LINEBURG


<< Пред. стр.

страница 11
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Я начала беседу с просьбы показать мне политики и процедуры. У нее они уже были на­
готове. В основном документы выглядели хорошо. Но раздел, касающийся безопасности,
был очень коротким (почти незаметным). Джилл объяснила, что сейчас раздел дорабаты­
вается.


2. Audit trails. - Примеч. пер.
90 План перехода

Я была озадачена тем, как они настраивали безопасность систем во время их оптимиза­
ции, не написав прежде процедур для этого. Настройку они не проводили. Руководство
знало, что защиты не было, но график был плотным, и они решили вернуться к мерам
безопасности позднее. И в результате Rockland эксплуатировала новую сеть целый год без
защиты.
Кроме отсутствия защиты систем, в Rockland также отсутствовала их классификация. Сле­
дующей моей задачей было допросить с пристрастием Джилл о содержимом систем. Получив
от нее эти сведения, я могла бы больше времени уделить тестированию, сбору информации
и написанию отчета. Мне нужно было узнать, какие из систем содержат критичную информа­
цию, какой характер имеет эта информация и почему она считает эту информацию критичной.
Это позволило бы мне при проведении аудита нацелиться на наиболее важные системы.
Джилл знала, где хранится некоторая критичная информация, но ей не приходилось обес­
печивать для этих систем более высокий уровень защиты. Из сведений, полученных от
Джилл, я тем не менее поняла, где находится самая аппетитная информация.
В моей деятельности я видела, как аудиторы задают вопросы техническому персоналу
о том, на каких системах лучше запускать аудиторские программы. Иногда им отвечали
честно. Иногда - нет. Даже не имея задних мыслей, персонал технической поддержки не
всегда понимает, где в их сети находятся участки повышенного риска. Поэтому, если вам
скажут, что DS19 является системой повышенного риска, эту информацию все равно надо
проверить.
Джилл рассказала, что истории болезни пациентов хранятся на серверах с именами от PR1
до PR10. Ага! Теперь я знала, что буквы PR обозначали историю болезни (по-английски -
Patient Records. - Примеч. пер.). Как я об этом не догадалась раньше? Как бы то ни было,
эти системы должны считаться особо критичными и в них должны быть установлены
средства защиты. Как я уже рассказывала, эти системы были взломаны мной в первую
очередь.
Джилл попала прямо в яблочко. Я убедилась в этом, проверив типы операционных систем
и серверов и изучив содержащуюся в системах информацию. Закончив эту проверку, я ре­
шила, что у меня достаточно информации для написания отчета. Конечно, проблем с безо­
пасностью было много. Но главными в моем списке проблем были следующие:
• Никто и никогда не проводил оценку рисков.
• Политики и процедуры были неполными.
• Системы, содержащие жизненно важную информацию3, были установлены стан­
дартным способом.
• Информация могла быть легко изменена, украдена или уничтожена без следа.
Очевидно, никто не уделил достаточно (или вовсе не уделил) внимания рискам изменения,
уничтожения или кражи информации, когда ее переносили из отдельного компьютера
в серверы сети. В результате оказались подвергнуты риску истории болезни.

Резюме: Тщательнее планируйте выполнение подрядных работ
Перенос систем с одной платформы на другую - задача не из легких. Перед оптимизацией
вычислительной среды или переносом систем на новую платформу нужно проводить
оценку риска. Кроме того, необходимо разрабатывать новые политики и процедуры при­
менительно к новой среде.

3. Highly sensitive information - буквально: «высокочувствительную информацию». Это конфиденциальная
информация, раскрытие которой может нанести персональный вред, в данном случае - пациентам. - Примеч. пер.
91
Безопасность вне плана


Одновременно нужно обучить системных администраторов тому, как обеспечивать безо­
пасность в новой системе.
Прежние игроки в данной истории разыграли свои карты по всем правилам. Получив
большой кусок пирога, Джо и Марлен построили систему, сорвали аплодисменты и удали­
лись. К сожалению, спроектированная ими новая сеть содержала несколько довольно
больших проблем безопасности.
В реальной жизни карты, разыгранные Джо и Марлен, не являются чем-то необычным.
При создании сетей вопросы безопасности часто тормозят ход работ и раздувают бюджет.
Хуже того, эти вопросы не получают и доли того внимания, которое привлекают к себе
большие проекты. И наконец, руководители просто не желают знать, что может случиться,
если будет отсутствовать защита.


Мы пойдем другой дорогой...
Генеральная перетряска большой компьютерной системы является ситуацией, полной неожи­
данных проблем с безопасностью. По меньшей мере, вы будете иметь дело с кривой нараста­
ния опыта системных администраторов, стремящихся освоить систему с новой технологией.
В данном случае эта кривая медленного накопления опыта могла бы оказаться роковой
для некоторых пациентов Rockland General. Но счастье оказалось на их стороне.
Не полагаясь на удачу в судьбе, в Rockland General должны были бы сделать следующее.

Оценить риски
Перед тем как перенести информацию с одной платформы на другую, всегда проводите
оценку риска. По своей природе одной информации присущ больший риск, чем другой.
В нашем случае более рискованной информацией оказались истории болезни.
После оценки риска руководство должно было определить риск для каждого вида ин­
формации и предпринять шаги по сохранению ее в тайне. Они могли бы усилить меры по
контролю доступа, ввести контроль над действиями пользователей, обнаружение вторже­
ния и шифрование в системах с историями болезней.

Классифицировать системы
Системы нужно было классифицировать по степени важности и построить их защиту,
исходя из уровня риска для информации. Основными уровнями риска при такой класси­
фикации являются некритичный, критичный и особо критичный. После проведения клас­
сификации безопасность систем должна быть настроена в соответствии с политикой ком­
пании по защите информации.
Так как каждая компания имеет свой уровень развития и несет ответственность за свою
информацию, то классификация и определение уровней безопасности должны проводить­
ся исходя из конкретных условий (меняющихся от компании к компании).
В данном случае единственным человеком, кто хотя бы смутно представлял себе идею
классификации систем, была Джилл. Да и то после того, как ей открыли на это глаза. Так
относиться к технической поддержке компьютеров нельзя. Вы должны ясно представлять,
что нужно защищать. Иначе вы не сможете убедиться в достаточности имеющегося у вас
уровня безопасности.
92 Мы пойдем другой дорогой...


Запретить стандартные установки систем
Мы уже обсуждали это ранее (во второй главе), но нужно еще раз повторить. Стандартная
установка систем порождает высокую степень риска для любой компании, в которой нет
хороших политик и процедур безопасности. Установленные стандартно системы могут
создать зияющие дыры в вашей сети.
Зачем оставлять приглашение хакерам, если вы можете этого не делать? Лучше внедрите
правильные политики и процедуры по установке систем в вашей сети.

Не быть слишком доверчивым
Доверие - это страшная вещь в сетях с неправильной настройкой. Как только вы войдете
в одну машину, другие машины доверят вам войти в них. Если вам необходима довери­
тельная конфигурация (а абсолютная необходимость возникает лишь в редких случаях),
то вы должны обеспечить должную безопасность доверяемой машине. Это очень трудно
сделать. По возможности поищите менее рискованную альтернативу.

Извлекать уроки из прошлого
Часто говорят, что тот, кто забывает историю, обречен ее повторить. Только что назначен­
ные менеджеры и системные администраторы не должны считать безопасность прини­
маемых ими систем достаточной без проверки, проведенной собственноручно, - не зави­
симо от репутации предшественников. Если бы в данном аудите не были вскрыты остав­
шиеся от предшественников проблемы, то Мэтт мог бы испытать на себе, как доверие
к Джо и Марлен разрушит его собственную репутацию.

Выбирать цели при сокращении бюджета
Бездонных бюджетов не бывает, и в наступившей эре бережливости трудно выжить.
Но и в этой ситуации рискованно искать обходные пути.
Здесь пользу может принести классификация систем. Вы не должны тратить средства на
обеспечение безопасности наугад, то есть начинать с первой системы и двигаться справа
налево, а затем остановиться, когда деньги закончатся. Если вы проведете оценку риска
и классификацию систем, то сможете применить более практичный подход. Вы сможете
использовать полученную информацию и сокращать средства, прежде всего для участков,
где это причинит меньший вред.
В идеале, конечно, вы должны обеспечивать безопасность каждой системы. Но если бюд­
жет не позволяет сделать этого прямо сейчас, то вы должны в первую очередь позаботить­
ся о защите особо критичных систем.

Проводить тестирование безопасности
Используйте аудиты безопасности для оценки уровня риска в вашей среде.
Rockland General должна была провести аудит безопасности до переноса систем на новую
платформу. Аудит выявил бы существующие риски безопасности, что помогло бы персо­
налу компьютерного зала получить финансирование, необходимое для обеспечения безо­
пасности при таком переходе.
Разумеется, им следовало бы многое сделать. Я догадываюсь, что технический персонал
противился проведению первоначального аудита, так как им действительно не хотелось,
чтобы начальство узнало о существующих рисках. Зачем забираться в такие дебри только
для того, чтобы показать начальству свое неумение устранить обнаруженные проблемы.
93
Безопасность вне плана


Сделать руководителей подотчетными
Другой очевидной проблемой в Rockland General была краткосрочность мышления менед­
жеров: «Получай свою премию и управляй своими людьми». При наличии корпоративной
культуры, допускающей быстрое передвижение по служебной лестнице, обязанности по
обеспечению безопасности должны отражаться в должностной инструкции! Нет безопас­
ности - нет премии. Более того, сотрудники должны проявлять больше усилий, чтобы ос­
таться в числе лучших профессионалов. По меньшей мере, нужно назначать на должности
менеджеров только тех, кто показывает стабильные результаты в технической поддержке
особо критичных машин.
Несомненно, конечная ответственность за риски безопасности лежит на руководстве.
Но нечестно во всем обвинять людей, которых уже нет рядом с вами.

Не расплачиваться за других
На системных администраторов часто обрушивается гнев за проблемы с безопасностью,
даже если это не их вина. Не удивляйтесь, если менеджер, отказавшийся обеспечить необ­
ходимое финансирование поддержки безопасности, будет первым, кто набросится на вас,
когда что-то пойдет не так.
В любом случае, когда что-либо происходит с обслуживаемыми вами машинами, люди бу­
дут обвинять в этом вас. Если компания, в которой вы работаете, не финансирует под­
держку или обучение безопасности, то, может быть, стоит задуматься над обновлением
вашего резюме.

Включать обучение в бюджет
Смена платформ и радикальное изменение конфигурации означают, что вы также потеряе­
те знания ваших людей. Перед тем как осуществить такой переход, обеспечьте обучение
персонала новым вещам. Системные администраторы не смогут однажды проснуться
утром и обнаружить, что они таинственным образом во сне освоили операции по новой
технологии. Им нужен кто-то, кто бы объяснил, какие добавить патчи, какие службы вы­
ключить и т, д.
В Rockland General технический персонал перенес всю особо критичную информацию
больницы из большого старого компьютера, который они знали, как обслуживать, в незна­
комую распределенную среду. И в процессе этого руководство не обеспечило им ни одно­
го занятия по безопасности. Неудивительно, что с безопасностью возникли такие большие
проблемы!

Подсчитывать очки
Мы уже обсудили виды рисков, сопровождающих краткосрочное мышление. Теперь по­
говорим об одном из способов эти риски избежать: о подсчете очков!
Высшее руководство должно подсчитывать очки по безопасности сотрудников всех уров­
ней. Ни один из менеджеров, отвечающих за техническую поддержку компьютеров, не
должен получать премию, пока он не добьется поставленных перед ним целей по обес­
печению безопасности. Таким же образом системные администраторы должны набирать
очки за то, как они защищают информацию, а не только за то, как они обеспечивают ис­
правность сети и ее работу.
94 Заключительные слова


Контрольный список
Используйте этот список, чтобы определить, подвергается ли ваша компания риску по
причине незнания того, каким этот риск является. Можете ли вы поставить «Да» напротив
каждого пункта?
_ Проводилась ли недавно оценка риска?
_ Классифицированы ли системы по уровню риска (некритичные, критичные, особо
критичные и т. д.)?
_ Привязаны ли цели руководства к вопросам безопасности?
_ Проводятся ли плановые аудиты для проверки ранее сделанной оценки риска?
_ Привлекаются ли, при необходимости, внешние аудиторы для оценки и уменьше­
ния риска? (Некоторые владельцы информации еще не знают, какие ценности они
имеют!)
_ Все ли сотрудники (как менеджеры, так и системные администраторы) назначаются
на должности и оцениваются, основываясь на выполнении ими задач по обеспече­
нию безопасности?

Заключительные слова
Оценка риска является одной из важнейших и наиболее игнорируемых задач в области
безопасности. Как ни печально, но это действительно так. Вы должны понять, что у вас
есть и что из вашего имущества заслуживает охраны.
По данным опроса Global Security Survey, проведенного в 2001 году журналом Information
Week и группой Price Waterhouse Coopers, у 64 процентов респондентов не было политики
безопасности, определяющей классификацию информации. Это несомненный рост по
сравнению с 52 процентами в предыдущем году. Конечно, не все нарочно «игнорируют»
проведение классификации информации. Почти у 70 процентов вообще нет политики
защиты информации, определяющей их цели по обеспечению безопасности. Так ли уж не­
брежны компании в отношении безопасности информации? Вовсе нет. Просто рост в гео­
метрической прогрессии количества информации, которую необходимо защищать, захле­
стнул компании. Придется ли им заплатить за свой недосмотр в будущем? Несомненно.
Чтобы действительно защитить свою сеть, вы должны провести тщательную оценку риска
и затем использовать эту информацию для построения вашей стратегии безопасности.
И это надо будет проделывать не один раз.
Как только будут добавляться новые системы, меняться системные платформы или пред­
приниматься основательные организационные изменения, вы должны будете повторно
проводить оценку риска. «Безопасность нельзя сводить к одноразовому мероприятию - ее
нужно практиковать. Такая практика заключается в инструментах, обучении, системе оце­
нок и методологии».
Глава 7
Поддержка безопасности

Конечно, в этой фирме был брандмауэр, но ее сеть была широко открыта любо­
!
му с картой 802.11 (b) .

СИЛКОМ Гарфинкл, соучредитель компании Sandstorm Enterprises


Вы являетесь менеджером административной информационной системы у крупного про­
изводителя микросхем. Ваша группа обеспечивает техническую поддержку сети компа­
нии и отвечает за работоспособность сети и решение возникающих в ней проблем. Это
большой груз ответственности в большой компании. Это вместе с тем неблагодарная ра­
бота. Все сразу видят, когда сеть выходит из строя. Но никто не замечает, как хорошо и бы­
стро работает сеть, если все в порядке, - это обычное для всех состояние сети.
Ваша группа также отвечает за поддержку брандмауэра компании. Этот брандмауэр защи­
щает вашу сеть от большого плохого Интернета. Вы счастливы, что у вас работает один из
лучших в мире экспертов по брандмауэрам. Как только возникает проблема, он тут же
берет ее решение на себя. В окружении зрелых специалистов вам удается освободить для
себя время, чтобы заняться нужными делами, как, например, политиками компании
и бюджетом. И вот вы только что провели последние штрихи в бюджете отдела на сле­
дующий год.
Но зазвонил телефон. Ваш эксперт сообщает вам, что очередной хакер проник в сеть ком­
пании через брандмауэр. Эксперт уже связался с группой обеспечения безопасности ком­
пании. Сотрудники группы будут определять путь хакера, а он займется выяснением спо­
соба, с помощью которого хакер осуществил взлом. Вы говорите: «Отлично. Только сооб­
щите мне, когда проблема будет решена».
Можно вернуться к бюджету. Цифры выглядят хорошо - средства не такие уж большие,
но вполне достаточные. Даже если у вас отнимут процентов 20, то и тогда оставшегося
хватит безбедно прожить следующий год.
За составлением бюджета время пролетело быстро, и незаметно наступил конец рабочего
дня. Вы уже собрались пойти домой, но вспомнили, что вам все еще не позвонил админи­
стратор брандмауэра. Ну да ладно. Пустяки. Вы надеетесь, что у него все под контролем.
Можно еще успеть выбраться на хоккей. Sharks играют дома, и вы ни за что не пропустите
игру.
На следующий день вам звонит ваш администратор брандмауэра: «Мы выкинули хакера
из сети прошлой ночью. Я нашел, в чем проблема, и устранил дыру. Этим путем он боль­
ше не пройдет». Отличная работа! Вы знали, что все так и выйдет.


1. Очевидно, внутренняя сеть фирмы была создана по беспроводной технологии стандарта ШЕЕ 802.11 (b),
причем была защищена только точка входа. - Примеч. пер.
96 Кто отвечает за безопасность

Что же здесь не так? Руководитель, отвечающий за поддержку брандмауэра и думающий,
что взлом - это пустяк, должен искать себе новую профессию! Это не тот тип менеджера,
которого я бы допустила к технической поддержке моей сети и брандмауэра.
Если вы думаете, что всякий, в чьи обязанности входит обеспечение безопасности вашей ин­
формации, действительно заботится о безопасности, то подумайте хорошенько. Цель компа­
нии защитить информацию не всегда становится целью каждого. Теперь посмотрим...

Кто отвечает за безопасность
Когда пять лет назад компания Global Chips подключилась к Интернету, она поставила
и брандмауэр. Брандмауэр в то время справлялся со своими функциями - обеспечивал со­
трудникам доступ к внешнему миру и преграждал путь хакерам. Однако технологии бы­
стро меняются, a Global Chips годами не поддерживала и не улучшала свой брандмауэр
должным образом. Это открыло дверь в их сеть.
Однажды хакер прошел через брандмауэр, как будто его и не было. Затем хакер свободно
совершил долгую прогулку по интранет компании, собирая пароли и информацию. Персо­
нал технической поддержки обнаружил хакера в сети, но не смог получить достаточно
информации, чтобы отследить обратный путь к хакеру.
Администратор брандмауэра Джозеф Уизерс все же смог определить, как хакер взломал
брандмауэр, и закрыл дыру.
К сожалению, сага о брандмауэре продолжалась. Global Chips столкнулась с серией взло­
мов. Тем временем брандмауэр стал повседневной целью атак хакера. После каждого
взлома Джозефу приходилось устранять новую обнаруженную проблему. Но все попытки
отследить путь хакера для установления конкретного лица были бесполезны (что не явля­
ется необычным). Поэтому Джозеф не знал, имеет ли он дело с хакером-одиночкой или
с группой хакеров.
Директор по информационным технологиям Аманда Миткин получала информацию о каж­
дом взломе. В сети происходило слишком уж много взломов, и Аманда захотела узнать
причину этого. Довольно интересно, что менеджер, отвечавший за комплекс брандмауэра
в Global Chips, не задавал себе такого же вопроса. Он считал системного администратора
героем за то, что тот устранял возникающие при этом проблемы.
Аманда была рассудительна. Когда компания устанавливает брандмауэр, то весь трафик,
идущий из интранет в Интернет (или наоборот), проходит через брандмауэр. Он установ­
лен для защиты. Ане для учебной стрельбы!
Если высшие руководители спрашивают, почему происходят взломы, до того, как об этом
спросят линейные менеджеры, то видно, что эта проблема последних не интересует. К сча­
стью для Global Chips, Аманда была встревожена фактами взломов и потребовала провес­
ти расследование.

День 1-й: Как выгоняли плохих парней
Аманда поручила провести расследование директору внутреннего аудита Перри Слоуну.
Перри был также озадачен количеством успешных взломов. Так как у его сотрудников не бы­
ло опыта в данной области, то Перри нанял для проведения аудита консультанта по вопросам
безопасности.
И тут на сцене появляюсь я. Перри сообщил, что взломы стали повседневным явлением,
но это все, что он знает. Так как он уже понимал серьезность сложившейся ситуации,
то я не стала тратить время на определение уровня риска. Хакер уже сделал это за меня.
97
Поддержка безопасности


Вместо этого главным в аудите было ответить на вопрос: «Почему мы не можем запереть
перед хакером двери?»
Перри поручил своему ближайшему помощнику Теду Дэвису заботиться обо мне. Тед
должен был организовать мои встречи с нужными людьми. Некоторым руководителям и
сотрудникам технической поддержки нравится изматывать аудиторов, не отвечая на звон­
ки и демонстрируя свою постоянную занятость. У меня не было ни времени, ни намере­
ний играть в такие глупые игры. Обязанностью Теда было таких игр не допустить.
Как профессиональный аудитор компании, Тед мог легко и быстро добраться до людей на
верхних уровнях управления компании. Он должен был устраивать мне встречи с ними
и следить, чтобы я могла легко связаться с нужными людьми. Компания была значитель­
ной, и ей требовался быстрый ответ. В план игры не входили политические игры. Получив
в свое распоряжение Теда для наведения ясности по данному вопросу, я начала обдумы­
вать мой подход.
Некоторые аудиты состоят в основном из интервьюирования и составления итогового
отчета. Как ни странно звучит, но иногда риск бывает так велик, что проблема смотрит на
вас прямо в лицо. Так как риск уже был очевиден для директора по информационным тех­
нологиям, то внутреннее чутье мне подсказывало, что этот аудит будет именно таким.
Когда хакер может неоднократно проходить через брандмауэр, то обычно проблема за­
ключается в плохой поддержке, настройках или самих средствах безопасности. Я все еще
не представляла себе, сколько тестов мне нужно будет провести. Но я знала, что интервью
могут дать мне ключ к сбору информации. Я стала в уме составлять список вопросов.
В основном эти вопросы будут касаться администратора брандмауэра Джозефа Уизерса.
В конце концов, это он стоял ночами, пытаясь отогнать хакера, Тед запланировал мне
встречу с Джозефом на завтра , и попросил его принести необходимую документацию -
политики и процедуры брандмауэра, процедуры реагирования в чрезвычайных ситуациях
и сетевую схему.
Тед также запланировал интервью с менеджером технической поддержки Карлом Санче-
сом. Так как обе эти встречи были намечены на следующий день, то, казалось, мне не да­
дут замочить ног до завтрашнего дня. Тогда я решила получить информацию от Теда.
Тед сообщил мне общие сведения о компании и произошедших взломах. Время моей ко­
мандировки шло, и я начала писать отчет по аудиту. Обычно я пишу отчет в последнюю
очередь, но у меня уже было достаточно информации о взломах для того, чтобы начать пи­
сать черновой вариант отчета. Тед проводил меня в офис для посетителей, я достала свой
ноутбук и приступила к работе. Я закончила черновой вариант, чтобы внести в него детали
после проведения аудита. (В настоящее время, я могу только строить догадки, а за них мне
не платят. Эти парни хотели фактов, и у меня их скоро будет достаточно.) Для первого дня
было уже хорошо.

День 2-й: Администратор брандмауэра
Тед встретил меня в холле и выписал пропуск. Он проводил меня до офиса Джозефа. При
первой встрече Джозеф немного нервничал. Конечно, многие люди волнуются при прихо­
де аудитора, поэтому я попыталась разрядить обстановку (с помощью хорошей шутки).
Но Джозеф не оценил мой юмор и определенно не был склонен к приятной беседе. Отбро­
сив мягкие манеры, я попросила у него документацию, которую заказывала. Он смог дать
мне только сетевую схему. Когда я его спросила об остальной документации, то он сооб­
щил: «У меня нет политик и процедур брандмауэра; это не моя работа- их писать. Я знаю,
как настроен брандмауэр и что делать, если происходит взлом».
98 Кто отвечает за безопасность


Вот это парень. Я ошиблась, посчитав, что он волнуется. Он был самонадеян! Он полагал,
что раз знает, как поддерживать брандмауэр, то этого достаточно. Легко было видеть, что
он не понимает ценность политик и процедур и видит во мне только аудитора (переводя
это слово как «зануда»).

Временная безопасность
Кроме плохого ко мне отношения у Джозефа были необычные представления о методах
технической поддержки. В общем, брандмауэр не улучшался несколько лет. Это было по­
хоже на то, как если бы на двери, ведущие к разработкам новых чипов компании, к ее фи­
нансам, людским ресурсам и маркетинговой информации, был навешен старый ржавый
замок. Легко было представить себе, как хакер стукнет в эту дверь и замок отвалится. Каж­
дый раз, когда хакер взламывал брандмауэр, Джозеф ставил «заплатки» в систему или до­
бавлял средство для обхода проблемы. При таком подходе, заключающемся в установке
временных подпорок, брандмауэр скоро кишел заткнутыми дырами и стал трудно управ­

<< Пред. стр.

страница 11
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign