекторы не могут со 100-процентной вероятностью обнаруживать взломщика, но они являются хорошим началом. Программы-детекторы могут дать вам лучшее представление о масштабе угрозы, с которой вы столкнулись. В течение 2000 года в Пентагоне обнаружили 245 успешных кибератак. Так как в Пентагоне были внедрены хорошие механизмы обнаружения, то его должностные лица знали о том, что вместе с тем было 24 000 безуспешных атак. Знание их количества дало более ясную картину реального риска.
Ваша информация может быть не столь привлекательной, как хранящаяся в Министерстве обороны, но не полагайтесь на это. А если вы подключились к Сети, то вряд ли будете в большей безопасности. В своем исследовании, проведенном в декабре 1996 года, Дэн Фармер (известный гуру в вопросах безопасности и соавтор таких программ, как SATAN) установил, что уровень использования программ-детекторов угрожающе низок. Дэн провел несанкционированное исследование с целью прозондировать состояние защиты коммерческих веб-сайтов. Из более 2000 сайтов, зондируемых им без уведомления, оказалось только три сайта, владельцы которых связались с ним и спросили, что он делает! Удивитесь ли вы тому, что ваш сайт был частью этого исследования?
Улучшилось ли положение с тех пор? Не настолько, как я ожидала (или мне хотелось бы). По оценке таких экспертов, как, например, поставщик средств защиты Spectrum Systems, все еще обнаруживается только 1 процент от успешных или предпринятых компьютерных атак. Главное изменение состоит в том, что сегодня стало больше онлайновых коммерческих целей и стало больше использоваться веб-сайтов для обмена финансовыми средствами и информацией. Информация о вашем местном хозяйственном магазине, может быть, и не имеет большой привлекательности, но зато информация кредитных онлайновых карточек его клиентов, скорее всего, ее имеет.
Реагировать быстро!
Быстрая реакция на взлом администратора брандмауэра и администратора группы обеспечения безопасности Global Chips объясняется тем, что их действия были отлажены реагированием на многочисленные взломы. Будем надеяться, что вы никогда в таком положении не окажетесь.
В идеале процедура реагирования на чрезвычайную ситуацию должна разрабатываться и использоваться для тренировок только в режиме «оффлайн» и не применяться для решения ежедневно возникающих проблем. Очень важно разработать и передать администраторам процедуру реагирования до того, как она действительно понадобится. Пока взлом не произошел, нужно точно расписать роли и обязанности каждого сотрудника. Если вам очень повезет, то вы, может быть, никогда не воспользуетесь этой процедурой. Но не рассчитывайте на это!
Требовать подтверждений безопасности
В своем Special Report on Security[44] на сайте Computerworld Пол Страссман (Paul Strassman) поясняет: «Усовершенствование безопасности системы, проектирование которой основывалось на презумпции невиновности и честности, часто оказывается слишком дорогим или запоздалым, чтобы его стоило проводить». Чтобы избежать такой ситуации, не полагайтесь на то, что все идет гладко.
Global Chips повезло из-за того, что ее директор по информационным технологиям была информирована о происходящих взломах. Когда их количество возросло, она потребовала установить причину происходящего. Вашей компании может так не повезти, если вы не имеете хороших процедур эскалации[45] и не в курсе состояния безопасности вашей среды. Знаете ли вы, в каком состоянии находится ваш брандмауэр? Сколько ему лет? Кто его поддерживает? Имеются ли политики и процедуры? Если вы являетесь менеджером высшего уровня, то потребуйте доказательств состояния безопасности (итоговый отчет для руководства).
Проводить аудиты
Не успокаивайтесь после установки брандмауэра. Правда заключается в том, что эффективность брандмауэра ограниченна. Брандмауэр не защитит вас от разрушительного действия плохо определенных ролей и обязанностей, от сотрудников с наплевательским отношением к безопасности, от бесконтрольного удаленного доступа, плохого обучения сотрудников и т. п. Маркус Ранум сказал: «Брандмауэр не может защитить вас на самом деле еще от одной вещи… от идиотов внутри вашей сети». Для сохранности вашей информации обеспечьте каждому сотруднику хорошее обучение и твердые знания их ролей и обязанностей.
Также нужно обеспечивать проведение аудитов. Профилактические аудиты являются важной частью выявления проблем, пока о них не узнал хакер. Вы должны проводить тестирование вашего брандмауэра как из интранет, так и из Интернета. Тестирование на проникновение покажет вам способность вашего брандмауэра отогнать непрошеных гостей. Если вы не проверите эффективность вашего брандмауэра, то не сможете быть уверены в том, что он действительно работает.
Углублять знания
Понимать, как работает брандмауэр, должен не только администратор брандмауэра. Руководителям тоже нужно знать о рисках, связанных с поддержкой брандмауэра, расположенного между вашей сетью и Интернетом, иначе их выбор может создать угрозу репутации компании, конфиденциальной информации и финансовым результатам.
Я не имею в виду, что вам нужно знать каждую мельчайшую деталь, но руководители должны понимать, какие средства безопасности они используют, какие еще средства есть, а каких не хватает.
Контрольный список
Используйте этот список, чтобы выяснить, правильно ли в вашей компании определены роли и обязанности по обеспечению безопасности. Можете ли вы поставить «Да» против каждого пункта?
— Четко ли определены роли и обязанности по обеспечению безопасности?
— Поручено ли кому-либо регулярно проводить аудит брандмауэра?
— Поручено ли кому-либо при необходимости проводить модернизацию брандмауэра?
— Все ли руководители понимают роли и обязанности по обеспечению безопасности — как свои, так и своих подчиненных?
— Есть ли у персонала технической поддержки конкретные предупредительные процедуры, которые он выполняет? (Обеспечьте, чтобы работа вашего персонала не сводилась к одному только реагированию.)
— Поручено ли кому-либо регулярно проводить тестирование брандмауэра на проникновение из Интернета? (После каждых существенных изменений или модернизации брандмауэра необходимо проводить новое тестирование.)
— Достаточно ли финансируется администрирование брандмауэра?
— Достаточно ли финансируется модернизация и плановая техническая поддержка брандмауэра?
— Установлены ли программы по обнаружению вторжения в сетях и системах?
— Установлены ли программы контроля в особо критичных системах?
— Определены ли ясно и официально роли и обязанности по реагированию на чрезвычайные ситуации?
— Распространяется и используется ли опыт, полученный при взломах, для создания лучших процессов? (Изживайте сокрытие информации среди вашего персонала.)
— Установлена ли защита от вирусов в каждой точке входа?
Заключительные слова
Когда дело касается обеспечения безопасности, то роли и обязанности должны быть четко определены. Так как каждая компания имеет свою структуру технической поддержки, то эти роли и обязанности могут быть различными (даже в соседних подразделениях) в разных компаниях. Важным здесь является то, что роли должны закрепляться документально и что каждый сотрудник должен знать, каких действий от него или от нее ожидают.
Когда вы определите роли ваших сотрудников на бумаге, то вы сможете увидеть, имеются ли участки работы, как, например, процедуры для брандмауэра, за которые никто не отвечает. Если бы в Global Chips сделали хотя бы это, то Джозеф и Карл потратили бы меньше времени, реагируя на взломы. Работа в Global Chips отличалась особой тщетностью, так как обыкновенный просчет поставил их сеть в поле зрения упорного (и упорно-надоедливого) хакера.
Ни одна сеть не должна становиться заложницей хакера. Именно это произошло в случае с CloudNine Communications. После непрекращающихся атак по типу «отказа от обслуживания» один из старейших Интернет-провайдеров Британии закрыл свои двери и отдал своих клиентов конкуренту. Возможно, самой досадной стороной этой истории является то, что преступник по-прежнему остается на свободе, — это следует помнить, когда вы станете решать, стоит ли модернизировать ваш брандмауэр.
Общее назначение брандмауэра — это не впускать хакера. Но брандмауэр — это лишь один кирпичик в хорошо построенной структуре безопасности. Оставленный в одиночестве, не подкрепленный четко определенными ролями и обязанностями, эффективными политиками и процедурами и технической поддержкой, он долго не продержится.
