Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?

Проводя аудиты, я научилась ничего не предполагать. В безопасности лучше не делать предположений. Ведь именно предположения вызвали проблему в данном случае. Дэйв предположил, что Фред настроит сервер базы данных как брандмауэр. Фред предположил, что его работа состояла лишь в подключении к Интернету. После моего открытия мне нужно было сообщить руководству, что необходимо провести аудит и сервера Drug10.

Просмотрев схему сети и наметив системы, которые казались наиболее подверженными риску, я встретилась с Дэйвом, чтобы узнать его мнение о том, какие системы мне бы следовало проверить. Важно узнать, что могут сказать по этому поводу люди «из окопов». Им могут быть известны скрытые риски, которым подвергается компания. Дэйв заявил, что ему все равно, какие системы я проверяю.

Некоторые системные администраторы не любят, когда их системы тестируются аудиторами. Люди думают, что это угрожает им потерей работы, но аудит безопасности не имеет к такой угрозе никакого отношения. Он влечет за собой уменьшение риска, повышение безопасности, воспитывает в людях старательность и т. д. Я успокоила его, сказав, что если обнаружу какую-то проблему, то скажу ему о ней. Я также напомнила ему, что иногда аудит безопасности не только помогает повысить саму безопасность, но и дает возможность увеличить финансирование и количество сотрудников. Я спросила Дэйва о том, достаточна ли была оказываемая ему помощь при настройке безопасности. Он ответил, что действительно не знает, как обеспечивать защиту систем, и что для этого ему нужна помощь других сотрудников.

Я сказала ему, что он мог бы немного поучиться безопасности. Он нашел эту идею великолепной. Как и многие системные администраторы, Дэйв имел мало времени для обучения, так как тратил его на обслуживание систем и поддержание правильной их работы. Короче говоря, Дэйв нуждался в обучении и дополнительных сотрудниках. Для меня это было неудивительным. Считается, что системные администраторы знают все и работают непрерывно. Я была системным администратором и это знаю.

Я сказала Дэйву, что, хотя схема сети у меня есть, я все же хочу посмотреть их политики и процедуры безопасности. Он ответил, что сделает их копии для меня к завтрашнему утру.

Мне не терпелось спросить Дэйва о сервере базы данных. Он и так уже был встревожен, и я не хотела сообщать ему плохих вестей. И все же по пути к выходу у меня случайно вырвалось: «Кстати, похоже, что сервер базы данных с именем Drug10 подключен к двум сетям. Это так?» Дэйв ответил: «Да, я подключил этот сервер к Интернету для того, чтобы один из клиентов имел доступ к базе данных». Этот ответ возбудил мое любопытство. Я спросила: «Когда?» Дэйв ответил: «В прошлом месяце».

«Хмммм… я никогда не видела, чтобы кто-то подключал сервер базы данных к Интернету, не защитив его брандмауэром». Дэйв ответил: «Наш эксперт по брандмауэрам Фред настроил Drug10 после установки мной системы на выполнение им функции брандмауэра».

После этого мне все равно было трудно поверить в то, что эти два человека подсоединили их систему напрямую к Интернету. Вот и говори про риск! Так как я уже собрала достаточно информации, чтобы начать тестирование, то решила поговорить с администратором брандмауэров Фредом после проведения тестов безопасности системы. Мне хотелось поговорить с ним, имея все факты. Меня уже звал к себе Drug10. Я должна была идти.

Было уже почти 5 часов дня, и я была вынуждена перенести тестирование систем на завтра. Дэйву надо было забирать ребенка, и ему не хотелось слоняться по компьютерному залу, пока я буду проводить аудит систем. Однако он согласился завтра первым делом создать мне учетную запись на сервере Drug10, чтобы я смогла сразу же, как только приеду, приступить к работе. Договорившись, мы ушли в одно и то же время.

В отличие от Дэйва, с радостью ушедшего с работы, я не была счастлива от ожидания. Мне надо было освободить свою голову от мыслей, иначе до утра я могла бы сойти с ума. Этому могла помочь хорошая пробежка. Я пришла в себя, когда уже зашнуровывала кроссовки. Я распахнула дверь дома и выбрала маршрут потяжелее — по холмам. После пяти миль бега по холмам Портола Вэли мне плохо не стало. Пробежка была напряженной и здоровой. И это сработало! Следующее утро наступило быстро.

Дэйв встретил меня в холле JFC. Мне хотелось поскорее добраться до клавиатуры Drug10, но сначала я должна была получить политики безопасности. Мы задержались из-за них в офисе Дэйва. Политики, распечатанные им, были немногочисленными и короткими — они умещались на нескольких дюймах бумаги. Дэйв занялся чтением электронной почты. Он тихонько ругнулся и начал выстукивать на клавиатуре ответ. Должно быть, он имел дело с трудным клиентом.

Пока он этим занимался, у меня была возможность взглянуть на политики. Это были политики очень высокого уровня — в них с высоты 30 000 футов [19] Около 10 километров. — Примеч. пер. руководство рисовало на песке линии. Хотя они удовлетворяли директора по информационным технологиям, но были не достаточны для непосредственного обслуживания или защиты систем компании. То, что я увидела, не содержало политики по защите брандмауэрами — это была, скорее, политика подключения. В ней предусматривалась защита брандмауэром лишь одного подключения интранет компании к Интернету. Без каких-либо оговорок. Что тут соблюдать?

Как только Дэйв оторвался от своей электронной почты, я попросила его провести меня в компьютерный зал. В JFC имелось несколько уровней безопасности для защиты компьютерного зала. За консолями и другим оборудованием следили четыре оператора. Они должны были обеспечить мою работу в системе, и Дэйв подтвердил, что я буду работать весь день. Физическая безопасность была хорошей. Видно было, что в нее были вложены серьезные средства.

Мы с Дэйвом прошли в середину зала. Со всех сторон нас окружали серверы выше моей головы. На всех них были таблички — Drug4, Drug5, Drug6. Уровень адреналина во мне стал расти. Я знала, что среди них искать. Я чувствую запах риска за милю. И за углом я увидела его — Drug10.

Дэйв создал мне учетную запись и сказал, что придет забрать меня на обед. Я уже почти зарегистрировалась в системе, когда он заканчивал фразу. По мере зондирования системы я не могла поверить своим глазам. Предположения подтвердились. Эта система оказалась подключенной к Интернету без какой-либо настройки безопасности. Это была еще одна стандартная установка системы.

Дальнейшее изучение показало, что сервер был очень сильно скомпрометирован хакером. Хакер даже заменил системные файлы и оставил «черный ход» для облегчения повторной прогулки! Невозможно себе представить, что будет, если из Интернета или интранет JFC придет хакер. Так как на сервере Drug10 легко может быть получен привилегированный доступ, то хакеру даже не придется много трудиться, Работу ему упрощало наличие неактивных учетных записей с легко угадываемыми паролями и тот факт, что патчи безопасности никогда не устанавливались.