Маккарти Л. It-безопасность: стоит ли рисковать корпорацией? Пер с англ
| Вид материала | Книга |
- «хм «Триада», 9393.37kb.
- Анастази А. А 64 Дифференциальная психология. Индивидуальные и групповые разли- чия, 11288.93kb.
- Роджер Л. М2Э вирус ответственности.: Пер с англ, 2943.44kb.
- Новые поступления литературы (июль сентябрь 2002) математика инв. 62350 в 161., 125.41kb.
- Указатель произведений литературы зарубежных стран (библиотека кф ат и со), 250.17kb.
- Литература для клинических интернов по специальности «терапия» Кафедра факультетской, 55.33kb.
- Куртц П. К93 Искушение потусторонним: пер с англ, 7904.74kb.
- The guilford press, 6075kb.
- The guilford press, 6075.4kb.
- Жизнь счастливого человека (А. Маслоу), 76.37kb.
IT Security: Risking the Corporation
Linda McCarthy
Линда Маккарти
IT-безопасность (Стоит ли рисковать корпорацией)
Посвяшение
Доктору Полу Глинну за то, что он раскрыл передо мной мир и научил считать единственными границами в жизни только пределы нашего мышления.
Линда
ББК 32. 973-018. 2
Маккарти Л.
IT-безопасность: стоит ли рисковать корпорацией?
Пер. с англ. - М.: КУДИЦ-ОБРАЗ, 2004. - 208 с.
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи... И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
ISBN 0-13-101112-Х
ISBN 5-9579-0013-3
Линда Маккарти
IT-безопасность: стоит ли рисковать корпорацией?
Учебно-справочное издание
Корректор М. П. Матекин
Перевод с англ. А. С. Казаков
Научные редакторы А. В. Закис, А. Г. Серго (гл, 11)
ООО "ИД КУДИЦ-ОБРАЗ"
119049, Москва, Ленинский пр-т., д. 4, стр. 1А. Тел.; 333-82-!!, ok@kudits. ru
Подписано в печать 10. 12. 2003.
Формат 70x100/16. Бум. офсетная. Печать офсетная.
Усл. печ. л. 16, 8. Тираж 3000. Заказ 777.
Отпечатано с готовых диапозитивов
в ООО «Типография ИПО профсоюзов Профиздат».
109044. Москва, Крутицкий вал, 18.
ISBN 0-13-101112-Х
ISBN 5-9579-0013-3 © ООО "ИД КУДИЦ-ОБРАЗ", 2004
Авторизованный перевод с англоязычного издания, озаглавленного IT Security: Risking the Corporation.
Iя Edition by MCCARTHY, LINDA, опубликованного Pearson Education, inc. под издательской маркой Prentice Hall PTR / Sun Microsystem Press, Copyright © 2003 by Pearson Education, Inc.
Ail rights reserved. No part of this book may be reproduced or transmitted in any forms or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education inc,
Все права защищены Никакая часть этой книги не может воспроизводиться или распространяться в любой форме или любыми средствами, электронными или механическими, включая фотографирование, магнитную запись или информационно-поисковые системы хранения информации без разрешения от Pearson Education, inc.
Русское издание опубликовано издательством «КУДИЦ-ОБРАЗ», С 2004
Предисловие 6
Благодарности 8
Об авторе 8
Введение 9
Об этой книге 9
Как устроена эта книга 9
О хакерах 10
Глава 1 Отражение атак 10
Кошмар реагирования на инцидент 10
День 1-й: Неавторизованный доступ 11
День 2-й: Проблема решена 12
День 3-й: Защита взломана снова 12
Дни с 4-й по 7-й: Эскалация инцидента 12
День 8-й: Слишком поздно собирать улики 13
День 9-й: Кто был этим плохим парнем? 13
Резюме: Атаки изнутри 13
Мы пойдем другой дорогой... 14
Сосредоточиться на упреждающих мерах 14
Не думать, что такое не может случиться с ними 14
Знать, что началась атака 16
Готовиться к худшему 16
Разработать политику действий при вторжении в письменном виде 17
При необходимости нанять эксперта 17
Обучиться самому (или обеспечить обучение сотрудников) 17
Установить точку контакта 18
Понять цели и установить их приоритеты 18
Реагировать быстро и решительно 19
Завершающие действия 20
Контрольный список 20
Заключительные слова 21
Глава 2 Безопасность в стандартной поставке 22
проект OpenBSD 22
Безопасностью займемся позднее 23
День 1-й: Ложное чувство безопасности 23
Два года спустя: Замечена атака 23
+Две недели: Хакер возвращается 24
+Три недели: Усиление защиты 24
Продолжение саги: Сеть остается под угрозой 25
Резюме: Будете ли вы подключаться через такого провайдера? 26
Мы пойдем другой дорогой... 26
Знать, каким рискам вы подвергаетесь 27
Избегать стандартных установок систем 27
Протестировать вашу сеть 27
Изучить людей, которые знают вашу информацию 28
Предусмотреть или потребовать необходимое финансирование безопасности 28
Не экспортировать глобальные разрешения чтения/записи 29
Стереть старые учетные записи 29
Тестировать пароли 29
Сделать исправления программ (патчи), повышающие безопасность 30
Выполнять политики и процедуры 30
Использовать экспертов 30
Обучать использованию 30
Контрольный список 31
Заключительные слова 31
Глава 3 Поддержка со стороны руководства 31
Участие руководителей 32
День 1-й: Незащищенные системы 33
Год спустя: Неавторизованный доступ продолжается 34
Резюме: Займите активную позицию 37
Мы пойдем другой дорогой... 37
Правильно относиться к безопасности на любом уровне сотрудников 37
Не перекладывать работу на другие плечи 37
Уменьшать количество уровней руководства до минимума 38
Предоставлять отчеты вышестоящему руководству 38
Сделать безопасность общей целью 39
Учить или учиться самому сколько нужно 39
Обеспечить понимание вопросов безопасности всеми руководителями 41
Поддерживать прямую связь с руководством 41
Контрольный список 41
Заключительные слова 42
Глава 4 Сетевой доступ 42
Соединение с партнерами 43
День 1-й: Архитектура безопасности 43
Несколько недель спустя; Политика установки средств безопасности 44
На следующий день: Кто отвечает за безопасность 44
Еще через 29 дней: Хакер захватывает контроль 44
+ Один месяц: Незапланированное тестирование безопасности 44
Аудит, день 1-й: Схемы сети говорят о многом 45
Аудит, день 2-й: Ничем не подкрепленные политики 46
Последний день аудита: Кто несет ответственность за безопасность 47
Резюме: Не подпускать к себе конкурентов 48
Мы пойдем другой дорогой... 48
Использовать типовые архитектурные схемы 49
Отслеживать внешние подключения 49
Отвечать за свою территорию 50
Требовать утверждения внешних подключений 50
Следить за выполнением политики процедур 50
Выключать ненужные службы 50
Подчеркивать важность обучения 51
Проследить весь процесс настройки 51
Не подключать незащищенные системы к Интернету 51
Контрольный список 51
Заключительные слова 52
Глава 5 Обучение безопасности 52
Первый контакт: Тестирование безопасности 54
День 1-й: Сбор фактов 54
День 2-й: Тестирование систем 55
День 3-й: Обучение безопасности оставлено за рамками бюджета 56
Резюме: Обеспечьте финансирование обучения 58
Мы пойдем другой дорогой... 58
Просвещать высшее руководство 58
Отстаивать бюджет обучения безопасности 59
Включать вопросы безопасности в обязанности руководства 59
Делать обязательным обучение системных администраторов 59
Посещать семинары по безопасности 59
Организовывать деловые ланчи 60
Распространять информацию по безопасности 60
Присоединиться к спискам рассылки по вопросам безопасности 60
Выпускать «белые статьи»7 60
Писать в периодические издания 60
Превращать инструменты в продукты 60
Контрольный список 61
Заключительные слова 61
Глава 6 Безопасность вне плана 61
План перехода 62
День 1-й: Тестирование безопасности 63
Выяснение риска 64
Первая фаза: Физическая безопасность 64
Вторая фаза: Прохождение через систему физического контроля 64
Третья фаза: Неавторизованный доступ 65
День 2-й: Риск для персональной информации 66
Резюме: Тщательнее планируйте выполнение подрядных работ 67
Мы пойдем другой дорогой... 67
Оценить риски 67
Классифицировать системы 67
Запретить стандартные установки систем 68
Не быть слишком доверчивым 68
Извлекать уроки из прошлого 68
Выбирать цели при сокращении бюджета 68
Проводить тестирование безопасности 68
Сделать руководителей подотчетными 69
Не расплачиваться за других 69
Включать обучение в бюджет 69
Подсчитывать очки 69
Контрольный список 69
Заключительные слова 70
Глава 7 Поддержка безопасности 70
Кто отвечает за безопасность 71
День 1-й: Как выгоняли плохих парней 71
День 2-й: Администратор брандмауэра 72
Временная безопасность 72
Руководители и безопасность 73
Серьезное отношение к поддержке безопасности 74
Мой последний день: Отношение к работе может говорить о многом 74
Резюме: Не спрашивайте у сотрудников компании, отвечающих за безопасность, что они могут для вас сделать 75
Мы пойдем другой дорогой... 76
Определить роли и обязанности 76
Разработать политики и процедуры для брандмауэра 76
«Кормить» свой брандмауэр 76
Читать свои контрольные журналы 76
Использовать программы обнаружения взлома 76
Реагировать быстро! 77
Требовать подтверждений безопасности 77
Проводить аудиты 77
Углублять знания 78
Контрольный список 78
Заключительные слова 78
Глава 8 Безопасность внутренней сети 79
Незащищенная сеть 79
Начало событий: В обход корпоративной сети 80
День 1-й: Сбор доказательств 80
День 2-й: Системные администраторы против группы обеспечения безопасности 82
В чьих руках безопасность 82
Перекладывание ответственности 83
Резюме: Безопасность - жертва войны 83
Мы пойдем другой дорогой... 83
Разграничить обязанности по поддержке безопасности между группами 84
Не надеяться на чудо 84
Пересматривать процессы 84
Иногда - просто сдаться 85
Выполнять свои обязанности 85
Контрольный список 85
Заключительные слова 85
Глава 9 Безопасность аутсорсинга 86
Забыли о безопасности? 86
День 1-й: Осмотр средств обеспечения безопасности 87
День 2-й: Сетевые соединения 88
Поразительные ошибки в защите 88
Техническая поддержка при отсутствии обучения и опыта 89
Дни 3-й и 4-й: Понимает ли проблему руководство? 90
Резюме: Аутсорсинговые системы должны быть защищены 90
Мы пойдем другой дорогой... 91
Проводить оценку безопасности 91
Проводить ее правильно 91
Проводить ее регулярно 91
Решать обнаруженные вами проблемы 91
Не использовать ПОДХОД «ПЛЫВИ ИЛИ ТОНИ» 92
Контрольный список 92
Аутсорсинг 92
Процедуры проведения аудита 92
Заключительные слова 93
Глава 10 Незащищенная электронная почта 93
Есть ли у электронной почты конверт? 94
Доступ к персональной информации получен 94
Резюме: Вы имеете право отказаться от вашего права на тайну переписки 95
Мы пойдем другой дорогой... 96
Использовать шифрование! 96
Убедить компанию в необходимости шифрования 96
Предусмотреть в бюджете средства на шифрование 96
Отслеживать возникновение других угроз электронной почте 97
Заключительные слова 97
Глава 11 Оглядываясь назад: что будет дальше? 97
Риск для всей корпорации 98
Юридические обязанности по защите информации и сетей 99
Деловые инициативы и корпоративные цели 103
Угрозы требуют действий 104
Глава 12 Прогулка хакера по сети 105
Краткая характеристика хакеров 106
Реальные хакеры 106
Неуловимый хакер № 1: Рассерженный сотрудник 106
Неуловимый хакер № 2: Промышленный шпион 106
Неуловимый хакер № 3: Одинокий «социопат» 107
Неуловимый хакер № 4: «Хактивист» 107
О применяемых инструментах 107
Прогулка с хакером 107
Что делал хакер... 108
Заключение 118
Приложение А 119
Люди и продукты, о которых следует знать 119
Организации, связанные с обеспечением безопасности 119
Ресурсы по обеспечению безопасности 121
Архивы со сведениями об уязвимых местах 121
Популярные почтовые списки рассылки 121
Консультационные фирмы 122
Расследование компьютерных преступлений 122
Страхование информационных технологий 123
Программы, о которых вам нужно знать 123
Поставщики продуктов 126
Сокращения 133
Глоссарий 133
Предметный указатель 137