Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?

Ясно определяйте роли и обязанности по обеспечению безопасности в вашей компании. Если ответственность по обеспечению безопасности пересекает границы между подразделениями (например, ложится одновременно на системных администраторов, администраторов группы обеспечения безопасности и администраторов брандмауэра), добейтесь того, чтобы все игроки знали, какую роль они должны играть.

Эксплуатация брандмауэра без политик похожа на езду в темноте без включенных фар. Рано или поздно вы попадете в аварию. Люди должны знать, что им разрешено, а что нет. Не позволяйте вашему администратору брандмауэра вас одурачить и скрывать от вас эту информацию в своей голове. Если он уйдет из компании, то вместе с ним уйдут политики и процедуры для поддержки вашего брандмауэра.

Политики и процедуры должны быть изложены на бумаге и постоянно обновляться. В идеале поручите кому-нибудь эту задачу персонально. Даже лучше сделайте выполнение этой задачи итоговой целью года.

Брандмауэры обычно состоят более чем из одной машины. В некоторых компаниях брандмауэром считается целый комплекс, в который входят хост-машины, сети и маршрутизаторы. Брандмауэры нужно «питать». Для поддержки «здоровья» брандмауэра обеспечьте его профессиональным администратором, регулярно проводимой модернизацией, современными патчами и обучением. Не допускайте того, чтобы замок на вашем брандмауэре заржавел, как это случилось в Global Chips.

Вам не принесет много пользы поддержка брандмауэром множества контрольных журналов, которые вы никогда не просматриваете. Хотя Global Chips была взломана много раз, они легко отделались потому, что у них были хорошие контрольные механизмы, сообщающие им о взломе системы хакером.

Когда в последний раз хакер стучался в вашу дверь? Смог ли он зайти? Кто это знает? Это должны знать вы. Если нет, то вы невнимательны. Добейтесь использования надлежащих механизмов регистрации и контроля.

Программы-детекторы не могут со 100-процентной вероятностью обнаруживать взломщика, но они являются хорошим началом. Программы-детекторы могут дать вам лучшее представление о масштабе угрозы, с которой вы столкнулись. В течение 2000 года в Пентагоне обнаружили 245 успешных кибератак. Так как в Пентагоне были внедрены хорошие механизмы обнаружения, то его должностные лица знали о том, что вместе с тем было 24 000 безуспешных атак. Знание их количества дало более ясную картину реального риска.

Ваша информация может быть не столь привлекательной, как хранящаяся в Министерстве обороны, но не полагайтесь на это. А если вы подключились к Сети, то вряд ли будете в большей безопасности. В своем исследовании, проведенном в декабре 1996 года, Дэн Фармер (известный гуру в вопросах безопасности и соавтор таких программ, как SATAN) установил, что уровень использования программ-детекторов угрожающе низок. Дэн провел несанкционированное исследование с целью прозондировать состояние защиты коммерческих веб-сайтов. Из более 2000 сайтов, зондируемых им без уведомления, оказалось только три сайта, владельцы которых связались с ним и спросили, что он делает! Удивитесь ли вы тому, что ваш сайт был частью этого исследования?

Улучшилось ли положение с тех пор? Не настолько, как я ожидала (или мне хотелось бы). По оценке таких экспертов, как, например, поставщик средств защиты Spectrum Systems, все еще обнаруживается только 1 процент от успешных или предпринятых компьютерных атак. Главное изменение состоит в том, что сегодня стало больше онлайновых коммерческих целей и стало больше использоваться веб-сайтов для обмена финансовыми средствами и информацией. Информация о вашем местном хозяйственном магазине, может быть, и не имеет большой привлекательности, но зато информация кредитных онлайновых карточек его клиентов, скорее всего, ее имеет.

Быстрая реакция на взлом администратора брандмауэра и администратора группы обеспечения безопасности Global Chips объясняется тем, что их действия были отлажены реагированием на многочисленные взломы. Будем надеяться, что вы никогда в таком положении не окажетесь.

В идеале процедура реагирования на чрезвычайную ситуацию должна разрабатываться и использоваться для тренировок только в режиме «оффлайн» и не применяться для решения ежедневно возникающих проблем. Очень важно разработать и передать администраторам процедуру реагирования до того, как она действительно понадобится. Пока взлом не произошел, нужно точно расписать роли и обязанности каждого сотрудника. Если вам очень повезет, то вы, может быть, никогда не воспользуетесь этой процедурой. Но не рассчитывайте на это!

В своем Special Report on Security [44] Security Special Report — раздел (портал) для профессионалов в области безопасности ИТ. — Примеч. пер. на сайте Computerworld Пол Страссман (Paul Strassman) поясняет: «Усовершенствование безопасности системы, проектирование которой основывалось на презумпции невиновности и честности, часто оказывается слишком дорогим или запоздалым, чтобы его стоило проводить». Чтобы избежать такой ситуации, не полагайтесь на то, что все идет гладко.

Global Chips повезло из-за того, что ее директор по информационным технологиям была информирована о происходящих взломах. Когда их количество возросло, она потребовала установить причину происходящего. Вашей компании может так не повезти, если вы не имеете хороших процедур эскалации [45] См. первую главу книги. — Примеч. пер. и не в курсе состояния безопасности вашей среды. Знаете ли вы, в каком состоянии находится ваш брандмауэр? Сколько ему лет? Кто его поддерживает? Имеются ли политики и процедуры? Если вы являетесь менеджером высшего уровня, то потребуйте доказательств состояния безопасности (итоговый отчет для руководства).

Не успокаивайтесь после установки брандмауэра. Правда заключается в том, что эффективность брандмауэра ограниченна. Брандмауэр не защитит вас от разрушительного действия плохо определенных ролей и обязанностей, от сотрудников с наплевательским отношением к безопасности, от бесконтрольного удаленного доступа, плохого обучения сотрудников и т. п. Маркус Ранум сказал: «Брандмауэр не может защитить вас на самом деле еще от одной вещи… от идиотов внутри вашей сети». Для сохранности вашей информации обеспечьте каждому сотруднику хорошее обучение и твердые знания их ролей и обязанностей.