LINEBURG


<< Пред. стр.

страница 15
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>


Заключительные слова
Аутсорсинг быстро становится стратегией корпораций нашего десятилетия. Если ваша
компания не воспользовалась аутсорсингом для каких-либо своих нужд, то велика вероят­
ность, что она скоро это сделает.
Перед тем как проводить какую-либо аутсорсинговую реорганизацию, включающую в се­
бя предоставление совместного доступа к вашей компьютерной сети, убедитесь в том, что
вы владеете всеми фактами. Какой тип подключения будет нужен? Как будет защищено
такое подключение? Как обеспечивается безопасность стороны подрядчика? Повлияют ли
доступ с его стороны и имеющиеся у него процедуры на безопасность вашей информа­
ции? Получите ответы, пока подключение не создано.
В то же время всегда помните, что проблемы безопасности будут время от времени возни­
кать. Это - природное явление. Для лучшей защиты вашей драгоценной информации

5. В российской прессе весной-летом 2001 года сообщалось об истории некоего хакера по кличке Вере, которого
сотрудники американского посольства уговаривали взломать интернет-сайт www.fsb.ru, чтобы получить доступ
к хранящейся там информации. Утверждалось, что бдительный хакер Верс не пошел на поводу у американцев,
а доложил о попытках его вербовки владельцам вышеуказанного сайта. - Примеч. пер.
124 Заключительные слова


в этих неизбежных испытаниях положитесь на тщательные, планируемые регулярно ауди­
ты безопасности, проводимые хорошо обученными профессионалами.
Не впадайте в благодушное состояние, полагаясь на репутацию вашего партнера по аут­
сорсингу. Уже скомпрометированы некоторые из величайших и ярчайших компаний.
Одной из причин столь длительного выздоровления от вируса Code Red является то, что
сайт windowsupdate.Microsoft.com сам был заражен им. Поэтому многие заразились виру­
сом Code Red, когда «скачивали» те самые обновления для программ, которые должны бы­
ли защитить их от будущих атак.
Разумеется, вирус является зверем, значительно отличающимся от чрезмерно доверяюще­
го сервера. Но я настаиваю на том, что вы должны отвечать за все, что происходит в вашей
сети. Нет разницы в том, будет ли эта тварь в диске с демоверсией продукта гиганта инду­
стрии программного обеспечения или в облегченном доступе из компании, которой вы до­
верили ваши операции по перевозкам. Целостность вашей информации зависит от вашей
неусыпной бдительности.




.
Глава 10
Незащищенная электронная почта

Тайна личной жизни является основой всех прав и свобод человека - и самой чело­
веческой сущности. Вторжение в личную жизнь больно бьет по человеческому
достоинству.

Надин Строссен, президент Американского союза гражданских свобод,
профессор New York Law School


А сейчас вы - президент Соединенных Штатов Америки. Усаживайтесь поудобнее и ощу­
тите вашу власть. Теперь приготовьтесь выслушать плохие новости. Министр обороны
сообщает вам, что сегодня в 4.20 утра террорист напал на автоколонну, направлявшуюся
в посольство США в Саудовской Аравии, Выживших нет. На данный момент никто не
знает, как произошел инцидент.
Через несколько дней вы узнаете, как это случилось. По данным вашего министра оборо­
ны, брешь в безопасности, облегчившая нападение, была проделана единственным сооб­
щением, посланным по электронной почте. Некий капрал Лен Джонсон, морской пехоти­
нец, служивший в охране посольства в Саудовской Аравии, использовал электронную
почту для связи с домом. Вечером, перед нападением, он написал своей жене: «Завтра
в 4.00 приезжают командир корпуса и сенатор. Мне придется рано встать, чтобы сопрово­
ждать их из аэропорта в посольство, поэтому я не смогу позвонить тебе утром, как мы до­
говаривались. Я сообщу тебе позднее по электронной почте, когда ждать моего звонка.
Обнимаю и целую детишек...Лен».
К несчастью для друзей и семьи Лена и для других людей, находившихся в этой колонне,
его электронное письмо не было зашифровано. Министр обороны твердо убежден, что
письмо капрала Джонсона своей жене было перехвачено террористом.
Разве может показаться странным, что капрал посылает домой жене незашифрованное
электронное письмо. Повсеместно высшие руководители компаний посылают письма по
электронной почте по самым секретным вопросам - о предстоящих биржевых сделках,
планах выпуска новых продуктов, слияниях, приобретениях и т .д. Нужно ли ожидать от
простого солдата, что он увидит риск там, где его должны увидеть, но не делают этого
высшие руководители компаний? Рассмотрим следующий случай...

Есть ли у электронной почты конверт?
Моя подруга Мишель Шейверс была подающим большие надежды сотрудником в NetDy-
namics, большой компании по сетевым технологиям в Силиконовой долине. Около года
назад Мишель позвонила мне, чтобы поговорить о проблеме, которая у нее возникла с од­
ним из ее коллег.
Так как коллега, о котором идет речь, был руководителем высокого ранга в ее компании,
то она никогда не сообщала мне его имени. (Мы назовем его мистер Икс.) Из разговора
126 Есть ли у электронной почты конверт?


с ней я поняла, что каждый раз, когда она выступала на совещаниях сотрудников компа­
нии, мистер Икс оказывался впереди нее на два шага. Он отвечал на все вопросы так про­
думанно, что его ответы звучали, как заранее подготовленная речь. Она была убеждена,
что он заранее точно знал, что она собиралась сказать.
Мое первое впечатление состояло из трех частей: 1) мистер Икс определенно не любил
Мишель; 2) мистер Икс, возможно, хотел прибрать к рукам подразделение Мишель; или
3) мистер Икс пытался (по каким-либо причинам) выжить Мишель из компании. Мне же,
наоборот, Мишель нравилась. Она умела добиваться результатов в своей работе и не мог­
ла допустить, чтобы кто-то стоял у нее на пути. Поэтому, когда она обратилась ко мне за
помощью, я с большим желанием протянула ей свою руку.
Возможно, что в глубине моей души таилось нетерпение запустить поглубже руку в гряз­
ные делишки мистера Икс. Но как профессионал по вопросам безопасности я знала, что
такая информация мне действительно не нужна.
Мишель спросила: «Линда, этот парень очень подкован технически и общается со многи­
ми специалистами в нашей области. Возможно ли такое, что он читает мою электронную
почту?»
Хороший вопрос. В ответ я задала Мишель три простых вопроса: «Ты шифруешь свои
электронные письма?» - «Нет». «Мистер Икс работает в твоем здании?» - «Да». «Он ра­
ботает на том же этаже, что и ты?» - «Да».
Я задала последние два вопроса, чтобы выяснить, в одной ли сети с Мишель находится
мистер Икс. Я знала, что если Мишель ответит «Да» на любой из этих двух вопросов,
то для мистера Икс не составит труда читать ее электронные письма.
Я объяснила ей, что если она не шифрует свою электронную почту, то каждый сможет ее
прочитать. Я также пообещала ей, что загляну к ней в компанию и продемонстрирую, как
легко это можно сделать.
Мишель очень заинтересовалась такой демонстрацией. Чтение чьей-либо электронной
почты являлось явным нарушением политики компании. (Возможно, такая политика есть
и в вашей компании.) Оказалось кстати, что Мишель имела полномочия на запуск любых
инструментов и тестов в ее сети на этой неделе, так как ее инженеры проводили тестиро­
вание нового, только что разработанного ими программного обеспечения. Нельзя было
выбрать лучшего времени для моей демонстрации.

Доступ к персональной информации получен
Для проведения демонстрации я встретилась с Мишель позднее в тот же день. Задача ока­
залась несложной. За 30 секунд моего нахождения за ее клавиатурой я «скачала» из Ин­
тернета инструмент «снупинга»1. Затем я ввела с клавиатуры команду, запускающую вы­
полнение «скачанной» программы, и все дела! Появилось первое почтовое сообщение.
Как только челюсть Мишель отвисла до пола от изумления, вызванного тем, как просто
это было сделано, я отвернулась от экрана. Я дала ей понять, что за все годы моего занятия
аудитом безопасности я не прочитала ни строчки из закрытой персональной информации.
Когда я провожу аудит безопасности, то просматриваю только имена важных файлов и ка­
талогов при проверке риска, но никогда не заглядываю в содержимое файлов.
Мишель не могла оторвать от экрана глаз. «Здорово! Это же письмо для президента ком­
пании!»
Я поняла, что достигла своей цели. Я стерла результаты «снупинга» и сказала: «Теперь ты
знаешь, почему ваша компания должна использовать шифрование. Я хочу оставить этот
1. Snooping - здесь: отслеживание, перехват и декодирование сообщений. - Примеч. пер.
127
Незащищенная электронная почта


инструмент в вашей системе как раз на тот случай, если тебе нужно будет показать прези­
денту компании, как легко можно прочитать его электронную почту».
Конечно, это не помогло полностью решить проблемы Мишель с мистером Икс. Я показа­
ла Мишель, как легко мог бы мистер Икс читать ее электронную почту, но у нее не появи­
лось доказательств того, что он действительно делал это. Разумеется, на самом деле не
было так уж важно получать такие доказательства. Мистер Икс имел такую власть, что
представление доказательств того, что он читает ее электронную почту, могло бы разру­
шить карьеру не ему, а Мишель.
Но, с другой стороны, то, что Мишель теперь знала об уязвимости своей почты, позволило
ей понять, почему для ее компании так важно предусмотреть в бюджете на безопасность
расходы на шифрование электронной почты. И пока эта технология не будет введена,
Мишель знала, что ей следует ограничивать содержание своей почты.
Мишель и я никогда больше не возвращались к этому инциденту с электронной почтой.
Но мне известно, что в настоящее время компания Мишель усердно работает над внедре­
нием у себя программ шифрования электронной почты.

Резюме: Вы имеете право отказаться от вашего права на тайну переписки
В отличие от других случаев, описываемых в данной книге, в этой истории не проводился
аудит. Однако в этом случае был обнаружен существенный риск в области технологии, на
которую мы стали полагаться почти ежедневно.
Предприниматели, подобные Мишель, подвергают риску свою информацию и карьеру
почти ежедневно, не сознавая этого. Мы полагаем, что если мы сами не читаем чужой
электронной почты (и, возможно, не знаем, как это делается), то этого никто не делает.
Это плохое предположение.
Не составляет особого труда не только сам просмотр почты, но и получение инструмен­
тов «снупинга» из Интернета. И если вы будете ожидать, что в результате работы такого
инструмента экран вашего компьютера будет заполняться битами и байтами обрывков со­
общений, то вас удивит, как «отполировано» выглядят украденные письма. Только взгля­
ните на пример, приведенный на рисунке 10.1.
Теперь представьте себе, что электронное письмо послано вами, а не Мишель. Как вы бу­
дете себя чувствовать, зная, что кто-то еще читает вашу почту? Почувствуете ли вы, что
ваше право на тайну переписки нарушено? Несомненно! Являетесь ли вы простым граж­
данином, посылающим личное письмо вашей любимой девушке, планируете ли вы новую
стратегию компании или вы - капрал морской пехоты, говорящий «привет!» своим детям,
у вас в любом случае имеется неотъемлемое право на тайну переписки.
Но если вы посылаете электронное письмо, не шифруя его, то вы непроизвольно отказы­
ваетесь от этого права. Я всегда говорю людям: «Если вы не шифруете свою электронную
почту, то не помещайте в нее то, что вам не хотелось бы увидеть на первой странице The
Wall Street Journal».
Мы пойдем другой дорогой...
128



STAT: Sat Mar 15 10:01:36, 7 pkts, 487 bytes [DATA LIMIT]
DATA:HELO nolimits.incog.com
MAIL From:<msha@osmosys>
RCPT To:<!mac@osmosys>
DATA
Received: by nolimits.incog.com (SM 1-8.6/SMI-SVR4)
Alid KAA04500; Sat, 15 Mar 2003 10:01:35 -0800
Date: Sat, 15 Mar 2003 10:01:35 -0800
From: msha@osmosys (MichelleShavers)
Message-Id: <200303151801.KAA04500@nolimits.incog.com>
To: lmac@nolimits
S u b j e c t : NEW STRATEGIC DIRECTION
X-Sun-Charset: US-ASCII
Late yesterday, I received the preliminary report from Vendor В
regarding customer perceptions of the new support structure. TH E
CUSTOMERS ARE VERY UNHAPPY! Over 89% reported STRONG
dissatisfaction with the new bug x distribution system. Of those,
fully 53% are considering Macron's new third-party support
program. If we don't implement a new approach quickly, we can
anticipate a strong drop in customer support contracts. At
tomorrow's executive staff meeting, I will propose the following
changes to head off that problem.,.

2
Рисунок 10.1

Мы пойдем другой дорогой...
Мишель почувствовала затруднения, когда ее почту (вероятнее всего) кто-то читал у нее
под носом. В других более тяжелых случаях это обходится корпорациям в миллиарды дол­
ларов потерянных доходов ежегодно. Угроза в этих случаях исходит от «червей», «троян­
ских коней», атак по типу «отказа от обслуживания», искажения внешнего вида веб-стра­
ниц и т. д. Электронная почта представляет собой одну из самых распространенных и ме­
нее всего обсуждаемых областей, в которой сегодня таится риск для делового мира.
Для защиты тайны своей переписки Мишель должна была сделать следующее.

Использовать шифрование!
Современные пакеты программ шифрования легко устанавливаются и поддерживаются и
действительно прозрачны для пользователя. К сожалению, многие помнят о старых гро­
моздких пакетах таких программ и не знакомы с их более простыми современными
версиями.
Если в системе электронной почты вашей компании еще не используется шифрование,
то немедленно его установите. Если вы не уверены в том, какой продукт, обеспечивающий
шифрование, использовать, или вас смущают экспортные соглашения, то обратитесь за
советом к консультанту по вопросам безопасности.

2. В сообщении содержится важная информация о продвижении продукта компании на рынке. - Примеч. пер.
129
Незащищенная электронная почта


Убедить компанию в необходимости шифрования
Применение шифрования похоже на наклеивание на дверь стикера, предупреждающего,
что ваш дом находится под электронным наблюдением. Если вы остаетесь единственным
в вашем квартале с таким стикером, то потенциальные воры начнут размышлять, что у вас
имеется такого ценного для принятия дополнительных мер охраны. Если же на всех домах
в вашем квартале будут иметься такие же стикеры, то будет трудно сказать, у кого дейст­
вительно можно поживиться.
Когда все начнут использовать шифрование, то любому, кто занимается выискиванием ин­
формации, будет трудно определить, что действительно представляет интерес, а что - нет.
На это и должны направляться наши усилия,

Предусмотреть в бюджете средства на шифрование
В прошлом некоторые директору по информационным технологиям действительно за­
прещали своим служащим шифровать электронную почту, предназначенную для внутрен­
него пользования. Если у вас все еще придерживаются такой устаревшей политики, то не­
медленно ее аннулируйте! Затем разработайте новые политики и запишите шифрование
в цели ваших менеджеров.

Отслеживать возникновение других угроз электронной почте
Как ни печально сообщать, но возможность чтения вашей почты другими людьми являет­
ся не единственным риском, которому вы подвергаетесь как пользователь электронных
средств информации. Вы можете подвергнуться «спаму»3, угрозам заражения вирусами,
реальному заражению вирусами, «червями», «троянскими конями» и т. д. Соответст­
вующие программные инструменты могут предотвратить возникновение некоторых из
этих проблем. Например, хотя «спам» продолжает нарастать, только 21 процент пользова­
телей электронной почты используют программы-фильтры «спама» (Opt-In News, май
2002 года).
Семьдесят шесть миллиардов «спам»-сообщений будет разослано по электронной почте по
всему миру в 2003 году (eMarketer, 2002 год). При таких цифрах необходимо иметь про­
граммное обеспечение, предназначенное для борьбы с этой проблемой. Если фильтрация
«спама» у вас еще не используется, то руководству необходимо включить в бюджет на безо­
пасность расходы на программы-фильтры «спама» или на службу фильтрации «спама».
«Спам» вреден, по меньшей мере, своей назойливостью, но вредоносные программы яв­
ляются разрушительными и означают причинение ущерба. Убытки от эпидемий вредо­
носных программ в 2001 году составили 13,2 миллиарда долларов. Компаниям необходи­
мо создавать многоуровневую систему обороны для защиты от этих злобных атак. Это оз­
начает защиту в каждой точке входа. Серверы, персональные компьютеры и другие
устройства также должны иметь защиту (например, защиту от вирусов, брандмауэр, де­
тектор вторжения и средство предотвращения вторжения). Атаки вредоносных программ
становятся более изощренными и будут причинять больший ущерб. Защита от них явля­
ется одной из приоритетных задач каждой компании.




3. Spam - рассылка большого количества сообщений посредством электронной почты, имеющая целью
разрекламировать товары или услуги и все, что нуждается в рекламе. - Примеч. пер.
130 Заключительные слова


Заключительные слова
Ежедневно миллионы предпринимателей вкладывают свои надежды и мечты в почтовые
послания, которые затем отправляют в плавание по Интернету. Если они делают это, не
применяя шифрования, то, следовательно, забывают о всякой осторожности.
Применение технологий шифрования для ваших деловых сообщений по электронной
почте является одной из самых легких и самых важных мер предосторожности для сохра­
нения в тайне ваших секретных планов.
Наконец, не дайте себя застать врасплох, не обеспечив несколько уровней защиты от угроз.
Электронная почта предоставляет противнику легкий способ засылки вирусов, «червей»,
«троянских коней» в вашу компанию. Для вредоносных программ существует много раз­
личных способов входа в вашу корпоративную сеть, и вам нужно оценивать вашу способ­
ность по предотвращению и защите как от известных угроз, так и от неизвестных.
Глава 11
Оглядываясь назад: что будет
дальше?

Хотя в их стране главное внимание сосредоточено на безопасности, в действи­
тельности американские предприниматели не вкладывают средства в устранение
«дыр» в системах своей защиты. Похоже, они ждут «событий большого эмоцио­
нального значения» - например, утраты информации кредитных карточек клиен­
тов для получения повода к вложению таких средств. Проблема состоит в том,
что они могут получить этот повод слишком поздно.

Джон Кирби, директор по стратегиям защиты предприятий, безопасности
и обеспечению тайны, информационным технологиям предприятий,
Electronic Data Systems (EDS)


Некоторые изменения происходят так быстро, что трудно определить, как обеспечивать
безопасность в таких условиях. Именно такая проблема возникает перед организациями,
когда они начинают осваивать современные технологии и выяснять, какие уязвимые мес­
та в них имеются.
Руководство компании Costa Corp, в которой я проводила свой первый аудит по контракту,
было вынуждено проводить его из-за произошедшего у них взлома, в результате которого
была украдена и опубликована важная финансовая информация. Аудит безопасности,
проведенный несколькими годами раньше, показал, что в системах не заделывались
«дыры», они были уязвимы для атак и нуждались в защите и контроле. Тем не менее руко­
водство никогда не выполняло рекомендаций аудита по устранению этих нарушений.
Хотя в Costa Corp проводилась оценка рисков, у них просто не было сотрудников, знающих,
как обеспечивать безопасность систем. Поэтому системы оставались незащищенными и уяз­
вимыми для атак. Мой аудит, проведенный через несколько лет после этого, показал, что эти
системы по-прежнему подвергались риску: патчи, повышающие безопасность, не были уста­
новлены, пароли можно было легко угадать, не были отключены лишние службы, и наруше­
ний безопасности стало больше, чем было выявлено при предыдущей оценке.
Взлом и потеря финансовой информации открыли глаза высшему руководству на эту пробле­
му. Как правило, неавторизованный доступ и раскрытие конфиденциальной информации за­
ставляют генерального директора или финансового директора лучше понимать вопросы безо­
пасности. Проведенная мной оценка показала, что риски будут оставаться и даже увеличи­
ваться, если не будет профинансировано принятие мер по укреплению защиты. Руководство
вскоре выделило средства на мероприятия по улучшению безопасности (такие, как программ­
ные инструменты, расширение штата, обучение, политики и средства контроля). Оно не
ограничилось простым выделением средств, но проявило решимость в осуществлении этих
мероприятий и повседневной поддержке безопасности.

1. То есть правила, которые необходимо выполнять для обеспечения безопасности. - Примеч. пер.
132 Риск для всей корпорации


Руководство ввело жесткую политику обеспечения настройки и поддержки безопасности
систем. В качестве эффективного стимула для владельца каждой системы эта политика ус­
танавливала, что если при тестировании системы в ней будут обнаружены уязвимые мес­
та, то либо они будут устранены в течение 48 часов, либо система будет отключена от се­
ти. Эту политику поддерживал директор по информационным технологиям, и за ее выпол­
нением следили по всей компании. Политики нуждаются в поддержке руководства, иначе
они становятся бесполезными.
Когда пришел новый директор по информационным технологиям, то у него оказались дру­
гие взгляды на безопасность, Старый директор был приверженцем политики «соответст-
вуй-или-умри», то есть либо ваша система соответствует политике, либо ее выбрасывают
из сети. Такая политика стимулирует обеспечение безопасности, но требует, чтобы ее
придерживались на всех уровнях компании. В каждой организации должны быть цели по
обеспечению безопасности: должно проводиться обучение для того, чтобы люди поняли,
как защитить свои системы; должны использоваться инструменты для тестирования,
контроля и поддержки безопасности; люди должны тестировать и защищать свои системы
и т.д. Так как новый директор по информационным технологиям не поддерживал эту по­
литику, то многие системы сети со временем стали менее защищенными. Кроме того, он
не сделал обеспечение безопасности корпоративной целью. Когда в бюджете не нашлось
средств на осуществление важных инициатив в области электронной коммерции, то ради
них было отложено приобретение инструментов обнаружения вторжения и тестирования
безопасности. Таким образом, компания «перекачала» ресурсы из бюджета безопасности
в бюджет поддержки деловых целей компании.

Риск для всей корпорации
Проведенная мной в 2002 году оценка состояния безопасности показала, что появилась
новая угроза для организаций в целом, которая может представлять предмет серьезного
беспокойства. Она заключается в том, что руководство не обращает внимания на неко­
торые основные меры по обеспечению безопасности. Так, например, две главные ошибки,
допущенные компанией Costa Corp, состояли в следующем: 1) она не требовала выполне­
ния своих политик; 2) она позволила руководству нарушать политики безопасности и не
вникать в риск, создаваемый при этом для компании в целом.
В компании Costa Corp выработалась практика исключений, которая позволяла руководству
игнорировать меры безопасности ради деловых целей. Однако нет уверенности в том, что
руководитель, подписавшийся под подобным исключением, действительно понимал требо­
вания безопасности. Предоставление руководителям, не понимающим таких требований,
права игнорировать меры безопасности уже само по себе представляет риск. При таких об­
стоятельствах некоторые руководители узаконят подобные исключения, не понимая, какой
ущерб они могут причинить.
В Costa Corp была также разработана политика подключения к Интернету, определяющая,
что подключение любой системы к Интернету должно разрешаться руководством и долж­
но соответствовать правилам установки подключения, разработанным группой обеспече­
ния безопасности. Эта политика была хорошо написана, такими же хорошими были и пра­
вила, определяющие обеспечение защиты системы и ее тестирование перед подключени­
ем к Интернету. Тот, кто разработал политику и правила, разбирался в вопросах безопас­
ности. Но в погоне за деловыми целями тем не менее некоторые из подразделений компа­
нии полностью проигнорировали эту политику. Они установили веб-серверы в Интернете,
не получив разрешения высшего руководства и не установив средств защиты.
Оглядываясь назад: что будет дальше? 133


Руководство компании обнаружило эту проблему тогда, когда один из ее международных
веб-серверов был взломан. Хакер исказил внешний вид веб-сайта и подорвал обществен­
ную репутацию Costa Corp. Получилось так, что проблема оказалась гораздо большей,
чем просто неправильное подключение веб-сервера к Интернету. Расследование, прове­
денное группой обеспечения безопасности Costa Corp, показало, что через серверы компа­
нии к Интернету было подключено более 400 систем. Группа безопасности не знала, кто
подключил эти системы или кто ими владел. У многих систем не было настроек безопас­
ности, поэтому их легко было взломать из Интернета.
Даже если сотрудники компании проигнорировали ее политики и подключили незащи­
щенные веб-серверы к Интернету, компания все равно остается ответственной за эти сис­
темы, которые могут быть использованы для запуска атак против других компаний. Атаки
из систем таких беспечных владельцев происходят каждый день. Хакеры используют сот­

<< Пред. стр.

страница 15
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign