IT-безопасность: стоит ли рисковать корпорацией?
IT-безопасность: стоит ли рисковать корпорацией? читать книгу онлайн
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
Кирстен создала мне учетную запись в сети и дала сетевую схему, по которой можно было бы определить системы повышенного риска. Сетевая схема выглядела вполне логично. Так как я обычно начинаю тестирование безопасности с систем с самым высоким уровнем риска, то именно их я ищу в схеме. Однако я не смогла точно определить по схеме, какие из систем попадают в эту категорию.
Я обратилась снова к Кирстен. Она показала мне группу систем, которые она считала представлявшими наибольший риск. Мы немного поговорили об этом, чтобы убедиться, что я ничего не пропустила. Со списком особо критичных целей я была готова начать аудит.
Я всегда удивляюсь, когда мне удается войти в первую намеченную для аудита систему даже без ввода пароля. Это похоже на то, как если бы вы подошли к банкомату и он выдал бы вам деньги до того, как вы достали свою карточку из бумажника. Я попала в такую же ситуацию.
Первая же выбранная мной система доверяла системе, в которой у меня была учетная запись. Как только я открыла сессию на главном сервере базы данных, я смогла получить доступ ко всем другим особо критичным системам. Мне даже не пришлось вытирать пот. Доверительные отношения между этими системами были поразительными. Все они доверяли первой взломанной мной системе, поэтому я входила в одну систему за другой.
Очевидно, кто-то не обратил на это внимания при установке систем. А может быть, они просто доверяли каждому, кто имел доступ к сети музея, В современном мире такой уровень наивности может привести к большой беде! По словам Майкла Андерсона, эксперта по компьютерному праву и бывшего агента Министерства финансов США, в 85 процентах случаев промышленный шпионаж ведется изнутри компании-объекта.
Положительным являлось то, что технический персонал музея осуществлял регулярное резервное копирование и хранил ленты вне помещений сети. И все же предоставление свободного доступа к информации каждому в сети не было хорошей идеей. Как раз о таком риске я и должна была сообщить руководству музея.
Основную часть дня у меня занял взлом важных систем и сбор доказательств, необходимых для составления моего итогового отчета. Этап аудита, состоящий из взломов, был очень прост. Сортировка всей полученной информации не заняла много времени.
Когда все было рассказано и сделано, мой список рисков выглядел следующим образом:
• Настройки безопасности особо критичных систем были недостаточными.
• Сами системы не были классифицированы (некритичные, особо критичные и т. д.).
• Легко можно было получить права суперпользователя.
• Пароли легко угадывались.
• Не были установлены патчи, повышающие безопасность.
• Не было механизмов обнаружения вторжения, позволяющих предотвратить, обнаружить неавторизованный доступ к конфиденциальной информации или получить сведения о нем.
• Контрольных журналов просто не было.
• Имелась избыточность разрешений на доступ к файлам.
• Выполнялись ненужные сетевые службы.
Короче, Кирстен была права. Системы были широко открыты. Ни один из серверов базы данных, подвергавшихся высокому риску, не имел серьезной защиты, Почему? Для завершения аудита я должна была получить ответ на этот вопрос.
Мнение Кирстен на этот счет мне было уже известно. Нужны были факты. Так как была вторая половина пятницы, то мне придется ждать следующей недели. Довольно странно начинать аудит в конце недели, но так уж составлен график.
Я уже собирала вещи, когда вспомнила, что мне нужно лететь домой и встретиться в субботу с моей сестрой. Мы поедем с ней в Сан-Франциско на уикенд, где я буду ее баловать. Она гораздо младше меня — ей. 13 лет, поэтому я по возможности выкраиваю для нее время по выходным: она удовлетворяет свои капризы, а я трачу на это деньги. Я похожа на бабушку, которая не успела состариться. В этот уикенд мы должны посетить в Сан-Франциско столько музеев, сколько сможем. Среди всего прочего, девочка занимается изобразительным искусством (и у нее это получается) и любит ходить в музеи и картинные галереи. Было бы хорошо провести с ней выходные и посмотреть на музеи с другой точки зрения — не как на объекты с высокой степенью риска и летучестью информации из-за незащищенности систем, но как на само искусство ради искусства.
Кирстен проводила меня в холл и сказала, что встретит меня в понедельник в 9.00.
День 2-й: Системные администраторы против группы обеспечения безопасности
Выходные всегда проходят быстро, Я не успела это понять, как очутилась в холле, ожидая Кирстен и в готовности закончить аудит. Я немного волновалась.
Мне предстояло во второй части аудита показать, почему системы не защищены, и это означало проведение бесед. Я не боюсь бесед и встреч с людьми, но из слов Кирстен поняла, что ввязываюсь в войну, развязанную из-за настроек, политик и процедур и продолжающуюся уже несколько лет.
Хорошей новостью было то, что у меня появилось много энергии после уикенда. Обычно беседы меня подавляют. Это связано с тем, что мне часто приходится говорить с людьми, не заботящимися об информации, за обеспечение безопасности которой они получают деньги.
У меня было ощущение, что за обнаруженными рисками кроется война между группой обеспечения безопасности и системными администраторами. Вскоре я в этом не сомневалась.
Кирстен запланировала интервьюирование всех причастных к этому делу игроков. Она любезно предоставила мне несколько свободных часов утром перед проведением бесед. Я это оценила. (Кто знает, как выглядят эти парни до утреннего кофе?)
Перед тем как войти в зону боевых действий, я решила просмотреть политики и процедуры, выпущенные группой обеспечения безопасности. Обычно знакомство с политиками и процедурами позволяет составить мнение об отношении компании к вопросам безопасности. Компания, не имеющая хороших политик и процедур, как правило, не имеет и хорошей безопасности.
Я обнаружила несколько проблем с политиками и процедурами. Во-первых, их было трудно читать и понимать. Мое внутреннее чутье подсказывало, что системные администраторы, вероятно, не настроили безопасность из-за того, что они не поняли политик и процедур. Политики и процедуры также были устаревшими. Последнее изменение вносилось в них примерно три года назад. В результате некоторые политики даже не были технически корректны. Пунктуально выполняя один из документов процедур, вы бы проделывали в защите системы дыру и делали бы систему более уязвимой для атаки.
Чем дальше я продвигалась по материалам, тем больше убеждалась в том, что вначале документация была составлена кем-то, кто понимал важность политик и процедур. Вместе с тем у меня складывалось впечатление, что этот человек уже ушел из группы обеспечения безопасности или даже из музея.
Теперь я была готова к встречам с персоналом. К сожалению, это будут встречи с группами. Групповое интервью часто сопровождается напряженностью, — даже когда не ведется война. Я пошла на эту первую встречу, думая, что всегда смогу затем поговорить один на один с ключевыми игроками.
В чьих руках безопасность
Сначала я встретилась с системными администраторами. Так как они отвечали за настройку безопасности систем, то я хотела послушать их сторону первой. И конечно, еще потому, что системные администраторы всегда рассматриваются как главные виновники проблем, возникающих с безопасностью.
Я начала с общего вопроса: «Какие процедуры используются для настройки безопасности?» Невероятно, но ответом было: «Никаких». Их «процедура» заключалась в том, чтобы соединить системы с сетью без каких-либо мер предосторожности.
Я продолжала на них давить: «Разве вы не отвечаете за настройку безопасности систем?» Они отвечали: «Да, но группа обеспечения безопасности должна сказать нам, как это сделать. Так как их политики и процедуры безопасности лишены всякого смысла, то мы не знаем, как настраивать системы».
