Текст книги "IT-безопасность: стоит ли рисковать корпорацией?"

Автор книги: Линда Маккарти

сообщить о нарушении

Текущая страница: 16 (всего у книги 22 страниц)

Мы пойдем другой дорогой…

Удача S&B Systems и Express Times заключалась в том, что я обнаружила представляющее риск клиентское соединение. Разумеется, такое подключение не должно было быть сделано.

Вот что S&B следовало сделать, чтобы избежать проблем.

Проводить оценку безопасности

Существует много способов проводить аудит систем. Вы можете проводить аудит сети, чтобы протестировать общеизвестные уязвимые места (те, о которых обычно знают хакеры и постоянно их ищут). Такой вид аудита следует проводить регулярно.

Однако имейте в виду, что его не обязательно должен проводить человек. В Sun мы автоматизировали проведение аудита безопасности при помощи инструмента, названного AutoHack. AutoHack тестирует более 20 000 систем на наличие уязвимых мест и посылает системам сообщения об обнаруженных проблемах. Он отличается в лучшую сторону тем, что в своем сообщении указывает степень серьезности обнаруженной проблемы. При обнаружении в системе серьезной проблемы он сообщает о ней ее владельцу.

Проводить ее правильно

Без правильных процедур ваши люди легко могут пропустить важные шаги при проведении ими аудита. В результате этого у вас могут появиться двойные запоры на дверях при широко открытых окнах. Чтобы этого избежать, обеспечьте наличие подробных процедур для проведения ваших аудитов. И проследите, чтобы эти процедуры выполнялись.

Проводить ее регулярно

В дополнение к процедурам аудита вам нужно разработать политику аудита, в которой должно быть точно указано, когда и при каких обстоятельствах проводить аудиты. Например, можно указать, что аудит нужно проводить каждые шесть месяцев и каждый раз при переводе новых систем в онлайновый режим. Если ваша сеть имеет очень динамичную конфигурацию (например, является средой разработки программного обеспечения), то вам лучше проводить аудит безопасности каждые две недели независимо от того, кто на вас работает.

Главное заключается в том, что вам нужно быть последовательным. Не позволяйте вашим сотрудникам из группы обеспечения безопасности отказываться от проведения аудита в этом месяце из-за того, что должны быть представлены квартальные отчеты, а они запаздывают со своими разделами. Добейтесь того, чтобы даты и условия проведения аудитов были «высечены на камне».

Решать обнаруженные вами проблемы

Вы не поверите тому количеству случаев, когда я «обнаруживала» проблемы, о которых раньше уже докладывалось (и не раз), но которые никогда не решались. Конечно, их решение назначалось на какой-либо день, но каким-то образом этот день никогда не наступал.

Риск сам по себе со временем не исчезнет. Напротив, он использует такую передышку для того, чтобы вырасти в размерах и сделаться более сложным. Если вы откладываете решение проблемы безопасности потому, что у вас нет средств в этом квартале, то вы будете платить гораздо больше в более поздний срок. Представьте себе затраты S&B Systems в том случае, если хакер нащупает обнаруженное мной незащищенное место и перекроет сбыт всей их продукции.

Не использовать ПОДХОД «ПЛЫВИ ИЛИ ТОНИ»

Подход «плыви или тони» к обучению вопросам безопасности никогда не приносил плодов. Ожидать того, что ваши новые администраторы средств безопасности дойдут до всего сами, – это жестоко и неэффективно.

Будет мало пользы от назначения нового администратора средств безопасности, если вы не дадите ему обучения, необходимого для работы. В идеале вы, конечно, можете нанять опытного специалиста. Но это нелегко сделать. Профессионалы в области обеспечения безопасности пользуются большим спросом. Как сообщает ZDNet,[50]50
  ZDNet – информационный портал (сервер, сеть) корпорации Ziff-Davis Inc. – Примеч. пер.


[Закрыть] недостаток в персонале данной профессии будет составлять по прогнозу на ближайшие годы 50 000-75 000 человек. Их оклады уже возросли за 2001 год на 50 процентов – верный признак надвигающейся их нехватки.

Чувствуя отчаяние работодателей, некоторые предприимчивые хакеры пытаются выставлять себя на рынок рабочей силы как экспертов по обеспечению безопасности, заявляя, что их криминальное прошлое свидетельствует об их опытности. Министерство обороны США имеет давнее знакомство с хакерами, стоившее ему 25 миллиардов долларов, потерянных из-за 22 000 атак только в 1999 году. Сегодня Министерство обороны открыто принимает на работу хакеров-«белых шляп»[51]51
  "White hat" hackers – по аналогии с положительными героями вестернов, носившими белые шляпы. Эти бывшие хакеры занимаются тестированием защиты систем, созданием поисковых систем по отслеживанию хакеров по электронному следу и т. д. – Примеч. пер.


[Закрыть]. Хотя его подход к «черным шляпам» менее открыт, есть сообщения о том, что им делались предложения гражданам других государств (таким, как русский хакер Верс).[52]52
  В российской прессе весной-летом 2001 года сообщалось об истории некоего хакера по кличке Верc, которого сотрудники американского посольства уговаривали взломать интернет-сайт www.fsb.ru, чтобы получить доступ к хранящейся там информации. Утверждалось, что бдительный хакер Верс не пошел на поводу у американцев, а доложил о попытках его вербовки владельцам вышеуказанного сайта. – Примеч. пер.


[Закрыть]

При безнадежной нехватке действительно квалифицированных профессионалов, которая сопровождается стремлением хакеров замаскироваться под экспертов в области безопасности, у вас остается лишь один выбор – самим вырастить собственного эксперта.

Контрольный список

Используйте этот список для определения того, подвергается ли ваша компания риску из-за применяемого ей аутсорсинга и/или состояния процедур проведения аудита. Можете ли вы поставить «Да» против каждого его пункта?

Аутсорсинг

– Проводятся ли аудиты клиентских подключений (экстранет) на регулярной основе?

– Существует ли официально оформленная архитектура подключения клиентов (экстранет) к вашей сети?

– Существует ли официальная политика, четко определяющая, когда, почему и каким образом должны разрешаться подключения экстранет?

– Требуется ли разрешение руководства на перевод экстранет в онлайновый режим?

– Требуется ли проведение аудита безопасности перед тем, как перевести экстранет в онлайновый режим?

Процедуры проведения аудита

– Имеется ли в вашей компании официальная политика проведения аудита?

– Имеются ли в вашей компании процедуры проведения аудита для тестирования безопасности в письменной форме?

– Находится ли в рабочем состоянии программное обеспечение для проведения аудита, установленное на всех платформах?

– Обеспечивается ли необходимое финансирование приобретения необходимых инструментов проведения аудита?

– Поддерживает ли руководство проведение аудита безопасности, обеспечивая правильную подготовку аудиторов?

Заключительные слова

Аутсорсинг быстро становится стратегией корпораций нашего десятилетия. Если ваша компания не воспользовалась аутсорсингом для каких-либо своих нужд, то велика вероятность, что она скоро это сделает.

Перед тем как проводить какую-либо аутсорсинговую реорганизацию, включающую в себя предоставление совместного доступа к вашей компьютерной сети, убедитесь в том, что вы владеете всеми фактами. Какой тип подключения будет нужен? Как будет защищено такое подключение? Как обеспечивается безопасность стороны подрядчика? Повлияют ли доступ с его стороны и имеющиеся у него процедуры на безопасность вашей информации? Получите ответы, пока подключение не создано.

В то же время всегда помните, что проблемы безопасности будут время от времени возникать. Это – природное явление. Для лучшей защиты вашей драгоценной информации в этих неизбежных испытаниях положитесь на тщательные, планируемые регулярно аудиты безопасности, проводимые хорошо обученными профессионалами.

Не впадайте в благодушное состояние, полагаясь на репутацию вашего партнера по аутсорсингу. Уже скомпрометированы некоторые из величайших и ярчайших компаний. Одной из причин столь длительного выздоровления от вируса Code Red является то, что сайт windowsupdate.Microsoft.com сам был заражен им. Поэтому многие заразились вирусом Code Red, когда «скачивали» те самые обновления для программ, которые должны были защитить их от будущих атак.

Разумеется, вирус является зверем, значительно отличающимся от чрезмерно доверяющего сервера. Но я настаиваю на том, что вы должны отвечать за все, что происходит в вашей сети. Нет разницы в том, будет ли эта тварь в диске с демоверсией продукта гиганта индустрии программного обеспечения или в облегченном доступе из компании, которой вы доверили ваши операции по перевозкам. Целостность вашей информации зависит от вашей неусыпной бдительности.

Глава 10
Незащищенная электронная почта

Тайна личной жизни является основой всех прав и свобод человека – и самой человеческой сущности. Вторжение в личную жизнь больно бьет по человеческому достоинству.

Надин Строссен, президент Американского союза гражданских свобод, профессор New York Law School

А сейчас вы – президент Соединенных Штатов Америки. Усаживайтесь поудобнее и ощутите вашу власть. Теперь приготовьтесь выслушать плохие новости. Министр обороны сообщает вам, что сегодня в 4.20 утра террорист напал на автоколонну, направлявшуюся в посольство США в Саудовской Аравии, Выживших нет. На данный момент никто не знает, как произошел инцидент.

Через несколько дней вы узнаете, как это случилось. По данным вашего министра обороны, брешь в безопасности, облегчившая нападение, была проделана единственным сообщением, посланным по электронной почте. Некий капрал Лен Джонсон, морской пехотинец, служивший в охране посольства в Саудовской Аравии, использовал электронную почту для связи с домом. Вечером, перед нападением, он написал своей жене: «Завтра в 4.00 приезжают командир корпуса и сенатор. Мне придется рано встать, чтобы сопровождать их из аэропорта в посольство, поэтому я не смогу позвонить тебе утром, как мы договаривались. Я сообщу тебе позднее по электронной почте, когда ждать моего звонка. Обнимаю и целую детишек… Лен».

К несчастью для друзей и семьи Лена и для других людей, находившихся в этой колонне, его электронное письмо не было зашифровано. Министр обороны твердо убежден, что письмо капрала Джонсона своей жене было перехвачено террористом.

Разве может показаться странным, что капрал посылает домой жене незашифрованное электронное письмо. Повсеместно высшие руководители компаний посылают письма по электронной почте по самым секретным вопросам – о предстоящих биржевых сделках, планах выпуска новых продуктов, слияниях, приобретениях и т д. Нужно ли ожидать от простого солдата, что он увидит риск там, где его должны увидеть, но не делают этого высшие руководители компаний? Рассмотрим следующий случай…

Есть ли у электронной почты конверт?

Моя подруга Мишель Шейверс была подающим большие надежды сотрудником в NetDynamics, большой компании по сетевым технологиям в Силиконовой долине. Около года назад Мишель позвонила мне, чтобы поговорить о проблеме, которая у нее возникла с одним из ее коллег.

Так как коллега, о котором идет речь, был руководителем высокого ранга в ее компании, то она никогда не сообщала мне его имени. (Мы назовем его мистер Икс.) Из разговора с ней я поняла, что каждый раз, когда она выступала на совещаниях сотрудников компании, мистер Икс оказывался впереди нее на два шага. Он отвечал на все вопросы так продуманно, что его ответы звучали, как заранее подготовленная речь. Она была убеждена, что он заранее точно знал, что она собиралась сказать.

Мое первое впечатление состояло из трех частей: 1) мистер Икс определенно не любил Мишель; 2) мистер Икс, возможно, хотел прибрать к рукам подразделение Мишель; или 3) мистер Икс пытался (по каким-либо причинам) выжить Мишель из компании. Мне же, наоборот, Мишель нравилась. Она умела добиваться результатов в своей работе и не могла допустить, чтобы кто-то стоял у нее на пути. Поэтому, когда она обратилась ко мне за помощью, я с большим желанием протянула ей свою руку.

Возможно, что в глубине моей души таилось нетерпение запустить поглубже руку в грязные делишки мистера Икс. Но как профессионал по вопросам безопасности я знала, что такая информация мне действительно не нужна.

Мишель спросила: «Линда, этот парень очень подкован технически и общается со многими специалистами в нашей области. Возможно ли такое, что он читает мою электронную почту?»

Хороший вопрос. В ответ я задала Мишель три простых вопроса: «Ты шифруешь свои электронные письма?» – «Нет». «Мистер Икс работает в твоем здании?» – «Да». «Он работает на том же этаже, что и ты?» – «Да».

Я задала последние два вопроса, чтобы выяснить, в одной ли сети с Мишель находится мистер Икс. Я знала, что если Мишель ответит «Да» на любой из этих двух вопросов, то для мистера Икс не составит труда читать ее электронные письма.

Я объяснила ей, что если она не шифрует свою электронную почту, то каждый сможет ее прочитать. Я также пообещала ей, что загляну к ней в компанию и продемонстрирую, как легко это можно сделать.

Мишель очень заинтересовалась такой демонстрацией. Чтение чьей-либо электронной почты являлось явным нарушением политики компании. (Возможно, такая политика есть и в вашей компании.) Оказалось кстати, что Мишель имела полномочия на запуск любых инструментов и тестов в ее сети на этой неделе, так как ее инженеры проводили тестирование нового, только что разработанного ими программного обеспечения. Нельзя было выбрать лучшего времени для моей демонстрации.

Доступ к персональной информации получен

Для проведения демонстрации я встретилась с Мишель позднее в тот же день. Задача оказалась несложной. За 30 секунд моего нахождения за ее клавиатурой я «скачала» из Интернета инструмент «снупинга».[53]53
  Snooping – здесь: отслеживание, перехват и декодирование сообщений. – Примеч. пер.


[Закрыть] Затем я ввела с клавиатуры команду, запускающую выполнение «скачанной» программы, и все дела! Появилось первое почтовое сообщение. Как только челюсть Мишель отвисла до пола от изумления, вызванного тем, как просто это было сделано, я отвернулась от экрана. Я дала ей понять, что за все годы моего занятия аудитом безопасности я не прочитала ни строчки из закрытой персональной информации.

Когда я провожу аудит безопасности, то просматриваю только имена важных файлов и каталогов при проверке риска, но никогда не заглядываю в содержимое файлов.

Мишель не могла оторвать от экрана глаз. «Здорово! Это же письмо для президента компании!»

Я поняла, что достигла своей цели. Я стерла результаты «снупинга» и сказала: «Теперь ты знаешь, почему ваша компания должна использовать шифрование. Я хочу оставить этот инструмент в вашей системе как раз на тот случай, если тебе нужно будет показать президенту компании, как легко можно прочитать его электронную почту».

Конечно, это не помогло полностью решить проблемы Мишель с мистером Икс. Я показала Мишель, как легко мог бы мистер Икс читать ее электронную почту, но у нее не появилось доказательств того, что он действительно делал это. Разумеется, на самом деле не было так уж важно получать такие доказательства. Мистер Икс имел такую власть, что представление доказательств того, что он читает ее электронную почту, могло бы разрушить карьеру не ему, а Мишель.

Но, с другой стороны, то, что Мишель теперь знала об уязвимости своей почты, позволило ей понять, почему для ее компании так важно предусмотреть в бюджете на безопасность расходы на шифрование электронной почты. И пока эта технология не будет введена, Мишель знала, что ей следует ограничивать содержание своей почты.

Мишель и я никогда больше не возвращались к этому инциденту с электронной почтой. Но мне известно, что в настоящее время компания Мишель усердно работает над внедрением у себя программ шифрования электронной почты.

Резюме: Вы имеете право отказаться от вашего права на тайну переписки

В отличие от других случаев, описываемых в данной книге, в этой истории не проводился аудит. Однако в этом случае был обнаружен существенный риск в области технологии, на которую мы стали полагаться почти ежедневно.

Предприниматели, подобные Мишель, подвергают риску свою информацию и карьеру почти ежедневно, не сознавая этого. Мы полагаем, что если мы сами не читаем чужой электронной почты (и, возможно, не знаем, как это делается), то этого никто не делает. Это плохое предположение.

Не составляет особого труда не только сам просмотр почты, но и получение инструментов «снупинга» из Интернета. И если вы будете ожидать, что в результате работы такого инструмента экран вашего компьютера будет заполняться битами и байтами обрывков сообщений, то вас удивит, как «отполировано» выглядят украденные письма. Только взгляните на пример, приведенный на рисунке 10.1.

Теперь представьте себе, что электронное письмо послано вами, а не Мишель. Как вы будете себя чувствовать, зная, что кто-то еще читает вашу почту? Почувствуете ли вы, что ваше право на тайну переписки нарушено? Несомненно! Являетесь ли вы простым гражданином, посылающим личное письмо вашей любимой девушке, планируете ли вы новую стратегию компании или вы – капрал морской пехоты, говорящий «привет!» своим детям, у вас в любом случае имеется неотъемлемое право на тайну переписки.

Но если вы посылаете электронное письмо, не шифруя его, то вы непроизвольно отказываетесь от этого права. Я всегда говорю людям: «Если вы не шифруете свою электронную почту, то не помещайте в нее то, что вам не хотелось бы увидеть на первой странице The Wall Street Journal».

STAT: Sat Mar 15 10:01:36, 7 pkts, 487 bytes [DATA LIMIT]

DATA: HELO nolimits.incog.com

MAIL From:

RCPT To:

DATA

Received: by nolimits.incog.com (SM 1–8.6/SMI-SVR4)

Alid KAA04 500; Sat, 15 Mar 2003 10:01:35 -0800

Date: Sat, 15 Mar 2003 10:01:35 -0800

From: msha@osmosys (MichelleShavers)

Message-Id: <[email protected]>

To: lmac@nolimits

Subject: NEW STRATEGIC DIRECTION

X-Sun-Charset: US-ASCII

Late yesterday, I received the preliminary report from Vendor В regarding customer perceptions of the new support structure. THE CUSTOMERS ARE VERY UNHAPPY! Over 89 % reported STRONG dissatisfaction with the new bug x distribution system. Of those, fully 53 % are considering Macron's new third-party support program. If we don't implement a new approach quickly, we can anticipate a strong drop in customer support contracts. At tomorrow's executive staff meeting, I will propose the following changes to head off that problem…

Рисунок 10.12[54]54
  В сообщении содержится важная информация о продвижении продукта компании на рынке. – Примеч. пер.


[Закрыть]

Мы пойдем другой дорогой…

Мишель почувствовала затруднения, когда ее почту (вероятнее всего) кто-то читал у нее под носом. В других более тяжелых случаях это обходится корпорациям в миллиарды долларов потерянных доходов ежегодно. Угроза в этих случаях исходит от «червей», «троянских коней», атак по типу «отказа от обслуживания», искажения внешнего вида веб-страниц и т. д. Электронная почта представляет собой одну из самых распространенных и менее всего обсуждаемых областей, в которой сегодня таится риск для делового мира.

Для защиты тайны своей переписки Мишель должна была сделать следующее.

Использовать шифрование!

Современные пакеты программ шифрования легко устанавливаются и поддерживаются и действительно прозрачны для пользователя. К сожалению, многие помнят о старых громоздких пакетах таких программ и не знакомы с их более простыми современными версиями.

Если в системе электронной почты вашей компании еще не используется шифрование, то немедленно его установите. Если вы не уверены в том, какой продукт, обеспечивающий шифрование, использовать, или вас смущают экспортные соглашения, то обратитесь за советом к консультанту по вопросам безопасности.

Убедить компанию в необходимости шифрования

Применение шифрования похоже на наклеивание на дверь стикера, предупреждающего, что ваш дом находится под электронным наблюдением. Если вы остаетесь единственным в вашем квартале с таким стикером, то потенциальные воры начнут размышлять, что у вас имеется такого ценного для принятия дополнительных мер охраны. Если же на всех домах в вашем квартале будут иметься такие же стикеры, то будет трудно сказать, у кого действительно можно поживиться.

Когда все начнут использовать шифрование, то любому, кто занимается выискиванием информации, будет трудно определить, что действительно представляет интерес, а что – нет. На это и должны направляться наши усилия.

Предусмотреть в бюджете средства на шифрование

В прошлом некоторые директору по информационным технологиям действительно запрещали своим служащим шифровать электронную почту, предназначенную для внутреннего пользования. Если у вас все еще придерживаются такой устаревшей политики, то немедленно ее аннулируйте! Затем разработайте новые политики и запишите шифрование в цели ваших менеджеров.

Отслеживать возникновение других угроз электронной почте

Как ни печально сообщать, но возможность чтения вашей почты другими людьми является не единственным риском, которому вы подвергаетесь как пользователь электронных средств информации. Вы можете подвергнуться «спаму»,[55]55
  Spam – рассылка большого количества сообщений посредством электронной почты, имеющая целью разрекламировать товары или услуги и все, что нуждается в рекламе. – Примеч. пер.


[Закрыть] угрозам заражения вирусами, реальному заражению вирусами, «червями», «троянскими конями» и т. д. Соответствующие программные инструменты могут предотвратить возникновение некоторых из этих проблем. Например, хотя «спам» продолжает нарастать, только 21 процент пользователей электронной почты используют программы-фильтры «спама» (Opt-In News, май 2002 года).

Семьдесят шесть миллиардов «спам»-сообщений будет разослано по электронной почте по всему миру в 2003 году (eMarketer, 2002 год). При таких цифрах необходимо иметь программное обеспечение, предназначенное для борьбы с этой проблемой. Если фильтрация «спама» у вас еще не используется, то руководству необходимо включить в бюджет на безопасность расходы на программы-фильтры «спама» или на службу фильтрации «спама».

«Спам» вреден, по меньшей мере, своей назойливостью, но вредоносные программы являются разрушительными и означают причинение ущерба. Убытки от эпидемий вредоносных программ в 2001 году составили 13,2 миллиарда долларов. Компаниям необходимо создавать многоуровневую систему обороны для защиты от этих злобных атак. Это означает защиту в каждой точке входа. Серверы, персональные компьютеры и другие устройства также должны иметь защиту (например, защиту от вирусов, брандмауэр, детектор вторжения и средство предотвращения вторжения). Атаки вредоносных программ становятся более изощренными и будут причинять больший ущерб. Защита от них является одной из приоритетных задач каждой компании.