Текст книги "IT-безопасность: стоит ли рисковать корпорацией?"

Автор книги: Линда Маккарти

сообщить о нарушении

Текущая страница: 13 (всего у книги 22 страниц)

Резюме: Не спрашивайте у сотрудников компании, отвечающих за безопасность, что они могут для вас сделать

Страшно видеть, что может случиться с компанией, в которой нет четко определенных ролей и обязанностей. Когда такое доходит до обеспечения безопасности, то фраза «Это не моя работа» распространяется как леской пожар. В рассказанной истории Global Chips легко отделалась. Любой хакер, взломавший их систему, мог бы украсть проекты чипов или другую критичную информацию. Поэтому один только администратор брандмауэра таил в себе разрушительный потенциал для будущего целой компании.

Конечно, бездействие Джозефа потому, что «Это не его работа», является лишь частью проблемы. Менеджеры, наподобие Карла, обостряют эти проблемы, скрывая факты вместо того, чтобы взять на себя ответственность за свою территорию и построить крепкую группу технической поддержки.

Когда люди берут на себя ответственность за системы, то они также получают в наследство и ответственность за информацию в этих системах. Кажется, эти парни этого не осознали. У меня сложилось впечатление, что Карл больше интересуется игрой в гольф и хоккейной командой Sharks из Сан-Хосе, чем безопасностью компании. Я тоже люблю гольф и болею за Sharks, но я приношу домой чек за свою работу, а не за ее имитацию, Карл (и начальник Карла тоже) должен знать, что Джозеф выдает некондиционные результаты.[42]42
  Bogus results – по аналогии с bogus parts, бракованными запчастями, продаваемыми за низкую цену – Примеч. пер.


[Закрыть]

Высшие руководители часто устраняются от того, что в действительности происходит на переднем крае. Тем не менее в этом случае именно высшее руководство было озадачено серией взломов. А линейные менеджеры явно уснули за рулем.

Для того чтобы система обеспечения безопасности работала, каждый уровень руководства должен брать на себя долю ответственности за обеспечение безопасности. Если высшее руководство не выделяет средств на обеспечение безопасности, то безопасность от этого страдает. Если линейные менеджеры не занимают активной позиции в поддержке системы безопасности, то безопасность также страдает. Если менеджеры среднего уровня не передают информацию наверх, то опять страдает безопасность. Не заставляйте страдать безопасность в вашей компании. Добейтесь понимания каждым своей роли.

Как заметил Маркус Ранум в своих интернетовских Firewalls FAQ, «Интернет, как и остальная часть нашего общества, измучен недоумками, наслаждающимися электронными эквивалентами росписям чужих стен краской из баллончика, срыванию чужих почтовых ящиков или оглашению улиц сигналом из своего стоящего посреди дороги автомобиля… Задачей брандмауэра является выкинуть этих сопляков из вашей сети, не нарушая вашей способности закончить работу». Вы удивитесь, как много таких «недоумков» вас окружают!

Что еще хуже, многие из этих нарушителей порядка переходят от раздражающего вандализма к настоящим преступлениям. Кто от них страдает? Почти что все. Исследование, проведенное CSI в 2002 году, установило, что 90 процентов респондентов обнаружили бреши в безопасности компьютеров. Хотя очевидными целями являются политические организации (как Белый дом) и фирмы, известные своей задиристостью (как Microsoft), существенному риску подвергаются все виды деятельности. Даже атаки, направленные на искажение внешнего вида веб-сайтов,[43]43
  Web site defacement attacks. – Примеч. пер.


[Закрыть] ранее считавшиеся шалостью, а не преступлением, в действительности приводят к большим убыткам. Эксперты оценивают стоимость простоев в американской экономике, связанных с нарушением безопасности, в 273 миллиарда долларов ежегодно. Особому риску подвергаются виды бизнеса, использующие Интернет.

В то время как Интернет открыл двери различным видам бизнеса для экспансии в мировую экономику, он также открыл множество окон для компьютерной преступности. Для того чтобы закрыть эти окна, требуются четкое и согласованное определение ролей и обязанностей, а также шлюзовые технологии, подобные брандмауэрам.

Мы пойдем другой дорогой…

Роли и обязанности являются ключом к успеху в любой программе обеспечения безопасности. Главной проблемой в этой истории было то, что ни одна из групп технической поддержки в Global Chips не взяла на себя ответственности за написание и выполнение политик и процедур для брандмауэра. Такой подход оставил открытой всю сеть – как будто бы они ждали хакера. Вот что должна была сделать Global Chips вместо этого.

Определить роли и обязанности

Ясно определяйте роли и обязанности по обеспечению безопасности в вашей компании. Если ответственность по обеспечению безопасности пересекает границы между подразделениями (например, ложится одновременно на системных администраторов, администраторов группы обеспечения безопасности и администраторов брандмауэра), добейтесь того, чтобы все игроки знали, какую роль они должны играть.

Разработать политики и процедуры для брандмауэра

Эксплуатация брандмауэра без политик похожа на езду в темноте без включенных фар. Рано или поздно вы попадете в аварию. Люди должны знать, что им разрешено, а что нет. Не позволяйте вашему администратору брандмауэра вас одурачить и скрывать от вас эту информацию в своей голове. Если он уйдет из компании, то вместе с ним уйдут политики и процедуры для поддержки вашего брандмауэра.

Политики и процедуры должны быть изложены на бумаге и постоянно обновляться. В идеале поручите кому-нибудь эту задачу персонально. Даже лучше сделайте выполнение этой задачи итоговой целью года.

«Кормить» свой брандмауэр

Брандмауэры обычно состоят более чем из одной машины. В некоторых компаниях брандмауэром считается целый комплекс, в который входят хост-машины, сети и маршрутизаторы. Брандмауэры нужно «питать». Для поддержки «здоровья» брандмауэра обеспечьте его профессиональным администратором, регулярно проводимой модернизацией, современными патчами и обучением. Не допускайте того, чтобы замок на вашем брандмауэре заржавел, как это случилось в Global Chips.

Читать свои контрольные журналы

Вам не принесет много пользы поддержка брандмауэром множества контрольных журналов, которые вы никогда не просматриваете. Хотя Global Chips была взломана много раз, они легко отделались потому, что у них были хорошие контрольные механизмы, сообщающие им о взломе системы хакером.

Когда в последний раз хакер стучался в вашу дверь? Смог ли он зайти? Кто это знает? Это должны знать вы. Если нет, то вы невнимательны. Добейтесь использования надлежащих механизмов регистрации и контроля.

Использовать программы обнаружения взлома

Программы-детекторы не могут со 100-процентной вероятностью обнаруживать взломщика, но они являются хорошим началом. Программы-детекторы могут дать вам лучшее представление о масштабе угрозы, с которой вы столкнулись. В течение 2000 года в Пентагоне обнаружили 245 успешных кибератак. Так как в Пентагоне были внедрены хорошие механизмы обнаружения, то его должностные лица знали о том, что вместе с тем было 24 000 безуспешных атак. Знание их количества дало более ясную картину реального риска.

Ваша информация может быть не столь привлекательной, как хранящаяся в Министерстве обороны, но не полагайтесь на это. А если вы подключились к Сети, то вряд ли будете в большей безопасности. В своем исследовании, проведенном в декабре 1996 года, Дэн Фармер (известный гуру в вопросах безопасности и соавтор таких программ, как SATAN) установил, что уровень использования программ-детекторов угрожающе низок. Дэн провел несанкционированное исследование с целью прозондировать состояние защиты коммерческих веб-сайтов. Из более 2000 сайтов, зондируемых им без уведомления, оказалось только три сайта, владельцы которых связались с ним и спросили, что он делает! Удивитесь ли вы тому, что ваш сайт был частью этого исследования?

Улучшилось ли положение с тех пор? Не настолько, как я ожидала (или мне хотелось бы). По оценке таких экспертов, как, например, поставщик средств защиты Spectrum Systems, все еще обнаруживается только 1 процент от успешных или предпринятых компьютерных атак. Главное изменение состоит в том, что сегодня стало больше онлайновых коммерческих целей и стало больше использоваться веб-сайтов для обмена финансовыми средствами и информацией. Информация о вашем местном хозяйственном магазине, может быть, и не имеет большой привлекательности, но зато информация кредитных онлайновых карточек его клиентов, скорее всего, ее имеет.

Реагировать быстро!

Быстрая реакция на взлом администратора брандмауэра и администратора группы обеспечения безопасности Global Chips объясняется тем, что их действия были отлажены реагированием на многочисленные взломы. Будем надеяться, что вы никогда в таком положении не окажетесь.

В идеале процедура реагирования на чрезвычайную ситуацию должна разрабатываться и использоваться для тренировок только в режиме «оффлайн» и не применяться для решения ежедневно возникающих проблем. Очень важно разработать и передать администраторам процедуру реагирования до того, как она действительно понадобится. Пока взлом не произошел, нужно точно расписать роли и обязанности каждого сотрудника. Если вам очень повезет, то вы, может быть, никогда не воспользуетесь этой процедурой. Но не рассчитывайте на это!

Требовать подтверждений безопасности

В своем Special Report on Security[44]44
  Security Special Report – раздел (портал) для профессионалов в области безопасности ИТ. – Примеч. пер.


[Закрыть] на сайте Computerworld Пол Страссман (Paul Strassman) поясняет: «Усовершенствование безопасности системы, проектирование которой основывалось на презумпции невиновности и честности, часто оказывается слишком дорогим или запоздалым, чтобы его стоило проводить». Чтобы избежать такой ситуации, не полагайтесь на то, что все идет гладко.

Global Chips повезло из-за того, что ее директор по информационным технологиям была информирована о происходящих взломах. Когда их количество возросло, она потребовала установить причину происходящего. Вашей компании может так не повезти, если вы не имеете хороших процедур эскалации[45]45
  См. первую главу книги. – Примеч. пер.


[Закрыть] и не в курсе состояния безопасности вашей среды. Знаете ли вы, в каком состоянии находится ваш брандмауэр? Сколько ему лет? Кто его поддерживает? Имеются ли политики и процедуры? Если вы являетесь менеджером высшего уровня, то потребуйте доказательств состояния безопасности (итоговый отчет для руководства).

Проводить аудиты

Не успокаивайтесь после установки брандмауэра. Правда заключается в том, что эффективность брандмауэра ограниченна. Брандмауэр не защитит вас от разрушительного действия плохо определенных ролей и обязанностей, от сотрудников с наплевательским отношением к безопасности, от бесконтрольного удаленного доступа, плохого обучения сотрудников и т. п. Маркус Ранум сказал: «Брандмауэр не может защитить вас на самом деле еще от одной вещи… от идиотов внутри вашей сети». Для сохранности вашей информации обеспечьте каждому сотруднику хорошее обучение и твердые знания их ролей и обязанностей.

Также нужно обеспечивать проведение аудитов. Профилактические аудиты являются важной частью выявления проблем, пока о них не узнал хакер. Вы должны проводить тестирование вашего брандмауэра как из интранет, так и из Интернета. Тестирование на проникновение покажет вам способность вашего брандмауэра отогнать непрошеных гостей. Если вы не проверите эффективность вашего брандмауэра, то не сможете быть уверены в том, что он действительно работает.

Углублять знания

Понимать, как работает брандмауэр, должен не только администратор брандмауэра. Руководителям тоже нужно знать о рисках, связанных с поддержкой брандмауэра, расположенного между вашей сетью и Интернетом, иначе их выбор может создать угрозу репутации компании, конфиденциальной информации и финансовым результатам.

Я не имею в виду, что вам нужно знать каждую мельчайшую деталь, но руководители должны понимать, какие средства безопасности они используют, какие еще средства есть, а каких не хватает.

Контрольный список

Используйте этот список, чтобы выяснить, правильно ли в вашей компании определены роли и обязанности по обеспечению безопасности. Можете ли вы поставить «Да» против каждого пункта?

– Четко ли определены роли и обязанности по обеспечению безопасности?

– Поручено ли кому-либо регулярно проводить аудит брандмауэра?

– Поручено ли кому-либо при необходимости проводить модернизацию брандмауэра?

– Все ли руководители понимают роли и обязанности по обеспечению безопасности – как свои, так и своих подчиненных?

– Есть ли у персонала технической поддержки конкретные предупредительные процедуры, которые он выполняет? (Обеспечьте, чтобы работа вашего персонала не сводилась к одному только реагированию.)

– Поручено ли кому-либо регулярно проводить тестирование брандмауэра на проникновение из Интернета? (После каждых существенных изменений или модернизации брандмауэра необходимо проводить новое тестирование.)

– Достаточно ли финансируется администрирование брандмауэра?

– Достаточно ли финансируется модернизация и плановая техническая поддержка брандмауэра?

– Установлены ли программы по обнаружению вторжения в сетях и системах?

– Установлены ли программы контроля в особо критичных системах?

– Определены ли ясно и официально роли и обязанности по реагированию на чрезвычайные ситуации?

– Распространяется и используется ли опыт, полученный при взломах, для создания лучших процессов? (Изживайте сокрытие информации среди вашего персонала.)

– Установлена ли защита от вирусов в каждой точке входа?

Заключительные слова

Когда дело касается обеспечения безопасности, то роли и обязанности должны быть четко определены. Так как каждая компания имеет свою структуру технической поддержки, то эти роли и обязанности могут быть различными (даже в соседних подразделениях) в разных компаниях. Важным здесь является то, что роли должны закрепляться документально и что каждый сотрудник должен знать, каких действий от него или от нее ожидают.

Когда вы определите роли ваших сотрудников на бумаге, то вы сможете увидеть, имеются ли участки работы, как, например, процедуры для брандмауэра, за которые никто не отвечает. Если бы в Global Chips сделали хотя бы это, то Джозеф и Карл потратили бы меньше времени, реагируя на взломы. Работа в Global Chips отличалась особой тщетностью, так как обыкновенный просчет поставил их сеть в поле зрения упорного (и упорно-надоедливого) хакера.

Ни одна сеть не должна становиться заложницей хакера. Именно это произошло в случае с CloudNine Communications. После непрекращающихся атак по типу «отказа от обслуживания» один из старейших Интернет-провайдеров Британии закрыл свои двери и отдал своих клиентов конкуренту. Возможно, самой досадной стороной этой истории является то, что преступник по-прежнему остается на свободе, – это следует помнить, когда вы станете решать, стоит ли модернизировать ваш брандмауэр.

Общее назначение брандмауэра – это не впускать хакера. Но брандмауэр – это лишь один кирпичик в хорошо построенной структуре безопасности. Оставленный в одиночестве, не подкрепленный четко определенными ролями и обязанностями, эффективными политиками и процедурами и технической поддержкой, он долго не продержится.

Глава 8
Безопасность внутренней сети

Когда вы в очередной раз предстанете перед судом из-за плохой защиты вашей сети, то вы, должно быть, подумаете о том, прочитал ли принимающий у вас присягу судья книгу Линды, и о том, что он, скорее всего, спросит, читали ли вы ее тоже.

Фред Крис СМИТ, юрист и соавтор книги "A Guide to Forensic Testimony"

Поздравляю! Вы – директор знаменитого музея. Долгие месяцы вы деловито готовили важную выставку. Сегодня к вам поступила первая партия изящных и представляющих историческую ценность шедевров из государственных и частных коллекций, и их будет бесконечное число. Сотрудники музея суетятся вокруг этих скульптур. Уже составлен план, предусматривающий прием и электронный учет сотен фарфоровых статуэток, которые будут поступать волна за волной в течение следующих недель. Множество стран принимают участие в этой выставке и присылают наиболее достойные из своих коллекций!

Из-за широкого размаха этой экспозиции были заключены договоры с рядом компаний-перевозчиков, которые должны справиться с потоком поставок со всего мира. Координация такого проекта должна быть непрерывной и продуманной. И как директор, отцом этого проекта являетесь вы.

Разве не удача, что в наши дни есть компьютеры? Двадцать лет назад координация такого проекта оказалась бы кошмаром.

Но действительно ли это удача? В нашем компьютеризованном мире высоких технологий можно забыть о том, что сервер базы данных, хранящий критичную для выставки информацию, широко открыт. В результате этого любой может получить доступ к архиву, содержащему подробные сведения о приливах и течениях в море бесценных произведений. Ищете нового Ремингтона[46]46
  Фредерик Ремингтон-американский художник и скульптор (1861–1909 гг.). -Примеч. пер.


[Закрыть] для пополнения вашей подпольной коллекции? Посмотрите, вот он прибывает в следующий вторник в 4.00 дня из аэропорта имени Кеннеди по наземному маршруту на грузовике компании Joe's Family Tracking. Это вовсе не та информация, которую бы вы хотели представить широкой публике.

Несомненно, директор известного музея должен проявлять исключительную заботу о безопасности. Но сомнительно, что он видит возможный риск для безопасности в компьютерной базе данных. Люди, не связанные непосредственно с информационной безопасностью, редко это видят.

Представим себе, что вы как раз перед проведением большой выставки узнаете о том, что ваша сеть не защищена. Этот факт заставит вас остерегаться ввода конфиденциальной информации в вашу собственную сеть.

Нелепо? Может быть. Но в точности с такой ситуацией столкнулся Джеральд Пушман в музее Chambersburg Museum of Art.[47]47
  В г. Чамберсбург, штат Пенсильвания. – Примеч. пер.


[Закрыть] Давайте посмотрим…

Незащищенная сеть

Джеральд Пушман был нанят руководить совершенно секретным проектом в Chambersburg Museum of Art. В музее он был новым руководителем, но не новичком в секретных проектах. Он имел большой опыт в своем деле и знал, как хранятся секреты.

Джеральд заботился о физической безопасности и настройках средств защиты его компьютерных систем. Так как он придерживался стиля в руководстве «возьми в свои руки», а не стиля «отдай в другие руки» (ответственность за безопасность систем), то Джеральд прежде всего встретился с администратором сети Кирстен Смит.

Кирстен работала в музее уже несколько лет и знала каждый дюйм сети. Джеральд сказал ей, что вследствие конфиденциального характера информации проекта он озабочен состоянием сети, в которой должны будут устанавливаться новые системы.

Кирстен ответила прямо: «Если вы собираетесь подключать системы к сети, то меня тревожат установка и настройка этих систем, особенно из-за высокой секретности проекта». Беседуя с Кирстен, Джеральд узнал, что серверы базы данных музея широко открыты для доступа. На этих серверах хранилась крайне конфиденциальная информация. Из нее можно было узнать не только о ценности произведений искусства, но также о дате и времени их поступления и отправки и планах перевозок. Вор, специализирующийся на произведениях искусства и оснащенный по последнему слову техники, мог бы под видом сотрудника музея получить доступ к какой-либо одной системе сети и использовать эту информацию для налета с целью похищения экспоната на его пути в музей или из него.

Удача Джеральда заключалась в том, что Кирстен была с ним достаточно откровенной и сообщила так много сведений. Он попытался разузнать побольше и выяснил, что группа обеспечения безопасности сражается с системными администраторами уже несколько лет из-за принципов настройки безопасности систем. Так как общий подход к этому вопросу выработан не был, то у большинства систем в сети настройки безопасности не было вообще.

Джеральд понял, что, пока группа обеспечения безопасности и системные администраторы не уладят своих разногласий, безопасность его систем может быть скомпрометирована. Из-за такой предыстории конфликт вряд ли мог разрешиться быстро. Как временный сотрудник, Джеральд решил установить свои системы отдельно от сети музея в изолированном помещении. Представьте, что у вас строят отдельную сеть с тем, чтобы уберечь информацию от краж и саботажа! Посмотрим, как ситуация дошла до такого состояния.

Начало событий: В обход корпоративной сети

Для того чтобы отделить свои системы от сети музея, Джеральд должен был создать свою сеть и нанять своего системного администратора. На это требовалась добавка к его бюджету в виде приличного количества долларов. Для одобрения такого шага Джеральд должен был встретиться с руководством музея.

Не нужно говорить, что руководство такому подходу не обрадовалось. По правде, оно просто не поверило, что их собственная сеть не защищена. В конце концов Джеральд получил, что просил. Но руководство заставило его перед этим «попрыгать через кольцо». Оно включило в пакет договора требование, чтобы он представил доказательства незащищенности сети музея. И здесь на сцене появляюсь я.