IT-безопасность: стоит ли рисковать корпорацией?
IT-безопасность: стоит ли рисковать корпорацией? читать книгу онлайн
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
Разработать политику действий при вторжении в письменном виде
Если в вашей компании нет политики действий при вторжении в письменном виде, то вы не одиноки. Хотя мы сосредоточились на больших компаниях США, но ослабленное внимание к безопасности простирается далеко за национальные границы. Опрос, проведенный KPMG [5] в 2001 году среди канадских фирм, показал, что только у половины респондентов имелись стандартные процедуры на случай взлома систем безопасности электронной торговли.
Рисунок 1.3
При необходимости нанять эксперта
Создание группы реагирования на инциденты (IRT — Incident-Response Team), разработка политик и процедур и поддержание общей обстановки на современном уровне является объемной задачей. Это требует времени, знаний и координации сотрудников и ресурсов. Если у вас нет процедур и у компании нет опыта по их разработке, то наймите эксперта. «Эксперт» не надо переводить как «хакер». Будьте внимательны к тому, кого нанимаете. Как показывает рисунок 1.3, большинство компаний не хочет принимать на работу бывших хакеров в качестве консультантов.
Есть ряд компаний, серьезно относящихся к этому вопросу и могущих оказать ценные услуги. (Подробнее см. Приложение А, «Люди и продукты, о которых следует знать».) При разработке процедур реагирования на инциденты для одной из компаний я беседовала с ответственным сотрудником консультационной компании, занимающейся вопросами безопасности, о том, какую поддержку они могут предоставлять. Я спросила, как скоро может их эксперт прибыть на место происшествия. «У нас глобальный охват, — ответил тот, — и мы можем прислать команду сотрудников на требуемое место в любой точке земли в течение минут или часов, в зависимости от вашего местонахождения». Компании, занимающиеся вопросами безопасности и предлагающие такой вид услуг, готовы и стремятся вам помочь. Они пришлют немедленно своих экспертов, как только возникнет проблема. Они повидали много бедствий и знают, как трудно наводить порядок после серьезного взлома. Важно установить с ними контакт до того, как взлом произойдет. При этом у вас появится уверенность в том, что кто-то способен откликнуться на ваш зов, когда вы окажетесь в зоне бедствия.
Обучиться самому (или обеспечить обучение сотрудников)
Даже когда процедуры реагирования на инцидент имеются, системные администраторы и пользователи могут быть не обучены их применению. Политики и процедуры, которые не были ясно усвоены, не принесут много пользы. При этом создается ложное чувство безопасности. Нужно не только хорошо отразить в документах и раздать всем процедуры для чрезвычайных ситуаций, но и добиться того, чтобы каждый пользователь компьютера компании (от генерального директора до оператора по вводу информации) знал, как их применять. Ответственность за компьютерную безопасность должна ложиться на плечи каждого сотрудника.
Хорошей идеей является проверка ваших политик и процедур до возникновения инцидента. Можно провести имитационный прогон. Вы можете захотеть привлечь группу проникновения к тестированию безопасности вашего сайта. Скажем, «Группа тигров» попытается взломать ваш сайт и в то же время проверить действия вашей группы при взломе. Было бы неверным заставлять людей гадать о том, реальный ли это взлом или нет. Другими словами, не кричите «Волк!». Если вы привлекли консультанта по безопасности для тестирования защиты вашего сайта и реагирования на взлом, то предупредите об этом обслуживающий персонал. Пусть они знают, что это имитационный прогон, а не реальное событие.
Установить точку контакта
Во время вторжения часы продолжают тикать. Пока вы будете раздумывать о том, кому позвонить или что вам делать, вы упустите драгоценное время. В процедурах нужно указать, кого оповещать при взломе. В компании должен быть определен контактный телефон, наподобие линии службы спасения 911, по которому пользователи смогли бы позвонить в случае взлома.
Понять цели и установить их приоритеты
Цели и приоритеты вашей компании и соседних организаций могут взаимно отличаться. Главным при этом будет то, что при сложных инцидентах не будет времени оценивать приоритеты. Поэтому ваши цели при обнаружении взлома должны быть отражены в документах и понятны вам еще до того, как взлом произойдет.
Знание своих целей важно при составлении соответствующего плана действий. Цели действий в условиях вашей сети могут включать в себя некоторые или все из нижеперечисленных.
Защитить информацию клиента. Возможно, ваша сеть хранит важную для клиентов информацию. Если хакер похитит, изменит, уничтожит или даже выставит такую информацию в Интернете, то вы можете предстать перед судом.
Изолировать атаку. Предотвратите использование ваших систем для запуска атаки против других компаний. В некоторых случаях вам будет нужно отключить систему от сети, чтобы предотвратить дальнейший ущерб и ограничить масштабы атаки. Например, если у вас имеется внешняя клиентская сеть (extranet), подключенная к вашей сети, а хакер пытается получить доступ к системе, которая соединяет вас с клиентской сетью, то вы должны защитить сеть вашего клиента. Если вы осознали это, то будьте готовы (и знайте как) перекусить провод.
Оповестить вышестоящее руководство. Руководство отвечает за соответствие, точность и надежность информации. Если системы в вашей компании взламываются, то руководитель информационной службы [6] должен знать об этом и быть в курсе событий.
Обеспечить документирование события. Запись всех подробностей может помочь руководству в получении информации по оценке взлома и при проведении расследований в отношении конкретных лиц.
Сделать «моментальный снимок» системы. «Моментальный снимок» представляет собой содержимое памяти компьютера (ОЗУ, регистров и т. д.) в определенный момент времени. (Иногда «моментальный снимок» называют «разгрузка памяти» или «дамп».) В «моментальном снимке» может сохраниться информация, которую хакер не успел стереть до завершения или отражения атаки и которая может помочь поймать взломщика. Для расследования такая информация может оказаться крайне важной.
Соединитесь с группой реагирования на инциденты, связанные с компьютерной безопасностью (CSIRT - Computer Security Incident Response Team). Важно связаться с одной из CSIRT [7] на ранней стадии вторжения, так как, возможно, у них имеется информация, которая может помочь вам прервать вторжение. Например, они могут знать, как устранить «дыру» в программе или аппаратуре изготовителя, через которую взломщик способен проникнуть в вашу сеть. Они также накапливают статистику по общему количеству взломов и способов, применяемых хакерами для получения доступа. Если вы добились контроля над ситуацией и устранили проблему доступа хакера в сеть, вам все равно следует обратиться к CSIRT для пополнения их статистики. Они не будут предавать огласке название вашей компании и тот факт, что она подверглась взлому. В мире существует множество CSIRT. Подробнее о них можно узнать в Приложении А, «Люди и продукты, о которых следует знать».
Установить взломщика. Данный пункт кажется очевидным, но не все помнят о его важности. Конечно, проще оставить все как есть. Но лучше его поймать. Не сдавайтесь в своих попытках установить взломщика, который нанес вред вашей информации. Если вам не удается сразу отследить путь атаки на вашу сеть, не оставляйте мысли о том, как важно иметь возможность для этого. Ряд изготовителей предлагают программное обеспечение, способное легко отследить путь атаки (если оно установлено на коммутирующем узле). Такая мера должна быть предусмотрена в стратегии вашего руководства.
