Текст книги "IT-безопасность: стоит ли рисковать корпорацией?"

Автор книги: Линда Маккарти

сообщить о нарушении

Текущая страница: 11 (всего у книги 22 страниц)

Первая фаза: Физическая безопасность

Чтобы начать игру, я должна была надеть костюм и исполнить свою роль. Моей целью было проникнуть в компьютерный зал без получения официального разрешения. Надев костюм, я попала в точку – я выглядела как своя.

Мария предложила мне пропуск в компьютерный зал, но я отказалась. Важной стороной моего аудита будет определение возможности, не вызвав подозрений, проникнуть в зал. Для этого я и принарядилась.

Вторая фаза: Прохождение через систему физического контроля

Я попросила Марию побыть в моем офисе и ждать моего звонка, если меня не пропустят. Легко было видеть, что мой подход ей понравился. (Ей самой, наверное, хотелось пойти со мной и посмотреть, что будет. Но она понимала, что у меня ничего не получится в ее присутствии.) Если я пройду, то одно это будет говорить многое о состоянии безопасности. Ведь положение дел, при котором любой сможет пройти в компьютерный зал, не имея на то полномочий, означало бы высокую степень риска. В случае моей удачи Мария уже бы окупила свои расходы. Все другие риски, какие я бы нашла, были бы лишь глазурью на пироге.

С такими мыслями я начала спускаться в компьютерный зал, расположенный в подвале. Согласно документам, я должна была иметь нагрудный знак с разрешением на вход. Но я просто сняла трубку телефона у входа и подождала, когда парень в компьютерном зале мне ответит. Я сказала ему, что прислана внутренним аудитором для проверки некоторых систем. Он немедленно открыл первую дверь и впустил меня. На входе в компьютерный зал было два комплекта дверей и, следовательно, два уровня безопасности. Но когда я прошла и вторые двери, то поняла, что ни один из этих уровней не действовал. Назвав себя, сотрудник вернулся к телефону, по которому он продолжил прерванную мной беседу. Задание выполнено. Он обманут. Я выглядела официально. Я пробралась.

Серверы были расположены аккуратными небольшими рядами, и место выглядело чистым. Не было видно ни клочка бумаги. В принтерах тоже ничего не оставалось. Даже на полу не было ни пятнышка. С потолка не свисало кабелей, должно быть, их спрятали под пол. Можно было сказать, что эти парни здорово потрудились над внешним видом компьютерного зала.

Я прошлась вдоль рядов серверов, высматривая монитор, на котором бы не закрыли сессию. Бесполезно. Мне придется забираться в сеть другим способом. Я поблагодарила впустившего меня парня, одарила его улыбкой и вышла.

Даже если я не смогла легко получить доступ к информации, пробравшись в компьютерный зал, я могла бы оставить бомбу и разрушить всю систему управления. Как знать. Вот поэтому и нужна надежная физическая защита.

Хотя их физическая безопасность оставляла желать лучшего, Rockland Genera! имела очень чистый компьютерный зал. По крайней мере, на день моего прихода. Через неделю я обнаружила, что он замусорен файлами пациентов. Но сегодня они прошли мои тесты наполовину.

Третья фаза: Неавторизованный доступ

Возвращаясь в свой офис, я размышляла над тем, как получить доступ к системам компьютерного зала. Оказавшись в офисе, я вошла в систему. Посмотрев на сетевую схему, я попыталась найти систему, в которой бы содержалась пикантная информация.

Иногда люди дают своим системам открытые имена (как в платежной ведомости), и по ним можно определить, какая информация в них хранится, даже не входя в них. Но не здесь. Все системы были обозначены буквенно-цифровой комбинацией (PR1, PR2 и т. д.). Никаких подсказок.

Я начала зондировать информацию систем наугад. Вы не знаете, как это делается? Я умела получать доступ в системы. Я достала из портфеля мою «походную» дискету и загрузила в систему несколько моих любимых инструментов. Инструменты облегчают нам жизнь. Набор хороших инструментов делает мир совершенно другим. В мой план входило попытаться войти в систему в качестве обычного пользователя, взломать корневой каталог и получить контроль над системой.

Я начала тестировать, доверяет ли мне какая-либо система компьютерного зала. В данном случае доверие означало, что системы были настроены доверять моей системе. Доверяемая система позволяет вам осуществлять легкий доступ без пароля. (Доверительные отношения в сетях могут быть опасными, так как если хакер взломает одну из систем, которой доверяют 50 других систем, то затем он сможет войти в эти 50 систем без пароля.) После того как скрипт был выполнен, оказалось, что мне доверяют десять систем. Не так плохо для меня. Но, определенно, плохо для больницы, для информации и для пациентов.

Я была в системе. Так как я имела учетную запись в машине, то мне представилась хорошая возможность получить информацию. Как только я вошла в первую машину (PR1), в мой офис зашла Мария. Я рассказала ей, что смогла без проблем пройти в компьютерный зал, но не сумела получить оттуда доступ к какой-либо информации. Она не поверила, что кто-нибудь смог бы зайти туда. Мне пришлось объяснять ей, почему я надела костюм.

Продолжая работать, я объяснила Марии мой способ входа в системы компьютерного зала. Я дала ей понять, что проведу остаток дня, собирая информацию. Я попросила ее организовать мне встречу с одним из системных администраторов и менеджером технической поддержки на следующий день. Она согласилась и довольная ушла от меня.

За небольшое время, около минуты, я получила полный контроль над системой. Если вы знакомы с приемами взлома, то это, возможно, покажется вам довольно долго. Как бы то ни было, десять систем, в которые я легко проникла, имели старую версию операционной системы. (Старые версии операционных систем могут сделать систему уязвимой, так как в них, скорее всего, остались старые программные ошибки, используемые хакерами для взлома.) Было похоже, что в этих системах выполнялись приложения, которые не были перенесены на новую версию операционной системы. По крайней мере, это была моя догадка.

Я запомнила эту мысль и начала искать доступ к остальным системам. За интересной работой время летит быстро. Я это поняла, когда было уже почти 5 часов дня. В любой момент за мной могла зайти Мария, чтобы проводить меня к выходу. Я приготовилась уйти. Результатом этого дня было получение доступа и полного контроля над 60 серверами. Кажется, системные администраторы Rockland установили их системы стандартным способом, без настройки безопасности или добавления патчей. Они также очень облегчили мне работу, установив доверительные отношения между значительным количеством серверов.

Как потенциального пациента, меня такая ситуация начинала пугать. Все критичные системы были доступны, и, насколько я видела, нигде не было контрольных журналов.[38]38
  Audit trails. – Примеч. пер.


[Закрыть] (Контрольный журнал фиксирует деятельность пользователей и ее характер). Опытный хакер мог хорошо позабавиться и уйти необнаруженным. В конце концов, мне удалось лично сегодня взломать 60 серверов, и ни в одном меня не заметили.

Мария появилась в 5.15. Всего я ей пока не рассказывала. Я дала ей понять, что смогла пробраться в некоторые системы и все еще собираю информацию. Бывает полезно придержать информацию о ходе аудита до его окончания. Я не люблю размениваться на мелочи, пока не соберу все факты.

Мария сообщила мне, что запланировала беседу на следующее утро. Я должна была встретиться с менеджером технической поддержки Мэттом Борландом и системным администратором Джилл Розенберг. Так как Мария была пунктуальна в составлении графика, то я решила закончить тестирование после проведения интервью сотрудников.

День 2-й: Риск для персональной информации

Сначала я встретилась с Мэттом. Он выглядел вполне порядочным человеком, но его пронизывал карьеризм. Иногда встречаются деловые люди, по которым сразу видно, что их интересует в основном продвижение по службе. Наши главные интересы с Мэтом расходились. Мой служебный интерес состоял в определении рисков и сборе информации. У Мэтта было не так уж много информации для меня. Он собирал информацию от других менеджеров, но мне не хотелось тратить время на беседу с ним. Я коротко с ним поговорила и решила перейти к беседе с Джилл, системным администратором группы технической поддержки систем.

Джилл выглядела спокойной, но все равно волновалась из-за предстоящей беседы и проверки. (Нельзя сказать, что я всю вину перекладывала на нее, но в чем-то и она была виновна!)

Я начала беседу с просьбы показать мне политики и процедуры. У нее они уже были наготове. В основном документы выглядели хорошо. Но раздел, касающийся безопасности, был очень коротким (почти незаметным). Джилл объяснила, что сейчас раздел дорабатывается.

Я была озадачена тем, как они настраивали безопасность систем во время их оптимизации, не написав прежде процедур для этого. Настройку они не проводили. Руководство знало, что защиты не было, но график был плотным, и они решили вернуться к мерам безопасности позднее. И в результате Rockland эксплуатировала новую сеть целый год без защиты.

Кроме отсутствия защиты систем, в Rockland также отсутствовала их классификация. Следующей моей задачей было допросить с пристрастием Джилл о содержимом систем. Получив от нее эти сведения, я могла бы больше времени уделить тестированию, сбору информации и написанию отчета. Мне нужно было узнать, какие из систем содержат критичную информацию, какой характер имеет эта информация и почему она считает эту информацию критичной. Это позволило бы мне при проведении аудита нацелиться на наиболее важные системы.

Джилл знала, где хранится некоторая критичная информация, но ей не приходилось обеспечивать для этих систем более высокий уровень защиты. Из сведений, полученных от Джилл, я тем не менее поняла, где находится самая аппетитная информация.

В моей деятельности я видела, как аудиторы задают вопросы техническому персоналу о том, на каких системах лучше запускать аудиторские программы. Иногда им отвечали честно. Иногда – нет. Даже не имея задних мыслей, персонал технической поддержки не всегда понимает, где в их сети находятся участки повышенного риска. Поэтому, если вам скажут, что DS19 является системой повышенного риска, эту информацию все равно надо проверить.

Джилл рассказала, что истории болезни пациентов хранятся на серверах с именами от PR1 до PR10. Ага! Теперь я знала, что буквы PR обозначали историю болезни.[39]39
  по-английски – Patient Records. – Примеч. пер.


[Закрыть] Как я об этом не догадалась раньше? Как бы то ни было, эти системы должны считаться особо критичными и в них должны быть установлены средства защиты. Как я уже рассказывала, эти системы были взломаны мной в первую очередь.

Джилл попала прямо в яблочко. Я убедилась в этом, проверив типы операционных систем и серверов и изучив содержащуюся в системах информацию. Закончив эту проверку, я решила, что у меня достаточно информации для написания отчета. Конечно, проблем с безопасностью было много. Но главными в моем списке проблем были следующие:

• Никто и никогда не проводил оценку рисков.

• Политики и процедуры были неполными.

• Системы, содержащие жизненно важную информацию,[40]40
  Highly sensitive information – буквально: «высокочувствительную информацию». Это конфиденциальная информация, раскрытие которой может нанести персональный вред, в данном случае – пациентам. – Примеч. пер.


[Закрыть] были установлены стандартным способом.

• Информация могла быть легко изменена, украдена или уничтожена без следа.

Очевидно, никто не уделил достаточно (или вовсе не уделил) внимания рискам изменения, уничтожения или кражи информации, когда ее переносили из отдельного компьютера в серверы сети. В результате оказались подвергнуты риску истории болезни.

Резюме: Тщательнее планируйте выполнение подрядных работ

Перенос систем с одной платформы на другую – задача не из легких. Перед оптимизацией вычислительной среды или переносом систем на новую платформу нужно проводить оценку риска. Кроме того, необходимо разрабатывать новые политики и процедуры применительно к новой среде.

Одновременно нужно обучить системных администраторов тому, как обеспечивать безопасность в новой системе.

Прежние игроки в данной истории разыграли свои карты по всем правилам. Получив большой кусок пирога, Джо и Марлен построили систему, сорвали аплодисменты и удалились. К сожалению, спроектированная ими новая сеть содержала несколько довольно больших проблем безопасности.

В реальной жизни карты, разыгранные Джо и Марлен, не являются чем-то необычным. При создании сетей вопросы безопасности часто тормозят ход работ и раздувают бюджет. Хуже того, эти вопросы не получают и доли того внимания, которое привлекают к себе большие проекты. И наконец, руководители просто не желают знать, что может случиться, если будет отсутствовать защита.

Мы пойдем другой дорогой…

Генеральная перетряска большой компьютерной системы является ситуацией, полной неожиданных проблем с безопасностью. По меньшей мере, вы будете иметь дело с кривой нарастания опыта системных администраторов, стремящихся освоить систему с новой технологией.

В данном случае эта кривая медленного накопления опыта могла бы оказаться роковой для некоторых пациентов Rockland General. Но счастье оказалось на их стороне.

Не полагаясь на удачу в судьбе, в Rockland General должны были бы сделать следующее.

Оценить риски

Перед тем как перенести информацию с одной платформы на другую, всегда проводите оценку риска. По своей природе одной информации присущ больший риск, чем другой. В нашем случае более рискованной информацией оказались истории болезни.

После оценки риска руководство должно было определить риск для каждого вида информации и предпринять шаги по сохранению ее в тайне. Они могли бы усилить меры по контролю доступа, ввести контроль над действиями пользователей, обнаружение вторжения и шифрование в системах с историями болезней.

Классифицировать системы

Системы нужно было классифицировать по степени важности и построить их защиту, исходя из уровня риска для информации. Основными уровнями риска при такой классификации являются некритичный, критичный и особо критичный. После проведения классификации безопасность систем должна быть настроена в соответствии с политикой компании по защите информации.

Так как каждая компания имеет свой уровень развития и несет ответственность за свою информацию, то классификация и определение уровней безопасности должны проводиться исходя из конкретных условий (меняющихся от компании к компании).

В данном случае единственным человеком, кто хотя бы смутно представлял себе идею классификации систем, была Джилл. Да и то после того, как ей открыли на это глаза. Так относиться к технической поддержке компьютеров нельзя. Вы должны ясно представлять, что нужно защищать. Иначе вы не сможете убедиться в достаточности имеющегося у вас уровня безопасности.

Запретить стандартные установки систем

Мы уже обсуждали это ранее (во второй главе), но нужно еще раз повторить. Стандартная установка систем порождает высокую степень риска для любой компании, в которой нет хороших политик и процедур безопасности. Установленные стандартно системы могут создать зияющие дыры в вашей сети.

Зачем оставлять приглашение хакерам, если вы можете этого не делать? Лучше внедрите правильные политики и процедуры по установке систем в вашей сети.

Не быть слишком доверчивым

Доверие – это страшная вещь в сетях с неправильной настройкой. Как только вы войдете в одну машину, другие машины доверят вам войти в них. Если вам необходима доверительная конфигурация (а абсолютная необходимость возникает лишь в редких случаях), то вы должны обеспечить должную безопасность доверяемой машине. Это очень трудно сделать. По возможности поищите менее рискованную альтернативу.

Извлекать уроки из прошлого

Часто говорят, что тот, кто забывает историю, обречен ее повторить. Только что назначенные менеджеры и системные администраторы не должны считать безопасность принимаемых ими систем достаточной без проверки, проведенной собственноручно, – не зависимо от репутации предшественников. Если бы в данном аудите не были вскрыты оставшиеся от предшественников проблемы, то Мэтт мог бы испытать на себе, как доверие к Джо и Марлен разрушит его собственную репутацию.

Выбирать цели при сокращении бюджета

Бездонных бюджетов не бывает, и в наступившей эре бережливости трудно выжить. Но и в этой ситуации рискованно искать обходные пути.

Здесь пользу может принести классификация систем. Вы не должны тратить средства на обеспечение безопасности наугад, то есть начинать с первой системы и двигаться справа налево, а затем остановиться, когда деньги закончатся. Если вы проведете оценку риска и классификацию систем, то сможете применить более практичный подход. Вы сможете использовать полученную информацию и сокращать средства, прежде всего для участков, где это причинит меньший вред.

В идеале, конечно, вы должны обеспечивать безопасность каждой системы. Но если бюджет не позволяет сделать этого прямо сейчас, то вы должны в первую очередь позаботиться о защите особо критичных систем.

Проводить тестирование безопасности

Используйте аудиты безопасности для оценки уровня риска в вашей среде. Rockland General должна была провести аудит безопасности до переноса систем на новую платформу. Аудит выявил бы существующие риски безопасности, что помогло бы персоналу компьютерного зала получить финансирование, необходимое для обеспечения безопасности при таком переходе.

Разумеется, им следовало бы многое сделать. Я догадываюсь, что технический персонал противился проведению первоначального аудита, так как им действительно не хотелось, чтобы начальство узнало о существующих рисках. Зачем забираться в такие дебри только для того, чтобы показать начальству свое неумение устранить обнаруженные проблемы.

Сделать руководителей подотчетными

Другой очевидной проблемой в Rockland General была краткосрочность мышления менеджеров: «Получай свою премию и управляй своими людьми». При наличии корпоративной культуры, допускающей быстрое передвижение по служебной лестнице, обязанности по обеспечению безопасности должны отражаться в должностной инструкции! Нет безопасности – нет премии. Более того, сотрудники должны проявлять больше усилий, чтобы остаться в числе лучших профессионалов. По меньшей мере, нужно назначать на должности менеджеров только тех, кто показывает стабильные результаты в технической поддержке особо критичных машин.

Несомненно, конечная ответственность за риски безопасности лежит на руководстве. Но нечестно во всем обвинять людей, которых уже нет рядом с вами.

Не расплачиваться за других

На системных администраторов часто обрушивается гнев за проблемы с безопасностью, даже если это не их вина. Не удивляйтесь, если менеджер, отказавшийся обеспечить необходимое финансирование поддержки безопасности, будет первым, кто набросится на вас, когда что-то пойдет не так.

В любом случае, когда что-либо происходит с обслуживаемыми вами машинами, люди будут обвинять в этом вас. Если компания, в которой вы работаете, не финансирует поддержку или обучение безопасности, то, может быть, стоит задуматься над обновлением вашего резюме.

Включать обучение в бюджет

Смена платформ и радикальное изменение конфигурации означают, что вы также потеряете знания ваших людей. Перед тем как осуществить такой переход, обеспечьте обучение персонала новым вещам. Системные администраторы не смогут однажды проснуться утром и обнаружить, что они таинственным образом во сне освоили операции по новой технологии. Им нужен кто-то, кто бы объяснил, какие добавить патчи, какие службы выключить и т.д.

В Rockland General технический персонал перенес всю особо критичную информацию больницы из большого старого компьютера, который они знали, как обслуживать, в незнакомую распределенную среду. И в процессе этого руководство не обеспечило им ни одного занятия по безопасности. Неудивительно, что с безопасностью возникли такие большие проблемы!

Подсчитывать очки

Мы уже обсудили виды рисков, сопровождающих краткосрочное мышление. Теперь поговорим об одном из способов эти риски избежать: о подсчете очков!

Высшее руководство должно подсчитывать очки по безопасности сотрудников всех уровней. Ни один из менеджеров, отвечающих за техническую поддержку компьютеров, не должен получать премию, пока он не добьется поставленных перед ним целей по обеспечению безопасности. Таким же образом системные администраторы должны набирать очки за то, как они защищают информацию, а не только за то, как они обеспечивают исправность сети и ее работу.

Контрольный список

Используйте этот список, чтобы определить, подвергается ли ваша компания риску по причине незнания того, каким этот риск является. Можете ли вы поставить «Да» напротив каждого пункта?

– Проводилась ли недавно оценка риска?

– Классифицированы ли системы по уровню риска (некритичные, критичные, особо критичные и т. д.)?

– Привязаны ли цели руководства к вопросам безопасности?

– Проводятся ли плановые аудиты для проверки ранее сделанной оценки риска?

– Привлекаются ли, при необходимости, внешние аудиторы для оценки и уменьшения риска? (Некоторые владельцы информации еще не знают, какие ценности они имеют!)

– Все ли сотрудники (как менеджеры, так и системные администраторы) назначаются на должности и оцениваются, основываясь на выполнении ими задач по обеспечению безопасности?