Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?

Да, он действительно шел в ваш офис. Он вошел и закрыл дверь. Вместо того чтобы поблагодарить вас за хорошо сделанную работу, он обрушивается на вас с упреками в отношении выбранной вами компании для перевозки продукции. Очевидно, хакер взломал сеть этой компании. Наступил пик продаж, происходящий в конце каждого года, но не удается отправить ни одной единицы продукции!

Вы замечаете, что лицо директора становится багровым и его всего трясет. Вот-вот он раздавит вас, как жука. Ну как вы могли знать, что системы вашего нового партнера не защищены? Вы доверили ему отправку вашей продукции и считали, что он будет поддерживать безопасность со своей стороны.

Но вы не знаете (и можете никогда не узнать), что хакер пробрался из вашей сети в сеть подрядчика и обрушил все его системы. На его стороне защита в полном порядке. Это ваша сеть поставила его под угрозу. Так как вы уже тонете, то вы, разумеется, не собираетесь копаться во внутренних процедурах. Вместо этого вы показываете пальцем на партнера (и обвиняете во всем его).

Как не оказаться на месте этого партнера? Ведь слишком часто сторонние подрядчики становятся объектом обвинений из-за ошибки основного партнера. Рассмотрим пример…

Как и многие другие компании в 90-х годах, фирма S&B Systems искала прогрессивные методы ведения своего бизнеса. И как многие свои современники, фирма ухватилась за идею аутсорсинга.

В принципе аутсорсинг означает оплату услуг другой компании по выполнению части ваших функций. Например, S&B не хотела непосредственно нанимать (и платить им жалованье) 70 секретарей для работы по приему посетителей в различных странах. Вместо этого они передали эту службу подрядчику. Такой секретарь, сидящий в холле, выглядел внешне как служащий S&B Systems, но в действительности он работал в фирме по обеспечению обслуживающим персоналом с названием Job Power. После успешного аутсорсинга с секретарями S&B стала искать, как применить этот подход и для другого персонала.

Однажды руководство компании решило перевести на аутсорсинг все операции по перевозкам. Оно выбрало в качестве партнера фирму Express Time, имевшую многолетний опыт своевременных поставок и солидную репутацию. Для облегчения этого процесса S&B подключила Express Time к своей сети. Переход, казалось, проходил плавно. Вскоре у S&B Systems не было забот о поддержке и обеспечении персоналом отдела перевозок. Их выбор Express Time казался огромной удачей для обеих сторон.

Но высшие руководители S&B Systems и Express Time не знали, что система, соединяющая две компании, не была настроена так, чтобы обеспечивать безопасность. Каждый, кто получал доступ в эту межсетевую систему, мог заходить то в одну компанию, то в другую и собирать, изменять или уничтожать информацию как в S&B Systems, так и в Express Time.

Прошел целый год, пока не заметили, что обе эти сети являются легкими целями. В условиях такого большого риска компаниям просто повезло, что их системы не были обрушены одновременно. Ведь это было невероятно легко сделать!

И действительно, только случайно S&B Systems обнаружила, какой большой риск создает межсетевое соединение.

Все началось довольно обычно. Меня наняли как независимого аудитора для тестирования безопасности некоторых систем S&B Systems. Одному из менеджеров технической поддержки S&B, Шелли Бергер, потребовался аудит клиентской сети, так как ее персонал планировал переход на новую версию (апгрейд) операционных систем сети. Планировался также апгрейд брандмауэра, соединяющего их сеть с Express Time. Перед проведением такого перехода Шелли захотела узнать, как хорошо настроены средства безопасности систем.

Шелли поступила очень мудро. Перед тем как проводить общий апгрейд, всегда нужно убедиться, что вы понимаете, в какой среде он будет проводиться. Предварительный аудит является лучшим способом избежать отвратительных мелких сюрпризов в будущем.

Группа Шелли уже закончила аудит брандмауэра и теперь готовилась к его апгрейду. Поэтому основное внимание я обратила на внутренние системы S&B.

Шелли предоставила мне офис для посетителей с видом из окна, собственной системой, схемой сети и толстой стопкой политик и процедур. Она также дала мне краткий список персонала технической поддержки S&B. Обязанности по обеспечению безопасности разделялись между несколькими группами. В двух словах: у них имелись группа обеспечения безопасности, группа системных администраторов и группа обслуживания сети. Группа обеспечения безопасности отвечала за проведение аудитов безопасности, реагирование на взломы и рецензирование кода. [48] Видимо, имеются в виду скрипты и программы, используемые администраторами для настройки отдельных машин и сети. — Примеч. науч. ред. Системные администраторы отвечали за установку систем, проведение апгрейда и работу с пользователями. Группа обслуживания сети отвечала за техническую поддержку сети и брандмауэрных соединений. Я знала, что такая структура технической поддержки довольно типична для компании с размерами? как у S&B. Меня особенно впечатлила глубокая продуманность описания ролей и обязанностей.

Шелли было все равно, какой подход я выберу для тестирования систем. Ей просто нужно было узнать, какие существуют риски. Я попросила ее создать мне учетную запись на одном из серверов базы данных и запланировать встречи с группой обеспечения безопасности и системными администраторами на следующий день.

Шелли оставила меня обдумывать сетевую схему и политики, и процедуры. В сущности, это был спокойный аудит, в котором я должна была определить меры по предотвращению проблем с безопасностью, а не реагировать на свершившиеся факты. С другой стороны, это меня не вдохновляло. Я углубилась в изучение политик и процедур, ожидая, когда ко мне придет вдохновение.

Через несколько часов я просмотрела больше их половины. При более глубоком изучении они не казались такими уж восхитительными. Скорее, они подходили под то, что я называю политиками безопасности с высоты 30 000 футов — пространными и тяжеловесными инструкциями, которые должны были произвести впечатление на начальство, но мало полезны людям «в окопах».

День уже заканчивался, а вдохновение все еще не приходило. Обычно меня подстегивает одна только мысль предстоящего обнаружения риска. Но в этот раз меня ничего не подстегивало.

Я знала, что Шелли скоро проводит меня к выходу, поэтому я посвятила последние минуты просмотру сетевой схемы. В компании S&B имелись тонны серверов базы данных, и клиентская сеть была видна сразу. Было также видно, что к сети было подключено три различных клиента. Каждое соединение было защищено своим брандмауэром. Я догадалась, что это были именно те брандмауэры, которые они только что проверили и готовили к апгрейду.