IT-безопасность: стоит ли рисковать корпорацией?

Маккарти Линда

Введение

 

 

Век массового подключения очень агрессивен. Поток свободно перемещающейся во всех направлениях информации и электронная коммерция, вышибающая все новые двери, больше не позволяют нам обходиться в сетевой защите одним только хорошим брандмауэром при подключении к Интернету.

Я затратила много времени, проводя аудиты безопасности распределенных сетей. Во многих случаях я обнаруживала, что информация могла быть легко изменена, украдена или уничтожена и при этом не оставалось бы следов произошедшего инцидента. Системные администраторы и другие «полномочные представители» знали, что настройка защиты их систем не была проведена. Но они не знали, каким высоким оставался при этом уровень риска. Также не знали об этих рисках и руководители компаний.

Эта книга научит вас, как избежать их ошибок. Если вы являетесь руководителем высшего уровня, менеджером, системным администратором или любым другим сотрудником, отвечающим за безопасность сети, то вы должны занять активную позицию в этом вопросе.

Не делайте тех же ошибок, что и эти люди. Это может вам стоить вашей компании.

 

Об этой книге

То, что вы собираетесь прочитать, не является плодом моего воображения. Здесь собраны описания реальных аудитов. Каждая глава посвящена отдельному аудиту, который я проводила в реальной, живой, функционирующей компании. Если бы я использовала действительные названия компаний, то вы, вероятно, узнали бы среди них своих партнеров по бизнесу.

Конечно, я не использовала действительных названий компаний, имен сотрудников или других участников событий по очевидным юридическим и этическим причинам. Но я привела здесь реальные факты, касающиеся риска и моего подхода к аудиту в каждом конкретном случае.

Читайте внимательно, особенно если вы являетесь руководителем верхнего уровня, линейным менеджером, системным администратором, юристом или профессиональным представителем правоохранительных органов. Описываемые риски являются рисками, которые вы должны себе представлять.

В любом случае реальные риски кроются не только внутри операционных систем. Серьезные риски скрываются в способах установки систем, проведения настройки, технической поддержки и управления. Именно эти факторы главным образом определяют риск для вашей компании.

Указывая на эти риски, я надеюсь, что люди, отвечающие за информацию в сетях, начнут занимать активную и вдумчивую позицию в обеспечении безопасности.

 

Как устроена эта книга

Хотя все описываемые аудиты являются реальными, я начинаю каждую главу с выдуманной истории, рассказанной от первого лица. Работая в различных компаниях, я начала понимать, что большинство людей станут воспринимать безопасность серьезно только тогда, когда что-либо произойдет с их системами, их информацией и их компанией, — это одна из причин, по которой детское «Я» остается в людях на всю жизнь. Я ввожу читателя в каждую из этих историй для передачи ощущения того, что это может случиться с вашей информацией и с вашей компанией.

В следующем разделе каждой главы описываются действительные риски для безопасности, которые я обнаружила при проведении аудита. В этом разделе также объясняется происхождение этих рисков. Это ведь не происходит так, что не успели вы проснуться утром, как узнали, что защита вашей сети в самовольной отлучке. Бреши в защите обычно образуются по недосмотру или из-за плохого планирования в течение длительного времени. В этом разделе объясняется, каким образом можно дойти до такого состояния.

В последнем разделе каждой главы «Мы пойдем другой дорогой…» вам будет, главным образом, рассказано о том, как избежать подобных проблем. Я надеюсь, что вы прочитаете эти разделы внимательно и близко к сердцу воспримете мои рекомендации.

 

О хакерах

На протяжении всей книги я использую термин «хакер», чтобы обозначить того, кто получает неавторизованный доступ к системам и информации. Некоторые специалисты используют для этого термин «кракер» (cracker), замечая при этом, что некоторым программистам нравится называть себя «хакерами», в то время как они являются в действительности составителями программ высшей квалификации и не склонны к преступной деятельности. Я все же решила использовать термин «хакер», так как он более распространен за пределами круга экспертов по безопасности, и любому выбравшему эту книгу он будет понятен.

Я присвоила «хакеру» мужской пол, и, хотя им может быть и женщина, я не хотела надоедать, часто употребляя оборот «он или она».

Наконец, эта книга о хакерах, но не для них. Если вы являетесь начинающим хакером (wanna-be), то вам не удастся в этой книге научиться взлому систем. Вам лучше поставить книгу обратно на полку.