Текст книги "IT-безопасность: стоит ли рисковать корпорацией?"
Автор книги: Линда Маккарти
сообщить о нарушении
Текущая страница: 3 (всего у книги 22 страниц)
Цели и приоритеты вашей компании и соседних организаций могут взаимно отличаться. Главным при этом будет то, что при сложных инцидентах не будет времени оценивать приоритеты. Поэтому ваши цели при обнаружении взлома должны быть отражены в документах и понятны вам еще до того, как взлом произойдет.
Знание своих целей важно при составлении соответствующего плана действий. Цели действий в условиях вашей сети могут включать в себя некоторые или все из нижеперечисленных.
Защитить информацию клиента. Возможно, ваша сеть хранит важную для клиентов информацию. Если хакер похитит, изменит, уничтожит или даже выставит такую информацию в Интернете, то вы можете предстать перед судом.
Изолировать атаку. Предотвратите использование ваших систем для запуска атаки против других компаний. В некоторых случаях вам будет нужно отключить систему от сети, чтобы предотвратить дальнейший ущерб и ограничить масштабы атаки. Например, если у вас имеется внешняя клиентская сеть (extranet), подключенная к вашей сети, а хакер пытается получить доступ к системе, которая соединяет вас с клиентской сетью, то вы должны защитить сеть вашего клиента. Если вы осознали это, то будьте готовы (и знайте как) перекусить провод.
Оповестить вышестоящее руководство. Руководство отвечает за соответствие, точность и надежность информации. Если системы в вашей компании взламываются, то руководитель информационной службы[6]6
CIO Chief Information Officer. – Примеч. пер.
[Закрыть] должен знать об этом и быть в курсе событий.
Обеспечить документирование события. Запись всех подробностей может помочь руководству в получении информации по оценке взлома и при проведении расследований в отношении конкретных лиц.
Сделать «моментальный снимок» системы. «Моментальный снимок» представляет собой содержимое памяти компьютера (ОЗУ, регистров и т. д.) в определенный момент времени. (Иногда «моментальный снимок» называют «разгрузка памяти» или «дамп».) В «моментальном снимке» может сохраниться информация, которую хакер не успел стереть до завершения или отражения атаки и которая может помочь поймать взломщика. Для расследования такая информация может оказаться крайне важной.
Соединитесь с группой реагирования на инциденты, связанные с компьютерной безопасностью (CSIRT – Computer Security Incident Response Team). Важно связаться с одной из CSIRT[7]7
например, CERT Computer Emergency Response Team – группа реагирования на чрезвычайные ситуации. – Прим. науч. ред.
[Закрыть] на ранней стадии вторжения, так как, возможно, у них имеется информация, которая может помочь вам прервать вторжение. Например, они могут знать, как устранить «дыру» в программе или аппаратуре изготовителя, через которую взломщик способен проникнуть в вашу сеть. Они также накапливают статистику по общему количеству взломов и способов, применяемых хакерами для получения доступа. Если вы добились контроля над ситуацией и устранили проблему доступа хакера в сеть, вам все равно следует обратиться к CSIRT для пополнения их статистики. Они не будут предавать огласке название вашей компании и тот факт, что она подверглась взлому. В мире существует множество CSIRT. Подробнее о них можно узнать в Приложении А, «Люди и продукты, о которых следует знать».
Установить взломщика. Данный пункт кажется очевидным, но не все помнят о его важности. Конечно, проще оставить все как есть. Но лучше его поймать. Не сдавайтесь в своих попытках установить взломщика, который нанес вред вашей информации. Если вам не удается сразу отследить путь атаки на вашу сеть, не оставляйте мысли о том, как важно иметь возможность для этого. Ряд изготовителей предлагают программное обеспечение, способное легко отследить путь атаки (если оно установлено на коммутирующем узле). Такая мера должна быть предусмотрена в стратегии вашего руководства.
Знать, кто и за что отвечает. Четко очерченные обязанности устраняют возникновение неопределенности. Знание того, кто и за что отвечает, ускоряет расследование и помогает установить виновного.
Знать, кому вы можете доверять. Сам по себе взлом оказался лишь частью реальной проблемы в First Fidelity. Другой ее частью явилось отсутствие доверия между главными игроками. Если предположить, что Майк виновен, то вопрос доверия превратится в проблему подбора сотрудников. Проводились ли соответствующие проверки персонала? Хотя это может показаться вторжением в чью-то личную жизнь, все же нужно проверять каждого, кто будет отвечать за компьютерную безопасность.
Если считать, что Майк невиновен, то вопрос доверия переходит в плоскость проблем общения. Почему Майку никто не сообщил сразу же о случившемся? Может быть, Дэйву помешало то, что Майк был из службы безопасности? Телефонный звонок мог бы положить начало конструктивному диалогу, и не пришлось бы тыкать друг в друга пальцами и «темнить» при расследовании. Может быть, существует молчаливое недоверие между системными администраторами и группой безопасности? Обида или недоверие сотрудников компании в отношении группы безопасности представляют серьезную проблему, которой надо уделять внимание. Ее игнорирование ставит компанию в рискованное положение. Процедура, в которой отражены действия при конфликте интересов, могла бы помочь и Дэйву. Он мог бы обойти группу безопасности, передав расследование вышестоящему руководству.
Реагировать быстро и решительноКак красноречиво говорят нам надписи на футболках, в жизни чего только не бывает. Поэтому, если хакер вторгся в вашу систему, несмотря на все принятые вами меры защиты, выполните хотя бы следующее.
Действуйте быстро!
Бесспорной истиной безопасности является то, что чем медленнее вы реагируете, тем больше вероятность ухода взломщика от наказания вместе с вашей информацией, причем неопознанного и готового нанести повторный удар.
Придерживайтесь плана действий
Главная цель заблаговременного написания процедур реагирования на инцидент состоит в том, что вы (или ваши сотрудники) можете реагировать немедленно и не раздумывая. Не пытайтесь как-либо истолковывать план – просто выполняйте его!
Записывайте все!
Как только возникнут подозрения, что система подвергается атаке, крайне важно получать об этом информацию. Сделайте «моментальный снимок» системы. Любая собранная вами информация имеет ценность для расследования и может оказаться решающей для установления источника атаки и привлечения взломщика к ответственности.
При необходимости прибегайте к эскалации проблемы
Эскалация – это привлечение к решению проблемы вышестоящего руководства[8]8
или дополнительных сил. – Примеч. пер.
[Закрыть] В процедуре реагирования на инцидент должно быть указано, при каких обстоятельствах нужно прибегать к эскалации – как внутренней, так и внешней.
Внутренняя эскалация – это передача проблемы на более высокий уровень руководства внутри компании. Она требуется, когда масштаб взлома выходит за пределы знаний, имеющихся у группы обслуживания. Внешняя эскалация заключается в вызове эксперта со стороны, и к ней прибегают, когда инцидент слишком сложен для сотрудников компании.
Также важно иметь в плане способ эскалации в условиях конфликта интересов. Он необходим, если под подозрение попадает кто-нибудь из группы обслуживания. (В случае с First Fidelity главный подозреваемый входил в группу безопасности. Эскалация при конфликте интересов могла бы разрядить стрессовую ситуацию и последующие проблемы с персоналом.)
Создайте надежную систему отчетов
Разумным будет создание механизма составления отчета обо всех вторжениях, даже тех, которые не причинили системе какого-либо очевидного вреда. Отчеты о взломах дают общую картину состояния безопасности сети. Они также помогают обнаружить участки в вашей сети, представляющие угрозу ее безопасности.
Завершающие действия
После взлома вы должны провести оценку случившегося. Следовал ли ваш персонал намеченным целям и приоритетам? Какие уроки вы извлекли? Что бы вы хотели в дальнейшем сделать по-другому? Возвращены ли ваши системы в безопасное состояние и не осталось ли «черного хода»?
После любого инцидента, связанного с безопасностью, проделайте следующее.
Просмотрите ваши политики и процедуры
Тщательно изучите надежность работы ваших процедур и примите решение, нужно ли их изменить на будущее.
Представьте отчет по инциденту (и как вы действовали в нем) руководству
Если вы сами являетесь руководителем, то потребуйте, чтобы обо всех инцидентах вам были представлены отчеты. Стандартная процедура составления отчета по любому и каждому взлому заключается в создании всеохватывающей картины состояния безопасности сети. Если из отчетов будет видно, что взломы приобретают хронический характер или их частота увеличивается, то, очевидно, нужно совершенствовать или усиливать меры безопасности. По протоколам отчетов также можно установить участки вашей сети, на которые нацеливаются взломщики для получения информации (например, стараются получить исходный код проектируемого вами нового чипа).
По-новому взгляните на ваш бюджет
На бумаге все любят безопасность. Но когда речь заходит о вложении средств, то расходы на планирование и осуществление мер безопасности часто урезаются. «Так как с бюджетом в этом квартале имеются трудности, то руководство говорит, что нужно подождать с расходами на реагирование на инциденты». За этим последует конец года, и процедуры все еще останутся ненаписанными.
Важность безопасности легко забывается. Лишь на некоторое время после самых значительных из взломов какая-нибудь несчастная компания оказывается в фокусе передач «60 минут» или CNN. Все вдруг сразу беспокоятся о мерах безопасности и о том, чтобы такое не произошло с ними. Затем в телестудиях гаснет свет, шум в прессе затихает, а хакер отправляется за решетку или исчезает в киберпространстве. Интерес к безопасности пропадает, и руководство снова не хочет включать ее в бюджет.
Маркус Ранум (Marcus Ranum), часто упоминающийся как отец брандмауэров, однажды сказал: «Когда дело доходит до безопасности, то нужно, чтобы парень, стоящий рядом с вами, получил пулю в голову прежде, чем руководство обратит внимание на безопасность». Если вы руководитель, отвечающий за безопасность, то не занимайте позицию «ожидания пули» в этих вопросах. Ведь на самом деле стоимость восстановления после серьезного взлома значительно превосходит расходы на установку защиты. Для уменьшения этой стоимости до минимума в будущем убедитесь, что в бюджет включено финансирование требуемой безопасности.
Контрольный списокИспользуйте этот список для определения готовности вашей компании реагировать на взлом. Можете ли вы поставить «Да» напротив каждого пункта?
– Есть ли у вас процедуры реагирования на инцидент?
– Понятны ли эти процедуры и отвечают ли они современным требованиям?
– Обучены ли все ответственные сотрудники использованию этих процедур?
– Есть ли в процедурах инструкции по контакту с экспертами по безопасности 24 часа в сутки и 7 дней в неделю?
– Предусмотрена ли процедура эскалации проблемы на вышестоящий уровень, если не удается связаться с экспертом по безопасности?
– Есть ли процедура, определяющая, когда обращаться за внешней помощью и к кому?
– Предусмотрено ли в процедурах немедленное уведомление руководителя информационной службы при возникновении вторжения и после его отражения?
– Выделено ли достаточно средств на разработку и поддержание реагирования на инциденты, связанные со взломом?
– Действительно ли ответственные сотрудники посещают все требуемые занятия?
– Проводятся ли личные проверки ответственного персонала?
– Все ли гладко во взаимоотношениях между системными администраторами и группами обеспечения безопасности?
– Имеются ли планы восстановления системы после инцидента?
– Надлежащим ли образом контролируются меры безопасности в системах? («Надлежащим» здесь означает, что такая оценка дана реальной аудиторской проверкой.)
– Включены ли контрольные журналы систем?
– Просматриваются ли периодически журналы регистрации в системах?
– Установлены и работают ли необходимые инструменты по обнаружению вторжения?
– Установлены ли в вашей сети программы-детекторы, обнаруживающие «неизвестные» атаки?
– Можете ли вы обнаружить и предотвратить атаки как на сеть, так и на хост-компьютер (многоуровневый подход к обнаружению)?
– Легко ли отслеживается путь атаки в вашей сети?
Заключительные слова
Статистика, которую ведет CERT, показывает, что количество нарушений безопасности более чем удваивается каждый год. По данной статистике, число инцидентов возросло с 3934 в 1998 году до 9859 в 1999 году, а затем до 211 7569 в 2000 году и до 52 658 в 2001 году. Только за первый квартал 2002 года было зарегистрировано еще 26 829 инцидентов. Пугает то, что о многих нарушениях не было сообщений, так как их не удалось обнаружить. В то время как 38 % респондентов, участвующих в опросе CSI 2002 года, сообщили о неавторизованном использовании своих веб-сайтов в прошедшем году, 21 % других респондентов честно признались, что не знают, были ли взломаны их сайты или нет.
Легко видеть, что даже если у вас нет причин поверить в существование факта взлома систем вашей компании, вы все равно можете быть жертвой незамеченной атаки. В одном из своих действительно показательных исследований Министерство обороны США провело тестирование, которое продемонстрировало, как редко взломы обнаруживаются и регистрируются (рисунок 1.4). В данном тесте было атаковано 8932 компьютера. В результате атаки было взломано 7860 систем – около 88 %. И только о 19 атаках были сделаны сообщения – менее 0,003 %!
Тест Министерства обороны, показывающий, как редко регистрируются атаки
Источник: Defense Information Systems Agency.
Рисунок 1.4
Дэн Фармер (Dan Farmer), хорошо известный исследователь компьютерной безопасности, провел тестирование высокопрофессиональных коммерческих веб-сайтов. Результаты тестирования показали серьезную уязвимость Интернета. Из 1700 веб-серверов, подвергшихся тестированию в данном исследовании, более 60 % могли бы быть взломаны или выведены из строя, и только на трех сайтах было замечено, что их тестируют.
В стремлении подключиться к Интернету вы можете забыть о безопасности, и ваша система легко может оказаться среди этих уязвимых 60 %. Если вы не уверены в том, что контролируете безопасность вашего веб-сервера (или любой другой системы), то проведите проверку на безопасность сами или вызовите эксперта по безопасности, который проведет оценку вашего сайта.
Тесты Министерства обороны и Дэна проводились несколько лет назад. Сегодня трудно сказать, сколько компаний смогли бы обнаружить подобные атаки. На многих сайтах установлены программы-детекторы вторжений, отслеживающие атаки. Если в вашей компании их еще не установили, то нужно это сделать. Не ждите, пока название вашей компании появится в выпуске новостей CNN.
Глава 2
Безопасность в стандартной поставке
Подсистемы должны находиться в выключенном состоянии по умолчанию, и пользователь будет знать (по возможности), что он действительно включает, перед тем, как это включит. Это не столь очевидно для одной или двух подсистем, но если их сотни… не надо дожидаться того времени, когда целое поколение системных инженеров будет проводить половину своей рабочей жизни, выключая одно и то же на каждой машине.
Тео де Раадт, исследователь проблем безопасности.
Проект OpenBSD[9]9
OpenBSD – проект по созданию UNIX-подобной ОС, отвечающей современным требованиям многопользовательской работы в Интернете. В проекте уделяется большое внимание безопасности. – Примеч пер.
[Закрыть]
Уже год, как вы занимаетесь бизнесом в Интернете, и вы только начали получать прибыль. Наконец-то на взлете! Вы счастливы, став одним из первых, поставивших свой бизнес в Сети, который движется и приносит вам прибыль. Вы забрались на новую территорию, которая неизвестна большинству, – в Интернет. Это напоминает вам приключения первопроходцев, захотевших попытать счастья и пересечь всю страну после того, как они услышали о богатейших просторах Калифорнии. Они нашли золото. И вы тоже стали одним из первопроходцев в Интернете и скоро тоже найдете свое золото!
Вы так загружены работой, что отпуск кажется вам несбыточной мечтой. Вы довольны вашим провайдером Интернет-услуг (ISP – Internet Service Provider). Ведь провайдер открыл дверь вашему бизнесу в Интернет. Более того, провайдер помогает хранить и обслуживать всю информацию по вашему бизнесу, включая вашу домашнюю веб-страницу. Вам не нужно тратить время на обслуживание систем или на раздумья, как построить веб-страницу и подключиться к Интернету. Честно говоря, вы не очень задумываетесь о том, как работают компьютеры, да это и не нужно – ведь вы же платите за это провайдеру!
Забыв об отдыхе, вы налегаете на работу. Время поднимать цены. Теперь можно больше запросить за ваши консультационные услуги, так как на них возрос рыночный спрос. Уже почти полночь, но вы решаете войти в систему и до утра внести свои изменения. Вы пытаетесь зайти на вашу веб-страницу, но это не удается. Вы пытаетесь снова и снова. Безуспешно! Что же случилось? Может быть, трафик в Сети так плох, что не дает получить доступ к вашей веб-странице? Вы пытаетесь позвонить вашему провайдеру, но его номер занят. Вы не можете получить доступ к вашей веб-странице, и линия провайдера постоянно занята. Вы ворочаетесь и мечетесь всю ночь, гадая о том, что же происходит.
К несчастью, беды на этом не закончились. Следующим утром вы узнаете, что хакер взломал системы вашего провайдера. Он обрушил их и уничтожил всю информацию. Подождите! Так это же ваша информация! Хуже того, вы обнаруживаете, что жизненно важная для вашего бизнеса информация и домашняя страница не могут быть восстановлены, так как ваш провайдер никогда не делал резервных копий диска, на котором хранилась ваша информация.
Как теперь быть? Вся информация по вашим клиентам безвозвратно утеряна! Вы думаете, что такое невозможно? Подумайте получше.
Храните ли вы ваши драгоценные цифры в изолированной от внешнего мира корпоративной сети или же храбро выставили их в неопределенность Интернета, вы в любом случае должны иметь возможность доверять целостности вашей информации и способности провайдера защитить ваши ресурсы. Провайдер должен знать, как устанавливать системы и защищать вашу информацию. Ведь так же? Это часть его услуг, за которые вы платите. Но, к сожалению, быстрый рост информационных технологий и необходимость развития новых видов бизнеса, требующих новых технологий, не вызвали такого же повышения уровня квалификации в вопросах безопасности у профессионалов.
В современной информационной среде большинство людей знает, что подключение системы к Интернету без мер безопасности во многом похоже на «русскую рулетку» – только вопрос времени, когда на кого-то придется выстрел. Если это так, то почему профессиональные провайдеры устанавливают стандартные системы, не проводя их дополнительных настроек, и играют в «русскую рулетку» с информацией своих клиентов? Им нет дела до сохранности информации клиентов?
Если вы все еще верите в то, что большинство информационных брокеров, системных администраторов и провайдеров Интернет-услуг являются специалистами по безопасности, то давайте посмотрим…
Безопасностью займемся позднее
Три года назад Джордж Марковиц и Натан Лински были лучшими инженерами в своем бизнесе. Они стремились как можно дольше работать на своем месте, продвигаться по служебной лестнице и разбогатеть, работая в крупной компании. Как и многие другие, они двигались к своим целям, полагаясь только на себя.
Джордж и Натан назвали свою новую компанию «TransWorld Internet Services». Занятая ими ниша предоставляла их клиентам дешевый и высококачественный доступ в Интернет и хранение их информации. Обычно TransWorld обеспечивала простым домашним пользователям соединение с Интернетом и легкодоступное хранение их информации, не беспокоясь о резервном копировании информации.
К несчастью, они не смогли всего предусмотреть – как, например, настройку безопасности. Они подключили свои системы к Интернету стандартным способом, без настройки безопасности, и оставили широко открытыми для атаки свои системы и информацию клиентов.
День 1-й: Ложное чувство безопасностиСпособности Джорджа и Натана по работе на рынке услуг были почти на той же высоте, как и их техническая подготовка. Через шесть месяцев TransWorld обслуживала личные каталоги и веб-страницы более чем 1000 клиентов.
Как и любые другие начинающие предприниматели, Джордж и Натан были озабочены накладными расходами. К счастью, их технический опыт позволял им выполнять большую часть работы самостоятельно. Например, они без проблем сами устанавливали системы и программное обеспечение.
Но, к сожалению, Джордж и Натан оставили конфигурацию всех своих систем стандартной, не принимая при этом дополнительных мер безопасности. Скорее всего, они еще раз не подумали о безопасности (а может быть, и первого раза не было). В этом нет ничего необычного, так как большинство инженеров не любят безопасность. Они стремятся поскорее добраться до информации и считают меры безопасности препятствием. Но для компаний, отвечающих за поддержание надежности и целостности информации клиентов, это вопрос их пребывания в высшей лиге.
