IT-безопасность: стоит ли рисковать корпорацией?
IT-безопасность: стоит ли рисковать корпорацией? читать книгу онлайн
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
— Является ли обучение лучшему пониманию вопросов безопасности частью профессиональной ориентации новых сотрудников всех уровней — от линейных менеджеров до высшего руководства?
— Предпринимаются ли шаги в получении всеми сотрудниками (сверху донизу) ясного представления о политиках защиты информации компании?
— Учитывается ли реально существующая в компании культура общения между руководителями и исполнителями при разработке политик и процедур безопасности?
— Знают ли сотрудники, к кому обращаться в случае возникновения бреши в защите и неопределенности в своих обязанностях?
— Регулярно ли проводится аудит безопасности?
Заключительные слова
Если вы генеральный директор и надеетесь, что ваша интранет будет в безопасности и не проверяете ее, то вас может ждать большой сюрприз. Угрозы благополучию предприятий продолжают возрастать и требуют все более высоких уровней защиты корпоративных интранет.
В начале 1990-х годов мы подошли к выбору дорог в компьютерной безопасности. Несколько лет назад многие компании выбрали кривую тропинку (с меньшей защитой или без нее) из-за того, что риски были небольшими и последствия менее опустошающими. Теперь другая ситуация. Сегодня угроза информации в интранет высока как никогда. Если ваша интранет все еще подвергается риску вследствие стандартной настройки, недостаточного финансирования безопасности и плохой культуры общения внутри компании, то вам нужно немедленно включиться в работу.
Как ясно показывает рассмотренный случай, плохая культура общения представляет собой один из главных рисков для безопасности. Большинство из нарушений, реально обнаруженных в данном исследовании, довольно обычны — простые пароли, стандартные настройки и т. д. На нынешнем этапе компьютерной революции, ни одна уважающая себя компания не должна страдать от таких простых симптомов, так как большинство из них устраняется довольно легко в условиях хороших взаимосвязей в компании.
В отличие от вооруженных ограблений, компьютерным преступлениям не придается большого значения. Часто скрываемые жертвами с целью предотвратить дальнейший ущерб (ценам акций, репутации и т. д.), компьютерные преступления увеличиваются в количестве с феноменальной скоростью. По данным Центра защиты национальной инфраструктуры (National Infrastructure Protection Center), подразделения ФБР, работающего с правительственными органами и частными компаниями, начиная с 1998 года, количество компьютерных преступлений ежегодно удваивается. Нарастающий итог ущерба от таких преступлений увеличивается соответственно. В обзоре, представленном Information Week [16] и Price Waterhouse Coopers [17] в середине 2000 года, стоимость ущерба за этот год только от компьютерных вирусов оценивается в 1,6 триллиона долларов. Как отметил представитель ФБР Лесли Уайзер (Lesly Wiser) в своем докладе Конгрессу по вопросам кибербезопасности в августе 2001 года: «Эти цифры превосходят валовой национальный продукт сразу нескольких государств».
Директор по информационным технологиям любой компании должен быть в курсе любого из рисков для своей корпоративной сети, включая и факты ее успешных взломов. Я уверена, что ваш директор по информационным технологиям хочет узнавать о взломах от линейных менеджеров, а не из выпуска новостей CNN Headline. И если у вас нет прямого канала связи наверх, то создайте его.
Глава 4
Сетевой доступ
Обнаружение играет очень важную роль в любой архитектуре безопасности. Рано или поздно противник захочет скомпрометировать вашу организацию, и на его стороне будут время и ресурсы. Для эффективного обнаружения большую важность имеют уровни защиты. Программы-датчики обнаружения вторжения, honeypots [18] и системные журналы играют ключевую роль в обнаружении.
Вы являетесь генеральным директором очень молодой фармацевтической компании. Вы стоите у окна в вашем просторном кабинете и наслаждаетесь ростом цен на ваши акции. Сегодня за ваши акции давали около 100 000 долларов. Но в следующем году, когда ваше лекарство со сверхсекретной формулой завоюет рынок, вы ожидаете, что стоимость вашей компании поднимется до 5 миллионов долларов. Разве жизнь не прекрасна?
Но рано радуетесь. Как только вы переносите свой взгляд на вашу электронную почту, то замечаете, что менеджер группы безопасности прислал сигнал тревоги:
«УВЕДОМЛЕНИЕ О ВТОРЖЕНИИ. ВТОРЖЕНИЕ ХАКЕРА В СЕТЬ НОВЕЙШИХ ИССЛЕДОВАНИЙ».
По телефону вы быстро узнаете, что хакер проник почти незамеченным в сеть. Ваши специалисты выяснили, что он вошел через внешнее соединение, но никто не может определить, какую точку входа в сеть он использовал. Ваша сеть растет так же быстро, как и ваша компания, и никто не знает, сколько внешних входов в нее имеется. Ваш системный администратор может знать, сколько подключений к Интернету у вас есть. (В прошлом году у вас было одно подключение. В этом году их три.) Но никто не знает, сколько модемов установлено.
Печально, но такое незнание широко распространено. Лишь несколько лет назад «удаленный доступ» для обычной компании представлял собой несколько модемов и, может быть, одно подключение к Интернету. Сегодня та же самая компания может иметь десятки подключений к Интернету и сотни модемных подключений к внешнему миру.
Каждый день в офисах и лабораториях создаются новые подключения, и сотрудники компаний подключаются из своего дома. Клиентам нужен доступ в реальном времени, и они также подключены к вашей сети. В стремлении подключиться, иногда компании теряют способность контролировать внешние соединения. Результатом становится размытость границ между Интернетом, интранет и экстранет. При этом трудно или почти невозможно сказать, где начинается и где кончается ваша сеть.
Подключение к внешнему миру похоже на снежный буран. Он может начаться с отдельных порывов ветра, а затем быстро превращается в плотную снежную завесу, через которую вы не можете увидеть своих ног. Если вы не сможете контролировать внешние подключения, то вы споткнетесь или упадете лицом в снег — запросто. Теперь посмотрим…
Соединение с партнерами
Компания JFC Farmaceutical захотела предоставить доступ к своей информации одному из своих клиентов для ускорения совместного исследовательского проекта. Клиенту, компании McConnell Drugs, был нужен доступ к информации, хранящейся на сервере базы данных (Drug10). Технической стороной подключения клиента занимался системный администратор Дэйв Ферлонг.
Так как Дэйв раньше никогда не работал над проектом такого масштаба, то он начал смотреть документацию. Он обнаружил, что у JFC нет утвержденной архитектуры или политики по подключению клиентов к ее интранет. Поэтому Дэйв попросил совета у эксперта компании по брандмауэрам Фреда Джонсона. Вместе Фред и Дэйв выработали свой план. Они подключили сервер базы данных к Интернету для того, чтобы сотрудники McConnell Drugs имели доступ к информации. К сожалению, они подключили сервер базы данных напрямую к Интернету, не поставив впереди него брандмауэр для его защиты и не проведя настроек безопасности на сервере базы данных. Такая конфигурация оставила дверь к сети JFC широко открытой. Было только вопросом времени, чтобы в нее «зашел» хакер. Это как раз и случилось — хакер зашел прямо в дверь.
Как смогли администратор по брандмауэрам и системный администратор сделать такую серьезную ошибку? Кто дал им полномочия на принятие такого решения?
Пугает то, что такие вещи могут происходить. Когда компании теряют контроль над своими внешними подключениями и границы сети становятся «размытыми», то одна ошибка может разрушить будущее целой компании. Это чуть-чуть не случилось с JFC.
