Маккарти Л. It-безопасность: стоит ли рисковать корпорацией? Пер с англ
| Вид материала | Книга |
- «хм «Триада», 9393.37kb.
- Анастази А. А 64 Дифференциальная психология. Индивидуальные и групповые разли- чия, 11288.93kb.
- Роджер Л. М2Э вирус ответственности.: Пер с англ, 2943.44kb.
- Новые поступления литературы (июль сентябрь 2002) математика инв. 62350 в 161., 125.41kb.
- Указатель произведений литературы зарубежных стран (библиотека кф ат и со), 250.17kb.
- Литература для клинических интернов по специальности «терапия» Кафедра факультетской, 55.33kb.
- Куртц П. К93 Искушение потусторонним: пер с англ, 7904.74kb.
- The guilford press, 6075kb.
- The guilford press, 6075.4kb.
- Жизнь счастливого человека (А. Маслоу), 76.37kb.
Резюме: Не подпускать к себе конкурентов
В данном случае проблема была обнаружена до возможного нанесения ущерба. Конечно, обнаружить такие проблемы во время профилактического аудита безопасности соседних систем удается не во всех компаниях. Многие из них вообще не беспокоятся об аудитах безопасности - ни о профилактических, ни о каких-либо еще.
Сотрудники, подобные Фреду и Дэйву, существуют в действительности. Ни один из них не думает о высших интересах компании. Поэтому и необходимы основные политики, процедуры и средства контроля для защиты компании от простых ошибок, которые буквально могут разрушить ее. Без учета этих факторов общая картина начнет терять очертания.
Как показывает случай с JFC, такая потеря очертаний может случиться очень быстро. JFC является растущей компанией. Их формула нового лекарства скоро позволит опередить конкурентов. Что, если хакер, взломавший Drug10, был промышленным шпионом, работающим на конкурента? А может быть, иностранное правительство надеется достать передовую технологию для доморощенных компаний. Если верить Майклу Андерсону (Michael Anderson), бывшему агенту Министерства финансов, в настоящее время работающему в группе советников в Национальном центре по расследованию экономических преступлений , то даже дружественные державы оказываются не такими дружественными в вопросах промышленного шпионажа. По его данным, стало известно, что французы ставили «жучки» как в салоны самолетов первого класса, так и в роскошные номера отелей, в которых предпочитали останавливаться руководители американских корпораций. Другими серьезными игроками в промышленном шпионаже считаются японцы, израильтяне и множество бывших агентов КГБ.
Правильно настроенный брандмауэр, безопасная конфигурация системы и механизмы обнаружения (компоненты безопасности, отсутствующие в Drug10) образуют первую линию обороны и закрывают дверь перед промышленным шпионажем, конкурентами и другими противниками.
Мы пойдем другой дорогой...
При разработке нового продукта мы все стараемся держаться хотя бы на несколько шагов впереди стаи. Но волки могут быть ближе от ваших пяток, чем вы думаете. В своей книге «Информационная война: хаос на электронном суперхайвэе»6 Уинн Швартау замечает: «Когда-нибудь вы станете (если уже не стали) жертвой информационной войны... Если не вчера или сегодня, то обязательно завтра».
=================================
5. National White Collar Crime Center (NW3C) -другой вариант перевода: Национальный центр по расследованию преступлений, совершаемых «белыми воротничками». - Примеч. пер.
6. Information Warfare: Chaos on the Information Superhighway. Winn Schwartau. «Суперхайвэй» некоторые переводчики заменяют более понятным «автобан». - Примеч. пер.
Если это звучит для вас немного мелодраматично, то задержимся и посмотрим на общую цену проблемы. По данным офиса директора национальной контрразведки7, только в 2002 году потери продаж в американской экономике от промышленного шпионажа оцениваются суммой от 100 до 250 миллиардов долларов. Вы можете добавить сюда экономические и моральные убытки от потери рабочих мест.
Даже единичный акт шпионажа может быть опустошительным. Vogon, фирма, занимающаяся правовыми вопросами в компьютерной области, сообщает, что при проведении аудита у одного из клиентов был обнаружен сотрудник, «скачивающий» конфиденциальную информацию для того, чтобы впоследствии открыть конкурирующую фирму. Этот клиент подсчитал, что его убытки в случае, если бы такое пиратство не было раскрыто, могли бы достигать 10 миллионов долларов.
Можете ли вы заявить в такой обстановке, что имеете все необходимые средства безопасности? Не начнет ли ваше будущее расплываться и исчезать, как почти случилось с JFC? Чтобы этого избежать, нужно сделать то же самое, что должна была сделать JFC.
Использовать типовые архитектурные схемы
Добейтесь, чтобы существовала безопасная архитектура для подключения внешних клиентов к вашей сети (экстранет). Архитектура должна охватывать все проблемы. В ней необходимо определить тип устанавливаемого брандмауэра, перечислить, какие службы разрешены, описать установленное программное обеспечение и четко определить все сетевые подключения.
Вам также нужно знать, какую архитектуру имеет клиент со своей стороны. Конечно, вы должны до некоторой степени доверять клиентам. Но вы не можете позволить себе этого без веских причин. В JFC было оказано неограниченное доверие без каких-либо технических деталей, которые бы это доверие гарантировали. Не ставьте себя в их положение. Несомненно, предлагайте свое доверие. Но вначале убедитесь, что ваши клиенты хотят его заслужить и обеспечат вас подробной информацией о конфигурации систем на своей стороне.
В мире бизнеса интернетовской эры доверие больше не сводится к рукопожатию. Оно обеспечивается согласованной и отраженной в документах архитектуре.
Отслеживать внешние подключения
Необходимость внешних подключений может возникнуть быстро, особенно если вы работаете в растущей компании. В 1996 году Ernst & Young обнаружила, что целая треть обследованных ей компаний использует Интернет для обмена важной деловой информацией. Затем произошла революция, создавшая электронную торговлю и вызвавшая небывалый взлет количества внешних соединений. К 2002 году, уже 99 процентов респондентов имели корпоративные веб-сайты. Из них 52 процента действительно занимались электронной коммерцией на своих веб-сайтах. Сегодня реальные деньги и финансовая информация обычным образом отправляется в киберпространство. Внешние соединения не являются чем-то исключительным - они подразумеваются сами по себе.
===================================
7. Office of the National Counterintelligence Executive (NCIX) - офис спецслужбы США, созданной вместо Национального центра контрразведки (NACIC). - Примеч. пер.
Одна из главных проблем JFC заключалась в том, что они не могли даже сказать мне, сколько внешних подключений у них есть. Заявки на подключения хранились в ASCII-файлах, но из них не было ясно, какие заявки были утверждены и/или удовлетворены.
Поручите кому-нибудь (любому!) отслеживать внешние подключения. Дайте ему подробные инструкции, как вести записи. Если вы не сможете легко найти и получить отчет с информацией по внешним подключениям, то работа будет бесполезной. Будет лучше, если сотрудник, отвечающий за внешние подключения, станет регулярно отчитываться об их состоянии.
Отвечать за свою территорию
Если вы являетесь системным администратором, отвечающим за конкретные системы, то помните, что эти системы представляют собой вашу территорию. Хотя вы разделяете эту ответственность с администратором безопасности, вы все же отвечаете за каждую из систем, находящихся на вашей территории. В случае с JFC Фред «перевел стрелки» на Дэйва, так как к концу того дня Drug10 уже принадлежал Дэйву.
И если вы - системный администратор, отвечающий за конкретную территорию, и не знаете, как настроить безопасность находящихся на ней систем, то потребуйте немедленно помощи. Не будете о помощи просить - вы ее не получите. Попросите обучить вас или нанять кого-то еще, кто сумеет поддерживать безопасность на вашем участке. Если ваш начальник не добьется финансирования обучения или помощи, то, возможно, вам придется подумать о другом месте работы. Помните, что если хакер взломает вашу сеть, то шишки посыплются на вас, а не на вашего начальника.
Требовать утверждения внешних подключений
Отслеживание внешних подключений - это хорошее начало для восстановления контроля над вашей сетью. Но вам также следует заняться ограничением этих подключений. На самом деле, не каждому желающему действительно нужен такой доступ. Для уменьшения риска вы можете установить правила, по которым бы определялось, когда (и нужно ли) предоставлять доступ по заявкам на подключение.
Статистика показывает увеличение количества подключений к Интернету, и стоит невероятный шум по поводу роста производительности, обеспечиваемого легким доступом к информации. Но расширение доступа не всегда ведет к повышению производительности. Семьдесят восемь процентов участников опроса, проведенного CSI в 2002 году, сообщили, что ловили своих сотрудников за использованием подключения к Интернету не по назначению. Находящийся в Калифорнии Saratoga Institute сообщает, что в 2000 году более 60 процентов американских фирм наказывали сотрудников за незаконное использование подключения к Интернету, Более того, в целых 30 процентах фирм даже прибегали к увольнению сотрудников за онлайновый трейдинг8, азартные игры, посещение порносайтов и просто за перерасход времени доступа к Интернету. Прежде чем увеличивать производительность вашей компании при помощи расширения доступа, подумайте о возможных последствиях. Для начала поручите кому-нибудь из руководящих сотрудников выдавать разрешение на внешние подключения к другим сетям. Хорошо было бы также, чтобы каждое из разрешений им подписывалось. При этом ответственность немного сдвинется вверх по цепочке - и чем выше, тем лучше.
Я твердо убеждена в том, что если бы в JFC было необходимо утверждать подключение
Drug10, то кто-то бы задумался. По крайней мере, при этом прекратили бы «поджаривать»
Дэйва и повернулись бы к руководителю, отвечающему за выдачу разрешений.
======================
8. Day trading-торговля ценными бумагами при помощи компьютера, ограниченная временем одного дня. -Примеч. пер.
Следить за выполнением политики процедур
По крайней мере, JFC для своей обороны предусмотрело политику для брандмауэров. Хотя это была политика, одна на все случаи и смотрящая с высоты 30 000 футов, но все-таки она была. В ней указывалось, что допускается только одно подключение к Интернету. К сожалению, за ее выполнением не следили. Если бы было иначе, то Drug10 не был бы установлен с рискованной конфигурацией.
Разработанные политики не имеют смысла, если затем они не подкреплены непрерывным и безжалостным отслеживанием их выполнения.
Выключать ненужные службы
Ошибки в программном обеспечении и при установке конфигурации сетевых служб могут приводить к образованию брешей в безопасности. От программных ошибок, к сожалению, нам никогда не избавиться. Поэтому, чтобы уменьшить до минимума риск для вашей системы, вам нужно как можно меньше быть открытым для сетевых служб. Ненужные службы (такие, как walld, fingerd, sprayd и т. д.) следует выключать. Работа таких служб дает хороший повод для начала атаки против вашей сети по типу «отказ от обслуживания».
В политике безопасности вашего сайта должно ясно говориться, какие службы необходимы, а какие создают неприемлемые риски и должны быть выключены. Если в политике вашего сайта не упоминаются сетевые службы и вы не знаете, какие службы выключать, то наймите администратора по безопасности или консультанта, которые вам помогут. Ничего не предпринимайте в отношении служб в системах, которые вы обслуживаете, пока не узнаете точно, что вам делать.
Подчеркивать важность обучения
Это я говорила уже не раз и буду повторять снова и снова: часто слабым звеном в безопасности является незнание. Все технические достижения в мире будут бессильны, если персонал не обучен и попросту игнорирует имеющиеся средства защиты.
Системный администратор JFC Дэйв ясно представлял себе, что безопасность нужна. Но у него не возникло ни одной мысли, как ее настроить. Если вы окажетесь в подобной ситуации, то учитесь, как настраивать безопасность, у того, кто это знает. Ни на кого не надейтесь. Дэйв уже так поступил. Он подумал, что Фред возьмет на себя решение проблемы. К несчастью, Фред не считал обеспечение безопасности Drug 10 частью своей работы. Дэйв добился бы большего, если бы Фред научил его, как настраивать безопасность в данном случае. Еще большего Дэйв добился бы, если бы его начальник обеспечил надлежащее обучение.
Проследить весь процесс настройки
Если я вам скажу, что установлю на вашей системе безопасную конфигурацию, то как проверить, что я именно так и сделаю? Если конечная ответственность за систему лежит на вас, то потрудитесь отслеживать, как вам оказывается обещанная помощь. Используйте случай приобрести опыт по настройке безопасности, наблюдая за реальным выполнением процедур. Если у вас не было возможности присутствовать при этом, то хотя бы решительно спросите специалиста, все ли он (она) сделал в соответствии с планом. Из-за ограничений по времени, наложения приоритетов решения проблем и просто спешки не всегда нужно надеяться, что люди сделают то, что они собирались сделать.
Никогда не считайте, что проблемы безопасности решены, не проверив действительного
положения.
Не подключать незащищенные системы к Интернету
Это и так известно всем, но для еще большей ясности: Никогда в жизни не подключайте незащищенный сервер базы данных к Интернету! (Если, конечно, вы не задумали
в дальнейшем ходить от двери к двери в униформе вашей компании и торговать энциклопедиями...)
Контрольный список
Используйте этот список для определения того, что делается в вашей компании для контроля внешних подключений. Можете ли вы поставить «Да» напротив каждого пункта?
- Участвует ли руководство в процессе утверждения внешних подключений?
- Отслеживает ли кто-либо (предпочтительнее, кто-либо важный) внешние подключения?
- Знает ли руководство, сколько сотрудников компании и подрядчиков имеет внешние подключения?
- Выключены ли ненужные сетевые службы?
- Оценивается ли необходимость всех внешних подключений перед их утверждением?
- Проводятся ли в вашей компании профилактические аудиты для поддержания контроля над внешними подключениями?
- Обеспечивается ли достаточное обучение сотрудников, отвечающих за безопасность?
- Имеются ли процедуры по отключению соединений при прекращении работы сотрудников и подрядчиков?
- Существуют ли политики и процедуры для внешних подключений?
- Существуют ли политики и процедуры для установки брандмауэров?
- Существуют ли политики и процедуры для установки клиентских подключений (экстранет)?
-И что самое главное: отслеживается ли выполнение политик и процедур, связанных
с подключениями?