IT-безопасность: стоит ли рисковать корпорацией?
IT-безопасность: стоит ли рисковать корпорацией? читать книгу онлайн
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
Но высшие руководители S&B Systems и Express Time не знали, что система, соединяющая две компании, не была настроена так, чтобы обеспечивать безопасность. Каждый, кто получал доступ в эту межсетевую систему, мог заходить то в одну компанию, то в другую и собирать, изменять или уничтожать информацию как в S&B Systems, так и в Express Time.
Прошел целый год, пока не заметили, что обе эти сети являются легкими целями. В условиях такого большого риска компаниям просто повезло, что их системы не были обрушены одновременно. Ведь это было невероятно легко сделать!
И действительно, только случайно S&B Systems обнаружила, какой большой риск создает межсетевое соединение.
День 1-й: Осмотр средств обеспечения безопасности
Все началось довольно обычно. Меня наняли как независимого аудитора для тестирования безопасности некоторых систем S&B Systems. Одному из менеджеров технической поддержки S&B, Шелли Бергер, потребовался аудит клиентской сети, так как ее персонал планировал переход на новую версию (апгрейд) операционных систем сети. Планировался также апгрейд брандмауэра, соединяющего их сеть с Express Time. Перед проведением такого перехода Шелли захотела узнать, как хорошо настроены средства безопасности систем.
Шелли поступила очень мудро. Перед тем как проводить общий апгрейд, всегда нужно убедиться, что вы понимаете, в какой среде он будет проводиться. Предварительный аудит является лучшим способом избежать отвратительных мелких сюрпризов в будущем.
Группа Шелли уже закончила аудит брандмауэра и теперь готовилась к его апгрейду. Поэтому основное внимание я обратила на внутренние системы S&B.
Шелли предоставила мне офис для посетителей с видом из окна, собственной системой, схемой сети и толстой стопкой политик и процедур. Она также дала мне краткий список персонала технической поддержки S&B. Обязанности по обеспечению безопасности разделялись между несколькими группами. В двух словах: у них имелись группа обеспечения безопасности, группа системных администраторов и группа обслуживания сети. Группа обеспечения безопасности отвечала за проведение аудитов безопасности, реагирование на взломы и рецензирование кода. [48] Системные администраторы отвечали за установку систем, проведение апгрейда и работу с пользователями. Группа обслуживания сети отвечала за техническую поддержку сети и брандмауэрных соединений. Я знала, что такая структура технической поддержки довольно типична для компании с размерами? как у S&B. Меня особенно впечатлила глубокая продуманность описания ролей и обязанностей.
Шелли было все равно, какой подход я выберу для тестирования систем. Ей просто нужно было узнать, какие существуют риски. Я попросила ее создать мне учетную запись на одном из серверов базы данных и запланировать встречи с группой обеспечения безопасности и системными администраторами на следующий день.
Шелли оставила меня обдумывать сетевую схему и политики, и процедуры. В сущности, это был спокойный аудит, в котором я должна была определить меры по предотвращению проблем с безопасностью, а не реагировать на свершившиеся факты. С другой стороны, это меня не вдохновляло. Я углубилась в изучение политик и процедур, ожидая, когда ко мне придет вдохновение.
Через несколько часов я просмотрела больше их половины. При более глубоком изучении они не казались такими уж восхитительными. Скорее, они подходили под то, что я называю политиками безопасности с высоты 30 000 футов — пространными и тяжеловесными инструкциями, которые должны были произвести впечатление на начальство, но мало полезны людям «в окопах».
День уже заканчивался, а вдохновение все еще не приходило. Обычно меня подстегивает одна только мысль предстоящего обнаружения риска. Но в этот раз меня ничего не подстегивало.
Я знала, что Шелли скоро проводит меня к выходу, поэтому я посвятила последние минуты просмотру сетевой схемы. В компании S&B имелись тонны серверов базы данных, и клиентская сеть была видна сразу. Было также видно, что к сети было подключено три различных клиента. Каждое соединение было защищено своим брандмауэром. Я догадалась, что это были именно те брандмауэры, которые они только что проверили и готовили к апгрейду.
В этот момент появилась Шелли. Я постаралась запомнить мои мысли о сетевой схеме, чтобы обдумать их позднее. Моя голова уже переключилась на работу, которая меня ждала в моей домашней сети. Один из моих жестких дисков «полетел», и мне нужно было его заменить и восстановить информацию. Впереди был не самый приятный вечер, но это нужно было сделать.
День 2-й: Сетевые соединения
Приехав в S&B Systems, я начала снова думать о сетевой схеме и вспомнила, что они только что провели аудит безопасности соединений их клиентской сети. Заехав на стоянку, я пыталась понять, кто же у них делал аудит.
Шелли уже ждала меня в холле. По дороге в мой временный офис я рассказала ей о том, что вчера потратила вторую половину дня на просмотр политик и процедур. Когда мы прибыли в мой офис, я показала ей сетевую схему и заметила: «Я не представляла себе, что несколько различных компаний подключены к вашей сети». Она ответила: «Это так. Мы многое перевели на аутсорсинг в этом году. Мы оставили в компании лишь в главные функции, а остальные отдали подрядчикам». Показывая на сетевую схему, я спросила: «Это те системы, на которых только что проводился аудит?» Она ответила: «Да, и вон те системы тоже». Шелли показала на группу серверов баз данных (обозначенных как DBS1 — DBS 10), которые явно принадлежали интранет S&B и не были похожи на клиентскую сеть (экстранет).
Но Шелли сказала: «Нет, это тоже клиентские системы. Видите ли, мы в прошлом году перевели на аутсорсинг отдел перевозок, а это системы его баз данных». Это все проясняло. DBS должно было обозначать «база данных о перевозках» (database shipping).
Теперь я почувствовала прилив энергии. Это как раз был такой риск, который я искала.
Шелли начала рассказывать мне, что когда S&B переводила на аутсорсинг операции по перевозкам, то она подключила системы DBS к сети Express Time. S&B по-прежнему поддерживала и обновляла базу данных, но Express использовала информацию о перевозках, хранящуюся на этих системах, для поставки изготовленных машин потребителям.
При более пристальном изучении схемы я заметила, что система DBS 10 имела два сетевых соединения. Одно шло к интранет S&B, а другое не имело обозначения. Я предположила, что оно идет к сети Express Time.
В технике Шелли не очень разбиралась. Иначе она бы поняла, что из сказанного ей выходило так, что серверы службы перевозок S&B были подключены к сети Express Time. Таким образом, как только вы открывали сессию на сервере перевозок, вы могли получать доступ к любой системе сети Express Time. И наоборот, открытие сессии на сервере перевозок со стороны Express Time позволяло получать доступ к любой системе сети S&B.
Чтобы пояснить сказанное, представьте себе замок на двери вашего офиса. Пусть вы работаете на 20-этаже здания. На том же этаже располагается компания, которой вы передали по аутсорсингу все ваши операции по закупкам. Разумеется, у вас есть ключ от вашего офиса на 20 этаже. Но, хотя партнер этого не знает, ваш ключ подходит и к его двери. Вы можете пробраться в его офис и просматривать его файлы, пока его там нет. Вы даже можете внести изменения в его финансовые документы, чтобы поправить свои дела за счет аутсорсинга! Таким же образом ключ вашего партнера подходит и к вашей двери. Каждый из его фирмы может пробраться к вам и тоже поменять информацию в ваших файлах по своему усмотрению.
Теперь вы понимаете, почему я чувствовала себя, как будто я только что получила главный выигрыш! Конечно, это все еще было догадкой. Мне нужно было войти в систему и прозондировать ее для подтверждения моей теории.
