WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 | 2 || 4 | 5 |

«• Файл взят с сайта • • • где есть ещё множество интересных и редких книг. ...»

-- [ Страница 3 ] --

Джилл рассказала, что истории болезни пациентов хранятся на серверах с именами от PR до PR10. Ага! Теперь я знала, что буквы PR обозначали историю болезни (по-английски Patient Records. - Примеч. пер.). Как я об этом не догадалась раньше? Как бы то ни было, эти системы должны считаться особо критичными и в них должны быть установлены средства защиты. Как я уже рассказывала, эти системы были взломаны мной в первую очередь.

Джилл попала прямо в яблочко. Я убедилась в этом, проверив типы операционных систем и серверов и изучив содержащуюся в системах информацию. Закончив эту проверку, я ре­ шила, что у меня достаточно информации для написания отчета. Конечно, проблем с безо­ пасностью было много. Но главными в моем списке проблем были следующие:

• Никто и никогда не проводил оценку рисков.

• Политики и процедуры были неполными.

• Системы, содержащие жизненно важную информацию, были установлены стан­ дартным способом.

• Информация могла быть легко изменена, украдена или уничтожена без следа.

Очевидно, никто не уделил достаточно (или вовсе не уделил) внимания рискам изменения, уничтожения или кражи информации, когда ее переносили из отдельного компьютера в серверы сети. В результате оказались подвергнуты риску истории болезни.

Резюме: Тщательнее планируйте выполнение подрядных работ Перенос систем с одной платформы на другую - задача не из легких. Перед оптимизацией вычислительной среды или переносом систем на новую платформу нужно проводить оценку риска. Кроме того, необходимо разрабатывать новые политики и процедуры при­ менительно к новой среде.

3. Highly sensitive information - буквально: «высокочувствительную информацию». Это конфиденциальная информация, раскрытие которой может нанести персональный вред, в данном случае - пациентам. - Примеч. пер.

Безопасность вне плана Одновременно нужно обучить системных администраторов тому, как обеспечивать безо­ пасность в новой системе.

Прежние игроки в данной истории разыграли свои карты по всем правилам. Получив большой кусок пирога, Джо и Марлен построили систему, сорвали аплодисменты и удали­ лись. К сожалению, спроектированная ими новая сеть содержала несколько довольно больших проблем безопасности.

В реальной жизни карты, разыгранные Джо и Марлен, не являются чем-то необычным.

При создании сетей вопросы безопасности часто тормозят ход работ и раздувают бюджет.

Хуже того, эти вопросы не получают и доли того внимания, которое привлекают к себе большие проекты. И наконец, руководители просто не желают знать, что может случиться, если будет отсутствовать защита.

Мы пойдем другой дорогой...

Генеральная перетряска большой компьютерной системы является ситуацией, полной неожи­ данных проблем с безопасностью. По меньшей мере, вы будете иметь дело с кривой нараста­ ния опыта системных администраторов, стремящихся освоить систему с новой технологией.

В данном случае эта кривая медленного накопления опыта могла бы оказаться роковой для некоторых пациентов Rockland General. Но счастье оказалось на их стороне.

Не полагаясь на удачу в судьбе, в Rockland General должны были бы сделать следующее.

Оценить риски Перед тем как перенести информацию с одной платформы на другую, всегда проводите оценку риска. По своей природе одной информации присущ больший риск, чем другой.

В нашем случае более рискованной информацией оказались истории болезни.

После оценки риска руководство должно было определить риск для каждого вида ин­ формации и предпринять шаги по сохранению ее в тайне. Они могли бы усилить меры по контролю доступа, ввести контроль над действиями пользователей, обнаружение вторже­ ния и шифрование в системах с историями болезней.

Классифицировать системы Системы нужно было классифицировать по степени важности и построить их защиту, исходя из уровня риска для информации. Основными уровнями риска при такой класси­ фикации являются некритичный, критичный и особо критичный. После проведения клас­ сификации безопасность систем должна быть настроена в соответствии с политикой ком­ пании по защите информации.

Так как каждая компания имеет свой уровень развития и несет ответственность за свою информацию, то классификация и определение уровней безопасности должны проводить­ ся исходя из конкретных условий (меняющихся от компании к компании).

В данном случае единственным человеком, кто хотя бы смутно представлял себе идею классификации систем, была Джилл. Да и то после того, как ей открыли на это глаза. Так относиться к технической поддержке компьютеров нельзя. Вы должны ясно представлять, что нужно защищать. Иначе вы не сможете убедиться в достаточности имеющегося у вас уровня безопасности.

Мы пойдем другой дорогой...

Запретить стандартные установки систем Мы уже обсуждали это ранее (во второй главе), но нужно еще раз повторить. Стандартная установка систем порождает высокую степень риска для любой компании, в которой нет хороших политик и процедур безопасности. Установленные стандартно системы могут создать зияющие дыры в вашей сети.

Зачем оставлять приглашение хакерам, если вы можете этого не делать? Лучше внедрите правильные политики и процедуры по установке систем в вашей сети.

Не быть слишком доверчивым Доверие - это страшная вещь в сетях с неправильной настройкой. Как только вы войдете в одну машину, другие машины доверят вам войти в них. Если вам необходима довери­ тельная конфигурация (а абсолютная необходимость возникает лишь в редких случаях), то вы должны обеспечить должную безопасность доверяемой машине. Это очень трудно сделать. По возможности поищите менее рискованную альтернативу.

Извлекать уроки из прошлого Часто говорят, что тот, кто забывает историю, обречен ее повторить. Только что назначен­ ные менеджеры и системные администраторы не должны считать безопасность прини­ маемых ими систем достаточной без проверки, проведенной собственноручно, - не зави­ симо от репутации предшественников. Если бы в данном аудите не были вскрыты остав­ шиеся от предшественников проблемы, то Мэтт мог бы испытать на себе, как доверие к Джо и Марлен разрушит его собственную репутацию.

Выбирать цели при сокращении бюджета Бездонных бюджетов не бывает, и в наступившей эре бережливости трудно выжить.

Но и в этой ситуации рискованно искать обходные пути.

Здесь пользу может принести классификация систем. Вы не должны тратить средства на обеспечение безопасности наугад, то есть начинать с первой системы и двигаться справа налево, а затем остановиться, когда деньги закончатся. Если вы проведете оценку риска и классификацию систем, то сможете применить более практичный подход. Вы сможете использовать полученную информацию и сокращать средства, прежде всего для участков, где это причинит меньший вред.

В идеале, конечно, вы должны обеспечивать безопасность каждой системы. Но если бюд­ жет не позволяет сделать этого прямо сейчас, то вы должны в первую очередь позаботить­ ся о защите особо критичных систем.

Проводить тестирование безопасности Используйте аудиты безопасности для оценки уровня риска в вашей среде.

Rockland General должна была провести аудит безопасности до переноса систем на новую платформу. Аудит выявил бы существующие риски безопасности, что помогло бы персо­ налу компьютерного зала получить финансирование, необходимое для обеспечения безо­ пасности при таком переходе.

Разумеется, им следовало бы многое сделать. Я догадываюсь, что технический персонал противился проведению первоначального аудита, так как им действительно не хотелось, чтобы начальство узнало о существующих рисках. Зачем забираться в такие дебри только для того, чтобы показать начальству свое неумение устранить обнаруженные проблемы.

Безопасность вне плана Сделать руководителей подотчетными Другой очевидной проблемой в Rockland General была краткосрочность мышления менед­ жеров: «Получай свою премию и управляй своими людьми». При наличии корпоративной культуры, допускающей быстрое передвижение по служебной лестнице, обязанности по обеспечению безопасности должны отражаться в должностной инструкции! Нет безопас­ ности - нет премии. Более того, сотрудники должны проявлять больше усилий, чтобы ос­ таться в числе лучших профессионалов. По меньшей мере, нужно назначать на должности менеджеров только тех, кто показывает стабильные результаты в технической поддержке особо критичных машин.

Несомненно, конечная ответственность за риски безопасности лежит на руководстве.

Но нечестно во всем обвинять людей, которых уже нет рядом с вами.

Не расплачиваться за других На системных администраторов часто обрушивается гнев за проблемы с безопасностью, даже если это не их вина. Не удивляйтесь, если менеджер, отказавшийся обеспечить необ­ ходимое финансирование поддержки безопасности, будет первым, кто набросится на вас, когда что-то пойдет не так.

В любом случае, когда что-либо происходит с обслуживаемыми вами машинами, люди бу­ дут обвинять в этом вас. Если компания, в которой вы работаете, не финансирует под­ держку или обучение безопасности, то, может быть, стоит задуматься над обновлением вашего резюме.

Включать обучение в бюджет Смена платформ и радикальное изменение конфигурации означают, что вы также потеряе­ те знания ваших людей. Перед тем как осуществить такой переход, обеспечьте обучение персонала новым вещам. Системные администраторы не смогут однажды проснуться утром и обнаружить, что они таинственным образом во сне освоили операции по новой технологии. Им нужен кто-то, кто бы объяснил, какие добавить патчи, какие службы вы­ ключить и т, д.

В Rockland General технический персонал перенес всю особо критичную информацию больницы из большого старого компьютера, который они знали, как обслуживать, в незна­ комую распределенную среду. И в процессе этого руководство не обеспечило им ни одно­ го занятия по безопасности. Неудивительно, что с безопасностью возникли такие большие проблемы!

Подсчитывать очки Мы уже обсудили виды рисков, сопровождающих краткосрочное мышление. Теперь по­ говорим об одном из способов эти риски избежать: о подсчете очков!

Высшее руководство должно подсчитывать очки по безопасности сотрудников всех уров­ ней. Ни один из менеджеров, отвечающих за техническую поддержку компьютеров, не должен получать премию, пока он не добьется поставленных перед ним целей по обес­ печению безопасности. Таким же образом системные администраторы должны набирать очки за то, как они защищают информацию, а не только за то, как они обеспечивают ис­ правность сети и ее работу.

94 Заключительные слова Контрольный список Используйте этот список, чтобы определить, подвергается ли ваша компания риску по причине незнания того, каким этот риск является. Можете ли вы поставить «Да» напротив каждого пункта?

_ Проводилась ли недавно оценка риска?

_ Классифицированы ли системы по уровню риска (некритичные, критичные, особо критичные и т. д.)?

_ Привязаны ли цели руководства к вопросам безопасности?

_ Проводятся ли плановые аудиты для проверки ранее сделанной оценки риска?

_ Привлекаются ли, при необходимости, внешние аудиторы для оценки и уменьше­ ния риска? (Некоторые владельцы информации еще не знают, какие ценности они имеют!) _ Все ли сотрудники (как менеджеры, так и системные администраторы) назначаются на должности и оцениваются, основываясь на выполнении ими задач по обеспече­ нию безопасности?

Заключительные слова Оценка риска является одной из важнейших и наиболее игнорируемых задач в области безопасности. Как ни печально, но это действительно так. Вы должны понять, что у вас есть и что из вашего имущества заслуживает охраны.

По данным опроса Global Security Survey, проведенного в 2001 году журналом Information Week и группой Price Waterhouse Coopers, у 64 процентов респондентов не было политики безопасности, определяющей классификацию информации. Это несомненный рост по сравнению с 52 процентами в предыдущем году. Конечно, не все нарочно «игнорируют» проведение классификации информации. Почти у 70 процентов вообще нет политики защиты информации, определяющей их цели по обеспечению безопасности. Так ли уж не­ брежны компании в отношении безопасности информации? Вовсе нет. Просто рост в гео­ метрической прогрессии количества информации, которую необходимо защищать, захле­ стнул компании. Придется ли им заплатить за свой недосмотр в будущем? Несомненно.

Чтобы действительно защитить свою сеть, вы должны провести тщательную оценку риска и затем использовать эту информацию для построения вашей стратегии безопасности.

И это надо будет проделывать не один раз.

Как только будут добавляться новые системы, меняться системные платформы или пред­ приниматься основательные организационные изменения, вы должны будете повторно проводить оценку риска. «Безопасность нельзя сводить к одноразовому мероприятию - ее нужно практиковать. Такая практика заключается в инструментах, обучении, системе оце­ нок и методологии».

Глава Поддержка безопасности Конечно, в этой фирме был брандмауэр, но ее сеть была широко открыта любо­ !

му с картой 802.11 (b).

СИЛКОМ Гарфинкл, соучредитель компании Sandstorm Enterprises Вы являетесь менеджером административной информационной системы у крупного про­ изводителя микросхем. Ваша группа обеспечивает техническую поддержку сети компа­ нии и отвечает за работоспособность сети и решение возникающих в ней проблем. Это большой груз ответственности в большой компании. Это вместе с тем неблагодарная ра­ бота. Все сразу видят, когда сеть выходит из строя. Но никто не замечает, как хорошо и бы­ стро работает сеть, если все в порядке, - это обычное для всех состояние сети.

Ваша группа также отвечает за поддержку брандмауэра компании. Этот брандмауэр защи­ щает вашу сеть от большого плохого Интернета. Вы счастливы, что у вас работает один из лучших в мире экспертов по брандмауэрам. Как только возникает проблема, он тут же берет ее решение на себя. В окружении зрелых специалистов вам удается освободить для себя время, чтобы заняться нужными делами, как, например, политиками компании и бюджетом. И вот вы только что провели последние штрихи в бюджете отдела на сле­ дующий год.

Но зазвонил телефон. Ваш эксперт сообщает вам, что очередной хакер проник в сеть ком­ пании через брандмауэр. Эксперт уже связался с группой обеспечения безопасности ком­ пании. Сотрудники группы будут определять путь хакера, а он займется выяснением спо­ соба, с помощью которого хакер осуществил взлом. Вы говорите: «Отлично. Только сооб­ щите мне, когда проблема будет решена».

Можно вернуться к бюджету. Цифры выглядят хорошо - средства не такие уж большие, но вполне достаточные. Даже если у вас отнимут процентов 20, то и тогда оставшегося хватит безбедно прожить следующий год.

За составлением бюджета время пролетело быстро, и незаметно наступил конец рабочего дня. Вы уже собрались пойти домой, но вспомнили, что вам все еще не позвонил админи­ стратор брандмауэра. Ну да ладно. Пустяки. Вы надеетесь, что у него все под контролем.

Можно еще успеть выбраться на хоккей. Sharks играют дома, и вы ни за что не пропустите игру.

На следующий день вам звонит ваш администратор брандмауэра: «Мы выкинули хакера из сети прошлой ночью. Я нашел, в чем проблема, и устранил дыру. Этим путем он боль­ ше не пройдет». Отличная работа! Вы знали, что все так и выйдет.

1. Очевидно, внутренняя сеть фирмы была создана по беспроводной технологии стандарта ШЕЕ 802.11 (b), причем была защищена только точка входа. - Примеч. пер.

Кто отвечает за безопасность Что же здесь не так? Руководитель, отвечающий за поддержку брандмауэра и думающий, что взлом - это пустяк, должен искать себе новую профессию! Это не тот тип менеджера, которого я бы допустила к технической поддержке моей сети и брандмауэра.

Если вы думаете, что всякий, в чьи обязанности входит обеспечение безопасности вашей ин­ формации, действительно заботится о безопасности, то подумайте хорошенько. Цель компа­ нии защитить информацию не всегда становится целью каждого. Теперь посмотрим...

Кто отвечает за безопасность Когда пять лет назад компания Global Chips подключилась к Интернету, она поставила и брандмауэр. Брандмауэр в то время справлялся со своими функциями - обеспечивал со­ трудникам доступ к внешнему миру и преграждал путь хакерам. Однако технологии бы­ стро меняются, a Global Chips годами не поддерживала и не улучшала свой брандмауэр должным образом. Это открыло дверь в их сеть.

Однажды хакер прошел через брандмауэр, как будто его и не было. Затем хакер свободно совершил долгую прогулку по интранет компании, собирая пароли и информацию. Персо­ нал технической поддержки обнаружил хакера в сети, но не смог получить достаточно информации, чтобы отследить обратный путь к хакеру.

Администратор брандмауэра Джозеф Уизерс все же смог определить, как хакер взломал брандмауэр, и закрыл дыру.

К сожалению, сага о брандмауэре продолжалась. Global Chips столкнулась с серией взло­ мов. Тем временем брандмауэр стал повседневной целью атак хакера. После каждого взлома Джозефу приходилось устранять новую обнаруженную проблему. Но все попытки отследить путь хакера для установления конкретного лица были бесполезны (что не явля­ ется необычным). Поэтому Джозеф не знал, имеет ли он дело с хакером-одиночкой или с группой хакеров.

Директор по информационным технологиям Аманда Миткин получала информацию о каж­ дом взломе. В сети происходило слишком уж много взломов, и Аманда захотела узнать причину этого. Довольно интересно, что менеджер, отвечавший за комплекс брандмауэра в Global Chips, не задавал себе такого же вопроса. Он считал системного администратора героем за то, что тот устранял возникающие при этом проблемы.

Аманда была рассудительна. Когда компания устанавливает брандмауэр, то весь трафик, идущий из интранет в Интернет (или наоборот), проходит через брандмауэр. Он установ­ лен для защиты. Ане для учебной стрельбы!

Если высшие руководители спрашивают, почему происходят взломы, до того, как об этом спросят линейные менеджеры, то видно, что эта проблема последних не интересует. К сча­ стью для Global Chips, Аманда была встревожена фактами взломов и потребовала провес­ ти расследование.

День 1-й: Как выгоняли плохих парней Аманда поручила провести расследование директору внутреннего аудита Перри Слоуну.

Перри был также озадачен количеством успешных взломов. Так как у его сотрудников не бы­ ло опыта в данной области, то Перри нанял для проведения аудита консультанта по вопросам безопасности.

И тут на сцене появляюсь я. Перри сообщил, что взломы стали повседневным явлением, но это все, что он знает. Так как он уже понимал серьезность сложившейся ситуации, то я не стала тратить время на определение уровня риска. Хакер уже сделал это за меня.

Поддержка безопасности Вместо этого главным в аудите было ответить на вопрос: «Почему мы не можем запереть перед хакером двери?» Перри поручил своему ближайшему помощнику Теду Дэвису заботиться обо мне. Тед должен был организовать мои встречи с нужными людьми. Некоторым руководителям и сотрудникам технической поддержки нравится изматывать аудиторов, не отвечая на звон­ ки и демонстрируя свою постоянную занятость. У меня не было ни времени, ни намере­ ний играть в такие глупые игры. Обязанностью Теда было таких игр не допустить.

Как профессиональный аудитор компании, Тед мог легко и быстро добраться до людей на верхних уровнях управления компании. Он должен был устраивать мне встречи с ними и следить, чтобы я могла легко связаться с нужными людьми. Компания была значитель­ ной, и ей требовался быстрый ответ. В план игры не входили политические игры. Получив в свое распоряжение Теда для наведения ясности по данному вопросу, я начала обдумы­ вать мой подход.

Некоторые аудиты состоят в основном из интервьюирования и составления итогового отчета. Как ни странно звучит, но иногда риск бывает так велик, что проблема смотрит на вас прямо в лицо. Так как риск уже был очевиден для директора по информационным тех­ нологиям, то внутреннее чутье мне подсказывало, что этот аудит будет именно таким.

Когда хакер может неоднократно проходить через брандмауэр, то обычно проблема за­ ключается в плохой поддержке, настройках или самих средствах безопасности. Я все еще не представляла себе, сколько тестов мне нужно будет провести. Но я знала, что интервью могут дать мне ключ к сбору информации. Я стала в уме составлять список вопросов.

В основном эти вопросы будут касаться администратора брандмауэра Джозефа Уизерса.

В конце концов, это он стоял ночами, пытаясь отогнать хакера, Тед запланировал мне встречу с Джозефом на завтра, и попросил его принести необходимую документацию политики и процедуры брандмауэра, процедуры реагирования в чрезвычайных ситуациях и сетевую схему.

Тед также запланировал интервью с менеджером технической поддержки Карлом Санче сом. Так как обе эти встречи были намечены на следующий день, то, казалось, мне не да­ дут замочить ног до завтрашнего дня. Тогда я решила получить информацию от Теда.

Тед сообщил мне общие сведения о компании и произошедших взломах. Время моей ко­ мандировки шло, и я начала писать отчет по аудиту. Обычно я пишу отчет в последнюю очередь, но у меня уже было достаточно информации о взломах для того, чтобы начать пи­ сать черновой вариант отчета. Тед проводил меня в офис для посетителей, я достала свой ноутбук и приступила к работе. Я закончила черновой вариант, чтобы внести в него детали после проведения аудита. (В настоящее время, я могу только строить догадки, а за них мне не платят. Эти парни хотели фактов, и у меня их скоро будет достаточно.) Для первого дня было уже хорошо.

День 2-й: Администратор брандмауэра Тед встретил меня в холле и выписал пропуск. Он проводил меня до офиса Джозефа. При первой встрече Джозеф немного нервничал. Конечно, многие люди волнуются при прихо­ де аудитора, поэтому я попыталась разрядить обстановку (с помощью хорошей шутки).

Но Джозеф не оценил мой юмор и определенно не был склонен к приятной беседе. Отбро­ сив мягкие манеры, я попросила у него документацию, которую заказывала. Он смог дать мне только сетевую схему. Когда я его спросила об остальной документации, то он сооб­ щил: «У меня нет политик и процедур брандмауэра;

это не моя работа- их писать. Я знаю, как настроен брандмауэр и что делать, если происходит взлом».

Кто отвечает за безопасность Вот это парень. Я ошиблась, посчитав, что он волнуется. Он был самонадеян! Он полагал, что раз знает, как поддерживать брандмауэр, то этого достаточно. Легко было видеть, что он не понимает ценность политик и процедур и видит во мне только аудитора (переводя это слово как «зануда»).

Временная безопасность Кроме плохого ко мне отношения у Джозефа были необычные представления о методах технической поддержки. В общем, брандмауэр не улучшался несколько лет. Это было по­ хоже на то, как если бы на двери, ведущие к разработкам новых чипов компании, к ее фи­ нансам, людским ресурсам и маркетинговой информации, был навешен старый ржавый замок. Легко было представить себе, как хакер стукнет в эту дверь и замок отвалится. Каж­ дый раз, когда хакер взламывал брандмауэр, Джозеф ставил «заплатки» в систему или до­ бавлял средство для обхода проблемы. При таком подходе, заключающемся в установке временных подпорок, брандмауэр скоро кишел заткнутыми дырами и стал трудно управ­ ляемым и тяжело обслуживаемым. Хотя Джозеф мог это называть рабочим состоянием безопасности, я назову это плохим состоянием безопасности.

Я еще поговорила с Джозефом и узнала, что в Global Chips имеется отдельное подразделение обеспечения безопасности для аудита компьютерной среды, для написания некоторых (но не всех) политик безопасности и для действий на случай вторжения. Джозеф отвечал за бранд­ мауэр. Когда происходил взлом, то он посылал сообщение по пейджеру для вызова сотрудни­ ков группы обеспечения безопасности. Джозеф настойчиво подчеркивал: «За безопасность отвечают сотрудники группы обеспечения безопасности, а не я. Это их работа - обеспечивать выполнение политик безопасности компании». Было ясно, что я должна была выслушать другую сторону и побеседовать с кем-нибудь из группы обеспечения безопасности.

Джозеф, определенно, относился к категории людей, которую я обозначала большим «Н», то есть к неудачникам. С ним не только было трудно разговаривать, но он также был само­ надеянным и скрывал информацию. Люди, скрывающие информацию и не делящиеся ей с другими, очень опасны. Они думают, что чем больше они информации утаивают для се­ бя, тем большую ценность собой представляют. Я не хотела тратить на него время. Поэто­ му после такого милого разговора с Джозефом я попросила Теда запланировать мне беседу с экспертом компании по вопросам безопасности. Я двигалась дальше.

Руководители и безопасность Следующим моим шагом была беседа с Карлом Санчесом, начальником Джозефа. Карл был одет довольно небрежно - в рубашку для гольфа и джинсы. Однако он был одним из тех людей, которые всегда ухитряются выглядеть хорошо одетыми независимо от того, что на них надето. У него была прекрасная улыбка, и, казалось, он не возражал против моего вторжения в его мир. На этот раз шутка для разрядки обстановки прозвучала с его стороны. Отбросив шутки, я спросила: «Давайте взглянем на серьезные взломы, произо­ шедшие в вашей сети. Карл, по вашему мнению, что происходит?» К моему удивлению, Карлу не казалось, что взломы были серьезными. Он будто бы жил в призрачном мире. Он полагал, что у него работает один из самых лучших в мире адми­ нистраторов брандмауэра. В конце концов, Джозеф отлично работает, поддерживая бранд­ мауэр, и точно знает, что делать, когда что-то идет не так.

Я сказала: «Послушайте, Карл, ведь если кто-то знает, как заткнуть дыру, то это не значит, что он знает, как построить плотину». Карл ничего не ответил. Возможно, он не понял мо­ ей точки зрения.

Поддержка безопасности Я настойчиво продолжила беседу и сообщила Карлу, что они эксплуатируют брандмауэр, не имея политик и процедур, но он уже об этом знал. Его позиция заключалась в том, что за их написание отвечает не его группа. Мне пришлось потратить некоторое время на то, чтобы убедить Карла в том, что, логически рассуждая, его группа является единственной группой, которая смогла бы написать правильные политики и процедуры. Разумеется, убеждать Карла - это не моя работа. Но безопасность - это моя страсть, и я иногда немно­ го увлекаюсь. Я твердо убеждена в том, что если люди получают деньги за то, чтобы двери сети были в исправности, то они должны относиться к этому серьезно!

Я кратко побеседовала с экспертом по вопросам безопасности Фрэнком Сапрой. Фрэнк со­ общил мне, что его группу никогда не просили писать политики и процедуры для бранд­ мауэра. Он объяснил, что его группа пишет большинство политик и процедур безопасно­ сти, но за брандмауэр отвечает группа Карла. Я спросила его о непрекращающихся взло­ мах из Интернета. Он ответил, что основную часть времени они работают в режиме реа­ гирования и что для надлежащей защиты компании от взломов им необходимо спроек­ тировать новый комплекс брандмауэра и добавил, что его группа предлагала это Карлу год назад. Фрэнк выглядел как действительно умный парень. Он также казался уставшим.

Думаю, он устал от бесплодных попыток объяснить руководству то, что им нужно сделать.

Мне было ясно, что в Global Chips имелось несколько проблем. При проведении аудитов я обычно обнаруживаю не одну проблему. Часто, проблемы безопасности являются ре­ зультатом другой, еще большей проблемы - как в этом аудите. Так как роли и обязанности не были четко определены, то никто не нес ответственности за политики и процедуры для брандмауэра.

У вас не будет политик и процедур, пока кто-то не возьмет на себя ответственность за их написание и выполнение. Понятно, что решение этой проблемы будет чрезвычайно труд­ ным, если ответственность за безопасность разделяется между подразделениями внутри компании. В некоторых организациях битва между подразделениями становится более важной, чем забота об информации, - как, например, в Global Chips. Этим парням все рав­ но, кто победит в войне, пусть даже хакер, так как каждый из них стремится выиграть свое сражение. Они относятся к такому сражению более серьезно, чем к их настоящей работе по защите информации.

Серьезное отношение к поддержке безопасности Администрирование брандмауэра является серьезной работой. Она должна восприни­ маться серьезно и администратором, и его начальником. Global Chips не имела крепкой брони, чтобы отразить угрозы для их информации. В любое время хакер мог проникнуть через брандмауэр и изменить, уничтожить или украсть информацию. Временное решение проблемы, которое одобряется руководством, не может считаться ни правильной реакци­ ей сотрудников, ни правильным отношением руководства к такой реакции.

Карл не понимал, как рискованно управлять группой, работающей в режиме реагирова­ ния. Он заявлял, что в его подразделении разрабатывается новый комплекс для замены старого брандмауэра, и предсказывал, что они будут готовы к отключению старого бранд­ мауэра через шесть-девять месяцев. Он очень неосторожно заявлял: «Не беспокойтесь об этом. Мы держим этот вопрос под контролем».

Но в первых рядах мы должны иметь людей, которые бы беспокоились! Можно было уже ска­ зать, что меня засасывал этот аудит. Нужно было вновь обрести хладнокровие. Я завершила беседу. Я могла бы потратить еще день на тестирование брандмауэра, но все (кто что-либо значил) соглашались с необходимостью его замены из-за риска, который он представлял для Кто отвечает за безопасность сети. У меня было достаточно информации, чтобы на ее основании составить отчет, который ждало высшее руководство компании.

В моем отчете было определено множество рисков для безопасности. Их перечень возгла­ вили:

• Неправильное распределение ролей и обязанностей.

• Ненадлежащие управление брандмауэром и его поддержка.

• Отсутствие официальных политик и процедур.

Так как я начала составлять мой итоговый отчета еще вчера, то внести в него детали было легко. Я потратила еще несколько часов на отчет, затем взяла направление на свои холмы.

По дороге домой я чувствовала себя опустошенно. Легче иметь дело с компьютерами, чем с людьми. Человеческие существа очень сложны - иногда даже слишком сложны!

Когда я добралась домой, солнце уже зашло за холмы. Я скоротала, как могла, остаток вечера и постаралась не вспоминать о брандмауэре. И не вспомнила ни разу.

Мой последний день: Отношение к работе может говорить о многом Я услышала звонок будильника, когда он уже заканчивался. В некоторые дни 4.30 утра на­ ступает слишком быстро. Лишь несколько минут у меня ушло на то, чтобы сосредоточить­ ся на событиях предстоящего дня, включая и окончание моей работы в Global Chips.

Это заставило меня двигаться. Я вылезла из постели и решила побегать на домашнем тре­ нажере, не показываясь на люди, Закончив пробежку, я быстро приняла душ, собрала себя воедино и выскочила за дверь.

По дороге в Силиконовую долину я ничем не могла объяснить слепоту Карла, который считал, что его эксперт по брандмауэрам оказывает ему хорошую услугу. Как удается людям наподобие Джозефа легко дурачить таких, как Карл? Могут ли такие руководите­ ли, как Карл, действительно быть такими беспечными и небрежными в отношении охра­ няемой ими информации? Может быть, они убеждают себя в том, что все в порядке, из-за того, что не хотят думать об обратном? Думаю, что это вопросы, на которые даже ауди­ торы не смогут ответить.

Через несколько часов отчет был закончен. Встреча с Перри была назначена на 3.00 дня, и я была к ней готова. Точно в 3.00 я и Тед прибыли в здание Перри, чтобы представить мой отчет. Перри нас ждал.

Во время нашего быстрого продвижения по отчету я наблюдала за реакцией Перри. Она про­ являлась в нежелании верить. Ну отчету, в общем, он верил. Но был изумлен тем, что реаль­ ный риск сводился к распределению ролей и обязанностей. Представьте себе, что вся ваша компания подвергается риску из-за того, что не четко определены роли и обязанности по обеспечению безопасности.

Я ничего не сказала в своем отчете о Карле и Джозефе. Такую информацию я никогда не передаю в письменном виде, лучше делать это в процессе обсуждений. Мне не нравится, ко­ гда людей увольняют, но иногда приходится это рекомендовать. Я указала в отчете, что существующее отношение сотрудников к своей работе будет продолжать ставить компанию под угрозу, даже если будет поставлен новый брандмауэр. Кто и как относится к своим обя­ занностям, было видно и без имен. Моя работа была сделана.

Поддержка безопасности Резюме: Не спрашивайте у сотрудников компании, отвечающих за безопасность, что они могут для вас сделать Страшно видеть, что может случиться с компанией, в которой нет четко определенных ро­ лей и обязанностей. Когда такое доходит до обеспечения безопасности, то фраза «Это не моя работа» распространяется как леской пожар. В рассказанной истории Global Chips легко отделалась. Любой хакер, взломавший их систему, мог бы украсть проекты чипов или другую критичную информацию. Поэтому один только администратор брандмауэра таил в себе разрушительный потенциал для будущего целой компании.

Конечно, бездействие Джозефа потому, что «Это не его работа», является лишь частью проблемы. Менеджеры, наподобие Карла, обостряют эти проблемы, скрывая факты вме­ сто того, чтобы взять на себя ответственность за свою территорию и построить крепкую группу технической поддержки.

Когда люди берут на себя ответственность за системы, то они также получают в наследство и ответственность за информацию в этих системах. Кажется, эти парни этого не осознали.

У меня сложилось впечатление, что Карл больше интересуется игрой в гольф и хоккейной командой Sharks из Сан-Хосе, чем безопасностью компании. Я тоже люблю гольф и болею за Sharks, но я приношу домой чек за свою работу, а не за ее имитацию, Карл (и начальник Карла тоже) должен знать, что Джозеф выдает некондиционные результаты.

Высшие руководители часто устраняются от того, что в действительности происходит на переднем крае. Тем не менее в этом случае именно высшее руководство было озадачено серией взломов. А линейные менеджеры явно уснули за рулем.

Для того чтобы система обеспечения безопасности работала, каждый уровень руководства должен брать на себя долю ответственности за обеспечение безопасности. Если высшее руководство не выделяет средств на обеспечение безопасности, то безопасность от этого страдает. Если линейные менеджеры не занимают активной позиции в поддержке системы безопасности, то безопасность также страдает. Если менеджеры среднего уровня не пере­ дают информацию наверх, то опять страдает безопасность. Не заставляйте страдать безо­ пасность в вашей компании. Добейтесь понимания каждым своей роли.

Как заметил Маркус Ранум в своих интернетовских Firewalls FAQ, «Интернет, как и ос­ тальная часть нашего общества, измучен недоумками, наслаждающимися электронными эквивалентами росписям чужих стен краской из баллончика, срыванию чужих почтовых ящиков или оглашению улиц сигналом из своего стоящего посреди дороги автомобиля...

Задачей брандмауэра является выкинуть этих сопляков из вашей сети, не нарушая вашей способности закончить работу». Вы удивитесь, как много таких «недоумков» вас окру­ жают!

Что еще хуже, многие из этих нарушителей порядка переходят от раздражающего ванда­ лизма к настоящим преступлениям. Кто от них страдает? Почти что все. Исследование, проведенное CSI в 2002 году, установило, что 90 процентов респондентов обнаружили бреши в безопасности компьютеров. Хотя очевидными целями являются политические организации (как Белый дом) и фирмы, известные своей задиристостью (как Microsoft), существенному риску подвергаются все виды деятельности. Даже атаки, направленные на искажение внешнего вида веб-сайтов, ранее считавшиеся шалостью, а не преступлением, в Действительности приводят к большим убыткам. Эксперты оценивают стоимость про­ стоев в американской экономике, связанных с нарушением безопасности, в 273 миллиарда долларов ежегодно. Особому риску подвергаются виды бизнеса, использующие Интернет.

2. Bogus results - по аналогии с bogus parts, бракованными запчастями, продаваемыми за низкую цену - Примеч. пер.

3. Web site defacement attacks. - Примеч. пер.

102 Мы пойдем другой дорогой...

В то время как Интернет открыл двери различным видам бизнеса для экспансии в миро­ вую экономику, он также открыл множество окон для компьютерной преступности. Для того чтобы закрыть эти окна, требуются четкое и согласованное определение ролей и обя­ занностей, а также шлюзовые технологии, подобные брандмауэрам.

Мы пойдем другой дорогой...

Роли и обязанности являются ключом к успеху в любой программе обеспечения безопас­ ности. Главной проблемой в этой истории было то, что ни одна из групп технической под­ держки в Global Chips не взяла на себя ответственности за написание и выполнение поли­ тик и процедур для брандмауэра. Такой подход оставил открытой всю сеть - как будто бы они ждали хакера. Вот что должна была сделать Global Chips вместо этого.

Определить роли и обязанности Ясно определяйте роли и обязанности по обеспечению безопасности в вашей компании.

Если ответственность по обеспечению безопасности пересекает границы между подразде­ лениями (например, ложится одновременно на системных администраторов, администра­ торов группы обеспечения безопасности и администраторов брандмауэра), добейтесь того, чтобы все игроки знали, какую роль они должны играть.

Разработать политики и процедуры для брандмауэра Эксплуатация брандмауэра без политик похожа на езду в темноте без включенных фар.

Рано или поздно вы попадете в аварию. Люди должны знать, что им разрешено, а что нет.

Не позволяйте вашему администратору брандмауэра вас одурачить и скрывать от вас эту информацию в своей голове. Если он уйдет из компании, то вместе с ним уйдут политики и процедуры для поддержки вашего брандмауэра.

Политики и процедуры должны быть изложены на бумаге и постоянно обновляться.

В идеале поручите кому-нибудь эту задачу персонально. Даже лучше сделайте выполне­ ние этой задачи итоговой целью года.

«Кормить» свой брандмауэр Брандмауэры обычно состоят более чем из одной машины. В некоторых компаниях бранд­ мауэром считается целый комплекс, в который входят хост-машины, сети и маршрутиза­ торы. Брандмауэры нужно «питать». Для поддержки «здоровья» брандмауэра обеспечьте его профессиональным администратором, регулярно проводимой модернизацией, совре­ менными патчами и обучением. Не допускайте того, чтобы замок на вашем брандмауэре заржавел, как это случилось в Global Chips.

Читать свои контрольные журналы Вам не принесет много пользы поддержка брандмауэром множества контрольных журна­ лов, которые вы никогда не просматриваете. Хотя Global Chips была взломана много раз, они легко отделались потому, что у них были хорошие контрольные механизмы, сооб­ щающие им о взломе системы хакером.

Когда в последний раз хакер стучался в вашу дверь? Смог ли он зайти? Кто это знает? Это должны знать вы. Если нет, то вы невнимательны. Добейтесь использования надлежащих механизмов регистрации и контроля.

Поддержка безопасности Использовать программы обнаружения взлома Программы-детекторы не могут со 100-процентной вероятностью обнаруживать взломщи­ ка, но они являются хорошим началом. Программы-детекторы могут дать вам лучшее пред­ ставление о масштабе угрозы, с которой вы столкнулись. В течение 2000 года в Пентагоне обнаружили 245 успешных кибератак. Так как в Пентагоне были внедрены хорошие меха­ низмы обнаружения, то его должностные лица знали о том, что вместе с тем было 24 000 без­ успешных атак. Знание их количества дало более ясную картину реального риска. • Ваша информация может быть не столь привлекательной, как хранящаяся в Министерстве обороны, но не полагайтесь на это. А если вы подключились к Сети, то вряд ли будете в большей безопасности. В своем исследовании, проведенном в декабре 1996 года, Дэн Фармер (известный гуру в вопросах безопасности и соавтор таких программ, как SATAN) установил, что уровень использования программ-детекторов угрожающе низок. Дэн про­ вел несанкционированное исследование с целью прозондировать состояние защиты ком­ мерческих веб-сайтов. Из более 2000 сайтов, зондируемых им без уведомления, оказалось только три сайта, владельцы которых связались с ним и спросили, что он делает! Удиви­ тесь ли вы тому, что ваш сайт был частью этого исследования?

Улучшилось ли положение с тех пор? Не настолько, как я ожидала (или мне хотелось бы).

По оценке таких экспертов, как, например, поставщик средств защиты Spectrum Systems, все еще обнаруживается только 1 процент от успешных или предпринятых компьютерных атак. Главное изменение состоит в том, что сегодня стало больше онлайновых коммерче­ ских целей и стало больше использоваться веб-сайтов для обмена финансовыми средства­ ми и информацией. Информация о вашем местном хозяйственном магазине, может быть, и не имеет большой привлекательности, но зато информация кредитных онлайновых карточек его клиентов, скорее всего, ее имеет.

Реагировать быстро!

Быстрая реакция на взлом администратора брандмауэра и администратора группы обес­ печения безопасности Global Chips объясняется тем, что их действия были отлажены реа­ гированием на многочисленные взломы. Будем надеяться, что вы никогда в таком положе­ нии не окажетесь.

В идеале процедура реагирования на чрезвычайную ситуацию должна разрабатываться и использоваться для тренировок только в режиме «оффлайн» и не применяться для реше­ ния ежедневно возникающих проблем. Очень важно разработать и передать администра­ торам процедуру реагирования до того, как она действительно понадобится. Пока взлом не произошел, нужно точно расписать роли и обязанности каждого сотрудника. Если вам очень повезет, то вы, может быть, никогда не воспользуетесь этой процедурой. Но не рас­ считывайте на это!

Требовать подтверждений безопасности В своем Special Report on Security4 на сайте Computerworld Пол Страссман (Paul Strass man) поясняет: «Усовершенствование безопасности системы, проектирование которой ос­ новывалось на презумпции невиновности и честности, часто оказывается слишком доро­ гим или запоздалым, чтобы его стоило проводить». Чтобы избежать такой ситуации, не полагайтесь на то, что все идет гладко.

Global Chips повезло из-за того, что ее директор по информационным технологиям была информирована о происходящих взломах. Когда их количество возросло, она потребовала 4. Security Special Report - раздел (портал) для профессионалов в области безопасности ИТ. - Примеч. пер.

Мы пойдем другой дорогой...

установить причину происходящего. Вашей компании может так не повезти, если вы не имеете хороших процедур эскалации5 и не в курсе состояния безопасности вашей среды.

Знаете ли вы, в каком состоянии находится ваш брандмауэр? Сколько ему лет? Кто его поддерживает? Имеются ли политики и процедуры? Если вы являетесь менеджером выс­ шего уровня, то потребуйте доказательств состояния безопасности (итоговый отчет для руководства).

Проводить аудиты Не успокаивайтесь после установки брандмауэра. Правда заключается в том, что эффек­ тивность брандмауэра ограниченна. Брандмауэр не защитит вас от разрушительного дей­ ствия плохо определенных ролей и обязанностей, от сотрудников с наплевательским отно­ шением к безопасности, от бесконтрольного удаленного доступа, плохого обучения со­ трудников и т. п. Маркус Ранум сказал: «Брандмауэр не может защитить вас на самом деле еще от одной вещи... от идиотов внутри вашей сети». Для сохранности вашей информа­ ции обеспечьте каждому сотруднику хорошее обучение и твердые знания их ролей и обя­ занностей.

Также нужно обеспечивать проведение аудитов. Профилактические аудиты являются важ­ ной частью выявления проблем, пока о них не узнал хакер. Вы должны проводить тестиро­ вание вашего брандмауэра как из интранет, так и из Интернета. Тестирование на проникно­ вение покажет вам способность вашего брандмауэра отогнать непрошеных гостей. Если вы не проверите эффективность вашего брандмауэра, то не сможете быть уверены в том, что он действительно работает.

Углублять знания Понимать, как работает брандмауэр, должен не только администратор брандмауэра. Руко­ водителям тоже нужно знать о рисках, связанных с поддержкой брандмауэра, расположен­ ного между вашей сетью и Интернетом, иначе их выбор может создать угрозу репутации компании, конфиденциальной информации и финансовым результатам.

Я не имею в виду, что вам нужно знать каждую мельчайшую деталь, но руководители должны понимать, какие средства безопасности они используют, какие еще средства есть, а каких не хватает.

Контрольный список Используйте этот список, чтобы выяснить, правильно ли в вашей компании определены роли и обязанности по обеспечению безопасности. Можете ли вы поставить «Да» против каждого пункта?

- Четко ли определены роли и обязанности по обеспечению безопасности?

- Поручено ли кому-либо регулярно проводить аудит брандмауэра?

Поручено ли кому-либо при необходимости проводить модернизацию бранд­ мауэра?

- Все ли руководители понимают роли и обязанности по обеспечению безопасности как свои, так и своих подчиненных?

- Есть ли у персонала технической поддержки конкретные предупредительные про­ цедуры, которые он выполняет? (Обеспечьте, чтобы работа вашего персонала не сводилась к одному только реагированию.) 5. См. первую главу книги. - Примеч. пер.

Поддержка безопасности - Поручено ли кому-либо регулярно проводить тестирование брандмауэра на про­ никновение из Интернета? (После каждых существенных изменений или модерни­ зации брандмауэра необходимо проводить новое тестирование.) - Достаточно ли финансируется администрирование брандмауэра?

- Достаточно ли финансируется модернизация и плановая техническая поддержка брандмауэра?

- Установлены ли программы по обнаружению вторжения в сетях и системах?

- Установлены ли программы контроля в особо критичных системах?

- Определены ли ясно и официально роли и обязанности по реагированию на чрез­ вычайные ситуации?

- Распространяется и используется ли опыт, полученный при взломах, для создания лучших процессов? (Изживайте сокрытие информации среди вашего персонала.) - Установлена ли защита от вирусов в каждой точке входа?

Заключительные слова Когда дело касается обеспечения безопасности, то роли и обязанности должны быть четко определены. Так как каждая компания имеет свою структуру технической поддержки, то эти роли и обязанности могут быть различными (даже в соседних подразделениях) в разных компаниях. Важным здесь является то, что роли должны закрепляться докумен­ тально и что каждый сотрудник должен знать, каких действий от него или от нее ожидают.

Когда вы определите роли ваших сотрудников на бумаге, то вы сможете увидеть, имеются ли участки работы, как, например, процедуры для брандмауэра, за которые никто не отвечает.

Если бы в Global Chips сделали хотя бы это, то Джозеф и Карл потратили бы меньше време­ ни, реагируя на взломы. Работа в Global Chips отличалась особой тщетностью, так как обык­ новенный просчет поставил их сеть в поле зрения упорного (и упорно-надоедливого) хакера.

Ни одна сеть не должна становиться заложницей хакера. Именно это произошло в случае с CloudNine Communications. После непрекращающихся атак по типу «отказа от обслужи­ вания» один из старейших Интернет-провайдеров Британии закрыл свои двери и отдал своих клиентов конкуренту. Возможно, самой досадной стороной этой истории является то, что преступник по-прежнему остается на свободе, - это следует помнить, когда вы ста­ нете решать, стоит ли модернизировать ваш брандмауэр.

Общее назначение брандмауэра - это не впускать хакера. Но брандмауэр - это лишь один кирпичик в хорошо построенной структуре безопасности. Оставленный в одиночестве, не подкрепленный четко определенными ролями и обязанностями, эффективными политика­ ми и процедурами и технической поддержкой, он долго не продержится.

Глава Безопасность внутренней сети Когда вы в очередной раз предстанете перед судом из-за плохой защиты вашей сети, то вы, должно быть, подумаете о том, прочитал ли принимающий у вас присягу судья книгу Линды, и о том, что он, скорее всего, спросит, читали ли вы ее тоже.

Фред Крис СМИТ, юрист и соавтор книги "A Guide to Forensic Testimony" Поздравляю! Вы - директор знаменитого музея. Долгие месяцы вы деловито готовили важ­ ную выставку. Сегодня к вам поступила первая партия изящных и представляющих историче­ скую ценность шедевров из государственных и частных коллекций, и их будет бесконечное число. Сотрудники музея суетятся вокруг этих скульптур. Уже составлен план, предусматри­ вающий прием и электронный учет сотен фарфоровых статуэток, которые будут поступать волна за волной в течение следующих недель. Множество стран принимают участие в этой выставке и присылают наиболее достойные из своих коллекций!

Из-за широкого размаха этой экспозиции были заключены договоры с рядом компаний перевозчиков, которые должны справиться с потоком поставок со всего мира. Координа­ ция такого проекта должна быть непрерывной и продуманной. И как директор, отцом это­ го проекта являетесь вы.

Разве не удача, что в наши дни есть компьютеры? Двадцать лет назад координация такого проекта оказалась бы кошмаром.

Но действительно ли это удача? В нашем компьютеризованном мире высоких технологий можно забыть о том, что сервер базы данных, хранящий критичную для выставки ин­ формацию, широко открыт. В результате этого любой может получить доступ к архиву, со­ держащему подробные сведения о приливах и течениях в море бесценных произведений.

Ищете нового Ремингтона1 для пополнения вашей подпольной коллекции? Посмотрите, вот он прибывает в следующий вторник в 4.00 дня из аэропорта имени Кеннеди по назем­ ному маршруту на грузовике компании Joe's Family Tracking. Это вовсе не та информа­ ция, которую бы вы хотели представить широкой публике.

Несомненно, директор известного музея должен проявлять исключительную заботу о безопасности. Но сомнительно, что он видит возможный риск для безопасности в ком­ пьютерной базе данных. Люди, не связанные непосредственно с информационной безо­ пасностью, редко это видят.

Представим себе, что вы как раз перед проведением большой выставки узнаете о том, что ваша сеть не защищена. Этот факт заставит вас остерегаться ввода конфиденциальной ин­ формации в вашу собственную сеть.

Нелепо? Может быть. Но в точности с такой ситуацией столкнулся Джеральд Пушман в музее Chambersburg Museum of Art2. Давайте посмотрим...

1. Фредерик Ремингтон-американский художник и скульптор (1861-1909гг.). -Примеч. пер.

2. В г. Чамберсбург, штат Пенсильвания. - Примеч. пер.

Безопасность внутренней сети Незащищенная сеть Джеральд Пушман был нанят руководить совершенно секретным проектом в Chambers burg Museum of Art. В музее он был новым руководителем, но не новичком в секретных проектах. Он имел большой опыт в своем деле и знал, как хранятся секреты.

Джеральд заботился о физической безопасности и настройках средств защиты его ком­ пьютерных систем. Так как он придерживался стиля в руководстве «возьми в свои руки», а не стиля «отдай в другие руки» (ответственность за безопасность систем), то Джеральд прежде всего встретился с администратором сети Кирстен Смит.

Кирстен работала в музее уже несколько лет и знала каждый дюйм сети. Джеральд сказал ей, что вследствие конфиденциального характера информации проекта он озабочен со­ стоянием сети, в которой должны будут устанавливаться новые системы.

Кирстен ответила прямо: «Если вы собираетесь подключать системы к сети, то меня тре­ вожат установка и настройка этих систем, особенно из-за высокой секретности проекта».

Беседуя с Кирстен, Джеральд узнал, что серверы базы данных музея широко открыты для доступа. На этих серверах хранилась крайне конфиденциальная информация. Из нее мож­ но было узнать не только о ценности произведений искусства, но также о дате и времени их поступления и отправки и планах перевозок. Вор, специализирующийся на произведе­ ниях искусства и оснащенный по последнему слову техники, мог бы под видом сотрудни­ ка музея получить доступ к какой-либо одной системе сети и использовать эту информа­ цию для налета с целью похищения экспоната на его пути в музей или из него.

Удача Джеральда заключалась в том, что Кирстен была с ним достаточно откровенной и сообщила так много сведений. Он попытался разузнать побольше и выяснил, что группа обеспечения безопасности сражается с системными администраторами уже несколько лет из за принципов настройки безопасности систем. Так как общий подход к этому вопросу выра­ ботан не был, то у большинства систем в сети настройки безопасности не было вообще.

Джеральд понял, что, пока группа обеспечения безопасности и системные администра­ торы не уладят своих разногласий, безопасность его систем может быть скомпрометиро­ вана. Из-за такой предыстории конфликт вряд ли мог разрешиться быстро. Как временный сотрудник, Джеральд решил установить свои системы отдельно от сети музея в изолиро­ ванном помещении. Представьте, что у вас строят отдельную сеть с тем, чтобы уберечь информацию от краж и саботажа! Посмотрим, как ситуация дошла до такого состояния.

Начало событий: В обход корпоративной сети Для того чтобы отделить свои системы от сети музея, Джеральд должен был создать свою сеть и нанять своего системного администратора. На это требовалась добавка к его бюд­ жету в виде приличного количества долларов. Для одобрения такого шага Джеральд дол­ жен был встретиться с руководством музея.

Не нужно говорить, что руководство такому подходу не обрадовалось. По правде, оно про­ сто не поверило, что их собственная сеть не защищена. В конце концов Джеральд по­ лучил, что просил. Но руководство заставило его перед этим «попрыгать через кольцо».

Оно включило в пакет договора требование, чтобы он представил доказательства незащи­ щенности сети музея. И здесь на сцене появляюсь я.

108 Незащищенная сеть День 1-й: Сбор доказательств Джеральд передал мне всю информацию о месте действий. Он посвятил меня в детали продолжающейся междоусобицы между системными администраторами и группой безо­ пасности. Я поговорила с Кирстен, и она сообщила мне, что вся информация в сети под­ вергается риску.

Узнав это, я поняла, что впереди у меня тяжелая работа. Во-первых, я должна была уста­ новить, действительно ли системы не защищены. И если так, то затем я должна буду опре­ делить причину этого.

Руководство в лице Джеральда чувствовало, что системы сети не защищены. Однако это было лишь голословным заявлением. Каких-либо ощутимых доказательств этого не было, но они должны быть найдены в моем аудите.

Так как главной задачей аудита была проверка предположения Джеральда, то я решила провести аудиты систем, интервьюирование персонала и тестирование на проникновение.

В данном случае удача Джеральда заключалась в том, что Кирстен обеспечила его боль­ шим количеством информации. Такое происходит не всегда. Иногда вся сеть подвергается риску, а персонал технической поддержки не говорит об этом ни слова. Зная это, я не пи­ тала особых надежд на то, что остальные сотрудники технической поддержки сообщат мне такие же подробности, как Кирстен.

В некоторых аудитах полезно собрать как можно больше фактов перед проведением бесед с персоналом. Тогда вы сможете их использовать как рычаг воздействия на сотрудников, не испытывающих желания делиться с вами информацией или своим знанием сущест­ вующей проблемы. Так как мне казалось, что этот аудит будет именно таким, то я решила собрать информацию до проведения бесед.

Кирстен создала мне учетную запись в сети и дала сетевую схему, по которой можно было бы определить системы повышенного риска. Сетевая схема выглядела вполне логично.

Так как я обычно начинаю тестирование безопасности с систем с самым высоким уровнем риска, то именно их я ищу в схеме. Однако я не смогла точно определить по схеме, какие из систем попадают в эту категорию.

Я обратилась снова к Кирстен. Она показала мне группу систем, которые она считала пред­ ставлявшими наибольший риск. Мы немного поговорили об этом, чтобы убедиться, что я ничего не пропустила. Со списком особо критичных целей я была готова начать аудит.

Я всегда удивляюсь, когда мне удается войти в первую намеченную для аудита систему даже без ввода пароля. Это похоже на то, как если бы вы подошли к банкомату и он выдал бы вам деньги до того, как вы достали свою карточку из бумажника. Я попала в такую же ситуацию.

Первая же выбранная мной система доверяла системе, в которой у меня была учетная за­ пись. Как только я открыла сессию на главном сервере базы данных, я смогла получить доступ ко всем другим особо критичным системам. Мне даже не пришлось вытирать пот.

Доверительные отношения между этими системами были поразительными. Все они до­ веряли первой взломанной мной системе, поэтому я входила в одну систему за другой.

Очевидно, кто-то не обратил на это внимания при установке систем. А может быть, они просто доверяли каждому, кто имел доступ к сети музея, В современном мире такой уро­ вень наивности может привести к большой беде! По словам Майкла Андерсона, эксперта по компьютерному праву и бывшего агента Министерства финансов США, в 85 процентах случаев промышленный шпионаж ведется изнутри компании-объекта.

Безопасность внутренней сети Положительным являлось то, что технический персонал музея осуществлял регулярное резервное копирование и хранил ленты вне помещений сети. И все же предоставление свободного доступа к информации каждому в сети не было хорошей идеей. Как раз о та­ ком риске я и должна была сообщить руководству музея.

Основную часть дня у меня занял взлом важных систем и сбор доказательств, необходи­ мых для составления моего итогового отчета. Этап аудита, состоящий из взломов, был очень прост. Сортировка всей полученной информации не заняла много времени.

Когда все было рассказано и сделано, мой список рисков выглядел следующим образом:

• Настройки безопасности особо критичных систем были недостаточными.

• Сами системы не были классифицированы (некритичные, особо критичные и т. д.).

• Легко можно было получить права суперпользователя.

• Пароли легко угадывались.

• Не были установлены патчи, повышающие безопасность.

• Не было механизмов обнаружения вторжения, позволяющих предотвратить, обнаружить неавторизованный доступ к конфиденциальной информации или по­ лучить сведения о нем.

• Контрольных журналов просто не было.

• Имелась избыточность разрешений на доступ к файлам.

• Выполнялись ненужные сетевые службы.

Короче, Кирстен была права. Системы были широко открыты. Ни один из серверов базы данных, подвергавшихся высокому риску, не имел серьезной защиты, Почему? Для за­ вершения аудита я должна была получить ответ на этот вопрос.

Мнение Кирстен на этот счет мне было уже известно. Нужны были факты. Так как была вторая половина пятницы, то мне придется ждать следующей недели. Довольно странно начинать аудит в конце недели, но так уж составлен график.

Я уже собирала вещи, когда вспомнила, что мне нужно лететь домой и встретиться в суб­ боту с моей сестрой. Мы поедем с ней в Сан-Франциско на уикенд, где я буду ее баловать.

Она гораздо младше меня — ей. 13 лет, поэтому я по возможности выкраиваю для нее время по выходным: она удовлетворяет свои капризы, а я трачу на это деньги. Я похожа на ба­ бушку, которая не успела состариться. В этот уикенд мы должны посетить в Сан-Франци­ ско столько музеев, сколько сможем. Среди всего прочего, девочка занимается изобрази­ тельным искусством (и у нее это получается) и любит ходить в музеи и картинные галереи. Было бы хорошо провести с ней выходные и посмотреть на музеи с другой точки зрения - не как на объекты с высокой степенью риска и летучестью информации из-за незащищенности систем, но как на само искусство ради искусства.

Кирстен проводила меня в холл и сказала, что встретит меня в понедельник в 9.00.

День 2-й: Системные администраторы против группы обеспечения безопасности Выходные всегда проходят быстро, Я не успела это понять, как очутилась в холле, ожидая Кирстен и в готовности закончить аудит. Я немного волновалась.

Мне предстояло во второй части аудита показать, почему системы не защищены, и это оз­ начало проведение бесед. Я не боюсь бесед и встреч с людьми, но из слов Кирстен поняла, что ввязываюсь в войну, развязанную из-за настроек, политик и процедур и продол­ жающуюся уже несколько лет.

Незащищенная сеть Хорошей новостью было то, что у меня появилось много энергии после уикенда. Обычно беседы меня подавляют. Это связано с тем, что мне часто приходится говорить с людьми, не заботящимися об информации, за обеспечение безопасности которой они получают деньги.

У меня было ощущение, что за обнаруженными рисками кроется война между группой обес­ печения безопасности и системными администраторами. Вскоре я в этом не сомневалась.

Кирстен запланировала интервьюирование всех причастных к этому делу игроков.

Она любезно предоставила мне несколько свободных часов утром перед проведением бесед.

Я это оценила. (Кто знает, как выглядят эти парни до утреннего кофе?) Перед тем как войти в зону боевых действий, я решила просмотреть политики и процедуры, выпущенные группой обеспечения безопасности. Обычно знакомство с политиками и про­ цедурами позволяет составить мнение об отношении компании к вопросам безопасности.

Компания, не имеющая хороших политик и процедур, как правило, не имеет и хорошей безопасности.

Я обнаружила несколько проблем с политиками и процедурами. Во-первых, их было труд­ но читать и понимать. Мое внутреннее чутье подсказывало, что системные администра­ торы, вероятно, не настроили безопасность из-за того, что они не поняли политик и про­ цедур. Политики и процедуры также были устаревшими. Последнее изменение вносилось в них примерно три года назад. В результате некоторые политики даже не были техниче­ ски корректны. Пунктуально выполняя один из документов процедур, вы бы проделывали в защите системы дыру и делали бы систему более уязвимой для атаки.

Чем дальше я продвигалась по материалам, тем больше убеждалась в том, что вначале доку­ ментация была составлена кем-то, кто понимал важность политик и процедур. Вместе с тем у меня складывалось впечатление, что этот человек уже ушел из группы обеспечения безо­ пасности или даже из музея.

Теперь я была готова к встречам с персоналом. К сожалению, это будут встречи с группа­ ми. Групповое интервью часто сопровождается напряженностью, - даже когда не ведется война. Я пошла на эту первую встречу, думая, что всегда смогу затем поговорить один на один с ключевыми игроками.

В чьих руках безопасность Сначала я встретилась с системными администраторами. Так как они отвечали за настрой­ ку безопасности систем, то я хотела послушать их сторону первой. И конечно, еще потому, что системные администраторы всегда рассматриваются как главные виновники проблем, возникающих с безопасностью.

Я начала с общего вопроса: «Какие процедуры используются для настройки безопасно­ сти?» Невероятно, но ответом было: «Никаких». Их «процедура» заключалась в том, что­ бы соединить системы с сетью без каких-либо мер предосторожности.

Я продолжала на них давить: «Разве вы не отвечаете за настройку безопасности систем?» Они отвечали: «Да, но группа обеспечения безопасности должна сказать нам, как это сде­ лать. Так как их политики и процедуры безопасности лишены всякого смысла, то мы не знаем, как настраивать системы».

Я спросила далее о том, кто из них работает здесь дольше других. Один из системных адми­ нистраторов поднял руку и ответил: «Я работаю уже пять лет».

Я спросила: «И эта проблема была все эти годы?» «Да, я так думаю» - был его ответ.

Безопасность внутренней сети Невероятно! Выходит, эти парни знали, что их системы годами подвергались риску, и даже не пошевелились, чтобы решить возникшие проблемы. Я попыталась им растол­ ковать, что информацию систем нужно обезопасить уже сейчас, а не еще через пять лет, но, зная их историю, я не ждала быстрого решения проблемы.

Перекладывание ответственности Затем я встретилась с группой обеспечения безопасности. Как и системные администра­ торы, персонал этой группы также знал, что сеть не защищена. Разумеется, они во всем об­ виняли некомпетентных системных администраторов. Я их спросила, показывали ли они системным администраторам, как производить настройку безопасности, и они сообщили мне, что политики и процедуры могли быть взяты системными администраторами из Сети.

Мне было сказано: «Любой, кто представляет, что он делает, должен знать, где их найти!» Беседа с группой обеспечения безопасности подтвердила мои прежние подозрения. Дей­ ствительно, парень, написавший политики и процедуры безопасности, покинул компанию два года назад. Они недавно поручили одному из сотрудников посмотреть, как их можно обновить. К сожалению, простое усовершенствование процедур на этой стадии было слишком незначительным, слишком запоздалым. Системы уже были широко открыты, а политики стали действительно непонятными.

Я продолжила беседу с группой обеспечения безопасности, системными администратора­ ми и менеджерами, но их ответы большей частью касались одних и тех же проблем.

• Группа обеспечения безопасности отвечала за первоначальное написание политик и процедур. Но никто из них не отвечал за их обновление.

• Теоретически размещение политик и процедур на сервере должно было бы обес­ печивать их легкую доступность для системных администраторов. На практике ни­ кто не сказал системным администраторам, как добраться до этого сервера.

• Любой из системных администраторов, кому бы посчастливилось найти эти полити­ ки и процедуры, не смог бы их понять. Большей частью эти политики и процедуры были так запутаны и плохо написаны, что были непригодны к применению.

• Руководство, очевидно, не считало проблему политик и процедур важной.

Резюме: Безопасность -жертва войны Политики безопасности образуют первую линию обороны. Без них компания будет вверг­ нута в войну. От местных сражений между различными обслуживающими подразделения­ ми компании вы перейдете к настоящей войне с хакерами, заинтересованными в сражени­ ях другого рода. Им чужды политические ухищрения, ими руководит только грубое жела­ ние изменить, украсть или уничтожить информацию. И когда начнется такая война, то бу­ дет все равно, кто выиграет небольшие бои между подразделениями. Принимая во внима­ ние количество энергии, которая тратится на ведение внутренних политических игр, я мо­ гу держать пари о том, что хакер со всей вероятностью победит в любой из внешних битв.

Если в вашей компании нет политик и процедур, то поручите кому-нибудь их создать и под­ держивать. Если среди ваших сотрудников нет того, кто смог бы с этим справиться, то наймите «вольного стрелка» для выполнения такой задачи. Еще лучше, если такой чело­ век со стороны научит ваших сотрудников, как это делается. На худой конец, купите книгу по данной теме, чтобы можно было для начала получить справочную информацию.

После того как политики будут написаны, обеспечьте их постоянное обновление. Устарев­ шие политики скорее вредны, чем бесполезны, так как создают видимость безопасности, в то время как ее в действительности нет.

112 Мы пойдем другой дорогой...

Мы пойдем другой дорогой...

Действительные причины музейной дилеммы не были техническими. Они заключались в инертности, политиканстве и плохом руководстве. Не допускайте, чтобы такое произош­ ло с вашей сетью.

Главной проблемой было то, что музей эксплуатировал свою сеть без политик и процедур.

Политики и процедуры составляют фундамент безопасности. Без них невозможно под­ держивать управление безопасностью. Как своими действиями, так и бездействием персо­ нал музея создал обстановку, в которой стало небезопасно пользоваться их сетью.

Вот что они должны были сделать вместо этого.

Возложить на кого-либо из сотрудников ответственность за политики и процедуры Кто-то должен отвечать за политики и процедуры. Если ваши политики и процедуры устаре­ ли или плохо написаны, сделайте что-нибудь! Поручите кому-либо из сотрудников писать, проверять и распространять политики и процедуры. Если компания велика, то имеет смысл создать целую группу для решения этой задачи.

Что более важно, добейтесь того, что ваши политики и процедуры выполняются. Напомню, что в 2000 году на оборонные системы США было предпринято 250 000 попыток кибератак.

Из 245 атак, которые были успешными, 96 процентов могли бы потерпеть неудачу, если бы пользователи выполняли имеющиеся протоколы безопасности.

Разграничить обязанности по поддержке безопасности между группами Если в вашей компании имеются группы обеспечения безопасности и группа системных администраторов, то вы должны ясно определить их роли и обязанности. Являются ли системные администраторы ответственными за настройку систем? Отвечает ли группа обеспечения безопасности за информирование о неувязках?

Если обязанности не будут закреплены официально, то ничего не будет делаться. И будет не с кого спросить за возникшие проблемы, После четкого определения ролей вы должны добиться того, чтобы каждая группа делала то, чего от нее хотят. Проследите это! В нашей истории предполагалось, что группа обес­ печения безопасности отвечает за политики и процедуры. И все же они не обновляли про­ цедуры, не писали их правильно и понятно для каждого и не сделали их легкодоступными.

Короче, они не выполнили своей работы. Кто-то должен был это заметить и проследить, чтобы такая работа была проделана.

Не надеяться на чудо Системные администраторы, отвечавшие за настройку безопасности, не знали, как это де­ лать. Из-за плохого состояния процедур в такой неразберихе действительно виноваты не они. Их вина тем не менее была в том, что, вместо того чтобы сообщить о проблеме руко­ водству и работать над ее решением, они ничего не делали. Может быть, они ждали, когда на их серверы сойдет небесная благодать?

Если в вашей компании политихи и процедуры четко не определены, то нужно искать пу­ ти по внесению в них ясности. Если необходимо, обратитесь за помощью к руководству.

Не сидите и не ждите чуда.

Безопасность внутренней сети Пересматривать процессы Одним из вопросов, которого мы действительно не касались в данном аудите, был вопрос о том, должна ли была группа обеспечения безопасности писать политики и процедуры для музея. Это само собой подразумевалось, так как обычно всегда этим занимаются именно они.

Я думаю, вы слышали рассказ об отрезанном куске говядины. Некая домохозяйка всегда отрезала конец куска мяса, перед тем как его готовить. Однажды муж спросил ее, зачем она это делает. «Я не знаю. Моя мать всегда так делала», - отвечала она и спросила свою мать об этом. Та ей ответила: «Я не знаю. Моя мать всегда так делала». Наконец, праба­ бушка рассказала женщине: «После этого кусок помещается в сковородку». Оказалось, что у старой женщины была только одна сковорода, и она была слишком мала, чтобы вме­ стить кусок говядины стандартного размера. Разумеется, у ее потомков были сковородки всех размеров. Они просто выбрасывали лучшую часть куска по традиции, так как не хо­ тели пересмотреть процесс.

Может быть, пять лет назад при установке системы и было лучшим вариантом поручить написать политики и процедуры группе обеспечения безопасности. Но это не означает, что такой выбор все еще остается лучшим. Найдите время для периодического изучения того, достались ли все роли и обязанности людям, способным лучшим образом сделать ра­ боту. Не оправдывайте свои действия тем, что ваши предшественники поступали так же.

Иногда - просто сдаться В компаниях все варится в одном котле - и плохое, и хорошее. Даже если мы захотим ка­ заться выше всего этого, то все равно мелочные политиканы будут продолжать копошить­ ся. Иногда лучше дать одной из сторон взять верх, когда битва не так уж значительна или когда участие в ней отвлекает вас от настоящей работы. Если такая борьба становится бо­ лее важной, чем защита информации, то победителем в настоящей войне окажется хакер.

Выполнять свои обязанности Если вы являетесь системным администратором, то вы отвечаете за установку и поддерж­ ку средств безопасности вашей системы. Эта ответственность лежит на вас, даже если в вашей компании есть подразделение по обеспечению безопасности, следящее за вторже­ ниями, средствами контроля, политиками и процедурами. В конечном счете, когда что-то пойдет не так, все повернется к вам (и против вас). Всегда помните об этом.

Контрольный список Используйте этот список для определения того, правильно ли используются в вашей ком­ пании политики и процедуры для повышения безопасности.

- Легко ли читать и понимать политики?

- Есть ли у каждого сотрудника экземпляр политик или знает ли каждый, по крайней мере, где политики находятся?

- Несет ли кто-нибудь личную ответственность за политики и процедуры?

- Посещает ли этот сотрудник конференции по вопросам безопасности или же другим способом держит себя в курсе современного состояния вопросов безопасности?

- Обновляются ли на регулярной основе политики и процедуры?

114 Заключительные слова - Планируются ли профилактические аудиты политик и процедур?

- Осуществляют ли руководители всех уровней поддержку политик и процедур?

- Обучаются ли новые сотрудники политикам и процедурам безопасности?

- Имеется ли справочный материал по политикам и процедурам?

Заключительные слова В рассказанной истории руководители обеих групп должны были помогать решению про­ блемы - для этого руководство и существует. К сожалению, эти менеджеры «зависли» на своих политических амбициях. Вдохновляйте ваших менеджеров на то, чтобы они огля­ дывали всю панораму (безопасности информации), а затем начинали действовать, опира­ ясь на полученные факты.

Системные администраторы никогда не должны оставлять системы широко открытыми только потому, что он не знают, как настраивать безопасность. И в то же время настройки систем не должны диктоваться сверху. Их нужно согласовывать и делать понятными людям, которые отвечают за установку и обслуживание систем.

И разумеется, политики и процедуры необходимо постоянно обновлять. Устаревшие по­ литики и процедуры подобны неисправным ремням безопасности. Они создают види­ мость того, что ваш автомобиль обеспечит вам нужную защиту в случае аварии, когда в действительности это не так. «Пристегните» вашу информацию («исправными ремня­ ми») перед аварией.

Рано или поздно авария произойдет. Опуская все остальные факторы, мы знаем, что высо­ кая плотность транспортного потока является причиной большой вероятности дорожных происшествий. Даже не имея точных данных, мы можем заключить, что трафик в Ин­ тернете становится более интенсивным. В феврале 2002 года количество пользователей Интернета во всем мире оценивалось в 544 миллиона. Только в Северной Америке их насчитывалось 181 миллион. Это несомненный рост по сравнению с 25 миллионами поль­ зователей в США в недалеком от наших дней 1997 году. Добавьте сюда пользователей из остальных частей планеты и пользователей интранет, и вы легко можете предсказать, что мы увидим серьезные схватки в сети. Правильные политики и процедуры могут помочь вашей компании не исчезнуть в столкновениях.

Глава Безопасность аутсорсинга Если вы подключаетесь к партнерам, или передаете на аутсорсинг ИТ-инфра струюпуру, операции с ценными бумагами, сеть поставок и производство, или же поддерживаете какой-либо другой вид доступа к вашей среде или интеллек­ туальной собственности, то вам следует убедиться в том, что люди и процес­ сы, которым вы доверяете, имеют равную с вашей степень защиты. Думая по другому и не сумев тщательно проконтролировать состояние безопасности другой стороны и провести его аудит, вы, возможно, обнаружите, что атаки на вас производятся со стороны партнера, которому вы доверились.

Мэтью Арчибальд, директор Global Security Services, Palm Inc.

Вы - вице-президент по вопросам поставок большой компании, выпускающей ком­ пьютеры. Прошлый год был напряженнее других, так как ваша компания решила перейти на аутсорсинговую модель поставок своей продукции, что затронуло все стороны деятель­ ности вашей службы. Этот переход завершен, все идет гладко, и вы наконец-то облегченно вздохнули. Вы на себе ощутили всю тяжесть задачи выбора правильного партнера по перевозке продукции и перехода на новую бизнес-модель.

Сейчас, когда вы и ваша команда осуществили цели, поставленные компанией перед ва­ шим подразделением, наступает время выбраться всем коллективом на природу. Вы запла­ нировали провести ваш отпуск на лыжах в Аспене. Так как утром уже надо уезжать, вы хо­ тите отправить несколько сообщений по электронной почте и убрать на рабочем столе.

Вы закончили уборку стола, отправку почты и готовы уйти. Но когда вы отрываете на мгновение свой взгляд от стола, то замечаете директора по информационным технологи­ ям, быстро идущего по проходу. Кажется, он направляется в ваш офис. Взглянув на него снова, вы видите, что его походка стремительна, а выражение лица - агрессивно. Ну вот.

Вам уже приходилось видеть его таким. Это предвещает неприятности.

Да, он действительно шел в ваш офис. Он вошел и закрыл дверь. Вместо того чтобы по­ благодарить вас за хорошо сделанную работу, он обрушивается на вас с упреками в отно­ шении выбранной вами компании для перевозки продукции. Очевидно, хакер взломал сеть этой компании. Наступил пик продаж, происходящий в конце каждого года, но не уда­ ется отправить ни одной единицы продукции!

Вы замечаете, что лицо директора становится багровым и его всего трясет. Вот-вот он раз­ давит вас, как жука. Ну как вы могли знать, что системы вашего нового партнера не защи­ щены? Вы доверили ему отправку вашей продукции и считали, что он будет поддерживать безопасность со своей стороны.

Но вы не знаете (и можете никогда не узнать), что хакер пробрался из вашей сети в сеть подрядчика и обрушил все его системы. На его стороне защита в полном порядке. Это ва­ ша сеть поставила его под угрозу. Так как вы уже тонете, то вы, разумеется, не собираетесь Забыли о безопасности?

копаться во внутренних процедурах. Вместо этого вы показываете пальцем на партнера (и обвиняете во всем его).

Как не оказаться на месте этого партнера? Ведь слишком часто сторонние подрядчики ста­ новятся объектом обвинений из-за ошибки основного партнера. Рассмотрим пример...

Забыли о безопасности?

Как и многие другие компании в 90-х годах, фирма S&B Systems искала прогрессивные методы ведения своего бизнеса. И как многие свои современники, фирма ухватилась за идею аутсорсинга.

В принципе аутсорсинг означает оплату услуг другой компании по выполнению части ваших функций. Например, S&B не хотела непосредственно нанимать (и платить им жалованье) 70 секретарей для работы по приему посетителей в различных странах. Вместо этого они передали эту службу подрядчику. Такой секретарь, сидящий в холле, выглядел внешне как служащий S&B Systems, но в действительности он работал в фирме по обеспечению обслу­ живающим персоналом с названием Job Power. После успешного аутсорсинга с секретарями S&B стала искать, как применить этот подход и для другого персонала.

Однажды руководство компании решило перевести на аутсорсинг все операции по пере­ возкам. Оно выбрало в качестве партнера фирму Express Time, имевшую многолетний опыт своевременных поставок и солидную репутацию. Для облегчения этого процесса S&B подключила Express Time к своей сети. Переход, казалось, проходил плавно. Вскоре у S&B Systems не было забот о поддержке и обеспечении персоналом отдела перевозок.

Их выбор Express Time казался огромной удачей для обеих сторон.

Но высшие руководители S&B Systems и Express Time не знали, что система, соеди­ няющая две компании, не была настроена так, чтобы обеспечивать безопасность. Каждый, кто получал доступ в эту межсетевую систему, мог заходить то в одну компанию, то в дру­ гую и собирать, изменять или уничтожать информацию как в S&B Systems, так и в Express Time.

Прошел целый год, пока не заметили, что обе эти сети являются легкими целями. В усло­ виях такого большого риска компаниям просто повезло, что их системы не были обруше­ ны одновременно. Ведь это было невероятно легко сделать!

И действительно, только случайно S&B Systems обнаружила, какой большой риск создает межсетевое соединение.

День 1-й: Осмотр средств обеспечения безопасности Все началось довольно обычно. Меня наняли как независимого аудитора для тестирова­ ния безопасности некоторых систем S&B Systems. Одному из менеджеров технической поддержки S&B, Шелли Бергер, потребовался аудит клиентской сети, так как ее персонал планировал переход на новую версию (апгрейд) операционных систем сети. Планировал­ ся также апгрейд брандмауэра, соединяющего их сеть с Express Time. Перед проведением такого перехода Шелли захотела узнать, как хорошо настроены средства безопасности систем.

Шелли поступила очень мудро. Перед тем как проводить общий апгрейд, всегда нужно убедиться, что вы понимаете, в какой среде он будет проводиться. Предварительный аудит является лучшим способом избежать отвратительных мелких сюрпризов в будущем.

Группа Шелли уже закончила аудит брандмауэра и теперь готовилась к его апгрейду.

Поэтому основное внимание я обратила на внутренние системы S&B.

Безопасность аутсорсинга Шелли предоставила мне офис для посетителей с видом из окна, собственной системой, схемой сети и толстой стопкой политик и процедур. Она также дала мне краткий список персонала технической поддержки S&B. Обязанности по обеспечению безопасности раз­ делялись между несколькими группами. В двух словах: у них имелись группа обеспечения безопасности, группа системных администраторов и группа обслуживания сети. Группа обеспечения безопасности отвечала за проведение аудитов безопасности, реагирование на взломы и рецензирование кода. Системные администраторы отвечали за установку сис­ тем, проведение апгрейда и работу с пользователями. Группа обслуживания сети отвечала за техническую поддержку сети и брандмауэрных соединений. Я знала, что такая струк­ тура технической поддержки довольно типична для компании с размерами? как у S&B.

Меня особенно впечатлила глубокая продуманность описания ролей и обязанностей.

Шелли было все равно, какой подход я выберу для тестирования систем. Ей просто нужно было узнать, какие существуют риски. Я попросила ее создать мне учетную запись на од­ ном из серверов базы данных и запланировать встречи с группой обеспечения безопасно­ сти и системными администраторами на следующий день.

Шелли оставила меня обдумывать сетевую схему и политики, и процедуры. В сущности, это был спокойный аудит, в котором я должна была определить меры по предотвращению проблем с безопасностью, а не реагировать на свершившиеся факты. С другой стороны, это меня не вдохновляло. Я углубилась в изучение политик и процедур, ожидая, когда ко мне придет вдохновение.

Через несколько часов я просмотрела больше их половины. При более глубоком изучении они не казались такими уж восхитительными. Скорее, они подходили под то, что я назы­ ваю политиками безопасности с высоты 30 000 футов - пространными и тяжеловесными инструкциями, которые должны были произвести впечатление на начальство, но мало по­ лезны людям «в окопах».

День уже заканчивался, а вдохновение все еще не приходило. Обычно меня подстегивает одна только мысль предстоящего обнаружения риска. Но в этот раз меня ничего не подсте­ гивало.

Я знала, что Шелли скоро проводит меня к выходу, поэтому я посвятила последние мину­ ты просмотру сетевой схемы. В компании S&B имелись тонны серверов базы данных, и клиентская сеть была видна сразу. Было также видно, что к сети было подключено три различных клиента. Каждое соединение было защищено своим брандмауэром. Я догада­ лась, что это были именно те брандмауэры, которые они только что проверили и готовили к апгрейду.

В этот момент появилась Шелли. Я постаралась запомнить мои мысли о сетевой схеме, чтобы обдумать их позднее. Моя голова уже переключилась на работу, которая меня жда­ ла в моей домашней сети. Один из моих жестких дисков «полетел», и мне нужно было его заменить и восстановить информацию. Впереди был не самый приятный вечер, но это нужно было сделать.

День 2-й: Сетевые соединения Приехав в S&B Systems, я начала снова думать о сетевой схеме и вспомнила, что они толь­ ко что провели аудит безопасности соединений их клиентской сети. Заехав на стоянку, я пыталась понять, кто же у них делал аудит.

1. Видимо, имеются в виду скрипты и программы, используемые администраторами для настройки отдельных машин и сети. - Примеч. науч. ред.

118 Забыли о безопасности?

Шелли уже ждала меня в холле. По дороге в мой временный офис я рассказала ей о том, что вчера потратила вторую половину дня на просмотр политик и процедур. Когда мы прибыли в мой офис, я показала ей сетевую схему и заметила: «Я не представляла себе, что несколько различных компаний подключены к вашей сети». Она ответила: «Это так. Мы многое пере­ вели на аутсорсинг в этом году. Мы оставили в компании лишь в главные функции, а осталь­ ные отдали подрядчикам». Показывая на сетевую схему, я спросила: «Это те системы, на ко­ торых только что проводился аудит?» Она ответила: «Да, и вон те системы тоже». Шелли по­ казала на группу серверов баз данных (обозначенных как DBS1 - DBS 10), которые явно при­ надлежали интранет S&B и не были похожи на клиентскую сеть (экстранет).

Но Шелли сказала: «Нет, это тоже клиентские системы. Видите ли, мы в прошлом году перевели на аутсорсинг отдел перевозок, а это системы его баз данных». Это все проясня­ ло. DBS должно было обозначать «база данных о перевозках» (database shipping).

Теперь я почувствовала прилив энергии. Это как раз был такой риск, который я искала.

Шелли начала рассказывать мне, что когда S&B переводила на аутсорсинг операции по перевозкам, то она подключила системы DBS к сети Express Time. S&B по-прежнему под­ держивала и обновляла базу данных, но Express использовала информацию о перевозках, хранящуюся на этих системах, для поставки изготовленных машин потребителям.

При более пристальном изучении схемы я заметила, что система DBS 10 имела два сете­ вых соединения. Одно шло к интранет S&B, а другое не имело обозначения. Я предполо­ жила, что оно идет к сети Express Time, В технике Шелли не очень разбиралась. Иначе она бы поняла, что из сказанного ей выхо­ дило так, что серверы службы перевозок S&B были подключены к сети Express Time.

Таким образом, как только вы открывали сессию на сервере перевозок, вы могли получать доступ к любой системе сети Express Time. И наоборот, открытие сессии на сервере пере­ возок со стороны Express Time позволяло получать доступ к любой системе сети S&B.

Чтобы пояснить сказанное, представьте себе замок на двери вашего офиса. Пусть вы ра­ ботаете на 20-этаже здания. На том же этаже располагается компания, которой вы переда­ ли по аутсорсингу все ваши операции по закупкам. Разумеется, у вас есть ключ от вашего офиса на 20 этаже. Но, хотя партнер этого не знает, ваш ключ подходит и к его двери.

Вы можете пробраться в его офис и просматривать его файлы, пока его там нет. Вы даже можете внести изменения в его финансовые документы, чтобы поправить свои дела за счет аутсорсинга! Таким же образом ключ вашего партнера подходит и к вашей двери.

Каждый из его фирмы может пробраться к вам и тоже поменять информацию в ваших файлах по своему усмотрению.

Теперь вы понимаете, почему я чувствовала себя, как будто я только что получила глав­ ный выигрыш! Конечно, это все еще было догадкой. Мне нужно было войти в систему и прозондировать ее для подтверждения моей теории.

Поразительные ошибки в защите Я попросила Шелли подтвердить мои назначенные встречи и убедиться в том, что в этот список включены люди, проводившие аудит систем DBS и других клиентских сетевых со­ единений. Я также попросила дать мне копии отчетов по проведенным аудитам.

Шелли продолжала говорить, но я уже полностью настроилась на другую тему. Я могла думать только о том, что мне нужно будет искать в системе DBS 10. Я начала думать о под­ ходе к своему аудиту. Проведение аудита самой сети - это превосходно, но из него всего понять невозможно. Например, вы не сможете сказать, каким образом устанавливаются разрешения на доступ к файловой системе или какие скрипты определения ID пользовате­ ля (setuid) используются.

Безопасность аутсорсинга При проведении аудитов я использую различные подходы и иногда различные инструмен­ ты, Но набор вопросов, на которые я пытаюсь получить ответ, остается постоянным неза­ висимо от используемых подходов и инструментов. Если я пропущу хотя бы один важный шаг аудита, то, уходя, оставлю всю систему открытой. Как профессиональный аудитор, я не могу позволить себе такой ошибки.

Я задумала сейчас просто войти в сеть, попытаться получить доступ в DBS 10 и оценить риски. После этого я проведу все остальные обязательные тесты.

Сначала я проверила таблицу паролей сетевой информационной службы (NIS-Network Information Service). S&B использовала файл сетевых паролей с зашифрованными пароля­ ми. В таблице было около 100 паролей. Я вынула мою «дорожную» дискету из портфеля и переписала один из моих любимых инструментов для проверки защиты - программу взлома паролей под названием Crack. (Подробнее см. Приложение А, «Люди и продукты, о которых следует знать».) Я немедленно запустила Crack на работу с файлом паролей.

Уже через 60 секунд Crack взломал 10 паролей. Один из них был для учетной записи, на­ званной dbadmin, как я предположила - для администрирования базы данных!

Моя догадка, что для всех серверов базы данных используется учетная запись dbadmin, оказалась верной. Теперь я имела доступ ко всем серверам перевозок. Мне даже не надо было регистрироваться с помощью учетной записи, которую создала для меня Шелли.

Сейчас, когда я была в сети, я открыла сессию на DBS 10 и проверила свое предположение.

Оно оказалось правильным! DBS 10 был подключен к сети Express Time, и у него не было на­ строек безопасности вообще - даже патчей. После получения полного доступа к DBS 10 я легко добилась полного контроля (прав суперпользователя2) над системой. Я могла, как мне заблагорассудится, перескакивать из одной системы в другую на правах суперпользователя.

Это было ужасно. Я легко бы смогла обрушить эти системы, не оставляя следов моего ви­ зита. То же мог сделать каждый имевший доступ в любую из сетей! Для любого плохого парня, желающего украсть информацию, внедрить «Троянского коня», спустить с поводка вирус или установить бомбу с часовым механизмом, S&B была настоящей находкой.

Я продолжала тестировать другие системы сети и обнаружила те же проблемы с защитой, повторяющиеся снова и снова. Уровень безопасности этих систем был типичным для стандартной установки. И к этому изначальному риску системные администраторы доба­ вили еще больший риск, установив доверительную конфигурацию.

Теперь я выявила главные проблемы. Разумеется, в этом месте книги вы почти все из них уже знаете наизусть.

• Никто не писал каких-либо политик и процедур аудита.

• Точно так же никто не писал каких-либо политик и процедур по поддержке клиент­ ских сетей.

• Персонал технической поддержки не получал должного обучения по вопросам безопасности.

• Безопасность сети для клиентских подключений была недостаточной.

• Слишком легко мог быть получен доступ к корневому каталогу.

• Не были установлены патчи, повышающие безопасность.

• Разрешения на доступ к файлам раздавались направо и налево.

• Были включены ненужные сетевые службы.

• И любой восьмилетний ребенок мог бы легко отгадать многие используемые пароли.

В этот момент появилась Шелли, чтобы сопроводить меня на беседу с сотрудниками. Сбор информации придется закончить позднее.

2. Права пользователя root. - Примеч. науч. ред.

Забыли о безопасности?

Техническая поддержка при отсутствии обучения и опыта Сначала Шелли устроила мне встречу с системным администратором Эндрю Клейном. Эндрю только что поступил на работу в качестве сотрудника по технической поддержке систем сети S&B. Он имел опыт по обслуживанию больших компьютеров и начал осваивать UNIX около года назад, так как считал, что мейнфреймы вымирают, как динозавры.

Эндрю впервые пришлось обслуживать распределенную сеть. Он думал, что системы DBS находятся в клиентской сети и защищены брандмауэром. Так как он не представлял в действительности, в чем заключается безопасность систем, то он никогда ее и не контро­ лировал. В конце концов, эти системы были установлены до того, как он принял сеть.

Он полагал, что тот, кто устанавливал системы, знал, что он делает.

Я немного поговорила с Эндрю о риске, которому подвергаются как клиентские системы, так и системы S&B. Казалось, он очень удивлен тем, что риск, о котором я говорила, вооб­ ще возможен. Я настоятельно ему порекомендовала пройти обучение по вопросам безо­ пасности, если он рассчитывает и дальше работать в качестве сотрудника технической поддержки сети такого типа.

Мое следующее интервью было с администратором группы обеспечения безопасности Джимом Барнсом. Джим принес мне копии отчетов по аудитам безопасности, которые ох­ ватывали и систему DBS. Просмотрев их, я увидела, что он проверил некоторые важные системные настройки, но не все из них. В его отчетах было указано на избыточность разрешений доступа к файлам и ненужные сетевые службы, но он никогда не проверял установку патчей, повышающих безопасность, и не пытался взламывать пароли пользова­ телей. И конечно, он не ответил на вопрос, вполне подходящий для телевикторины $64 000 Question: «Почему DBS 10 была подключена к двум сетям без какой-либо защиты брандмауэром?» Джим выглядел очень смышленым парнем, но он только начинал свою карьеру и не имел опыта в аудите систем. В этом деле он был новичком. Так как в компании бытовал подход к обучению «плыви или тони», то власть предержащие проинструктировали его: «Послу­ шай! Иди и проведи аудит этих систем».

Разумеется, Джим не имел ни малейшего представления, как правильно проводить аудит.

Требовать от кого-либо провести аудит группы систем без выработанного подхода или со­ ответствующего обучения глупо и жестоко по отношению к этому сотруднику. Это похоже на то, как если бы ваш механик из автосервиса попросил вас припарковать машину на же­ лезнодорожных путях тогда, как вы оба знали бы, что у машины неисправен стартер.

«Не беспокойтесь, - говорит он вам. - Если машина не будет заводиться, когда покажется поезд, то позвоните мне». Это не тот уровень риска, с которым бы компании могли мириться в своих сетях.

Этим интервью закончился мой рабочий день, и я отправилась домой. Теперь я была до­ вольна ходом аудита. Я определила множество рисков, которые нужно было устранить перед апгрейдом, для того, чтобы обновленная структура систем была достаточно безо­ пасна для использования.

Дни 3-й и 4-й: Понимает ли проблему руководство?

Я закончила сбор информации для подтверждения моих заключений и написала оконча­ тельный вариант отчета по аудиту. Собранные сведения представляли собой большую охапку ярких доказательств, дополняющих мой отчет.

Теперь мне нужно было потратить некоторое время на объяснение рисков и проблем руко­ водству. Риск, который представляют такие виды конфигураций, труден для понимания.

Безопасность аутсорсинга Но когда ситуация действительно окончательно назрела, то вы должны объяснять ее имен­ но руководителям компании. (При этом лица у них становятся бледными.) Я покинула компанию, оставив после себя почти бесцветные лица руководителей S&B Systems. Теперь мяч был на их половине площадки, и они должны были решать проблемы сами.

Резюме: Аутсорсинговыв системы должны быть защищены Из этого исследования можно сделать два вывода. Во-первых, аутсорсинг функций компа­ нии не означает аутсорсинга обязанностей по поддержанию безопасности. На самом деле эти обязанности должны быть уточнены и пересмотрены. Вспомните 7 главу, в которой мы говорили о необходимости определения ролей и обязанностей внутри компании. Ну так вот, аутсорсинг функций компании обычно означает, что вы распространяете роли и обя­ занности по обеспечению безопасности и на подрядчика. Необходимость обеспечения безопасности не исчезает вместе с выбывшим из ваших платежных ведомостей персона­ лом. Напротив, аутсорсинг может перевести вас на новый уровень сложности в этом про­ цессе (а то и добавить совершенно новую сеть!).

Второй вывод состоит в том, что вам необходимо тестировать безопасность! В любом случае проблемы безопасности можно обнаружить, только проводя их поиск. Этим в ос­ новном занимается аудитор. Альтернативой является ожидание, когда эти проблемы ста­ нут сами вас находить. Такая стратегия не является лучшей, если только вам не хочется, чтобы и вашу работу передали на аутсорсинг.

Мы пойдем другой дорогой...

Удача S&B Systems и Express Times заключалась в том, что я обнаружила представляющее риск клиентское соединение. Разумеется, такое подключение не должно было быть сделано.

Вот что S&B следовало сделать, чтобы избежать проблем.

Проводить оценку безопасности Существует много способов проводить аудит систем. Вы можете проводить аудит сети, чтобы протестировать общеизвестные уязвимые места (те, о которых обычно знают ха­ керы и постоянно их ищут). Такой вид аудита следует проводить регулярно.

Однако имейте в виду, что его не обязательно должен проводить человек. В Sun мы автома­ тизировали проведение аудита безопасности при помощи инструмента, названного Auto Hack. AutoHack тестирует более 20 000 систем на наличие уязвимых мест и посылает систе­ мам сообщения об обнаруженных проблемах. Он отличается в лучшую сторону тем, что в своем сообщении указывает степень серьезности обнаруженной проблемы. При обнаруже­ нии в системе серьезной проблемы он сообщает о ней ее владельцу.

Проводить ее правильно Без правильных процедур ваши люди легко могут пропустить важные шаги при проведе­ нии ими аудита. В результате этого у вас могут появиться двойные запоры на дверях при широко открытых окнах. Чтобы этого избежать, обеспечьте наличие подробных процедур для проведения ваших аудитов. И проследите, чтобы эти процедуры выполнялись.

Мы пойдем другой дорогой...

Проводить ее регулярно В дополнение к процедурам аудита вам нужно разработать политику аудита, в которой долж­ но быть точно указано, когда и при каких обстоятельствах проводить аудиты. Например, мож­ но указать, что аудит нужно проводить каждые шесть месяцев и каждый раз при переводе но­ вых систем в онлайновый режим. Если ваша сеть имеет очень динамичную конфигурацию (например, является средой разработки программного обеспечения), то вам лучше проводить аудит безопасности каждые две недели независимо от того, кто на вас работает.

Главное заключается в том, что вам нужно быть последовательным. Не позволяйте вашим сотрудникам из группы обеспечения безопасности отказываться от проведения аудита в этом месяце из-за того, что должны быть представлены квартальные отчеты, а они запаз­ дывают со своими разделами. Добейтесь того, чтобы даты и условия проведения аудитов были «высечены на камне».

Решать обнаруженные вами проблемы Вы не поверите тому количеству случаев, когда я «обнаруживала» проблемы, о которых раньше уже докладывалось (и не раз), но которые никогда не решались. Конечно, их реше­ ние назначалось на какой-либо день, но каким-то образом этот день никогда не наступал.

Риск сам по себе со временем не исчезнет. Напротив, он использует такую передышку для того, чтобы вырасти в размерах и сделаться более сложным. Если вы откладываете реше­ ние проблемы безопасности потому, что у вас нет средств в этом квартале, то вы будете платить гораздо больше в более поздний срок. Представьте себе затраты S&B Systems в том случае, если хакер нащупает обнаруженное мной незащищенное место и перекроет сбыт всей их продукции.

Не использовать ПОДХОД «ПЛЫВИ ИЛИ ТОНИ» Подход «плыви или тони» к обучению вопросам безопасности никогда не приносил плодов.

Ожидать того, что ваши новые администраторы средств безопасности дойдут до всего сами, это жестоко и неэффективно.

Будет мало пользы от назначения нового администратора средств безопасности, если вы не дадите ему обучения, необходимого для работы. В идеале вы, конечно, можете нанять опытного специалиста. Но это нелегко сделать. Профессионалы в области обеспечения безопасности пользуются большим спросом. Как сообщает ZDNet, недостаток в персона­ ле данной профессии будет составлять по прогнозу на ближайшие годы 50 000-75 000 че­ ловек. Их оклады уже возросли за 2001 год на 50 процентов - верный признак надви­ гающейся их нехватки.

Чувствуя отчаяние работодателей, некоторые предприимчивые хакеры пытаются выстав­ лять себя на рынок рабочей силы как экспертов по обеспечению безопасности, заявляя, что их криминальное прошлое свидетельствует об их опытности. Министерство обороны США имеет давнее знакомство с хакерами, стоившее ему 25 миллиардов долларов, по­ терянных из-за 22 000 атак только в 1999 году. Сегодня Министерство обороны открыто принимает на работу хакеров-«белых шляп»4. Хотя его подход к «черным шляпам» менее открыт, есть сообщения о том, что им_ делались предложения гражданам других госу­ дарств (таким, как русский хакер Верс).

3. ZDNet - информационный портал (сервер, сеть) корпорации Ziff-Davis Inc. - Примеч. пер.

4. "White hat" hackers - по аналогии с положительными героями вестернов, носившими белые шляпы. Эти бывшие хакеры занимаются тестированием защиты систем, созданием поисковых систем по отслеживанию хакеров по электронному следу и т. д. - Примеч. пер.

Безопасность аутсорсинга При безнадежной нехватке действительно квалифицированных профессионалов, которая сопровождается стремлением хакеров замаскироваться под экспертов в области безопас­ ности, у вас остается лишь один выбор - самим вырастить собственного эксперта.

Контрольный список Используйте этот список для определения того, подвергается ли ваша компания риску из за применяемого ей аутсорсинга и/или состояния процедур проведения аудита. Можете ли вы поставить «Да» против каждого его пункта?

Аутсорсинг - Проводятся ли аудиты клиентских подключений (экстранет) на регулярной основе?

- Существует ли официально оформленная архитектура подключения клиентов (экс­ транет) к вашей сети?

- Существует ли официальная политика, четко определяющая, когда, почему и каким образом должны разрешаться подключения экстранет?

- Требуется ли разрешение руководства на перевод экстранет в онлайновый режим?

- Требуется ли проведение аудита безопасности перед тем, как перевести экстранет в онлайновый режим?

Процедуры проведения аудита - Имеется ли в вашей компании официальная политика проведения аудита?

- Имеются ли в вашей компании процедуры проведения аудита для тестирования безопасности в письменной форме?

- Находится ли в рабочем состоянии программное обеспечение для проведения ауди­ та, установленное на всех платформах?

- Обеспечивается ли необходимое финансирование приобретения необходимых ин­ струментов проведения аудита?

- Поддерживает ли руководство проведение аудита безопасности, обеспечивая пра­ вильную подготовку аудиторов?

Заключительные слова Аутсорсинг быстро становится стратегией корпораций нашего десятилетия. Если ваша компания не воспользовалась аутсорсингом для каких-либо своих нужд, то велика вероят­ ность, что она скоро это сделает.

Перед тем как проводить какую-либо аутсорсинговую реорганизацию, включающую в се­ бя предоставление совместного доступа к вашей компьютерной сети, убедитесь в том, что вы владеете всеми фактами. Какой тип подключения будет нужен? Как будет защищено такое подключение? Как обеспечивается безопасность стороны подрядчика? Повлияют ли доступ с его стороны и имеющиеся у него процедуры на безопасность вашей информа­ ции? Получите ответы, пока подключение не создано.

В то же время всегда помните, что проблемы безопасности будут время от времени возни­ кать. Это - природное явление. Для лучшей защиты вашей драгоценной информации 5. В российской прессе весной-летом 2001 года сообщалось об истории некоего хакера по кличке Вере, которого сотрудники американского посольства уговаривали взломать интернет-сайт www.fsb.ru, чтобы получить доступ к хранящейся там информации. Утверждалось, что бдительный хакер Верс не пошел на поводу у американцев, а доложил о попытках его вербовки владельцам вышеуказанного сайта. - Примеч. пер.

124 Заключительные слова в этих неизбежных испытаниях положитесь на тщательные, планируемые регулярно ауди­ ты безопасности, проводимые хорошо обученными профессионалами.

Не впадайте в благодушное состояние, полагаясь на репутацию вашего партнера по аут­ сорсингу. Уже скомпрометированы некоторые из величайших и ярчайших компаний.

Одной из причин столь длительного выздоровления от вируса Code Red является то, что сайт windowsupdate.Microsoft.com сам был заражен им. Поэтому многие заразились виру­ сом Code Red, когда «скачивали» те самые обновления для программ, которые должны бы­ ли защитить их от будущих атак.

Разумеется, вирус является зверем, значительно отличающимся от чрезмерно доверяюще­ го сервера. Но я настаиваю на том, что вы должны отвечать за все, что происходит в вашей сети. Нет разницы в том, будет ли эта тварь в диске с демоверсией продукта гиганта инду­ стрии программного обеспечения или в облегченном доступе из компании, которой вы до­ верили ваши операции по перевозкам. Целостность вашей информации зависит от вашей неусыпной бдительности.

.

Глава Незащищенная электронная почта Тайна личной жизни является основой всех прав и свобод человека - и самой чело­ веческой сущности. Вторжение в личную жизнь больно бьет по человеческому достоинству.

Надин Строссен, президент Американского союза гражданских свобод, профессор New York Law School А сейчас вы - президент Соединенных Штатов Америки. Усаживайтесь поудобнее и ощу­ тите вашу власть. Теперь приготовьтесь выслушать плохие новости. Министр обороны сообщает вам, что сегодня в 4.20 утра террорист напал на автоколонну, направлявшуюся в посольство США в Саудовской Аравии, Выживших нет. На данный момент никто не знает, как произошел инцидент.

Через несколько дней вы узнаете, как это случилось. По данным вашего министра оборо­ ны, брешь в безопасности, облегчившая нападение, была проделана единственным сооб­ щением, посланным по электронной почте. Некий капрал Лен Джонсон, морской пехоти­ нец, служивший в охране посольства в Саудовской Аравии, использовал электронную почту для связи с домом. Вечером, перед нападением, он написал своей жене: «Завтра в 4.00 приезжают командир корпуса и сенатор. Мне придется рано встать, чтобы сопрово­ ждать их из аэропорта в посольство, поэтому я не смогу позвонить тебе утром, как мы до­ говаривались. Я сообщу тебе позднее по электронной почте, когда ждать моего звонка.

Обнимаю и целую детишек...Лен».

К несчастью для друзей и семьи Лена и для других людей, находившихся в этой колонне, его электронное письмо не было зашифровано. Министр обороны твердо убежден, что письмо капрала Джонсона своей жене было перехвачено террористом.

Разве может показаться странным, что капрал посылает домой жене незашифрованное электронное письмо. Повсеместно высшие руководители компаний посылают письма по электронной почте по самым секретным вопросам - о предстоящих биржевых сделках, планах выпуска новых продуктов, слияниях, приобретениях и т.д. Нужно ли ожидать от простого солдата, что он увидит риск там, где его должны увидеть, но не делают этого высшие руководители компаний? Рассмотрим следующий случай...

Есть ли у электронной почты конверт?

Моя подруга Мишель Шейверс была подающим большие надежды сотрудником в NetDy namics, большой компании по сетевым технологиям в Силиконовой долине. Около года назад Мишель позвонила мне, чтобы поговорить о проблеме, которая у нее возникла с од­ ним из ее коллег.

Так как коллега, о котором идет речь, был руководителем высокого ранга в ее компании, то она никогда не сообщала мне его имени. (Мы назовем его мистер Икс.) Из разговора 126 Есть ли у электронной почты конверт?

с ней я поняла, что каждый раз, когда она выступала на совещаниях сотрудников компа­ нии, мистер Икс оказывался впереди нее на два шага. Он отвечал на все вопросы так про­ думанно, что его ответы звучали, как заранее подготовленная речь. Она была убеждена, что он заранее точно знал, что она собиралась сказать.

Мое первое впечатление состояло из трех частей: 1) мистер Икс определенно не любил Мишель;

2) мистер Икс, возможно, хотел прибрать к рукам подразделение Мишель;

или 3) мистер Икс пытался (по каким-либо причинам) выжить Мишель из компании. Мне же, наоборот, Мишель нравилась. Она умела добиваться результатов в своей работе и не мог­ ла допустить, чтобы кто-то стоял у нее на пути. Поэтому, когда она обратилась ко мне за помощью, я с большим желанием протянула ей свою руку.

Возможно, что в глубине моей души таилось нетерпение запустить поглубже руку в гряз­ ные делишки мистера Икс. Но как профессионал по вопросам безопасности я знала, что такая информация мне действительно не нужна.

Мишель спросила: «Линда, этот парень очень подкован технически и общается со многи­ ми специалистами в нашей области. Возможно ли такое, что он читает мою электронную почту?» Хороший вопрос. В ответ я задала Мишель три простых вопроса: «Ты шифруешь свои электронные письма?» - «Нет». «Мистер Икс работает в твоем здании?» - «Да». «Он ра­ ботает на том же этаже, что и ты?» - «Да».

Я задала последние два вопроса, чтобы выяснить, в одной ли сети с Мишель находится мистер Икс. Я знала, что если Мишель ответит «Да» на любой из этих двух вопросов, то для мистера Икс не составит труда читать ее электронные письма.

Я объяснила ей, что если она не шифрует свою электронную почту, то каждый сможет ее прочитать. Я также пообещала ей, что загляну к ней в компанию и продемонстрирую, как легко это можно сделать.

Мишель очень заинтересовалась такой демонстрацией. Чтение чьей-либо электронной почты являлось явным нарушением политики компании. (Возможно, такая политика есть и в вашей компании.) Оказалось кстати, что Мишель имела полномочия на запуск любых инструментов и тестов в ее сети на этой неделе, так как ее инженеры проводили тестиро­ вание нового, только что разработанного ими программного обеспечения. Нельзя было выбрать лучшего времени для моей демонстрации.

Доступ к персональной информации получен Для проведения демонстрации я встретилась с Мишель позднее в тот же день. Задача ока­ залась несложной. За 30 секунд моего нахождения за ее клавиатурой я «скачала» из Ин­ тернета инструмент «снупинга»1. Затем я ввела с клавиатуры команду, запускающую вы­ полнение «скачанной» программы, и все дела! Появилось первое почтовое сообщение.

Как только челюсть Мишель отвисла до пола от изумления, вызванного тем, как просто это было сделано, я отвернулась от экрана. Я дала ей понять, что за все годы моего занятия аудитом безопасности я не прочитала ни строчки из закрытой персональной информации.

Когда я провожу аудит безопасности, то просматриваю только имена важных файлов и ка­ талогов при проверке риска, но никогда не заглядываю в содержимое файлов.

Мишель не могла оторвать от экрана глаз. «Здорово! Это же письмо для президента ком­ пании!» Я поняла, что достигла своей цели. Я стерла результаты «снупинга» и сказала: «Теперь ты знаешь, почему ваша компания должна использовать шифрование. Я хочу оставить этот 1. Snooping - здесь: отслеживание, перехват и декодирование сообщений. - Примеч. пер.

Незащищенная электронная почта инструмент в вашей системе как раз на тот случай, если тебе нужно будет показать прези­ денту компании, как легко можно прочитать его электронную почту».

Конечно, это не помогло полностью решить проблемы Мишель с мистером Икс. Я показа­ ла Мишель, как легко мог бы мистер Икс читать ее электронную почту, но у нее не появи­ лось доказательств того, что он действительно делал это. Разумеется, на самом деле не было так уж важно получать такие доказательства. Мистер Икс имел такую власть, что представление доказательств того, что он читает ее электронную почту, могло бы разру­ шить карьеру не ему, а Мишель.

Но, с другой стороны, то, что Мишель теперь знала об уязвимости своей почты, позволило ей понять, почему для ее компании так важно предусмотреть в бюджете на безопасность расходы на шифрование электронной почты. И пока эта технология не будет введена, Мишель знала, что ей следует ограничивать содержание своей почты.

Мишель и я никогда больше не возвращались к этому инциденту с электронной почтой.

Но мне известно, что в настоящее время компания Мишель усердно работает над внедре­ нием у себя программ шифрования электронной почты.

Резюме: Вы имеете право отказаться от вашего права на тайну переписки В отличие от других случаев, описываемых в данной книге, в этой истории не проводился аудит. Однако в этом случае был обнаружен существенный риск в области технологии, на которую мы стали полагаться почти ежедневно.

Предприниматели, подобные Мишель, подвергают риску свою информацию и карьеру почти ежедневно, не сознавая этого. Мы полагаем, что если мы сами не читаем чужой электронной почты (и, возможно, не знаем, как это делается), то этого никто не делает.

Это плохое предположение.

Не составляет особого труда не только сам просмотр почты, но и получение инструмен­ тов «снупинга» из Интернета. И если вы будете ожидать, что в результате работы такого инструмента экран вашего компьютера будет заполняться битами и байтами обрывков со­ общений, то вас удивит, как «отполировано» выглядят украденные письма. Только взгля­ ните на пример, приведенный на рисунке 10.1.

Теперь представьте себе, что электронное письмо послано вами, а не Мишель. Как вы бу­ дете себя чувствовать, зная, что кто-то еще читает вашу почту? Почувствуете ли вы, что ваше право на тайну переписки нарушено? Несомненно! Являетесь ли вы простым граж­ данином, посылающим личное письмо вашей любимой девушке, планируете ли вы новую стратегию компании или вы - капрал морской пехоты, говорящий «привет!» своим детям, у вас в любом случае имеется неотъемлемое право на тайну переписки.

Но если вы посылаете электронное письмо, не шифруя его, то вы непроизвольно отказы­ ваетесь от этого права. Я всегда говорю людям: «Если вы не шифруете свою электронную почту, то не помещайте в нее то, что вам не хотелось бы увидеть на первой странице The Wall Street Journal».

Мы пойдем другой дорогой...

STAT: Sat Mar 15 10:01:36, 7 pkts, 487 bytes [DATA LIMIT] DATA:HELO nolimits.incog.com MAIL From: RCPT To: DATA Received: by nolimits.incog.com (SM 1-8.6/SMI-SVR4) Alid KAA04500;

Sat, 15 Mar 2003 10:01:35 - Date: Sat, 15 Mar 2003 10:01:35 - From: msha@osmosys (MichelleShavers) Message-Id: <200303151801.KAA04500@nolimits.incog.com> To: lmac@nolimits Subj ect : NEW STRATEGIC DIRECTION X-Sun-Charset: US-ASCII Late yesterday, I received the preliminary report from Vendor В regarding customer perceptions of the new support structure. TH E CUSTOMERS ARE VERY UNHAPPY! Over 89% reported STRONG dissatisfaction with the new bug x distribution system. Of those, fully 53% are considering Macron's new third-party support program. If we don't implement a new approach quickly, we can anticipate a strong drop in customer support contracts. At tomorrow's executive staff meeting, I will propose the following changes to head off that problem.,.

Рисунок 10. Мы пойдем другой дорогой...

Мишель почувствовала затруднения, когда ее почту (вероятнее всего) кто-то читал у нее под носом. В других более тяжелых случаях это обходится корпорациям в миллиарды дол­ ларов потерянных доходов ежегодно. Угроза в этих случаях исходит от «червей», «троян­ ских коней», атак по типу «отказа от обслуживания», искажения внешнего вида веб-стра­ ниц и т. д. Электронная почта представляет собой одну из самых распространенных и ме­ нее всего обсуждаемых областей, в которой сегодня таится риск для делового мира.

Для защиты тайны своей переписки Мишель должна была сделать следующее.

Использовать шифрование!

Современные пакеты программ шифрования легко устанавливаются и поддерживаются и действительно прозрачны для пользователя. К сожалению, многие помнят о старых гро­ моздких пакетах таких программ и не знакомы с их более простыми современными версиями.

Если в системе электронной почты вашей компании еще не используется шифрование, то немедленно его установите. Если вы не уверены в том, какой продукт, обеспечивающий шифрование, использовать, или вас смущают экспортные соглашения, то обратитесь за советом к консультанту по вопросам безопасности.

2. В сообщении содержится важная информация о продвижении продукта компании на рынке. - Примеч. пер.

Незащищенная электронная почта Убедить компанию в необходимости шифрования Применение шифрования похоже на наклеивание на дверь стикера, предупреждающего, что ваш дом находится под электронным наблюдением. Если вы остаетесь единственным в вашем квартале с таким стикером, то потенциальные воры начнут размышлять, что у вас имеется такого ценного для принятия дополнительных мер охраны. Если же на всех домах в вашем квартале будут иметься такие же стикеры, то будет трудно сказать, у кого дейст­ вительно можно поживиться.

Когда все начнут использовать шифрование, то любому, кто занимается выискиванием ин­ формации, будет трудно определить, что действительно представляет интерес, а что - нет.

На это и должны направляться наши усилия, Предусмотреть в бюджете средства на шифрование В прошлом некоторые директору по информационным технологиям действительно за­ прещали своим служащим шифровать электронную почту, предназначенную для внутрен­ него пользования. Если у вас все еще придерживаются такой устаревшей политики, то не­ медленно ее аннулируйте! Затем разработайте новые политики и запишите шифрование в цели ваших менеджеров.

Отслеживать возникновение других угроз электронной почте Как ни печально сообщать, но возможность чтения вашей почты другими людьми являет­ ся не единственным риском, которому вы подвергаетесь как пользователь электронных средств информации. Вы можете подвергнуться «спаму», угрозам заражения вирусами, реальному заражению вирусами, «червями», «троянскими конями» и т. д. Соответст­ вующие программные инструменты могут предотвратить возникновение некоторых из этих проблем. Например, хотя «спам» продолжает нарастать, только 21 процент пользова­ телей электронной почты используют программы-фильтры «спама» (Opt-In News, май 2002 года).

Семьдесят шесть миллиардов «спам»-сообщений будет разослано по электронной почте по всему миру в 2003 году (eMarketer, 2002 год). При таких цифрах необходимо иметь про­ граммное обеспечение, предназначенное для борьбы с этой проблемой. Если фильтрация «спама» у вас еще не используется, то руководству необходимо включить в бюджет на безо­ пасность расходы на программы-фильтры «спама» или на службу фильтрации «спама».

«Спам» вреден, по меньшей мере, своей назойливостью, но вредоносные программы яв­ ляются разрушительными и означают причинение ущерба. Убытки от эпидемий вредо­ носных программ в 2001 году составили 13,2 миллиарда долларов. Компаниям необходи­ мо создавать многоуровневую систему обороны для защиты от этих злобных атак. Это оз­ начает защиту в каждой точке входа. Серверы, персональные компьютеры и другие устройства также должны иметь защиту (например, защиту от вирусов, брандмауэр, де­ тектор вторжения и средство предотвращения вторжения). Атаки вредоносных программ становятся более изощренными и будут причинять больший ущерб. Защита от них явля­ ется одной из приоритетных задач каждой компании.

3. Spam - рассылка большого количества сообщений посредством электронной почты, имеющая целью разрекламировать товары или услуги и все, что нуждается в рекламе. - Примеч. пер.

130 Заключительные слова Заключительные слова Ежедневно миллионы предпринимателей вкладывают свои надежды и мечты в почтовые послания, которые затем отправляют в плавание по Интернету. Если они делают это, не применяя шифрования, то, следовательно, забывают о всякой осторожности.

Применение технологий шифрования для ваших деловых сообщений по электронной почте является одной из самых легких и самых важных мер предосторожности для сохра­ нения в тайне ваших секретных планов.

Наконец, не дайте себя застать врасплох, не обеспечив несколько уровней защиты от угроз.

Электронная почта предоставляет противнику легкий способ засылки вирусов, «червей», «троянских коней» в вашу компанию. Для вредоносных программ существует много раз­ личных способов входа в вашу корпоративную сеть, и вам нужно оценивать вашу способ­ ность по предотвращению и защите как от известных угроз, так и от неизвестных.

Глава Оглядываясь назад: что будет дальше?

Хотя в их стране главное внимание сосредоточено на безопасности, в действи­ тельности американские предприниматели не вкладывают средства в устранение «дыр» в системах своей защиты. Похоже, они ждут «событий большого эмоцио­ нального значения» - например, утраты информации кредитных карточек клиен­ тов для получения повода к вложению таких средств. Проблема состоит в том, что они могут получить этот повод слишком поздно.

Джон Кирби, директор по стратегиям защиты предприятий, безопасности и обеспечению тайны, информационным технологиям предприятий, Electronic Data Systems (EDS) Некоторые изменения происходят так быстро, что трудно определить, как обеспечивать безопасность в таких условиях. Именно такая проблема возникает перед организациями, когда они начинают осваивать современные технологии и выяснять, какие уязвимые мес­ та в них имеются.

Руководство компании Costa Corp, в которой я проводила свой первый аудит по контракту, было вынуждено проводить его из-за произошедшего у них взлома, в результате которого была украдена и опубликована важная финансовая информация. Аудит безопасности, проведенный несколькими годами раньше, показал, что в системах не заделывались «дыры», они были уязвимы для атак и нуждались в защите и контроле. Тем не менее руко­ водство никогда не выполняло рекомендаций аудита по устранению этих нарушений.

Хотя в Costa Corp проводилась оценка рисков, у них просто не было сотрудников, знающих, как обеспечивать безопасность систем. Поэтому системы оставались незащищенными и уяз­ вимыми для атак. Мой аудит, проведенный через несколько лет после этого, показал, что эти системы по-прежнему подвергались риску: патчи, повышающие безопасность, не были уста­ новлены, пароли можно было легко угадать, не были отключены лишние службы, и наруше­ ний безопасности стало больше, чем было выявлено при предыдущей оценке.

Взлом и потеря финансовой информации открыли глаза высшему руководству на эту пробле­ му. Как правило, неавторизованный доступ и раскрытие конфиденциальной информации за­ ставляют генерального директора или финансового директора лучше понимать вопросы безо­ пасности. Проведенная мной оценка показала, что риски будут оставаться и даже увеличи­ ваться, если не будет профинансировано принятие мер по укреплению защиты. Руководство вскоре выделило средства на мероприятия по улучшению безопасности (такие, как программ­ ные инструменты, расширение штата, обучение, политики и средства контроля). Оно не ограничилось простым выделением средств, но проявило решимость в осуществлении этих мероприятий и повседневной поддержке безопасности.

1. То есть правила, которые необходимо выполнять для обеспечения безопасности. - Примеч. пер.

Риск для всей корпорации Руководство ввело жесткую политику обеспечения настройки и поддержки безопасности систем. В качестве эффективного стимула для владельца каждой системы эта политика ус­ танавливала, что если при тестировании системы в ней будут обнаружены уязвимые мес­ та, то либо они будут устранены в течение 48 часов, либо система будет отключена от се­ ти. Эту политику поддерживал директор по информационным технологиям, и за ее выпол­ нением следили по всей компании. Политики нуждаются в поддержке руководства, иначе они становятся бесполезными.

Когда пришел новый директор по информационным технологиям, то у него оказались дру­ гие взгляды на безопасность, Старый директор был приверженцем политики «соответст вуй-или-умри», то есть либо ваша система соответствует политике, либо ее выбрасывают из сети. Такая политика стимулирует обеспечение безопасности, но требует, чтобы ее придерживались на всех уровнях компании. В каждой организации должны быть цели по обеспечению безопасности: должно проводиться обучение для того, чтобы люди поняли, как защитить свои системы;

должны использоваться инструменты для тестирования, контроля и поддержки безопасности;

люди должны тестировать и защищать свои системы и т.д. Так как новый директор по информационным технологиям не поддерживал эту по­ литику, то многие системы сети со временем стали менее защищенными. Кроме того, он не сделал обеспечение безопасности корпоративной целью. Когда в бюджете не нашлось средств на осуществление важных инициатив в области электронной коммерции, то ради них было отложено приобретение инструментов обнаружения вторжения и тестирования безопасности. Таким образом, компания «перекачала» ресурсы из бюджета безопасности в бюджет поддержки деловых целей компании.

Риск для всей корпорации Проведенная мной в 2002 году оценка состояния безопасности показала, что появилась новая угроза для организаций в целом, которая может представлять предмет серьезного беспокойства. Она заключается в том, что руководство не обращает внимания на неко­ торые основные меры по обеспечению безопасности. Так, например, две главные ошибки, допущенные компанией Costa Corp, состояли в следующем: 1) она не требовала выполне­ ния своих политик;

2) она позволила руководству нарушать политики безопасности и не вникать в риск, создаваемый при этом для компании в целом.

В компании Costa Corp выработалась практика исключений, которая позволяла руководству игнорировать меры безопасности ради деловых целей. Однако нет уверенности в том, что руководитель, подписавшийся под подобным исключением, действительно понимал требо­ вания безопасности. Предоставление руководителям, не понимающим таких требований, права игнорировать меры безопасности уже само по себе представляет риск. При таких об­ стоятельствах некоторые руководители узаконят подобные исключения, не понимая, какой ущерб они могут причинить.

В Costa Corp была также разработана политика подключения к Интернету, определяющая, что подключение любой системы к Интернету должно разрешаться руководством и долж­ но соответствовать правилам установки подключения, разработанным группой обеспече­ ния безопасности. Эта политика была хорошо написана, такими же хорошими были и пра­ вила, определяющие обеспечение защиты системы и ее тестирование перед подключени­ ем к Интернету. Тот, кто разработал политику и правила, разбирался в вопросах безопас­ ности. Но в погоне за деловыми целями тем не менее некоторые из подразделений компа­ нии полностью проигнорировали эту политику. Они установили веб-серверы в Интернете, не получив разрешения высшего руководства и не установив средств защиты.

Pages:     | 1 | 2 || 4 | 5 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.