LINEBURG


<< Пред. стр.

страница 7
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>


Аудит проводил: Мартин Паттерсон, администратор по вопросам безопасности
Отчет получил:
Дата получения:



Рисунок 3.2

Обеспечить понимание вопросов безопасности всеми руководителями
Особенно важно, чтобы все руководители понимали риски, связанные с незащищенно­
стью систем. Если этого не будет, то принимаемые ими решения непреднамеренно могут
подвергать опасности репутацию компании, конфиденциальность информации и сказать­
ся на финансовых результатах. Вам вовсе не обязательно для этого быть экспертом по
безопасности, но вы должны разбираться в основах и говорить как специалист.
Поддержка со стороны руководства 57


Поддерживать прямую связь с руководством
Слишком часто системные администраторы жалуются на свои беды своим терминалам,
а не начальству. Иногда системные администраторы обнаруживают, что жаловаться сво­
ему начальству не намного лучше, чем говорить со своим «железным другом».
Если вы являетесь директором (или каким-то другим руководителем), то обеспечьте ва­
шим людям легкий доступ к своему времени и вниманию. Особенно будьте внимательны,
когда возникнут проблемы с безопасностью! Первую линию обороны вашей сети будут
составлять хорошо налаженные каналы общения с людьми, находящимися рядом с маши­
нами.
Если вы являетесь системным администратором, то убедитесь в том, что разговор с вашим
ближайшим начальником будет полезен для решения проблемы. Если вы в этом не увере­
ны, то должны набраться смелости и обратиться к следующему руководителю в управ­
ленческой цепочке ради достижения результатов.

Контрольный список
Используйте этот список, чтобы определить, позволяет ли организационное строение
вашей компании и имеющиеся в ней уровни руководства надлежащим образом решать во­
просы безопасности. Можете ли вы поставить «Да» напротив каждого пункта?
- Регулярно ли представляются руководству итоговые отчеты по вопросам безопас­
ности?
- Существует ли надежный канал связи между высшим руководством и исполнителя­
ми? И что более важно - все ли знают, что он собой представляет и где находится?
- Возлагается ли ответственность за безопасность на вице-президента, директора по
вопросам безопасности или другого руководителя? Чем выше такой руководитель
находится в руководящей структуре, тем лучше! Убедитесь, что руководитель, от­
вечающий за безопасность, не спрятан в глубинах бюрократической системы и
имеет реальную власть. Иначе он будет только козлом отпущения.
- Демонстрирует ли руководство свою приверженность программе безопасности
компании, должным образом ее представляя и совершенствуя?
- Предусмотрено ли достаточное финансирование безопасности и доступны ли эти
средства?
- Понимают ли все системные администраторы важность немедленного доклада
о проблемах безопасности и их быстрого решения?
Является ли обучение лучшему пониманию вопросов безопасности частью профес­
сиональной ориентации новых сотрудников всех уровней - от линейных менед­
жеров до высшего руководства?
- Предпринимаются ли шаги в получении всеми сотрудниками (сверху донизу) ясно­
го представления о политиках защиты информации компании?
- Учитывается ли реально существующая в компании культура общения между руко­
водителями и исполнителями при разработке политик и процедур безопасности?
- Знают ли сотрудники, к кому обращаться в случае возникновения бреши в защите
и неопределенности в своих обязанностях?
- Регулярно ли проводится аудит безопасности?
58 Заключительные слова


Заключительные слова
Если вы генеральный директор и надеетесь, что ваша интранет будет в безопасности и не
проверяете ее, то вас может ждать большой сюрприз. Угрозы благополучию предприятий
продолжают возрастать и требуют все более высоких уровней защиты корпоративных ин­
транет.
В начале 1990-х годов мы подошли к выбору дорог в компьютерной безопасности.
Несколько лет назад многие компании выбрали кривую тропинку (с меньшей защитой или
без нее) из-за того, что риски были небольшими и последствия менее опустошающими.
Теперь другая ситуация. Сегодня угроза информации в интранет высока как никогда. Если
ваша интранет все еще подвергается риску вследствие стандартной настройки, недоста­
точного финансирования безопасности и плохой культуры общения внутри компании,
то вам нужно немедленно включиться в работу.
Как ясно показывает рассмотренный случай, плохая культура общения представляет со­
бой один из главных рисков для безопасности. Большинство из нарушений, реально
обнаруженных в данном исследовании, довольно обычны - простые пароли, стандартные
настройки и т. д. На нынешнем этапе компьютерной революции, ни одна уважающая себя
компания не должна страдать от таких простых симптомов, так как большинство из них
устраняется довольно легко в условиях хороших взаимосвязей в компании.
В отличие от вооруженных ограблений, компьютерным преступлениям не придается
большого значения. Часто скрываемые жертвами с целью предотвратить дальнейший
ущерб (ценам акций, репутации и т. д.), компьютерные преступления увеличиваются в ко­
личестве с феноменальной скоростью. По данным Центра защиты национальной инфра­
структуры (National Infrastructure Protection Center), подразделения ФБР, работающего
с правительственными органами и частными компаниями, начиная с 1998 года, количест­
во компьютерных преступлений ежегодно удваивается. Нарастающий итог ущерба от та­
ких преступлений увеличивается соответственно. В обзоре, представленном Information
Week6и Price Waterhouse Coopers6 в середине 2000 года, стоимость ущерба за этот год
только от компьютерных вирусов оценивается в 1,6 триллиона долларов. Как отметил
представитель ФБР Лесли Уайзер (Lesly Wiser) в своем докладе Конгрессу по вопросам
кибербезопасности в августе 2001 года: «Эти цифры превосходят валовой национальный
продукт сразу нескольких государств».
Директор по информационным технологиям любой компании должен быть в курсе любо­
го из рисков для своей корпоративной сети, включая и факты ее успешных взломов.
Я уверена, что ваш директор по информационным технологиям хочет узнавать о взломах
от линейных менеджеров, а не из выпуска новостей CNN Headline. И если у вас нет пря­
мого канала связи наверх, то создайте его.




5. Еженедельный журнал для профессионалов в области ИТ- бизнеса. - Примеч. пер.
6. Аудиторская группа. - Примеч. пер.
Глава 4
Сетевой доступ
Обнаружение играет очень важную роль в любой архитектуре безопасности.
Рано или поздно противник захочет скомпрометировать вашу организацию, и на
его стороне будут время и ресурсы. Для эффективного обнаружения большую
важность имеют уровни защиты. Программы-датчики обнаружения вторже­
ния, honeypots и системные журналы играют ключевую роль в обнаружении.

Лэнс Спищнер, старший специалист по архитектуре безопасности
в Sun Microsystems и основатель Honeynet Project

Вы являетесь генеральным директором очень молодой фармацевтической компании.
Вы стоите у окна в вашем просторном кабинете и наслаждаетесь ростом цен на ваши ак­
ции. Сегодня за ваши акции давали около 100 000 долларов. Но в следующем году, когда
ваше лекарство со сверхсекретной формулой завоюет рынок, вы ожидаете, что стоимость
вашей компании поднимется до 5 миллионов долларов. Разве жизнь не прекрасна?
Но рано радуетесь. Как только вы переносите свой взгляд на вашу электронную почту,
то замечаете, что менеджер группы безопасности прислал сигнал тревоги:
«УВЕДОМЛЕНИЕ О ВТОРЖЕНИИ. ВТОРЖЕНИЕ ХАКЕРА В СЕТЬ НОВЕЙШИХ ИССЛЕ­
ДОВАНИЙ».
По телефону вы быстро узнаете, что хакер проник почти незамеченным в сеть. Ваши специа­
листы выяснили, что он вошел через внешнее соединение, но никто не может определить,
какую точку входа в сеть он использовал. Ваша сеть растет так же быстро, как и ваша компа­
ния, и никто не знает, сколько внешних входов в нее имеется. Ваш системный администратор
может знать, сколько подключений к Интернету у вас есть. (В прошлом году у вас было одно
подключение. В этом году их три.) Но никто не знает, сколько модемов установлено.
Печально, но такое незнание широко распространено. Лишь несколько лет назад «удален­
ный доступ» для обычной компании представлял собой несколько модемов и, может быть,
одно подключение к Интернету. Сегодня та же самая компания может иметь десятки под­
ключений к Интернету и сотни модемных подключений к внешнему миру.
Каждый день в офисах и лабораториях создаются новые подключения, и сотрудники ком­
паний подключаются из своего дома. Клиентам нужен доступ в реальном времени, и они
также подключены к вашей сети. В стремлении подключиться, иногда компании теряют
способность контролировать внешние соединения. Результатом становится размытость
границ между Интернетом, интранет и экстранет. При этом трудно или почти невозможно
сказать, где начинается и где кончается ваша сеть.
Подключение к внешнему миру похоже на снежный буран. Он может начаться с отдель­
ных порывов ветра, а затем быстро превращается в плотную снежную завесу, через ко­
торую вы не можете увидеть своих ног. Если вы не сможете контролировать внешние под­
ключения, то вы споткнетесь или упадете лицом в снег - запросто. Теперь посмотрим...

1. Средства защиты, направленные на обман хакера, с целью сбора о нем информации, и использующие эту
информацию в дальнейшей борьбе с ним. - Примеч. пер.
60 Соединение с партнерами


Соединение с партнерами
Компания JFC Farmaceutical захотела предоставить доступ к своей информации одному из
своих клиентов для ускорения совместного исследовательского проекта. Клиенту, компа­
нии McConnell Drugs, был нужен доступ к информации, хранящейся на сервере базы дан­
ных (Drug10). Технической стороной подключения клиента занимался системный адми­
нистратор Дэйв Ферлонг.
Так как Дэйв раньше никогда не работал над проектом такого масштаба, то он начал
смотреть документацию. Он обнаружил, что у JFC нет утвержденной архитектуры или
политики по подключению клиентов к ее интранет. Поэтому Дэйв попросил совета
у эксперта компании по брандмауэрам Фреда Джонсона. Вместе Фред и Дэйв выработа­
ли свой план. Они подключили сервер базы данных к Интернету для того, чтобы сотруд­
ники McConnell Drugs имели доступ к информации. К сожалению, они подключили
сервер базы данных напрямую к Интернету, не поставив впереди него брандмауэр для
его защиты и не проведя настроек безопасности на сервере базы данных. Такая конфи­
гурация оставила дверь к сети JFC широко открытой. Было только вопросом времени,
чтобы в нее «зашел» хакер. Это как раз и случилось - хакер зашел прямо в дверь.
Как смогли администратор по брандмауэрам и системный администратор сделать такую
серьезную ошибку? Кто дал им полномочия на принятие такого решения?
Пугает то, что такие вещи могут происходить. Когда компании теряют контроль над свои­
ми внешними подключениями и границы сети становятся «размытыми», то одна ошибка
может разрушить будущее целой компании. Это чуть-чуть не случилось с JFC.

День 1-й: Архитектура безопасности
Фред и Дэйв вместе стали решать, как обеспечить работоспособный доступ. Так как
у Фреда не было письменного документа о том, как подключать клиентов к сети JFC,
то они вдвоем обсудили, как предоставить клиенту доступ к информации на Drug10
(сервере базы данных) и как это реализовать. В общем, Фред и Дэйв решили подключить
Drug10 прямо к Интернету, чтобы McConnell Drugs смогла иметь доступ к серверу через
Интернет. Они предположили, что настроят Drug10 для двух целей. Во-первых, Drug10
должен служить брандмауэром. Во-вторых, что более важно для Дэйва, компании McCon­
nell Drugs должен обеспечиваться доступ к нужной информации.
Фред имел опыт в установке брандмауэров и подключении систем к Интернету и поэтому
согласился помочь Дэйву.

Несколько недель спустя; Политика установки средств безопасности
Дэйв закончил свою часть работы первым. Время отклика Drug10 уже его не удовлетворяло.
Поэтому перед подключением сервера к Интернету Дэйв установил в него более мощную
систему и загрузил программное обеспечение. Так как у Дэйва не было каких-либо политик
или процедур подключения систем к Интернету, то он просто проделал стандартную установ­
ку. У Дэйва не было идей по настройке безопасности систем, и он посчитал, что с этим спра­
вится Фред как специалист по брандмауэрам. Но у Фреда тоже не было идей.

На следующий день: Кто отвечает за безопасность
Фред подключил сервер базы данных к Интернету. Затем он предоставил доступ McCon­
nell Drugs, чтобы они могли копировать файлы из Drug10 на систему в их сети. Фред во­
обще не думал о настройке безопасности системы, так как считал, что это работа Дэйва.
Он полагал, раз все получили доступ к тому, что им надо, то его работа на этом закончена.
Фред приступил к другой работе.
61
Сетевой доступ


Еще через 29 дней: Хакер захватывает контроль
Было лишь вопросом времени, чтобы хакер обнаружил незащищенную сеть. Хакер взло­
мал Drug 10 и захватил контроль над сервером базы данных. Он заменил важные систем­
ные файлы и оставил «черный ход» в системе для легкого доступа при следующем визите.
С этого момента сеть компании McConnell Drugs стала тоже подвергаться риску. Сотруд­
ники компании брали информацию из системы, которая могла быть заражена вирусом,
«червем», «троянским конем» или чем-то подобным. Даже если предположить, что хакер
не был злоумышленником (довольно рискованное предположение), все равно результаты
взлома могли быть опустошительными. Представьте себе, что вы обнаруживаете утром
в понедельник всю информацию по персоналу компании опубликованной в Интернете,
Представьте себе также возмущение своих сотрудников, которые думали, что сведения
о них, их заработной плате и служебные характеристики являлись конфиденциальными.
Теперь вспомните, в какой стране мы живем. Как всем известно, возмущенные американ­
цы так просто не успокаиваются - они бегут к адвокату!
Кстати, о юристах. Хакер, прогулявшийся по интранет JFC, мог уничтожить всю их ин­
формацию и заразить или уничтожить информацию McConnell Drugs тоже. Теперь поду­
майте об ответственности. Конечная ответственность за уничтоженную информацию, оче­
видно, лежит на хакере. Но корпоративные судебные разбирательства очень часто осно­
вываются на поиске того, кто может заплатить, а не того, кто должен платить. Несомнен­
но, JFC с ее финансовым положением представляла бы собой лучшую, более крупную ми­
шень для юристов, чем бедный хакер, даже если хакер сразу был бы пойман.

+ Один месяц: Незапланированное тестирование безопасности
Drug 10 оставался подключенным к Интернету целый месяц, пока не обнаружилось, что он
скомпрометирован взломщиком. Это открытие было сделано совершенно случайно. Его
сделала я, когда меня наняли провести профилактический аудит некоторых систем JFC.
Без такого счастливого совпадения скомпрометированный сервер мог остаться незамеченным
и незащищенным до бесконечности.
Мое участие в этом началось с момента, когда руководство JFC наняло меня для проведе­
ния тестирования безопасности нескольких серверов, размещенных в их компьютерном
зале. Хотя скомпрометированная система (Drug10) являлась сервером данных, она не бы­
ла среди систем, которые я должна была тестировать.
JFC наняла меня провести, как они сказали, «выборочный аудит» (spot audit). В некоторых
компаниях выборочный аудит проводится для выяснения уровня риска. При его проведе­
нии выбирается репрезентативная группа наиболее важных систем. Если аудит показыва­
ет, что эти системы подвержены риску, то есть вероятность риска и для остальных систем.
Это - ресурсосберегающий подход в тестировании безопасности. Хотя он рангом ниже,
чем полный аудит, но определенно лучше простого расчета на удачу (последнюю страте­
гию безопасности используют гораздо больше компаний, чем вы думаете).
Проблема выборочного аудита заключается в том, что вы сосредоточены только на одном
освещенном пятне в темной комнате. Но когда я провожу выборочный аудит, то стараюсь
осматривать комнату и вокруг этого пятна. .

Аудит, день 1-й: Схемы сети говорят о многом
Я попросила руководство компании подготовить для меня схему сети. Когда я приехала,
схема меня уже ждала. Перед началом аудита мне захотелось видеть больше чем список
систем и сетевых номеров. Я хотела видеть, куда идут все соединения. Для этого мне была
Соединение с партнерами
62

нужна схема текущего состояния сети, которая бы придавала виртуальному миру более
осязаемые формы. Я считаю, что схемы сети являются основным элементом в обслужива­
нии сетевых соединений. И если системный администратор говорит мне, что у него нет
схемы или что схема у него в голове, то это меня настораживает.
У JFC была отличная схема сети. Глядя на нее, я заметила, что один из серверов базы дан­
ных, подключенных к интранет JFC, был также подключен к какой-то другой безымянной
сети. Куда шла эта другая сеть? Очевидно, она куда-то уходила, но из схемы было
неясно - куда. Одна линия сети, выходящая из сервера, повисала в воздухе и была прове­
дена в том же направлении, что и брандмауэр компании. Из общего вида схемы можно бы­
ло предположить, что этот сервер был подключен прямо к Интернету.
Подключение сервера базы данных к Интернету без настроек безопасности или без бранд­
мауэра перед сервером выглядело нелепым. Этого никто бы никогда не сделал! Или все-
таки сделал?
Проводя аудиты, я научилась ничего не предполагать. В безопасности лучше не делать
предположений. Ведь именно предположения вызвали проблему в данном случае. Дэйв
предположил, что Фред настроит сервер базы данных как брандмауэр. Фред предполо­
жил, что его работа состояла лишь в подключении к Интернету. После моего открытия
мне нужно было сообщить руководству, что необходимо провести аудит и сервера Drug10.
Просмотрев схему сети и наметив системы, которые казались наиболее подверженными
риску, я встретилась с Дэйвом, чтобы узнать его мнение о том, какие системы мне бы сле­
довало проверить. Важно узнать, что могут сказать по этому поводу люди «из окопов».
Им могут быть известны скрытые риски, которым подвергается компания. Дэйв заявил,
что ему все равно, какие системы я проверяю.
Некоторые системные администраторы не любят, когда их системы тестируются аудиторами.
Люди думают, что это угрожает им потерей работы, но аудит безопасности не имеет к такой
угрозе никакого отношения. Он влечет за собой уменьшение риска, повышение безопасности,
воспитывает в людях старательность и т. д. Я успокоила его, сказав, что если обнаружу ка­
кую-то проблему, то скажу ему о ней. Я также напомнила ему, что иногда аудит безопасности
не только помогает повысить саму безопасность, но и дает возможность увеличить финан­
сирование и количество сотрудников. Я спросила Дэйва о том, достаточна ли была оказывае­
мая ему помощь при настройке безопасности. Он ответил, что действительно не знает, как
обеспечивать защиту систем, и что для этого ему нужна помощь других сотрудников.
Я сказала ему, что он мог бы немного поучиться безопасности. Он нашел эту идею вели­
колепной. Как и многие системные администраторы, Дэйв имел мало времени для обуче­
ния, так как тратил его на обслуживание систем и поддержание правильной их работы.
Короче говоря, Дэйв нуждался в обучении и дополнительных сотрудниках. Для меня это
было неудивительным. Считается, что системные администраторы знают все и работают
непрерывно. Я была системным администратором и это знаю.
Я сказала Дэйву, что, хотя схема сети у меня есть, я все же хочу посмотреть их политики и
процедуры безопасности. Он ответил, что сделает их копии для меня к завтрашнему утру.
Мне не терпелось спросить Дэйва о сервере базы данных. Он и так уже был встревожен,
и я не хотела сообщать ему плохих вестей. И все же по пути к выходу у меня случайно
вырвалось: «Кстати, похоже, что сервер базы данных с именем Drug10 подключен к двум
сетям. Это так?» Дэйв ответил: «Да, я подключил этот сервер к Интернету для того, чтобы
один из клиентов имел доступ к базе данных». Этот ответ возбудил мое любопытство.
Я спросила: «Когда?» Дэйв ответил: «В прошлом месяце».
Сетевой доступ 63

«Хмммм... я никогда не видела, чтобы кто-то подключал сервер базы данных к Интернету,
не защитив его брандмауэром». Дэйв ответил: «Наш эксперт по брандмауэрам Фред на­
строил Drug10 после установки мной системы на выполнение им функции брандмауэра».
После этого мне все равно было трудно поверить в то, что эти два человека подсоединили
их систему напрямую к Интернету. Вот и говори про риск! Так как я уже собрала доста­
точно информации, чтобы начать тестирование, то решила поговорить с администратором
брандмауэров Фредом после проведения тестов безопасности системы. Мне хотелось по­
говорить с ним, имея все факты. Меня уже звал к себе Drug10. Я должна была идти.
Было уже почти 5 часов дня, и я была вынуждена перенести тестирование систем на зав­
тра. Дэйву надо было забирать ребенка, и ему не хотелось слоняться по компьютерному
залу, пока я буду проводить аудит систем. Однако он согласился завтра первым делом соз­
дать мне учетную запись на сервере Drug10, чтобы я смогла сразу же, как только приеду,
приступить к работе. Договорившись, мы ушли в одно и то же время.
В отличие от Дэйва, с радостью ушедшего с работы, я не была счастлива от ожидания.
Мне надо было освободить свою голову от мыслей, иначе до утра я могла бы сойти с ума.
Этому могла помочь хорошая пробежка. Я пришла в себя, когда уже зашнуровывала крос­
совки. Я распахнула дверь дома и выбрала маршрут потяжелее - по холмам. После пяти
миль бега по холмам Портола Вэли мне плохо не стало. Пробежка была напряженной
и здоровой. И это сработало! Следующее утро наступило быстро.

Аудит, день 2-й: Ничем не подкрепленные политики
Дэйв встретил меня в холле JFC. Мне хотелось поскорее добраться до клавиатуры Drug10,
но сначала я должна была получить политики безопасности. Мы задержались из-за них
в офисе Дэйва. Политики, распечатанные им, были немногочисленными и короткими -
они умещались на нескольких дюймах бумаги. Дэйв занялся чтением электронной почты.
Он тихонько ругнулся и начал выстукивать на клавиатуре ответ. Должно быть, он имел де­
ло с трудным клиентом.
Пока он этим занимался, у меня была возможность взглянуть на политики. Это были по­
литики очень высокого уровня - в них с высоты 30 000 футов2 руководство рисовало
на песке линии. Хотя они удовлетворяли директора по информационным технологиям, но
были не достаточны для непосредственного обслуживания или защиты систем компании.
То, что я увидела, не содержало политики по защите брандмауэрами - это была, скорее,
политика подключения. В ней предусматривалась защита брандмауэром лишь одного под­
ключения интранет компании к Интернету. Без каких-либо оговорок. Что тут соблюдать?
Как только Дэйв оторвался от своей электронной почты, я попросила его провести меня
в компьютерный зал. В JFC имелось несколько уровней безопасности для защиты ком­
пьютерного зала. За консолями и другим оборудованием следили четыре оператора. Они
должны были обеспечить мою работу в системе, и Дэйв подтвердил, что я буду работать
весь день. Физическая безопасность была хорошей. Видно было, что в нее были вложены
серьезные средства.
Мы с Дэйвом прошли в середину зала. Со всех сторон нас окружали серверы выше моей
головы. На всех них были таблички - Drug4, Drug5, Drug6. Уровень адреналина во мне
стал расти. Я знала, что среди них искать. Я чувствую запах риска за милю. И за углом
я увидела его - Drug10.
Дэйв создал мне учетную запись и сказал, что придет забрать меня на обед. Я уже почти
зарегистрировалась в системе, когда он заканчивал фразу. По мере зондирования системы

2. Около 10 километров. - Примеч. пер.
Соединение с партнерами
64

я не могла поверить своим глазам. Предположения подтвердились. Эта система оказалась
подключенной к Интернету без какой-либо настройки безопасности. Это была еще одна
стандартная установка системы.
Дальнейшее изучение показало, что сервер был очень сильно скомпрометирован хакером.
Хакер даже заменил системные файлы и оставил «черный ход» для облегчения повторной
прогулки! Невозможно себе представить, что будет, если из Интернета или интранет JFC
придет хакер. Так как на сервере Drug10 легко может быть получен привилегированный
доступ, то хакеру даже не придется много трудиться, Работу ему упрощало наличие неак­
тивных учетных записей с легко угадываемыми паролями и тот факт, что патчи безопас­
ности никогда не устанавливались.
Сервер Drug10 выполнял также и сетевые службы, которые бы следовало выключить.
Есть много способов получения информации о системе с использованием сетевых служб.
3
Например, с помощью команды "finger" можно получить информацию о пользователях
системы. Эта информация может быть позднее использована для запуска атаки против
этих пользователей. Зачем выставлять напоказ информацию без необходимости? Это -
одна из причин, по которой следует выключать ненужные вам службы.
Работа хакера не просто упрощалась, она превращалась в прогулку по парку. Было так
много путей для вторжения в систему, что я не могла догадаться, какой из них использовал
хакер. Может быть, по одному на каждый день для разнообразия? С этим надо было не­
медленно что-то делать.
Так как риск для JFC (и McConnell Drugs) был слишком велик, то на написание отчета по­
ка не было времени. Некоторые из аудиторов присваивают степеням риска цвет - напри­
мер, зеленый, желтый или красный. Данной степени риска я бы присвоила категорию:
«СЕЙЧАС НЕБО УПАДЕТ НА ЗЕМЛЮ».
Я связалась с менеджером внутреннего аудита Дорис, которая меня нанимала, и сказала ей
о падающих небесах и причине этого. Она сообщила о ситуации заинтересованным сторо­
нам и созвала совещание их представителей. На него пригласили Дэна (эксперта по безо­
пасности JFC), Фреда (так называемого эксперта JFC по брандмауэрам), Дэйва (системно­
го администратора), менеджеров всех причастных к данному вопросу групп технической
поддержки и меня. Через два часа все участники собрались в зале.
Что мне нравится в профессиональных сотрудниках внутреннего аудита, так это то, что
они понимают риск и имеют полномочия внутри компании, достаточные для того, чтобы
вытащить вилку из розетки у любой системы, если есть необходимость. Я как раз и реко­
мендовала немедленно вытащить вилку у Drug10. И спасибо менеджеру внутреннего ау­
дита за серьезное отношение к проблеме. Обслуживающий персонал работал всю ночь,
устанавливая новую систему взамен Drug10. К следующему утру новая система была под­
ключена к сети.

Последний день аудита: Кто несет ответственность за безопасность
После того как риск для сети JFC был уменьшен, я смогла закончить оставшуюся часть
аудита. Результаты аудита показывали серьезные нарушения безопасности у большинства
наиболее важных систем.
Во главе списка рисков были следующие:
• Не были сделаны исправления программ (патчи), повышающие безопасность.
• Существовала избыточность разрешений на доступ к файлам.

<< Пред. стр.

страница 7
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign