Мы пойдем другой дорогой…
При разработке нового продукта мы все стараемся держаться хотя бы на несколько шагов впереди стаи. Но волки могут быть ближе от ваших пяток, чем вы думаете. В своей книге «Информационная война: хаос на электронном суперхайвэе»[23] Уинн Швартау замечает: «Когда-нибудь вы станете (если уже не стали) жертвой информационной войны… Если не вчера или сегодня, то обязательно завтра».
Если это звучит для вас немного мелодраматично, то задержимся и посмотрим на общую цену проблемы. По данным офиса директора национальной контрразведки,[24] только в 2002 году потери продаж в американской экономике от промышленного шпионажа оцениваются суммой от 100 до 250 миллиардов долларов. Вы можете добавить сюда экономические и моральные убытки от потери рабочих мест.
Даже единичный акт шпионажа может быть опустошительным. Vogon, фирма, занимающаяся правовыми вопросами в компьютерной области, сообщает, что при проведении аудита у одного из клиентов был обнаружен сотрудник, «скачивающий» конфиденциальную информацию для того, чтобы впоследствии открыть конкурирующую фирму. Этот клиент подсчитал, что его убытки в случае, если бы такое пиратство не было раскрыто, могли бы достигать 10 миллионов долларов.
Можете ли вы заявить в такой обстановке, что имеете все необходимые средства безопасности? Не начнет ли ваше будущее расплываться и исчезать, как почти случилось с JFC? Чтобы этого избежать, нужно сделать то же самое, что должна была сделать JFC.
Использовать типовые архитектурные схемы
Добейтесь, чтобы существовала безопасная архитектура для подключения внешних клиентов к вашей сети (экстранет). Архитектура должна охватывать все проблемы. В ней необходимо определить тип устанавливаемого брандмауэра, перечислить, какие службы разрешены, описать установленное программное обеспечение и четко определить все сетевые подключения.
Вам также нужно знать, какую архитектуру имеет клиент со своей стороны. Конечно, вы должны до некоторой степени доверять клиентам. Но вы не можете позволить себе этого без веских причин. В JFC было оказано неограниченное доверие без каких-либо технических деталей, которые бы это доверие гарантировали. Не ставьте себя в их положение. Несомненно, предлагайте свое доверие. Но вначале убедитесь, что ваши клиенты хотят его заслужить и обеспечат вас подробной информацией о конфигурации систем на своей стороне.
В мире бизнеса интернетовской эры доверие больше не сводится к рукопожатию. Оно обеспечивается согласованной и отраженной в документах архитектуре.
Отслеживать внешние подключения
Необходимость внешних подключений может возникнуть быстро, особенно если вы работаете в растущей компании. В 1996 году Ernst & Young обнаружила, что целая треть обследованных ей компаний использует Интернет для обмена важной деловой информацией. Затем произошла революция, создавшая электронную торговлю и вызвавшая небывалый взлет количества внешних соединений. К 2002 году, уже 99 процентов респондентов имели корпоративные веб-сайты. Из них 52 процента действительно занимались электронной коммерцией на своих веб-сайтах. Сегодня реальные деньги и финансовая информация обычным образом отправляется в киберпространство. Внешние соединения не являются чем-то исключительным — они подразумеваются сами по себе.
Одна из главных проблем JFC заключалась в том, что они не могли даже сказать мне, сколько внешних подключений у них есть. Заявки на подключения хранились в ASCII-файлах, но из них не было ясно, какие заявки были утверждены и/или удовлетворены.
Поручите кому-нибудь (любому!) отслеживать внешние подключения. Дайте ему подробные инструкции, как вести записи. Если вы не сможете легко найти и получить отчет с информацией по внешним подключениям, то работа будет бесполезной. Будет лучше, если сотрудник, отвечающий за внешние подключения, станет регулярно отчитываться об их состоянии.
Отвечать за свою территорию
Если вы являетесь системным администратором, отвечающим за конкретные системы, то помните, что эти системы представляют собой вашу территорию. Хотя вы разделяете эту ответственность с администратором безопасности, вы все же отвечаете за каждую из систем, находящихся на вашей территории. В случае с JFC Фред «перевел стрелки» на Дэйва, так как к концу того дня Drug10 уже принадлежал Дэйву.
И если вы — системный администратор, отвечающий за конкретную территорию, и не знаете, как настроить безопасность находящихся на ней систем, то потребуйте немедленно помощи. Не будете о помощи просить — вы ее не получите. Попросите обучить вас или нанять кого-то еще, кто сумеет поддерживать безопасность на вашем участке. Если ваш начальник не добьется финансирования обучения или помощи, то, возможно, вам придется подумать о другом месте работы. Помните, что если хакер взломает вашу сеть, то шишки посыплются на вас, а не на вашего начальника.
Требовать утверждения внешних подключений
Отслеживание внешних подключений — это хорошее начало для восстановления контроля над вашей сетью. Но вам также следует заняться ограничением этих подключений. На самом деле, не каждому желающему действительно нужен такой доступ. Для уменьшения риска вы можете установить правила, по которым бы определялось, когда (и нужно ли) предоставлять доступ по заявкам на подключение.
Статистика показывает увеличение количества подключений к Интернету, и стоит невероятный шум по поводу роста производительности, обеспечиваемого легким доступом к информации. Но расширение доступа не всегда ведет к повышению производительности. Семьдесят восемь процентов участников опроса, проведенного CSI в 2002 году, сообщили, что ловили своих сотрудников за использованием подключения к Интернету не по назначению. Находящийся в Калифорнии Saratoga Institute сообщает, что в 2000 году более 60 процентов американских фирм наказывали сотрудников за незаконное использование подключения к Интернету, Более того, в целых 30 процентах фирм даже прибегали к увольнению сотрудников за онлайновый трейдинг,[25] азартные игры, посещение порносайтов и просто за перерасход времени доступа к Интернету. Прежде чем увеличивать производительность вашей компании при помощи расширения доступа, подумайте о возможных последствиях. Для начала поручите кому-нибудь из руководящих сотрудников выдавать разрешение на внешние подключения к другим сетям. Хорошо было бы также, чтобы каждое из разрешений им подписывалось. При этом ответственность немного сдвинется вверх по цепочке — и чем выше, тем лучше.
Я твердо убеждена в том, что если бы в JFC было необходимо утверждать подключение Drug10, то кто-то бы задумался. По крайней мере, при этом прекратили бы «поджаривать» Дэйва и повернулись бы к руководителю, отвечающему за выдачу разрешений.
Следить за выполнением политики процедур
По крайней мере, JFC для своей обороны предусмотрело политику для брандмауэров. Хотя это была политика, одна на все случаи и смотрящая с высоты 30 000 футов, но все-таки она была. В ней указывалось, что допускается только одно подключение к Интернету. К сожалению, за ее выполнением не следили. Если бы было иначе, то Drug10 не был бы установлен с рискованной конфигурацией.
Разработанные политики не имеют смысла, если затем они не подкреплены непрерывным и безжалостным отслеживанием их выполнения.
Выключать ненужные службы
Ошибки в программном обеспечении и при установке конфигурации сетевых служб могут приводить к образованию брешей в безопасности. От программных ошибок, к сожалению, нам никогда не избавиться. Поэтому, чтобы уменьшить до минимума риск для вашей системы, вам нужно как можно меньше быть открытым для сетевых служб. Ненужные службы (такие, как walld, fingerd, sprayd и т. д.) следует выключать. Работа таких служб дает хороший повод для начала атаки против вашей сети по типу «отказ от обслуживания».
В политике безопасности вашего сайта должно ясно говориться, какие службы необходимы, а какие создают неприемлемые риски и должны быть выключены. Если в политике вашего сайта не упоминаются сетевые службы и вы не знаете, какие службы выключать, то наймите администратора по безопасности или консультанта, которые вам помогут. Ничего не предпринимайте в отношении служб в системах, которые вы обслуживаете, пока не узнаете точно, что вам делать.
Подчеркивать важность обучения
Это я говорила уже не раз и буду повторять снова и снова: часто слабым звеном в безопасности является незнание. Все технические достижения в мире будут бессильны, если персонал не обучен и попросту игнорирует имеющиеся средства защиты.
