Маккарти Л. It-безопасность: стоит ли рисковать корпорацией? Пер с англ

Вид материала

Книга

Подобный материал:

• «хм «Триада», 9393.37kb.
• Анастази А. А 64 Дифференциальная психология. Индивидуальные и групповые разли- чия, 11288.93kb.
• Роджер Л. М2Э вирус ответственности.: Пер с англ, 2943.44kb.
• Новые поступления литературы (июль сентябрь 2002) математика инв. 62350 в 161., 125.41kb.
• Указатель произведений литературы зарубежных стран (библиотека кф ат и со), 250.17kb.
• Литература для клинических интернов по специальности «терапия» Кафедра факультетской, 55.33kb.
• Куртц П. К93 Искушение потусторонним: пер с англ, 7904.74kb.
• The guilford press, 6075kb.
• The guilford press, 6075.4kb.
• Жизнь счастливого человека (А. Маслоу), 76.37kb.

Резюме: Аутсорсинговые системы должны быть защищены

Из этого исследования можно сделать два вывода. Во-первых, аутсорсинг функций компании не означает аутсорсинга обязанностей по поддержанию безопасности. На самом деле эти обязанности должны быть уточнены и пересмотрены. Вспомните 7 главу, в которой мы говорили о необходимости определения ролей и обязанностей внутри компании. Ну так вот, аутсорсинг функций компании обычно означает, что вы распространяете роли и обязанности по обеспечению безопасности и на подрядчика. Необходимость обеспечения безопасности не исчезает вместе с выбывшим из ваших платежных ведомостей персоналом. Напротив, аутсорсинг может перевести вас на новый уровень сложности в этом процессе (а то и добавить совершенно новую сеть!).


Второй вывод состоит в том, что вам необходимо тестировать безопасность! В любом

случае проблемы безопасности можно обнаружить, только проводя их поиск. Этим в основном занимается аудитор. Альтернативой является ожидание, когда эти проблемы станут сами вас находить. Такая стратегия не является лучшей, если только вам не хочется, чтобы и вашу работу передали на аутсорсинг.

Мы пойдем другой дорогой...

Удача S&B Systems и Express Times заключалась в том, что я обнаружила представляющее риск клиентское соединение. Разумеется, такое подключение не должно было быть сделано.


Вот что S&B следовало сделать, чтобы избежать проблем.

Проводить оценку безопасности

Существует много способов проводить аудит систем. Вы можете проводить аудит сети, чтобы протестировать общеизвестные уязвимые места (те, о которых обычно знают хакеры и постоянно их ищут). Такой вид аудита следует проводить регулярно.


Однако имейте в виду, что его не обязательно должен проводить человек. В Sun мы автоматизировали проведение аудита безопасности при помощи инструмента, названного AutoHack. AutoHack тестирует более 20 000 систем на наличие уязвимых мест и посылает системам сообщения об обнаруженных проблемах. Он отличается в лучшую сторону тем, что в своем сообщении указывает степень серьезности обнаруженной проблемы. При обнаружении в системе серьезной проблемы он сообщает о ней ее владельцу.

Проводить ее правильно

Без правильных процедур ваши люди легко могут пропустить важные шаги при проведении ими аудита. В результате этого у вас могут появиться двойные запоры на дверях при широко открытых окнах. Чтобы этого избежать, обеспечьте наличие подробных процедур для проведения ваших аудитов. И проследите, чтобы эти процедуры выполнялись.

Проводить ее регулярно

В дополнение к процедурам аудита вам нужно разработать политику аудита, в которой должно быть точно указано, когда и при каких обстоятельствах проводить аудиты. Например, можно указать, что аудит нужно проводить каждые шесть месяцев и каждый раз при переводе новых систем в онлайновый режим. Если ваша сеть имеет очень динамичную конфигурацию (например, является средой разработки программного обеспечения), то вам лучше проводить аудит безопасности каждые две недели независимо от того, кто на вас работает.


Главное заключается в том, что вам нужно быть последовательным. Не позволяйте вашим сотрудникам из группы обеспечения безопасности отказываться от проведения аудита в этом месяце из-за того, что должны быть представлены квартальные отчеты, а они запаздывают со своими разделами. Добейтесь того, чтобы даты и условия проведения аудитов были «высечены на камне».

Решать обнаруженные вами проблемы

Вы не поверите тому количеству случаев, когда я «обнаруживала» проблемы, о которых раньше уже докладывалось (и не раз), но которые никогда не решались. Конечно, их решение назначалось на какой-либо день, но каким-то образом этот день никогда не наступал.


Риск сам по себе со временем не исчезнет. Напротив, он использует такую передышку для того, чтобы вырасти в размерах и сделаться более сложным. Если вы откладываете решение проблемы безопасности потому, что у вас нет средств в этом квартале, то вы будете платить гораздо больше в более поздний срок. Представьте себе затраты S&B Systems в том случае, если хакер нащупает обнаруженное мной незащищенное место и перекроет сбыт всей их продукции.

Не использовать ПОДХОД «ПЛЫВИ ИЛИ ТОНИ»

Подход «плыви или тони» к обучению вопросам безопасности никогда не приносил плодов. Ожидать того, что ваши новые администраторы средств безопасности дойдут до всего сами, - это жестоко и неэффективно.


Будет мало пользы от назначения нового администратора средств безопасности, если вы не дадите ему обучения, необходимого для работы. В идеале вы, конечно, можете нанять опытного специалиста. Но это нелегко сделать. Профессионалы в области обеспечения безопасности пользуются большим спросом. Как сообщает ZDNet , недостаток в персонале данной профессии будет составлять по прогнозу на ближайшие годы 50 000-75 000 человек. Их оклады уже возросли за 2001 год на 50 процентов - верный признак надвигающейся их нехватки.


Чувствуя отчаяние работодателей, некоторые предприимчивые хакеры пытаются выставлять себя на рынок рабочей силы как экспертов по обеспечению безопасности, заявляя, что их криминальное прошлое свидетельствует об их опытности. Министерство обороны США имеет давнее знакомство с хакерами, стоившее ему 25 миллиардов долларов, потерянных из-за 22 000 атак только в 1999 году. Сегодня Министерство обороны открыто принимает на работу хакеров-«белых шляп»4. Хотя его подход к «черным шляпам» менее открыт, есть сообщения о том, что им_ делались предложения гражданам других государств (таким, как русский хакер Верс) .

=================

3. ZDNet - информационный портал (сервер, сеть) корпорации Ziff-Davis Inc. - Примеч. пер.

4. "White hat" hackers - по аналогии с положительными героями вестернов, носившими белые шляпы. Эти бывшие хакеры занимаются тестированием защиты систем, созданием поисковых систем по отслеживанию хакеров по электронному следу и т. д. - Примеч. пер.


При безнадежной нехватке действительно квалифицированных профессионалов, которая сопровождается стремлением хакеров замаскироваться под экспертов в области безопасности, у вас остается лишь один выбор - самим вырастить собственного эксперта.