Вы являетесь менеджером административной информационной системы у крупного производителя микросхем. Ваша группа обеспечивает техническую поддержку сети компании и отвечает за работоспособность сети и решение возникающих в ней проблем. Это большой груз ответственности в большой компании. Это вместе с тем неблагодарная работа. Все сразу видят, когда сеть выходит из строя. Но никто не замечает, как хорошо и быстро работает сеть, если все в порядке, — это обычное для всех состояние сети.
Ваша группа также отвечает за поддержку брандмауэра компании. Этот брандмауэр защищает вашу сеть от большого плохого Интернета. Вы счастливы, что у вас работает один из лучших в мире экспертов по брандмауэрам. Как только возникает проблема, он тут же берет ее решение на себя. В окружении зрелых специалистов вам удается освободить для себя время, чтобы заняться нужными делами, как, например, политиками компании и бюджетом. И вот вы только что провели последние штрихи в бюджете отдела на следующий год.
Но зазвонил телефон. Ваш эксперт сообщает вам, что очередной хакер проник в сеть компании через брандмауэр. Эксперт уже связался с группой обеспечения безопасности компании. Сотрудники группы будут определять путь хакера, а он займется выяснением способа, с помощью которого хакер осуществил взлом. Вы говорите: «Отлично. Только сообщите мне, когда проблема будет решена».
Можно вернуться к бюджету. Цифры выглядят хорошо — средства не такие уж большие, но вполне достаточные. Даже если у вас отнимут процентов 20, то и тогда оставшегося хватит безбедно прожить следующий год.
За составлением бюджета время пролетело быстро, и незаметно наступил конец рабочего дня. Вы уже собрались пойти домой, но вспомнили, что вам все еще не позвонил администратор брандмауэра. Ну да ладно. Пустяки. Вы надеетесь, что у него все под контролем. Можно еще успеть выбраться на хоккей. Sharks играют дома, и вы ни за что не пропустите игру.
На следующий день вам звонит ваш администратор брандмауэра: «Мы выкинули хакера из сети прошлой ночью. Я нашел, в чем проблема, и устранил дыру. Этим путем он больше не пройдет». Отличная работа! Вы знали, что все так и выйдет.
Что же здесь не так? Руководитель, отвечающий за поддержку брандмауэра и думающий, что взлом — это пустяк, должен искать себе новую профессию! Это не тот тип менеджера, которого я бы допустила к технической поддержке моей сети и брандмауэра.
Если вы думаете, что всякий, в чьи обязанности входит обеспечение безопасности вашей информации, действительно заботится о безопасности, то подумайте хорошенько. Цель компании защитить информацию не всегда становится целью каждого. Теперь посмотрим…
Кто отвечает за безопасность
Когда пять лет назад компания Global Chips подключилась к Интернету, она поставила и брандмауэр. Брандмауэр в то время справлялся со своими функциями — обеспечивал сотрудникам доступ к внешнему миру и преграждал путь хакерам. Однако технологии быстро меняются, a Global Chips годами не поддерживала и не улучшала свой брандмауэр должным образом. Это открыло дверь в их сеть.
Однажды хакер прошел через брандмауэр, как будто его и не было. Затем хакер свободно совершил долгую прогулку по интранет компании, собирая пароли и информацию. Персонал технической поддержки обнаружил хакера в сети, но не смог получить достаточно информации, чтобы отследить обратный путь к хакеру.
Администратор брандмауэра Джозеф Уизерс все же смог определить, как хакер взломал брандмауэр, и закрыл дыру.
К сожалению, сага о брандмауэре продолжалась. Global Chips столкнулась с серией взломов. Тем временем брандмауэр стал повседневной целью атак хакера. После каждого взлома Джозефу приходилось устранять новую обнаруженную проблему. Но все попытки отследить путь хакера для установления конкретного лица были бесполезны (что не является необычным). Поэтому Джозеф не знал, имеет ли он дело с хакером-одиночкой или с группой хакеров.
Директор по информационным технологиям Аманда Миткин получала информацию о каждом взломе. В сети происходило слишком уж много взломов, и Аманда захотела узнать причину этого. Довольно интересно, что менеджер, отвечавший за комплекс брандмауэра в Global Chips, не задавал себе такого же вопроса. Он считал системного администратора героем за то, что тот устранял возникающие при этом проблемы.
Аманда была рассудительна. Когда компания устанавливает брандмауэр, то весь трафик, идущий из интранет в Интернет (или наоборот), проходит через брандмауэр. Он установлен для защиты. А не для учебной стрельбы!
Если высшие руководители спрашивают, почему происходят взломы, до того, как об этом спросят линейные менеджеры, то видно, что эта проблема последних не интересует. К счастью для Global Chips, Аманда была встревожена фактами взломов и потребовала провести расследование.
День 1-й: Как выгоняли плохих парней
Аманда поручила провести расследование директору внутреннего аудита Перри Слоуну. Перри был также озадачен количеством успешных взломов. Так как у его сотрудников не было опыта в данной области, то Перри нанял для проведения аудита консультанта по вопросам безопасности.
И тут на сцене появляюсь я. Перри сообщил, что взломы стали повседневным явлением, но это все, что он знает. Так как он уже понимал серьезность сложившейся ситуации, то я не стала тратить время на определение уровня риска. Хакер уже сделал это за меня.
Вместо этого главным в аудите было ответить на вопрос: «Почему мы не можем запереть перед хакером двери?»
Перри поручил своему ближайшему помощнику Теду Дэвису заботиться обо мне. Тед должен был организовать мои встречи с нужными людьми. Некоторым руководителям и сотрудникам технической поддержки нравится изматывать аудиторов, не отвечая на звонки и демонстрируя свою постоянную занятость. У меня не было ни времени, ни намерений играть в такие глупые игры. Обязанностью Теда было таких игр не допустить.
Как профессиональный аудитор компании, Тед мог легко и быстро добраться до людей на верхних уровнях управления компании. Он должен был устраивать мне встречи с ними и следить, чтобы я могла легко связаться с нужными людьми. Компания была значительной, и ей требовался быстрый ответ. В план игры не входили политические игры. Получив в свое распоряжение Теда для наведения ясности по данному вопросу, я начала обдумывать мой подход.
Некоторые аудиты состоят в основном из интервьюирования и составления итогового отчета. Как ни странно звучит, но иногда риск бывает так велик, что проблема смотрит на вас прямо в лицо. Так как риск уже был очевиден для директора по информационным технологиям, то внутреннее чутье мне подсказывало, что этот аудит будет именно таким.
Когда хакер может неоднократно проходить через брандмауэр, то обычно проблема заключается в плохой поддержке, настройках или самих средствах безопасности. Я все еще не представляла себе, сколько тестов мне нужно будет провести. Но я знала, что интервью могут дать мне ключ к сбору информации. Я стала в уме составлять список вопросов.
В основном эти вопросы будут касаться администратора брандмауэра Джозефа Уизерса. В конце концов, это он стоял ночами, пытаясь отогнать хакера, Тед запланировал мне встречу с Джозефом на завтра, и попросил его принести необходимую документацию — политики и процедуры брандмауэра, процедуры реагирования в чрезвычайных ситуациях и сетевую схему.
Тед также запланировал интервью с менеджером технической поддержки Карлом Санчесом. Так как обе эти встречи были намечены на следующий день, то, казалось, мне не дадут замочить ног до завтрашнего дня. Тогда я решила получить информацию от Теда.
Тед сообщил мне общие сведения о компании и произошедших взломах. Время моей командировки шло, и я начала писать отчет по аудиту. Обычно я пишу отчет в последнюю очередь, но у меня уже было достаточно информации о взломах для того, чтобы начать писать черновой вариант отчета. Тед проводил меня в офис для посетителей, я достала свой ноутбук и приступила к работе. Я закончила черновой вариант, чтобы внести в него детали после проведения аудита. (В настоящее время, я могу только строить догадки, а за них мне не платят. Эти парни хотели фактов, и у меня их скоро будет достаточно.) Для первого дня было уже хорошо.
День 2-й: Администратор брандмауэра
Тед встретил меня в холле и выписал пропуск. Он проводил меня до офиса Джозефа. При первой встрече Джозеф немного нервничал. Конечно, многие люди волнуются при приходе аудитора, поэтому я попыталась разрядить обстановку (с помощью хорошей шутки). Но Джозеф не оценил мой юмор и определенно не был склонен к приятной беседе. Отбросив мягкие манеры, я попросила у него документацию, которую заказывала. Он смог дать мне только сетевую схему. Когда я его спросила об остальной документации, то он сообщил: «У меня нет политик и процедур брандмауэра; это не моя работа - их писать. Я знаю, как настроен брандмауэр и что делать, если происходит взлом».
Вот это парень. Я ошиблась, посчитав, что он волнуется. Он был самонадеян! Он полагал, что раз знает, как поддерживать брандмауэр, то этого достаточно. Легко было видеть, что он не понимает ценность политик и процедур и видит во мне только аудитора (переводя это слово как «зануда»).
Временная безопасность
Кроме плохого ко мне отношения у Джозефа были необычные представления о методах технической поддержки. В общем, брандмауэр не улучшался несколько лет. Это было похоже на то, как если бы на двери, ведущие к разработкам новых чипов компании, к ее финансам, людским ресурсам и маркетинговой информации, был навешен старый ржавый замок. Легко было представить себе, как хакер стукнет в эту дверь и замок отвалится. Каждый раз, когда хакер взламывал брандмауэр, Джозеф ставил «заплатки» в систему или добавлял средство для обхода проблемы. При таком подходе, заключающемся в установке временных подпорок, брандмауэр скоро кишел заткнутыми дырами и стал трудно управляемым и тяжело обслуживаемым. Хотя Джозеф мог это называть рабочим состоянием безопасности, я назову это плохим состоянием безопасности.
Я еще поговорила с Джозефом и узнала, что в Global Chips имеется отдельное подразделение обеспечения безопасности для аудита компьютерной среды, для написания некоторых (но не всех) политик безопасности и для действий на случай вторжения. Джозеф отвечал за брандмауэр. Когда происходил взлом, то он посылал сообщение по пейджеру для вызова сотрудников группы обеспечения безопасности. Джозеф настойчиво подчеркивал: «За безопасность отвечают сотрудники группы обеспечения безопасности, а не я. Это их работа — обеспечивать выполнение политик безопасности компании». Было ясно, что я должна была выслушать другую сторону и побеседовать с кем-нибудь из группы обеспечения безопасности.
Джозеф, определенно, относился к категории людей, которую я обозначала большим «Н», то есть к неудачникам. С ним не только было трудно разговаривать, но он также был самонадеянным и скрывал информацию. Люди, скрывающие информацию и не делящиеся ей с другими, очень опасны. Они думают, что чем больше они информации утаивают для себя, тем большую ценность собой представляют. Я не хотела тратить на него время. Поэтому после такого милого разговора с Джозефом я попросила Теда запланировать мне беседу с экспертом компании по вопросам безопасности. Я двигалась дальше.
Руководители и безопасность
Следующим моим шагом была беседа с Карлом Санчесом, начальником Джозефа. Карл был одет довольно небрежно — в рубашку для гольфа и джинсы. Однако он был одним из тех людей, которые всегда ухитряются выглядеть хорошо одетыми независимо от того, что на них надето. У него была прекрасная улыбка, и, казалось, он не возражал против моего вторжения в его мир. На этот раз шутка для разрядки обстановки прозвучала с его стороны. Отбросив шутки, я спросила: «Давайте взглянем на серьезные взломы, произошедшие в вашей сети. Карл, по вашему мнению, что происходит?»
К моему удивлению, Карлу не казалось, что взломы были серьезными. Он будто бы жил в призрачном мире. Он полагал, что у него работает один из самых лучших в мире администраторов брандмауэра. В конце концов, Джозеф отлично работает, поддерживая брандмауэр, и точно знает, что делать, когда что-то идет не так.
Я сказала: «Послушайте, Карл, ведь если кто-то знает, как заткнуть дыру, то это не значит, что он знает, как построить плотину». Карл ничего не ответил. Возможно, он не понял моей точки зрения.
Я настойчиво продолжила беседу и сообщила Карлу, что они эксплуатируют брандмауэр, не имея политик и процедур, но он уже об этом знал. Его позиция заключалась в том, что за их написание отвечает не его группа. Мне пришлось потратить некоторое время на то, чтобы убедить Карла в том, что, логически рассуждая, его группа является единственной группой, которая смогла бы написать правильные политики и процедуры. Разумеется, убеждать Карла — это не моя работа. Но безопасность — это моя страсть, и я иногда немного увлекаюсь. Я твердо убеждена в том, что если люди получают деньги за то, чтобы двери сети были в исправности, то они должны относиться к этому серьезно!
Я кратко побеседовала с экспертом по вопросам безопасности Фрэнком Сапрой. Фрэнк сообщил мне, что его группу никогда не просили писать политики и процедуры для брандмауэра. Он объяснил, что его группа пишет большинство политик и процедур безопасности, но за брандмауэр отвечает группа Карла. Я спросила его о непрекращающихся взломах из Интернета. Он ответил, что основную часть времени они работают в режиме реагирования и что для надлежащей защиты компании от взломов им необходимо спроектировать новый комплекс брандмауэра и добавил, что его группа предлагала это Карлу год назад. Фрэнк выглядел как действительно умный парень. Он также казался уставшим. Думаю, он устал от бесплодных попыток объяснить руководству то, что им нужно сделать.
Мне было ясно, что в Global Chips имелось несколько проблем. При проведении аудитов я обычно обнаруживаю не одну проблему. Часто, проблемы безопасности являются результатом другой, еще большей проблемы — как в этом аудите. Так как роли и обязанности не были четко определены, то никто не нес ответственности за политики и процедуры для брандмауэра.
У вас не будет политик и процедур, пока кто-то не возьмет на себя ответственность за их написание и выполнение. Понятно, что решение этой проблемы будет чрезвычайно трудным, если ответственность за безопасность разделяется между подразделениями внутри компании. В некоторых организациях битва между подразделениями становится более важной, чем забота об информации, — как, например, в Global Chips. Этим парням все равно, кто победит в войне, пусть даже хакер, так как каждый из них стремится выиграть свое сражение. Они относятся к такому сражению более серьезно, чем к их настоящей работе по защите информации.
Серьезное отношение к поддержке безопасности
Администрирование брандмауэра является серьезной работой. Она должна восприниматься серьезно и администратором, и его начальником. Global Chips не имела крепкой брони, чтобы отразить угрозы для их информации. В любое время хакер мог проникнуть через брандмауэр и изменить, уничтожить или украсть информацию. Временное решение проблемы, которое одобряется руководством, не может считаться ни правильной реакцией сотрудников, ни правильным отношением руководства к такой реакции.
Карл не понимал, как рискованно управлять группой, работающей в режиме реагирования. Он заявлял, что в его подразделении разрабатывается новый комплекс для замены старого брандмауэра, и предсказывал, что они будут готовы к отключению старого брандмауэра через шесть-девять месяцев. Он очень неосторожно заявлял: «Не беспокойтесь об этом. Мы держим этот вопрос под контролем».
Но в первых рядах мы должны иметь людей, которые бы беспокоились! Можно было уже сказать, что меня засасывал этот аудит. Нужно было вновь обрести хладнокровие. Я завершила беседу. Я могла бы потратить еще день на тестирование брандмауэра, но все (кто что-либо значил) соглашались с необходимостью его замены из-за риска, который он представлял для сети. У меня было достаточно информации, чтобы на ее основании составить отчет, который ждало высшее руководство компании.
В моем отчете было определено множество рисков для безопасности. Их перечень возглавили:
• Неправильное распределение ролей и обязанностей.
• Ненадлежащие управление брандмауэром и его поддержка.
• Отсутствие официальных политик и процедур.
Так как я начала составлять мой итоговый отчета еще вчера, то внести в него детали было легко. Я потратила еще несколько часов на отчет, затем взяла направление на свои холмы. По дороге домой я чувствовала себя опустошенно. Легче иметь дело с компьютерами, чем с людьми. Человеческие существа очень сложны — иногда даже слишком сложны!
Когда я добралась домой, солнце уже зашло за холмы. Я скоротала, как могла, остаток вечера и постаралась не вспоминать о брандмауэре. И не вспомнила ни разу.
Мой последний день: Отношение к работе может говорить о многом
Я услышала звонок будильника, когда он уже заканчивался. В некоторые дни 4.30 утра наступает слишком быстро. Лишь несколько минут у меня ушло на то, чтобы сосредоточиться на событиях предстоящего дня, включая и окончание моей работы в Global Chips.
Это заставило меня двигаться. Я вылезла из постели и решила побегать на домашнем тренажере, не показываясь на люди, Закончив пробежку, я быстро приняла душ, собрала себя воедино и выскочила за дверь.
По дороге в Силиконовую долину я ничем не могла объяснить слепоту Карла, который считал, что его эксперт по брандмауэрам оказывает ему хорошую услугу. Как удается людям наподобие Джозефа легко дурачить таких, как Карл? Могут ли такие руководители, как Карл, действительно быть такими беспечными и небрежными в отношении охраняемой ими информации? Может быть, они убеждают себя в том, что все в порядке, из-за того, что не хотят думать об обратном? Думаю, что это вопросы, на которые даже аудиторы не смогут ответить.
Через несколько часов отчет был закончен. Встреча с Перри была назначена на 3.00 дня, и я была к ней готова. Точно в 3.00 я и Тед прибыли в здание Перри, чтобы представить мой отчет. Перри нас ждал.
Во время нашего быстрого продвижения по отчету я наблюдала за реакцией Перри. Она проявлялась в нежелании верить. Ну отчету, в общем, он верил. Но был изумлен тем, что реальный риск сводился к распределению ролей и обязанностей. Представьте себе, что вся ваша компания подвергается риску из-за того, что не четко определены роли и обязанности по обеспечению безопасности.
Я ничего не сказала в своем отчете о Карле и Джозефе. Такую информацию я никогда не передаю в письменном виде, лучше делать это в процессе обсуждений. Мне не нравится, когда людей увольняют, но иногда приходится это рекомендовать. Я указала в отчете, что существующее отношение сотрудников к своей работе будет продолжать ставить компанию под угрозу, даже если будет поставлен новый брандмауэр. Кто и как относится к своим обязанностям, было видно и без имен. Моя работа была сделана.
Резюме: Не спрашивайте у сотрудников компании, отвечающих за безопасность, что они могут для вас сделать
Страшно видеть, что может случиться с компанией, в которой нет четко определенных ролей и обязанностей. Когда такое доходит до обеспечения безопасности, то фраза «Это не моя работа» распространяется как леской пожар. В рассказанной истории Global Chips легко отделалась. Любой хакер, взломавший их систему, мог бы украсть проекты чипов или другую критичную информацию. Поэтому один только администратор брандмауэра таил в себе разрушительный потенциал для будущего целой компании.
Конечно, бездействие Джозефа потому, что «Это не его работа», является лишь частью проблемы. Менеджеры, наподобие Карла, обостряют эти проблемы, скрывая факты вместо того, чтобы взять на себя ответственность за свою территорию и построить крепкую группу технической поддержки.
Когда люди берут на себя ответственность за системы, то они также получают в наследство и ответственность за информацию в этих системах. Кажется, эти парни этого не осознали. У меня сложилось впечатление, что Карл больше интересуется игрой в гольф и хоккейной командой Sharks из Сан-Хосе, чем безопасностью компании. Я тоже люблю гольф и болею за Sharks, но я приношу домой чек за свою работу, а не за ее имитацию, Карл (и начальник Карла тоже) должен знать, что Джозеф выдает некондиционные результаты.
Высшие руководители часто устраняются от того, что в действительности происходит на переднем крае. Тем не менее в этом случае именно высшее руководство было озадачено серией взломов. А линейные менеджеры явно уснули за рулем.
Для того чтобы система обеспечения безопасности работала, каждый уровень руководства должен брать на себя долю ответственности за обеспечение безопасности. Если высшее руководство не выделяет средств на обеспечение безопасности, то безопасность от этого страдает. Если линейные менеджеры не занимают активной позиции в поддержке системы безопасности, то безопасность также страдает. Если менеджеры среднего уровня не передают информацию наверх, то опять страдает безопасность. Не заставляйте страдать безопасность в вашей компании. Добейтесь понимания каждым своей роли.
Как заметил Маркус Ранум в своих интернетовских Firewalls FAQ, «Интернет, как и остальная часть нашего общества, измучен недоумками, наслаждающимися электронными эквивалентами росписям чужих стен краской из баллончика, срыванию чужих почтовых ящиков или оглашению улиц сигналом из своего стоящего посреди дороги автомобиля… Задачей брандмауэра является выкинуть этих сопляков из вашей сети, не нарушая вашей способности закончить работу». Вы удивитесь, как много таких «недоумков» вас окружают!
Что еще хуже, многие из этих нарушителей порядка переходят от раздражающего вандализма к настоящим преступлениям. Кто от них страдает? Почти что все. Исследование, проведенное CSI в 2002 году, установило, что 90 процентов респондентов обнаружили бреши в безопасности компьютеров. Хотя очевидными целями являются политические организации (как Белый дом) и фирмы, известные своей задиристостью (как Microsoft), существенному риску подвергаются все виды деятельности. Даже атаки, направленные на искажение внешнего вида веб-сайтов, ранее считавшиеся шалостью, а не преступлением, в действительности приводят к большим убыткам. Эксперты оценивают стоимость простоев в американской экономике, связанных с нарушением безопасности, в 273 миллиарда долларов ежегодно. Особому риску подвергаются виды бизнеса, использующие Интернет.
В то время как Интернет открыл двери различным видам бизнеса для экспансии в мировую экономику, он также открыл множество окон для компьютерной преступности. Для того чтобы закрыть эти окна, требуются четкое и согласованное определение ролей и обязанностей, а также шлюзовые технологии, подобные брандмауэрам.
Мы пойдем другой дорогой…
Роли и обязанности являются ключом к успеху в любой программе обеспечения безопасности. Главной проблемой в этой истории было то, что ни одна из групп технической поддержки в Global Chips не взяла на себя ответственности за написание и выполнение политик и процедур для брандмауэра. Такой подход оставил открытой всю сеть — как будто бы они ждали хакера. Вот что должна была сделать Global Chips вместо этого.
Определить роли и обязанности
Ясно определяйте роли и обязанности по обеспечению безопасности в вашей компании. Если ответственность по обеспечению безопасности пересекает границы между подразделениями (например, ложится одновременно на системных администраторов, администраторов группы обеспечения безопасности и администраторов брандмауэра), добейтесь того, чтобы все игроки знали, какую роль они должны играть.
Разработать политики и процедуры для брандмауэра
Эксплуатация брандмауэра без политик похожа на езду в темноте без включенных фар. Рано или поздно вы попадете в аварию. Люди должны знать, что им разрешено, а что нет. Не позволяйте вашему администратору брандмауэра вас одурачить и скрывать от вас эту информацию в своей голове. Если он уйдет из компании, то вместе с ним уйдут политики и процедуры для поддержки вашего брандмауэра.
Политики и процедуры должны быть изложены на бумаге и постоянно обновляться. В идеале поручите кому-нибудь эту задачу персонально. Даже лучше сделайте выполнение этой задачи итоговой целью года.
«Кормить» свой брандмауэр
Брандмауэры обычно состоят более чем из одной машины. В некоторых компаниях брандмауэром считается целый комплекс, в который входят хост-машины, сети и маршрутизаторы. Брандмауэры нужно «питать». Для поддержки «здоровья» брандмауэра обеспечьте его профессиональным администратором, регулярно проводимой модернизацией, современными патчами и обучением. Не допускайте того, чтобы замок на вашем брандмауэре заржавел, как это случилось в Global Chips.
Читать свои контрольные журналы
Вам не принесет много пользы поддержка брандмауэром множества контрольных журналов, которые вы никогда не просматриваете. Хотя Global Chips была взломана много раз, они легко отделались потому, что у них были хорошие контрольные механизмы, сообщающие им о взломе системы хакером.
Когда в последний раз хакер стучался в вашу дверь? Смог ли он зайти? Кто это знает? Это должны знать вы. Если нет, то вы невнимательны. Добейтесь использования надлежащих механизмов регистрации и контроля.
Использовать программы обнаружения взлома
Программы-детекторы не могут со 100-процентной вероятностью обнаруживать взломщика, но они являются хорошим началом. Программы-детекторы могут дать вам лучшее представление о масштабе угрозы, с которой вы столкнулись. В течение 2000 года в Пентагоне обнаружили 245 успешных кибератак. Так как в Пентагоне были внедрены хорошие механизмы обнаружения, то его должностные лица знали о том, что вместе с тем было 24 000 безуспешных атак. Знание их количества дало более ясную картину реального риска.
Ваша информация может быть не столь привлекательной, как хранящаяся в Министерстве обороны, но не полагайтесь на это. А если вы подключились к Сети, то вряд ли будете в большей безопасности. В своем исследовании, проведенном в декабре 1996 года, Дэн Фармер (известный гуру в вопросах безопасности и соавтор таких программ, как SATAN) установил, что уровень использования программ-детекторов угрожающе низок. Дэн провел несанкционированное исследование с целью прозондировать состояние защиты коммерческих веб-сайтов. Из более 2000 сайтов, зондируемых им без уведомления, оказалось только три сайта, владельцы которых связались с ним и спросили, что он делает! Удивитесь ли вы тому, что ваш сайт был частью этого исследования?
Улучшилось ли положение с тех пор? Не настолько, как я ожидала (или мне хотелось бы). По оценке таких экспертов, как, например, поставщик средств защиты Spectrum Systems, все еще обнаруживается только 1 процент от успешных или предпринятых компьютерных атак. Главное изменение состоит в том, что сегодня стало больше онлайновых коммерческих целей и стало больше использоваться веб-сайтов для обмена финансовыми средствами и информацией. Информация о вашем местном хозяйственном магазине, может быть, и не имеет большой привлекательности, но зато информация кредитных онлайновых карточек его клиентов, скорее всего, ее имеет.
Реагировать быстро!
Быстрая реакция на взлом администратора брандмауэра и администратора группы обеспечения безопасности Global Chips объясняется тем, что их действия были отлажены реагированием на многочисленные взломы. Будем надеяться, что вы никогда в таком положении не окажетесь.
В идеале процедура реагирования на чрезвычайную ситуацию должна разрабатываться и использоваться для тренировок только в режиме «оффлайн» и не применяться для решения ежедневно возникающих проблем. Очень важно разработать и передать администраторам процедуру реагирования до того, как она действительно понадобится. Пока взлом не произошел, нужно точно расписать роли и обязанности каждого сотрудника. Если вам очень повезет, то вы, может быть, никогда не воспользуетесь этой процедурой. Но не рассчитывайте на это!
Требовать подтверждений безопасности
В своем Special Report on Security на сайте Computerworld Пол Страссман (Paul Strassman) поясняет: «Усовершенствование безопасности системы, проектирование которой основывалось на презумпции невиновности и честности, часто оказывается слишком дорогим или запоздалым, чтобы его стоило проводить». Чтобы избежать такой ситуации, не полагайтесь на то, что все идет гладко.
Global Chips повезло из-за того, что ее директор по информационным технологиям была информирована о происходящих взломах. Когда их количество возросло, она потребовала установить причину происходящего. Вашей компании может так не повезти, если вы не имеете хороших процедур эскалации и не в курсе состояния безопасности вашей среды. Знаете ли вы, в каком состоянии находится ваш брандмауэр? Сколько ему лет? Кто его поддерживает? Имеются ли политики и процедуры? Если вы являетесь менеджером высшего уровня, то потребуйте доказательств состояния безопасности (итоговый отчет для руководства).
Проводить аудиты
Не успокаивайтесь после установки брандмауэра. Правда заключается в том, что эффективность брандмауэра ограниченна. Брандмауэр не защитит вас от разрушительного действия плохо определенных ролей и обязанностей, от сотрудников с наплевательским отношением к безопасности, от бесконтрольного удаленного доступа, плохого обучения сотрудников и т. п. Маркус Ранум сказал: «Брандмауэр не может защитить вас на самом деле еще от одной вещи… от идиотов внутри вашей сети». Для сохранности вашей информации обеспечьте каждому сотруднику хорошее обучение и твердые знания их ролей и обязанностей.
Также нужно обеспечивать проведение аудитов. Профилактические аудиты являются важной частью выявления проблем, пока о них не узнал хакер. Вы должны проводить тестирование вашего брандмауэра как из интранет, так и из Интернета. Тестирование на проникновение покажет вам способность вашего брандмауэра отогнать непрошеных гостей. Если вы не проверите эффективность вашего брандмауэра, то не сможете быть уверены в том, что он действительно работает.
Углублять знания
Понимать, как работает брандмауэр, должен не только администратор брандмауэра. Руководителям тоже нужно знать о рисках, связанных с поддержкой брандмауэра, расположенного между вашей сетью и Интернетом, иначе их выбор может создать угрозу репутации компании, конфиденциальной информации и финансовым результатам.
Я не имею в виду, что вам нужно знать каждую мельчайшую деталь, но руководители должны понимать, какие средства безопасности они используют, какие еще средства есть, а каких не хватает.
Контрольный список
Используйте этот список, чтобы выяснить, правильно ли в вашей компании определены роли и обязанности по обеспечению безопасности. Можете ли вы поставить «Да» против каждого пункта?
— Четко ли определены роли и обязанности по обеспечению безопасности?
— Поручено ли кому-либо регулярно проводить аудит брандмауэра?
— Поручено ли кому-либо при необходимости проводить модернизацию брандмауэра?
— Все ли руководители понимают роли и обязанности по обеспечению безопасности — как свои, так и своих подчиненных?
— Есть ли у персонала технической поддержки конкретные предупредительные процедуры, которые он выполняет? (Обеспечьте, чтобы работа вашего персонала не сводилась к одному только реагированию.)
— Поручено ли кому-либо регулярно проводить тестирование брандмауэра на проникновение из Интернета? (После каждых существенных изменений или модернизации брандмауэра необходимо проводить новое тестирование.)
— Достаточно ли финансируется администрирование брандмауэра?
— Достаточно ли финансируется модернизация и плановая техническая поддержка брандмауэра?
— Установлены ли программы по обнаружению вторжения в сетях и системах?
— Установлены ли программы контроля в особо критичных системах?
— Определены ли ясно и официально роли и обязанности по реагированию на чрезвычайные ситуации?
— Распространяется и используется ли опыт, полученный при взломах, для создания лучших процессов? (Изживайте сокрытие информации среди вашего персонала.)
— Установлена ли защита от вирусов в каждой точке входа?
Заключительные слова
Когда дело касается обеспечения безопасности, то роли и обязанности должны быть четко определены. Так как каждая компания имеет свою структуру технической поддержки, то эти роли и обязанности могут быть различными (даже в соседних подразделениях) в разных компаниях. Важным здесь является то, что роли должны закрепляться документально и что каждый сотрудник должен знать, каких действий от него или от нее ожидают.
Когда вы определите роли ваших сотрудников на бумаге, то вы сможете увидеть, имеются ли участки работы, как, например, процедуры для брандмауэра, за которые никто не отвечает. Если бы в Global Chips сделали хотя бы это, то Джозеф и Карл потратили бы меньше времени, реагируя на взломы. Работа в Global Chips отличалась особой тщетностью, так как обыкновенный просчет поставил их сеть в поле зрения упорного (и упорно-надоедливого) хакера.
Ни одна сеть не должна становиться заложницей хакера. Именно это произошло в случае с CloudNine Communications. После непрекращающихся атак по типу «отказа от обслуживания» один из старейших Интернет-провайдеров Британии закрыл свои двери и отдал своих клиентов конкуренту. Возможно, самой досадной стороной этой истории является то, что преступник по-прежнему остается на свободе, — это следует помнить, когда вы станете решать, стоит ли модернизировать ваш брандмауэр.
Общее назначение брандмауэра — это не впускать хакера. Но брандмауэр — это лишь один кирпичик в хорошо построенной структуре безопасности. Оставленный в одиночестве, не подкрепленный четко определенными ролями и обязанностями, эффективными политиками и процедурами и технической поддержкой, он долго не продержится.