IT-безопасность: стоит ли рисковать корпорацией?
IT-безопасность: стоит ли рисковать корпорацией? читать книгу онлайн
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
— Предусмотрено ли в процедурах немедленное уведомление руководителя информационной службы при возникновении вторжения и после его отражения?
— Выделено ли достаточно средств на разработку и поддержание реагирования на инциденты, связанные со взломом?
— Действительно ли ответственные сотрудники посещают все требуемые занятия?
— Проводятся ли личные проверки ответственного персонала?
— Все ли гладко во взаимоотношениях между системными администраторами и группами обеспечения безопасности?
— Имеются ли планы восстановления системы после инцидента?
— Надлежащим ли образом контролируются меры безопасности в системах? («Надлежащим» здесь означает, что такая оценка дана реальной аудиторской проверкой.)
— Включены ли контрольные журналы систем?
— Просматриваются ли периодически журналы регистрации в системах?
— Установлены и работают ли необходимые инструменты по обнаружению вторжения?
— Установлены ли в вашей сети программы-детекторы, обнаруживающие «неизвестные» атаки?
— Можете ли вы обнаружить и предотвратить атаки как на сеть, так и на хост-компьютер (многоуровневый подход к обнаружению)?
— Легко ли отслеживается путь атаки в вашей сети?
Заключительные слова
Статистика, которую ведет CERT, показывает, что количество нарушений безопасности более чем удваивается каждый год. По данной статистике, число инцидентов возросло с 3934 в 1998 году до 9859 в 1999 году, а затем до 211 7569 в 2000 году и до 52 658 в 2001 году. Только за первый квартал 2002 года было зарегистрировано еще 26 829 инцидентов. Пугает то, что о многих нарушениях не было сообщений, так как их не удалось обнаружить. В то время как 38 % респондентов, участвующих в опросе CSI 2002 года, сообщили о неавторизованном использовании своих веб-сайтов в прошедшем году, 21 % других респондентов честно признались, что не знают, были ли взломаны их сайты или нет.
Легко видеть, что даже если у вас нет причин поверить в существование факта взлома систем вашей компании, вы все равно можете быть жертвой незамеченной атаки. В одном из своих действительно показательных исследований Министерство обороны США провело тестирование, которое продемонстрировало, как редко взломы обнаруживаются и регистрируются (рисунок 1.4). В данном тесте было атаковано 8932 компьютера. В результате атаки было взломано 7860 систем — около 88 %. И только о 19 атаках были сделаны сообщения — менее 0,003 %!
Источник: Defense Information Systems Agency.
Рисунок 1.4
Дэн Фармер (Dan Farmer), хорошо известный исследователь компьютерной безопасности, провел тестирование высокопрофессиональных коммерческих веб-сайтов. Результаты тестирования показали серьезную уязвимость Интернета. Из 1700 веб-серверов, подвергшихся тестированию в данном исследовании, более 60 % могли бы быть взломаны или выведены из строя, и только на трех сайтах было замечено, что их тестируют.
В стремлении подключиться к Интернету вы можете забыть о безопасности, и ваша система легко может оказаться среди этих уязвимых 60 %. Если вы не уверены в том, что контролируете безопасность вашего веб-сервера (или любой другой системы), то проведите проверку на безопасность сами или вызовите эксперта по безопасности, который проведет оценку вашего сайта.
Тесты Министерства обороны и Дэна проводились несколько лет назад. Сегодня трудно сказать, сколько компаний смогли бы обнаружить подобные атаки. На многих сайтах установлены программы-детекторы вторжений, отслеживающие атаки. Если в вашей компании их еще не установили, то нужно это сделать. Не ждите, пока название вашей компании появится в выпуске новостей CNN.
Глава 2
Безопасность в стандартной поставке
Подсистемы должны находиться в выключенном состоянии по умолчанию, и пользователь будет знать (по возможности), что он действительно включает, перед тем, как это включит. Это не столь очевидно для одной или двух подсистем, но если их сотни… не надо дожидаться того времени, когда целое поколение системных инженеров будет проводить половину своей рабочей жизни, выключая одно и то же на каждой машине.
Проект OpenBSD [9]
Уже год, как вы занимаетесь бизнесом в Интернете, и вы только начали получать прибыль. Наконец-то на взлете! Вы счастливы, став одним из первых, поставивших свой бизнес в Сети, который движется и приносит вам прибыль. Вы забрались на новую территорию, которая неизвестна большинству, — в Интернет. Это напоминает вам приключения первопроходцев, захотевших попытать счастья и пересечь всю страну после того, как они услышали о богатейших просторах Калифорнии. Они нашли золото. И вы тоже стали одним из первопроходцев в Интернете и скоро тоже найдете свое золото!
Вы так загружены работой, что отпуск кажется вам несбыточной мечтой. Вы довольны вашим провайдером Интернет-услуг (ISP — Internet Service Provider). Ведь провайдер открыл дверь вашему бизнесу в Интернет. Более того, провайдер помогает хранить и обслуживать всю информацию по вашему бизнесу, включая вашу домашнюю веб-страницу. Вам не нужно тратить время на обслуживание систем или на раздумья, как построить веб-страницу и подключиться к Интернету. Честно говоря, вы не очень задумываетесь о том, как работают компьютеры, да это и не нужно — ведь вы же платите за это провайдеру!
Забыв об отдыхе, вы налегаете на работу. Время поднимать цены. Теперь можно больше запросить за ваши консультационные услуги, так как на них возрос рыночный спрос. Уже почти полночь, но вы решаете войти в систему и до утра внести свои изменения. Вы пытаетесь зайти на вашу веб-страницу, но это не удается. Вы пытаетесь снова и снова. Безуспешно! Что же случилось? Может быть, трафик в Сети так плох, что не дает получить доступ к вашей веб-странице? Вы пытаетесь позвонить вашему провайдеру, но его номер занят. Вы не можете получить доступ к вашей веб-странице, и линия провайдера постоянно занята. Вы ворочаетесь и мечетесь всю ночь, гадая о том, что же происходит.
К несчастью, беды на этом не закончились. Следующим утром вы узнаете, что хакер взломал системы вашего провайдера. Он обрушил их и уничтожил всю информацию. Подождите! Так это же ваша информация! Хуже того, вы обнаруживаете, что жизненно важная для вашего бизнеса информация и домашняя страница не могут быть восстановлены, так как ваш провайдер никогда не делал резервных копий диска, на котором хранилась ваша информация.
Как теперь быть? Вся информация по вашим клиентам безвозвратно утеряна! Вы думаете, что такое невозможно? Подумайте получше.
Храните ли вы ваши драгоценные цифры в изолированной от внешнего мира корпоративной сети или же храбро выставили их в неопределенность Интернета, вы в любом случае должны иметь возможность доверять целостности вашей информации и способности провайдера защитить ваши ресурсы. Провайдер должен знать, как устанавливать системы и защищать вашу информацию. Ведь так же? Это часть его услуг, за которые вы платите. Но, к сожалению, быстрый рост информационных технологий и необходимость развития новых видов бизнеса, требующих новых технологий, не вызвали такого же повышения уровня квалификации в вопросах безопасности у профессионалов.
В современной информационной среде большинство людей знает, что подключение системы к Интернету без мер безопасности во многом похоже на «русскую рулетку» — только вопрос времени, когда на кого-то придется выстрел. Если это так, то почему профессиональные провайдеры устанавливают стандартные системы, не проводя их дополнительных настроек, и играют в «русскую рулетку» с информацией своих клиентов? Им нет дела до сохранности информации клиентов?
