Глава 7
Поддержка безопасности
Конечно, в этой фирме был брандмауэр, но ее сеть была широко открыта любому с картой 802.11(b).[41]
СИЛКОМ Гарфинкл, соучредитель компании Sandstorm Enterprises
Вы являетесь менеджером административной информационной системы у крупного производителя микросхем. Ваша группа обеспечивает техническую поддержку сети компании и отвечает за работоспособность сети и решение возникающих в ней проблем. Это большой груз ответственности в большой компании. Это вместе с тем неблагодарная работа. Все сразу видят, когда сеть выходит из строя. Но никто не замечает, как хорошо и быстро работает сеть, если все в порядке, — это обычное для всех состояние сети.
Ваша группа также отвечает за поддержку брандмауэра компании. Этот брандмауэр защищает вашу сеть от большого плохого Интернета. Вы счастливы, что у вас работает один из лучших в мире экспертов по брандмауэрам. Как только возникает проблема, он тут же берет ее решение на себя. В окружении зрелых специалистов вам удается освободить для себя время, чтобы заняться нужными делами, как, например, политиками компании и бюджетом. И вот вы только что провели последние штрихи в бюджете отдела на следующий год.
Но зазвонил телефон. Ваш эксперт сообщает вам, что очередной хакер проник в сеть компании через брандмауэр. Эксперт уже связался с группой обеспечения безопасности компании. Сотрудники группы будут определять путь хакера, а он займется выяснением способа, с помощью которого хакер осуществил взлом. Вы говорите: «Отлично. Только сообщите мне, когда проблема будет решена».
Можно вернуться к бюджету. Цифры выглядят хорошо — средства не такие уж большие, но вполне достаточные. Даже если у вас отнимут процентов 20, то и тогда оставшегося хватит безбедно прожить следующий год.
За составлением бюджета время пролетело быстро, и незаметно наступил конец рабочего дня. Вы уже собрались пойти домой, но вспомнили, что вам все еще не позвонил администратор брандмауэра. Ну да ладно. Пустяки. Вы надеетесь, что у него все под контролем. Можно еще успеть выбраться на хоккей. Sharks играют дома, и вы ни за что не пропустите игру.
На следующий день вам звонит ваш администратор брандмауэра: «Мы выкинули хакера из сети прошлой ночью. Я нашел, в чем проблема, и устранил дыру. Этим путем он больше не пройдет». Отличная работа! Вы знали, что все так и выйдет.
Что же здесь не так? Руководитель, отвечающий за поддержку брандмауэра и думающий, что взлом — это пустяк, должен искать себе новую профессию! Это не тот тип менеджера, которого я бы допустила к технической поддержке моей сети и брандмауэра.
Если вы думаете, что всякий, в чьи обязанности входит обеспечение безопасности вашей информации, действительно заботится о безопасности, то подумайте хорошенько. Цель компании защитить информацию не всегда становится целью каждого. Теперь посмотрим…
Кто отвечает за безопасность
Когда пять лет назад компания Global Chips подключилась к Интернету, она поставила и брандмауэр. Брандмауэр в то время справлялся со своими функциями — обеспечивал сотрудникам доступ к внешнему миру и преграждал путь хакерам. Однако технологии быстро меняются, a Global Chips годами не поддерживала и не улучшала свой брандмауэр должным образом. Это открыло дверь в их сеть.
Однажды хакер прошел через брандмауэр, как будто его и не было. Затем хакер свободно совершил долгую прогулку по интранет компании, собирая пароли и информацию. Персонал технической поддержки обнаружил хакера в сети, но не смог получить достаточно информации, чтобы отследить обратный путь к хакеру.
Администратор брандмауэра Джозеф Уизерс все же смог определить, как хакер взломал брандмауэр, и закрыл дыру.
К сожалению, сага о брандмауэре продолжалась. Global Chips столкнулась с серией взломов. Тем временем брандмауэр стал повседневной целью атак хакера. После каждого взлома Джозефу приходилось устранять новую обнаруженную проблему. Но все попытки отследить путь хакера для установления конкретного лица были бесполезны (что не является необычным). Поэтому Джозеф не знал, имеет ли он дело с хакером-одиночкой или с группой хакеров.
Директор по информационным технологиям Аманда Миткин получала информацию о каждом взломе. В сети происходило слишком уж много взломов, и Аманда захотела узнать причину этого. Довольно интересно, что менеджер, отвечавший за комплекс брандмауэра в Global Chips, не задавал себе такого же вопроса. Он считал системного администратора героем за то, что тот устранял возникающие при этом проблемы.
Аманда была рассудительна. Когда компания устанавливает брандмауэр, то весь трафик, идущий из интранет в Интернет (или наоборот), проходит через брандмауэр. Он установлен для защиты. А не для учебной стрельбы!
Если высшие руководители спрашивают, почему происходят взломы, до того, как об этом спросят линейные менеджеры, то видно, что эта проблема последних не интересует. К счастью для Global Chips, Аманда была встревожена фактами взломов и потребовала провести расследование.
День 1-й: Как выгоняли плохих парней
Аманда поручила провести расследование директору внутреннего аудита Перри Слоуну. Перри был также озадачен количеством успешных взломов. Так как у его сотрудников не было опыта в данной области, то Перри нанял для проведения аудита консультанта по вопросам безопасности.
И тут на сцене появляюсь я. Перри сообщил, что взломы стали повседневным явлением, но это все, что он знает. Так как он уже понимал серьезность сложившейся ситуации, то я не стала тратить время на определение уровня риска. Хакер уже сделал это за меня.
Вместо этого главным в аудите было ответить на вопрос: «Почему мы не можем запереть перед хакером двери?»
Перри поручил своему ближайшему помощнику Теду Дэвису заботиться обо мне. Тед должен был организовать мои встречи с нужными людьми. Некоторым руководителям и сотрудникам технической поддержки нравится изматывать аудиторов, не отвечая на звонки и демонстрируя свою постоянную занятость. У меня не было ни времени, ни намерений играть в такие глупые игры. Обязанностью Теда было таких игр не допустить.
Как профессиональный аудитор компании, Тед мог легко и быстро добраться до людей на верхних уровнях управления компании. Он должен был устраивать мне встречи с ними и следить, чтобы я могла легко связаться с нужными людьми. Компания была значительной, и ей требовался быстрый ответ. В план игры не входили политические игры. Получив в свое распоряжение Теда для наведения ясности по данному вопросу, я начала обдумывать мой подход.
Некоторые аудиты состоят в основном из интервьюирования и составления итогового отчета. Как ни странно звучит, но иногда риск бывает так велик, что проблема смотрит на вас прямо в лицо. Так как риск уже был очевиден для директора по информационным технологиям, то внутреннее чутье мне подсказывало, что этот аудит будет именно таким.
Когда хакер может неоднократно проходить через брандмауэр, то обычно проблема заключается в плохой поддержке, настройках или самих средствах безопасности. Я все еще не представляла себе, сколько тестов мне нужно будет провести. Но я знала, что интервью могут дать мне ключ к сбору информации. Я стала в уме составлять список вопросов.
В основном эти вопросы будут касаться администратора брандмауэра Джозефа Уизерса. В конце концов, это он стоял ночами, пытаясь отогнать хакера, Тед запланировал мне встречу с Джозефом на завтра, и попросил его принести необходимую документацию — политики и процедуры брандмауэра, процедуры реагирования в чрезвычайных ситуациях и сетевую схему.
Тед также запланировал интервью с менеджером технической поддержки Карлом Санчесом. Так как обе эти встречи были намечены на следующий день, то, казалось, мне не дадут замочить ног до завтрашнего дня. Тогда я решила получить информацию от Теда.
Тед сообщил мне общие сведения о компании и произошедших взломах. Время моей командировки шло, и я начала писать отчет по аудиту. Обычно я пишу отчет в последнюю очередь, но у меня уже было достаточно информации о взломах для того, чтобы начать писать черновой вариант отчета. Тед проводил меня в офис для посетителей, я достала свой ноутбук и приступила к работе. Я закончила черновой вариант, чтобы внести в него детали после проведения аудита. (В настоящее время, я могу только строить догадки, а за них мне не платят. Эти парни хотели фактов, и у меня их скоро будет достаточно.) Для первого дня было уже хорошо.
День 2-й: Администратор брандмауэра
Тед встретил меня в холле и выписал пропуск. Он проводил меня до офиса Джозефа. При первой встрече Джозеф немного нервничал. Конечно, многие люди волнуются при приходе аудитора, поэтому я попыталась разрядить обстановку (с помощью хорошей шутки). Но Джозеф не оценил мой юмор и определенно не был склонен к приятной беседе. Отбросив мягкие манеры, я попросила у него документацию, которую заказывала. Он смог дать мне только сетевую схему. Когда я его спросила об остальной документации, то он сообщил: «У меня нет политик и процедур брандмауэра; это не моя работа - их писать. Я знаю, как настроен брандмауэр и что делать, если происходит взлом».
