IT-безопасность: стоит ли рисковать корпорацией?

Маккарти Линда

Глава 4

Сетевой доступ

 

 

Вы являетесь генеральным директором очень молодой фармацевтической компании. Вы стоите у окна в вашем просторном кабинете и наслаждаетесь ростом цен на ваши акции. Сегодня за ваши акции давали около 100 000 долларов. Но в следующем году, когда ваше лекарство со сверхсекретной формулой завоюет рынок, вы ожидаете, что стоимость вашей компании поднимется до 5 миллионов долларов. Разве жизнь не прекрасна?

Но рано радуетесь. Как только вы переносите свой взгляд на вашу электронную почту, то замечаете, что менеджер группы безопасности прислал сигнал тревоги:

«УВЕДОМЛЕНИЕ О ВТОРЖЕНИИ. ВТОРЖЕНИЕ ХАКЕРА В СЕТЬ НОВЕЙШИХ ИССЛЕДОВАНИЙ».

По телефону вы быстро узнаете, что хакер проник почти незамеченным в сеть. Ваши специалисты выяснили, что он вошел через внешнее соединение, но никто не может определить, какую точку входа в сеть он использовал. Ваша сеть растет так же быстро, как и ваша компания, и никто не знает, сколько внешних входов в нее имеется. Ваш системный администратор может знать, сколько подключений к Интернету у вас есть. (В прошлом году у вас было одно подключение. В этом году их три.) Но никто не знает, сколько модемов установлено.

Печально, но такое незнание широко распространено. Лишь несколько лет назад «удаленный доступ» для обычной компании представлял собой несколько модемов и, может быть, одно подключение к Интернету. Сегодня та же самая компания может иметь десятки подключений к Интернету и сотни модемных подключений к внешнему миру.

Каждый день в офисах и лабораториях создаются новые подключения, и сотрудники компаний подключаются из своего дома. Клиентам нужен доступ в реальном времени, и они также подключены к вашей сети. В стремлении подключиться, иногда компании теряют способность контролировать внешние соединения. Результатом становится размытость границ между Интернетом, интранет и экстранет. При этом трудно или почти невозможно сказать, где начинается и где кончается ваша сеть.

Подключение к внешнему миру похоже на снежный буран. Он может начаться с отдельных порывов ветра, а затем быстро превращается в плотную снежную завесу, через которую вы не можете увидеть своих ног. Если вы не сможете контролировать внешние подключения, то вы споткнетесь или упадете лицом в снег — запросто. Теперь посмотрим…

 

Соединение с партнерами

 

Компания JFC Farmaceutical захотела предоставить доступ к своей информации одному из своих клиентов для ускорения совместного исследовательского проекта. Клиенту, компании McConnell Drugs, был нужен доступ к информации, хранящейся на сервере базы данных (Drug10). Технической стороной подключения клиента занимался системный администратор Дэйв Ферлонг.

Так как Дэйв раньше никогда не работал над проектом такого масштаба, то он начал смотреть документацию. Он обнаружил, что у JFC нет утвержденной архитектуры или политики по подключению клиентов к ее интранет. Поэтому Дэйв попросил совета у эксперта компании по брандмауэрам Фреда Джонсона. Вместе Фред и Дэйв выработали свой план. Они подключили сервер базы данных к Интернету для того, чтобы сотрудники McConnell Drugs имели доступ к информации. К сожалению, они подключили сервер базы данных напрямую к Интернету, не поставив впереди него брандмауэр для его защиты и не проведя настроек безопасности на сервере базы данных. Такая конфигурация оставила дверь к сети JFC широко открытой. Было только вопросом времени, чтобы в нее «зашел» хакер. Это как раз и случилось — хакер зашел прямо в дверь.

Как смогли администратор по брандмауэрам и системный администратор сделать такую серьезную ошибку? Кто дал им полномочия на принятие такого решения?

Пугает то, что такие вещи могут происходить. Когда компании теряют контроль над своими внешними подключениями и границы сети становятся «размытыми», то одна ошибка может разрушить будущее целой компании. Это чуть-чуть не случилось с JFC.

 

День 1-й: Архитектура безопасности

Фред и Дэйв вместе стали решать, как обеспечить работоспособный доступ. Так как у Фреда не было письменного документа о том, как подключать клиентов к сети JFC, то они вдвоем обсудили, как предоставить клиенту доступ к информации на Drug10 (сервере базы данных) и как это реализовать. В общем, Фред и Дэйв решили подключить Drug10 прямо к Интернету, чтобы McConnell Drugs смогла иметь доступ к серверу через Интернет. Они предположили, что настроят Drug10 для двух целей. Во-первых, Drug10 должен служить брандмауэром. Во-вторых, что более важно для Дэйва, компании McConnell Drugs должен обеспечиваться доступ к нужной информации.

Фред имел опыт в установке брандмауэров и подключении систем к Интернету и поэтому согласился помочь Дэйву.

 

Несколько недель спустя; Политика установки средств безопасности

Дэйв закончил свою часть работы первым. Время отклика Drug10 уже его не удовлетворяло. Поэтому перед подключением сервера к Интернету Дэйв установил в него более мощную систему и загрузил программное обеспечение. Так как у Дэйва не было каких-либо политик или процедур подключения систем к Интернету, то он просто проделал стандартную установку. У Дэйва не было идей по настройке безопасности систем, и он посчитал, что с этим справится Фред как специалист по брандмауэрам. Но у Фреда тоже не было идей.

 

На следующий день: Кто отвечает за безопасность

Фред подключил сервер базы данных к Интернету. Затем он предоставил доступ McConnell Drugs, чтобы они могли копировать файлы из Drug10 на систему в их сети. Фред вообще не думал о настройке безопасности системы, так как считал, что это работа Дэйва. Он полагал, раз все получили доступ к тому, что им надо, то его работа на этом закончена. Фред приступил к другой работе.

 

Еще через 29 дней: Хакер захватывает контроль

Было лишь вопросом времени, чтобы хакер обнаружил незащищенную сеть. Хакер взломал Drug 10 и захватил контроль над сервером базы данных. Он заменил важные системные файлы и оставил «черный ход» в системе для легкого доступа при следующем визите.

С этого момента сеть компании McConnell Drugs стала тоже подвергаться риску. Сотрудники компании брали информацию из системы, которая могла быть заражена вирусом, «червем», «троянским конем» или чем-то подобным. Даже если предположить, что хакер не был злоумышленником (довольно рискованное предположение), все равно результаты взлома могли быть опустошительными. Представьте себе, что вы обнаруживаете утром в понедельник всю информацию по персоналу компании опубликованной в Интернете, Представьте себе также возмущение своих сотрудников, которые думали, что сведения о них, их заработной плате и служебные характеристики являлись конфиденциальными. Теперь вспомните, в какой стране мы живем. Как всем известно, возмущенные американцы так просто не успокаиваются — они бегут к адвокату!

Кстати, о юристах. Хакер, прогулявшийся по интранет JFC, мог уничтожить всю их информацию и заразить или уничтожить информацию McConnell Drugs тоже. Теперь подумайте об ответственности. Конечная ответственность за уничтоженную информацию, очевидно, лежит на хакере. Но корпоративные судебные разбирательства очень часто основываются на поиске того, кто может заплатить, а не того, кто должен платить. Несомненно, JFC с ее финансовым положением представляла бы собой лучшую, более крупную мишень для юристов, чем бедный хакер, даже если хакер сразу был бы пойман.

 

+Один месяц: Незапланированное тестирование безопасности

Drug 10 оставался подключенным к Интернету целый месяц, пока не обнаружилось, что он скомпрометирован взломщиком. Это открытие было сделано совершенно случайно. Его сделала я, когда меня наняли провести профилактический аудит некоторых систем JFC. Без такого счастливого совпадения скомпрометированный сервер мог остаться незамеченным и незащищенным до бесконечности.

Мое участие в этом началось с момента, когда руководство JFC наняло меня для проведения тестирования безопасности нескольких серверов, размещенных в их компьютерном зале. Хотя скомпрометированная система (Drug10) являлась сервером данных, она не была среди систем, которые я должна была тестировать.

JFC наняла меня провести, как они сказали, «выборочный аудит» (spot audit). В некоторых компаниях выборочный аудит проводится для выяснения уровня риска. При его проведении выбирается репрезентативная группа наиболее важных систем. Если аудит показывает, что эти системы подвержены риску, то есть вероятность риска и для остальных систем. Это — ресурсосберегающий подход в тестировании безопасности. Хотя он рангом ниже, чем полный аудит, но определенно лучше простого расчета на удачу (последнюю стратегию безопасности используют гораздо больше компаний, чем вы думаете).

Проблема выборочного аудита заключается в том, что вы сосредоточены только на одном освещенном пятне в темной комнате. Но когда я провожу выборочный аудит, то стараюсь осматривать комнату и вокруг этого пятна.

 

Аудит, день 1-й: Схемы сети говорят о многом

Я попросила руководство компании подготовить для меня схему сети. Когда я приехала, схема меня уже ждала. Перед началом аудита мне захотелось видеть больше чем список систем и сетевых номеров. Я хотела видеть, куда идут все соединения. Для этого мне была нужна схема текущего состояния сети, которая бы придавала виртуальному миру более осязаемые формы. Я считаю, что схемы сети являются основным элементом в обслуживании сетевых соединений. И если системный администратор говорит мне, что у него нет схемы или что схема у него в голове, то это меня настораживает.

У JFC была отличная схема сети. Глядя на нее, я заметила, что один из серверов базы данных, подключенных к интранет JFC, был также подключен к какой-то другой безымянной сети. Куда шла эта другая сеть? Очевидно, она куда-то уходила, но из схемы было неясно — куда. Одна линия сети, выходящая из сервера, повисала в воздухе и была проведена в том же направлении, что и брандмауэр компании. Из общего вида схемы можно было предположить, что этот сервер был подключен прямо к Интернету.

Подключение сервера базы данных к Интернету без настроек безопасности или без брандмауэра перед сервером выглядело нелепым. Этого никто бы никогда не сделал! Или все-таки сделал?

Проводя аудиты, я научилась ничего не предполагать. В безопасности лучше не делать предположений. Ведь именно предположения вызвали проблему в данном случае. Дэйв предположил, что Фред настроит сервер базы данных как брандмауэр. Фред предположил, что его работа состояла лишь в подключении к Интернету. После моего открытия мне нужно было сообщить руководству, что необходимо провести аудит и сервера Drug10.

Просмотрев схему сети и наметив системы, которые казались наиболее подверженными риску, я встретилась с Дэйвом, чтобы узнать его мнение о том, какие системы мне бы следовало проверить. Важно узнать, что могут сказать по этому поводу люди «из окопов». Им могут быть известны скрытые риски, которым подвергается компания. Дэйв заявил, что ему все равно, какие системы я проверяю.

Некоторые системные администраторы не любят, когда их системы тестируются аудиторами. Люди думают, что это угрожает им потерей работы, но аудит безопасности не имеет к такой угрозе никакого отношения. Он влечет за собой уменьшение риска, повышение безопасности, воспитывает в людях старательность и т. д. Я успокоила его, сказав, что если обнаружу какую-то проблему, то скажу ему о ней. Я также напомнила ему, что иногда аудит безопасности не только помогает повысить саму безопасность, но и дает возможность увеличить финансирование и количество сотрудников. Я спросила Дэйва о том, достаточна ли была оказываемая ему помощь при настройке безопасности. Он ответил, что действительно не знает, как обеспечивать защиту систем, и что для этого ему нужна помощь других сотрудников.

Я сказала ему, что он мог бы немного поучиться безопасности. Он нашел эту идею великолепной. Как и многие системные администраторы, Дэйв имел мало времени для обучения, так как тратил его на обслуживание систем и поддержание правильной их работы. Короче говоря, Дэйв нуждался в обучении и дополнительных сотрудниках. Для меня это было неудивительным. Считается, что системные администраторы знают все и работают непрерывно. Я была системным администратором и это знаю.

Я сказала Дэйву, что, хотя схема сети у меня есть, я все же хочу посмотреть их политики и процедуры безопасности. Он ответил, что сделает их копии для меня к завтрашнему утру.

Мне не терпелось спросить Дэйва о сервере базы данных. Он и так уже был встревожен, и я не хотела сообщать ему плохих вестей. И все же по пути к выходу у меня случайно вырвалось: «Кстати, похоже, что сервер базы данных с именем Drug10 подключен к двум сетям. Это так?» Дэйв ответил: «Да, я подключил этот сервер к Интернету для того, чтобы один из клиентов имел доступ к базе данных». Этот ответ возбудил мое любопытство. Я спросила: «Когда?» Дэйв ответил: «В прошлом месяце».

«Хмммм… я никогда не видела, чтобы кто-то подключал сервер базы данных к Интернету, не защитив его брандмауэром». Дэйв ответил: «Наш эксперт по брандмауэрам Фред настроил Drug10 после установки мной системы на выполнение им функции брандмауэра».

После этого мне все равно было трудно поверить в то, что эти два человека подсоединили их систему напрямую к Интернету. Вот и говори про риск! Так как я уже собрала достаточно информации, чтобы начать тестирование, то решила поговорить с администратором брандмауэров Фредом после проведения тестов безопасности системы. Мне хотелось поговорить с ним, имея все факты. Меня уже звал к себе Drug10. Я должна была идти.

Было уже почти 5 часов дня, и я была вынуждена перенести тестирование систем на завтра. Дэйву надо было забирать ребенка, и ему не хотелось слоняться по компьютерному залу, пока я буду проводить аудит систем. Однако он согласился завтра первым делом создать мне учетную запись на сервере Drug10, чтобы я смогла сразу же, как только приеду, приступить к работе. Договорившись, мы ушли в одно и то же время.

В отличие от Дэйва, с радостью ушедшего с работы, я не была счастлива от ожидания. Мне надо было освободить свою голову от мыслей, иначе до утра я могла бы сойти с ума. Этому могла помочь хорошая пробежка. Я пришла в себя, когда уже зашнуровывала кроссовки. Я распахнула дверь дома и выбрала маршрут потяжелее — по холмам. После пяти миль бега по холмам Портола Вэли мне плохо не стало. Пробежка была напряженной и здоровой. И это сработало! Следующее утро наступило быстро.

 

Аудит, день 2-й: Ничем не подкрепленные политики

Дэйв встретил меня в холле JFC. Мне хотелось поскорее добраться до клавиатуры Drug10, но сначала я должна была получить политики безопасности. Мы задержались из-за них в офисе Дэйва. Политики, распечатанные им, были немногочисленными и короткими — они умещались на нескольких дюймах бумаги. Дэйв занялся чтением электронной почты. Он тихонько ругнулся и начал выстукивать на клавиатуре ответ. Должно быть, он имел дело с трудным клиентом.

Пока он этим занимался, у меня была возможность взглянуть на политики. Это были политики очень высокого уровня — в них с высоты 30 000 футов руководство рисовало на песке линии. Хотя они удовлетворяли директора по информационным технологиям, но были не достаточны для непосредственного обслуживания или защиты систем компании. То, что я увидела, не содержало политики по защите брандмауэрами — это была, скорее, политика подключения. В ней предусматривалась защита брандмауэром лишь одного подключения интранет компании к Интернету. Без каких-либо оговорок. Что тут соблюдать?

Как только Дэйв оторвался от своей электронной почты, я попросила его провести меня в компьютерный зал. В JFC имелось несколько уровней безопасности для защиты компьютерного зала. За консолями и другим оборудованием следили четыре оператора. Они должны были обеспечить мою работу в системе, и Дэйв подтвердил, что я буду работать весь день. Физическая безопасность была хорошей. Видно было, что в нее были вложены серьезные средства.

Мы с Дэйвом прошли в середину зала. Со всех сторон нас окружали серверы выше моей головы. На всех них были таблички — Drug4, Drug5, Drug6. Уровень адреналина во мне стал расти. Я знала, что среди них искать. Я чувствую запах риска за милю. И за углом я увидела его — Drug10.

Дэйв создал мне учетную запись и сказал, что придет забрать меня на обед. Я уже почти зарегистрировалась в системе, когда он заканчивал фразу. По мере зондирования системы я не могла поверить своим глазам. Предположения подтвердились. Эта система оказалась подключенной к Интернету без какой-либо настройки безопасности. Это была еще одна стандартная установка системы.

Дальнейшее изучение показало, что сервер был очень сильно скомпрометирован хакером. Хакер даже заменил системные файлы и оставил «черный ход» для облегчения повторной прогулки! Невозможно себе представить, что будет, если из Интернета или интранет JFC придет хакер. Так как на сервере Drug10 легко может быть получен привилегированный доступ, то хакеру даже не придется много трудиться, Работу ему упрощало наличие неактивных учетных записей с легко угадываемыми паролями и тот факт, что патчи безопасности никогда не устанавливались.

Сервер Drug10 выполнял также и сетевые службы, которые бы следовало выключить. Есть много способов получения информации о системе с использованием сетевых служб. Например, с помощью команды "finger" можно получить информацию о пользователях системы. Эта информация может быть позднее использована для запуска атаки против этих пользователей. Зачем выставлять напоказ информацию без необходимости? Это — одна из причин, по которой следует выключать ненужные вам службы.

Работа хакера не просто упрощалась, она превращалась в прогулку по парку. Было так много путей для вторжения в систему, что я не могла догадаться, какой из них использовал хакер. Может быть, по одному на каждый день для разнообразия? С этим надо было немедленно что-то делать.

Так как риск для JFC (и McConnell Drugs) был слишком велик, то на написание отчета пока не было времени. Некоторые из аудиторов присваивают степеням риска цвет — например, зеленый, желтый или красный. Данной степени риска я бы присвоила категорию: «СЕЙЧАС НЕБО УПАДЕТ НА ЗЕМЛЮ».

Я связалась с менеджером внутреннего аудита Дорис, которая меня нанимала, и сказала ей о падающих небесах и причине этого. Она сообщила о ситуации заинтересованным сторонам и созвала совещание их представителей. На него пригласили Дэна (эксперта по безопасности JFC), Фреда (так называемого эксперта JFC по брандмауэрам), Дэйва (системного администратора), менеджеров всех причастных к данному вопросу групп технической поддержки и меня. Через два часа все участники собрались в зале.

Что мне нравится в профессиональных сотрудниках внутреннего аудита, так это то, что они понимают риск и имеют полномочия внутри компании, достаточные для того, чтобы вытащить вилку из розетки у любой системы, если есть необходимость. Я как раз и рекомендовала немедленно вытащить вилку у Drug10. И спасибо менеджеру внутреннего аудита за серьезное отношение к проблеме. Обслуживающий персонал работал всю ночь, устанавливая новую систему взамен Drug10. К следующему утру новая система была подключена к сети.

 

Последний день аудита: Кто несет ответственность за безопасность

После того как риск для сети JFC был уменьшен, я смогла закончить оставшуюся часть аудита. Результаты аудита показывали серьезные нарушения безопасности у большинства наиболее важных систем.

Во главе списка рисков были следующие:

• Не были сделаны исправления программ (патчи), повышающие безопасность.

• Существовала избыточность разрешений на доступ к файлам.

• Пароли легко было отгадать.

• Были включены ненужные сетевые службы.

Большое количество рисков не удивило меня. Когда такая важная система, как Drug10, настраивается столь плохо, что информация всей компании и ее клиентов подвергается риску, то я не могла ожидать, что обнаружу должный контроль над безопасностью других систем. Перед тем как написать отчет, я решила поговорить с Фредом, так называемым экспертом JFC по брандмауэрам. Зайдя в его офис, я попросила уделить мне немного времени. Когда я села и пыталась завязать с ним разговор, Фред продолжал печатать. Мне это очень не нравится. Когда люди печатают во время разговора с вами, то этим стараются показать две вещи: 1) «У меня есть дела важнее разговора с вами». 2) «Вам вовсе не нужно мое внимание (или вы не заслуживаете его)». Я не была настроена терпеть такое отношение ко мне, поэтому встала и попросила Фреда встретиться со мной в зале заседаний в конце холла.

Фред от своих манер общения не отказался и там. Пытаясь получить от него информацию, я обнаружила, что он саркастичен, заносчив и не очень умен. По моему мнению, он был типичным неудачником. Он попытался переложить ответственность на другого. Он путано стал мне объяснять, что все было бы в порядке, если бы Дэйв настроил безопасность на сервере базы данных. Он также сказал, что в его намерения не входило настраивать безопасность системы — это, по его мнению, была работа Дэйва.

Если вы работаете системным администратором, как Дэйв, то вы, возможно, вспомните подобный случай. Когда защита взломана, то все показывают пальцем на вас.

Мне не хотелось тратить много времени на разговор с Фредом, так как нужно было писать отчет. И все же я решила задать ему еще несколько вопросов, с тем чтобы подзадорить его, (Ладно, с моей стороны это не совсем хорошо, но всем нам хочется иногда позабавиться.)

Оказалось, что Фред работает в JFC, обслуживая сеть и настраивая брандмауэры, уже пять лет. Для JFC это означало, что пять лет ее безопасность подвергалась большому риску. Ernst & Young сообщала в 1996 году, что более 20 процентов обследованных компаний не имело сотрудников, занимающихся безопасностью. Но они не сообщили о том, что иметь недобросовестного сотрудника на этой должности может быть так же плохо, если не хуже. При отсутствии эксперта по безопасности пользователи хотя бы не будут заблуждаться, предполагая, что их информация защищена, в то время как все будет наоборот.

Прием на должность эксперта по безопасности неподходящего сотрудника может подвергнуть риску всю компанию, особенно если ее руководство недостаточно разбирается в этих вопросах и не знает, за какие промахи эксперт по безопасности должен отвечать. Начальник Фреда, кажется, совсем этого не знал, Я думаю, что он даже не понимал риска.

А риск в JFC был существенным. Из-за плохой конфигурации вы даже не могли сказать, не украл ли хакер конфиденциальную информацию для продажи конкуренту. Также нельзя было сказать, не оставил ли он за собой «троянского коня», «червя» или вируса, которые бы могли позднее заразить информацию JFC и ее клиента — McConnell.

Что касается внешних подключений, то было невозможно сказать, где сеть начинается и где кончается. Если вы работаете в JFC и хотите иметь внешнее подключение, то вам просто надо обратиться к Фреду. Фред лично разрешал все подключения и хранил информацию о них в неструктурированном файле. Поэтому нельзя было получить каких-либо отчетов по соединениям, и в файле невозможно было чего-либо найти, В общем, сплошная неразбериха.

Несколько дней у меня ушло на составление итогового отчета для руководства JFC. Я немного задержалась с его оформлением, так как хотела уместить множество факторов риска в пару страниц. Эти риски вызывались неправильной организацией разрешения внешних подключений, слабой политикой брандмауэрной защиты, плохой разработкой политик и процедур и недостатками общей конфигурации системы. В отчете также указывалось на слабое обучение, неэффективное руководство и невозможность проследить внешние подключения. Я вручила отчет Дорис и уехала. Теперь устранение этих проблем стало ее обязанностью.

 

Резюме: Не подпускать к себе конкурентов

В данном случае проблема была обнаружена до возможного нанесения ущерба. Конечно, обнаружить такие проблемы во время профилактического аудита безопасности соседних систем удается не во всех компаниях. Многие из них вообще не беспокоятся об аудитах безопасности — ни о профилактических, ни о каких-либо еще.

Сотрудники, подобные Фреду и Дэйву, существуют в действительности. Ни один из них не думает о высших интересах компании. Поэтому и необходимы основные политики, процедуры и средства контроля для защиты компании от простых ошибок, которые буквально могут разрушить ее. Без учета этих факторов общая картина начнет терять очертания.

Как показывает случай с JFC, такая потеря очертаний может случиться очень быстро. JFC является растущей компанией. Их формула нового лекарства скоро позволит опередить конкурентов. Что, если хакер, взломавший Drug10, был промышленным шпионом, работающим на конкурента? А может быть, иностранное правительство надеется достать передовую технологию для доморощенных компаний. Если верить Майклу Андерсону (Michael Anderson), бывшему агенту Министерства финансов, в настоящее время работающему в группе советников в Национальном центре по расследованию экономических преступлений, то даже дружественные державы оказываются не такими дружественными в вопросах промышленного шпионажа. По его данным, стало известно, что французы ставили «жучки» как в салоны самолетов первого класса, так и в роскошные номера отелей, в которых предпочитали останавливаться руководители американских корпораций. Другими серьезными игроками в промышленном шпионаже считаются японцы, израильтяне и множество бывших агентов КГБ.

Правильно настроенный брандмауэр, безопасная конфигурация системы и механизмы обнаружения (компоненты безопасности, отсутствующие в Drug10) образуют первую линию обороны и закрывают дверь перед промышленным шпионажем, конкурентами и другими противниками.

 

Мы пойдем другой дорогой…

 

При разработке нового продукта мы все стараемся держаться хотя бы на несколько шагов впереди стаи. Но волки могут быть ближе от ваших пяток, чем вы думаете. В своей книге «Информационная война: хаос на электронном суперхайвэе» Уинн Швартау замечает: «Когда-нибудь вы станете (если уже не стали) жертвой информационной войны… Если не вчера или сегодня, то обязательно завтра».

Если это звучит для вас немного мелодраматично, то задержимся и посмотрим на общую цену проблемы. По данным офиса директора национальной контрразведки, только в 2002 году потери продаж в американской экономике от промышленного шпионажа оцениваются суммой от 100 до 250 миллиардов долларов. Вы можете добавить сюда экономические и моральные убытки от потери рабочих мест.

Даже единичный акт шпионажа может быть опустошительным. Vogon, фирма, занимающаяся правовыми вопросами в компьютерной области, сообщает, что при проведении аудита у одного из клиентов был обнаружен сотрудник, «скачивающий» конфиденциальную информацию для того, чтобы впоследствии открыть конкурирующую фирму. Этот клиент подсчитал, что его убытки в случае, если бы такое пиратство не было раскрыто, могли бы достигать 10 миллионов долларов.

Можете ли вы заявить в такой обстановке, что имеете все необходимые средства безопасности? Не начнет ли ваше будущее расплываться и исчезать, как почти случилось с JFC? Чтобы этого избежать, нужно сделать то же самое, что должна была сделать JFC.

 

Использовать типовые архитектурные схемы

Добейтесь, чтобы существовала безопасная архитектура для подключения внешних клиентов к вашей сети (экстранет). Архитектура должна охватывать все проблемы. В ней необходимо определить тип устанавливаемого брандмауэра, перечислить, какие службы разрешены, описать установленное программное обеспечение и четко определить все сетевые подключения.

Вам также нужно знать, какую архитектуру имеет клиент со своей стороны. Конечно, вы должны до некоторой степени доверять клиентам. Но вы не можете позволить себе этого без веских причин. В JFC было оказано неограниченное доверие без каких-либо технических деталей, которые бы это доверие гарантировали. Не ставьте себя в их положение. Несомненно, предлагайте свое доверие. Но вначале убедитесь, что ваши клиенты хотят его заслужить и обеспечат вас подробной информацией о конфигурации систем на своей стороне.

В мире бизнеса интернетовской эры доверие больше не сводится к рукопожатию. Оно обеспечивается согласованной и отраженной в документах архитектуре.

 

Отслеживать внешние подключения

Необходимость внешних подключений может возникнуть быстро, особенно если вы работаете в растущей компании. В 1996 году Ernst & Young обнаружила, что целая треть обследованных ей компаний использует Интернет для обмена важной деловой информацией. Затем произошла революция, создавшая электронную торговлю и вызвавшая небывалый взлет количества внешних соединений. К 2002 году, уже 99 процентов респондентов имели корпоративные веб-сайты. Из них 52 процента действительно занимались электронной коммерцией на своих веб-сайтах. Сегодня реальные деньги и финансовая информация обычным образом отправляется в киберпространство. Внешние соединения не являются чем-то исключительным — они подразумеваются сами по себе.

Одна из главных проблем JFC заключалась в том, что они не могли даже сказать мне, сколько внешних подключений у них есть. Заявки на подключения хранились в ASCII-файлах, но из них не было ясно, какие заявки были утверждены и/или удовлетворены.

Поручите кому-нибудь (любому!) отслеживать внешние подключения. Дайте ему подробные инструкции, как вести записи. Если вы не сможете легко найти и получить отчет с информацией по внешним подключениям, то работа будет бесполезной. Будет лучше, если сотрудник, отвечающий за внешние подключения, станет регулярно отчитываться об их состоянии.

 

Отвечать за свою территорию

Если вы являетесь системным администратором, отвечающим за конкретные системы, то помните, что эти системы представляют собой вашу территорию. Хотя вы разделяете эту ответственность с администратором безопасности, вы все же отвечаете за каждую из систем, находящихся на вашей территории. В случае с JFC Фред «перевел стрелки» на Дэйва, так как к концу того дня Drug10 уже принадлежал Дэйву.

И если вы — системный администратор, отвечающий за конкретную территорию, и не знаете, как настроить безопасность находящихся на ней систем, то потребуйте немедленно помощи. Не будете о помощи просить — вы ее не получите. Попросите обучить вас или нанять кого-то еще, кто сумеет поддерживать безопасность на вашем участке. Если ваш начальник не добьется финансирования обучения или помощи, то, возможно, вам придется подумать о другом месте работы. Помните, что если хакер взломает вашу сеть, то шишки посыплются на вас, а не на вашего начальника.

 

Требовать утверждения внешних подключений

Отслеживание внешних подключений — это хорошее начало для восстановления контроля над вашей сетью. Но вам также следует заняться ограничением этих подключений. На самом деле, не каждому желающему действительно нужен такой доступ. Для уменьшения риска вы можете установить правила, по которым бы определялось, когда (и нужно ли) предоставлять доступ по заявкам на подключение.

Статистика показывает увеличение количества подключений к Интернету, и стоит невероятный шум по поводу роста производительности, обеспечиваемого легким доступом к информации. Но расширение доступа не всегда ведет к повышению производительности. Семьдесят восемь процентов участников опроса, проведенного CSI в 2002 году, сообщили, что ловили своих сотрудников за использованием подключения к Интернету не по назначению. Находящийся в Калифорнии Saratoga Institute сообщает, что в 2000 году более 60 процентов американских фирм наказывали сотрудников за незаконное использование подключения к Интернету, Более того, в целых 30 процентах фирм даже прибегали к увольнению сотрудников за онлайновый трейдинг, азартные игры, посещение порносайтов и просто за перерасход времени доступа к Интернету. Прежде чем увеличивать производительность вашей компании при помощи расширения доступа, подумайте о возможных последствиях. Для начала поручите кому-нибудь из руководящих сотрудников выдавать разрешение на внешние подключения к другим сетям. Хорошо было бы также, чтобы каждое из разрешений им подписывалось. При этом ответственность немного сдвинется вверх по цепочке — и чем выше, тем лучше.

Я твердо убеждена в том, что если бы в JFC было необходимо утверждать подключение Drug10, то кто-то бы задумался. По крайней мере, при этом прекратили бы «поджаривать» Дэйва и повернулись бы к руководителю, отвечающему за выдачу разрешений.

 

Следить за выполнением политики процедур

По крайней мере, JFC для своей обороны предусмотрело политику для брандмауэров. Хотя это была политика, одна на все случаи и смотрящая с высоты 30 000 футов, но все-таки она была. В ней указывалось, что допускается только одно подключение к Интернету. К сожалению, за ее выполнением не следили. Если бы было иначе, то Drug10 не был бы установлен с рискованной конфигурацией.

Разработанные политики не имеют смысла, если затем они не подкреплены непрерывным и безжалостным отслеживанием их выполнения.

 

Выключать ненужные службы

Ошибки в программном обеспечении и при установке конфигурации сетевых служб могут приводить к образованию брешей в безопасности. От программных ошибок, к сожалению, нам никогда не избавиться. Поэтому, чтобы уменьшить до минимума риск для вашей системы, вам нужно как можно меньше быть открытым для сетевых служб. Ненужные службы (такие, как walld, fingerd, sprayd и т. д.) следует выключать. Работа таких служб дает хороший повод для начала атаки против вашей сети по типу «отказ от обслуживания».

В политике безопасности вашего сайта должно ясно говориться, какие службы необходимы, а какие создают неприемлемые риски и должны быть выключены. Если в политике вашего сайта не упоминаются сетевые службы и вы не знаете, какие службы выключать, то наймите администратора по безопасности или консультанта, которые вам помогут. Ничего не предпринимайте в отношении служб в системах, которые вы обслуживаете, пока не узнаете точно, что вам делать.

 

Подчеркивать важность обучения

Это я говорила уже не раз и буду повторять снова и снова: часто слабым звеном в безопасности является незнание. Все технические достижения в мире будут бессильны, если персонал не обучен и попросту игнорирует имеющиеся средства защиты.

Системный администратор JFC Дэйв ясно представлял себе, что безопасность нужна. Но у него не возникло ни одной мысли, как ее настроить. Если вы окажетесь в подобной ситуации, то учитесь, как настраивать безопасность, у того, кто это знает. Ни на кого не надейтесь. Дэйв уже так поступил. Он подумал, что Фред возьмет на себя решение проблемы. К несчастью, Фред не считал обеспечение безопасности Drug 10 частью своей работы. Дэйв добился бы большего, если бы Фред научил его, как настраивать безопасность в данном случае. Еще большего Дэйв добился бы, если бы его начальник обеспечил надлежащее обучение.

 

Проследить весь процесс настройки

Если я вам скажу, что установлю на вашей системе безопасную конфигурацию, то как проверить, что я именно так и сделаю? Если конечная ответственность за систему лежит на вас, то потрудитесь отслеживать, как вам оказывается обещанная помощь. Используйте случай приобрести опыт по настройке безопасности, наблюдая за реальным выполнением процедур. Если у вас не было возможности присутствовать при этом, то хотя бы решительно спросите специалиста, все ли он (она) сделал в соответствии с планом. Из-за ограничений по времени, наложения приоритетов решения проблем и просто спешки не всегда нужно надеяться, что люди сделают то, что они собирались сделать.

Никогда не считайте, что проблемы безопасности решены, не проверив действительного положения.

 

Не подключать незащищенные системы к Интернету

Это и так известно всем, но для еще большей ясности: Никогда в жизни не подключайте незащищенный сервер базы данных к Интернету! (Если, конечно, вы не задумали в дальнейшем ходить от двери к двери в униформе вашей компании и торговать энциклопедиями…)

 

Контрольный список

Используйте этот список для определения того, что делается в вашей компании для контроля внешних подключений. Можете ли вы поставить «Да» напротив каждого пункта?

— Участвует ли руководство в процессе утверждения внешних подключений?

— Отслеживает ли кто-либо (предпочтительнее, кто-либо важный) внешние подключения?

— Знает ли руководство, сколько сотрудников компании и подрядчиков имеет внешние подключения?

— Выключены ли ненужные сетевые службы?

— Оценивается ли необходимость всех внешних подключений перед их утверждением?

— Проводятся ли в вашей компании профилактические аудиты для поддержания контроля над внешними подключениями?

— Обеспечивается ли достаточное обучение сотрудников, отвечающих за безопасность?

— Имеются ли процедуры по отключению соединений при прекращении работы сотрудников и подрядчиков?

— Существуют ли политики и процедуры для внешних подключений?

— Существуют ли политики и процедуры для установки брандмауэров?

— Существуют ли политики и процедуры для установки клиентских подключений (экстранет)?

— И что самое главное: отслеживается ли выполнение политик и процедур, связанных с подключениями?

 

Заключительные слова

Сегодня в насыщенной различными видами связи деловой среде внешние подключения стали такой же частью бизнес-структуры, как телефоны, круглосуточная доставка и межофисные низкие перегородки. На то, что ваш партнер расставил все средства защиты, просто так полагаться нельзя. Уверенность можно получить только при наличии безопасной архитектуры, правильного ее воплощения и тестирования.

McConnell Drugs поверила в то, что JFC расставило все необходимые средства защиты — средства, которые защитили бы информацию как JFC, так и McConnell Drugs. Такое доверительное рукопожатие могло бы привести к уничтожению информации и репутации McConnell, a JFC могла бы завершить свой путь в суде. Сотрудники McConnell легко могли бы «скачать» плохой файл, содержащий «троянского коня», «червя» или вирус.

Если вы все еще не знаете, какой разрушительной может быть атака вируса, то вы счастливчик. Исследование CSI 2002 года показало, что 85 процентов респондентов обнаруживали вирусы. Это неудивительно, если принимать во внимание скорость, с какой новые его «штаммы» распространяются. Как говорится в «Обзоре направлений развития атак» ("Overview of Attack Trends"), опубликованном CERT, «программы-вирусы, подобные Code Red, распространяются самостоятельно до состояния глобального насыщения менее чем за 18 часов». А ущерб? Computer Economics сообщила, что общий удар, нанесенный Code Red и его «двоюродным братом» Code Red II по американской экономике, оценивается в 2 миллиарда долларов.

Внешние подключения представляют собой большую проблему и ими трудно управлять. Знаете ли вы, сколько модемных подключений имеется в вашей компании? Разрешено ли вашим инженерам устанавливать модемы в лаборатории, в которой хранится исходный код вашей программы? Если вы не можете ответить на эти вопросы, то вас может ожидать большой сюрприз.

К сожалению, даже компании с серьезными юридическими и моральными намерениями контролировать доступ часто оказываются одураченными. Аудит безопасности одной такой организации (большой больницы, где стремились закрыть доступ к конфиденциальным файлам пациентов) обнаружил в ней 75 неразрешенных модемов. Почти в каждом случае врач или администратор, обладающие достаточной пробивной силой, находили обходный путь вокруг политики, предусмотренной для внешних соединений. Для того чтобы быть полезными, политики безопасности должны быть применимы к каждому без исключений. Политики с правилами, которые легко «объехать», не стоят даже бумаги, на которой они написаны.

Защита вашей системы от атак требует большего, чем «честное слово и одно крыло». Она требует обучения, решительности и сильного стремления к контролю над доступом к вашим системам. Анализируя контроль за доступом в вашей компании, убедитесь, что правила являются действительно правилами, а не общими директивами, которые сотрудники могут свободно игнорировать при малейшем ощущении их неудобства.