IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Год спустя: Неавторизованный доступ продолжается
В течение следующего года произошло несколько успешных взломов интранет ISD (успешных для хакера, разумеется). Единственной положительной стороной в них было то, что Чарльз получил сообщения о взломах от руководителя внутреннего аудита ISD, а не от CNN.
Не допустить, чтобы факты взломов попали в заголовки газет, является главной целью финансовых директоров. Осуществление этой цели значительно труднее, чем кажется. Многие хакеры сегодня считают высшим шиком передать отчет о своем взломе непосредственно агентствам новостей. Хакерам известно, что сопутствующий вред от плохой рекламы может быть больше, чем ущерб, причиненный самой атакой. Поэтому в
Несмотря на такую удачу, Чарльз оставался в плохом положении. Он был разъярен и не переставал удивляться, что в его сети оставались дыры. Разве он не приказал своим сотрудникам устранить проблему еще в прошлом году? Может быть, кто-то не выполнил его указаний? Теперь Чарльз стал искать головы. И я не думаю, что они ему нужны были для расширения штата сотрудников. Он хотел положить их на плаху.
В это время Чарльз встретился с директором по информационным технологиям и руководителем внутреннего аудита компании для обсуждения имеющихся рисков для безопасности. Они решили, что пришло время нанять независимого аудитора безопасности. И здесь на сцене появляюсь я.
Рисуя общую картину, я опиралась на опыт ранее проведенных аудитов. Это — большое преимущество! Обычно аудитор тратит много времени на интервьюирование сотрудников, про смотр схем сети и зондирование информации для определения незащищенных систем.
Я знала, какие системы были уязвимыми, из прошлогодних проверок, поэтому они казались мне местом, с которого я должна была начать тестирование. Первой и главной причиной такого подхода была возможность показать статистику, опираясь на твердые факты. Руководители любят статистику. Все, что я могла поместить в график или круговую диаграмму, было мне на руку, и я знала, что подача информации руководителям в таком виде прибавляла мне вес.
Большинство руководителей, с кем я работала, были очень сообразительными. Но перед ними проходил очень большой поток информации, и им была нужна точная и понятная информация, суть которой умещалась на одной странице. Итоговый отчет для руководства должен передавать мысль с первого взгляда. Добавлю, что многие отчеты об аудите безопасности, которые я видела, вызывали во мне бурю негодования. Плохо написанный и оформленный отчет, представленный на быстрый просмотр руководителю высшего уровня, не только не имеет смысла, но и перечеркивает всю пользу от проделанного аудита. Так как необходимость устранения риска и получение на это денег очень часто идут бок о бок, то важно, чтобы высшее руководство поняло степень риска и его возможные последствия.
Отчеты, представляемые вышестоящему руководству, должны быть короткими (в идеале — в одну страницу и никогда больше двух), легко читаемыми и легко понятными.
Результаты моего аудита позволяли легко передать их смысл руководству. Я уже представляла, как будет выглядеть график, еще до начала проведения аудита. Я решила показать процентное отношение незащищенных мест, найденных в прошлом году, к найденным сейчас. Это было бы замечательно! Я запомнила эту мысль и начала аудит.
Знакомясь с отчетом по аудиту, составленным Мартином в прошлом году, я обнаружила, что его трудно читать. В нем сообщалось обо всех рисках, но техническим языком и без каких-либо логических связей. Если бы руководство получило этот отчет, то оно бы не знало с чего начать. Я потратила больше времени, чем планировала, чтобы докопаться до полезной информации в отчете.
Разобравшись с отчетом Мартина, я поняла, с какими системами финансовой сети связан наибольший риск. Я прозондировала вначале информацию этих систем. Затем сняла копию таблицы паролей и запустила программу Crack. Мне нравится начинать аудит с взлома паролей, потому что я хочу увидеть, как много можно их взломать с первого захода. В таблице содержалось 520 паролей пользователей —
Системный администратор предоставил мне доступ ко всем системам. При проведении аудита я предпочитаю зарегистрировать свой вход в систему и уже затем проводить тестирование, а не взламывать сеть. В моих первых аудитах мне нравилось вначале вторгаться из сети (тестировать на проникновение), потому что это захватывало меня и помогало совершенствовать навыки взлома. Но, набравшись опыта проведения аудита, я поняла, что смогу охватить больше территории, быстрее и эффективнее, попросив владельца системы дать мне учетную запись для входа в систему. После этого я регистрировала свой вход в систему и просматривала ее уязвимые места. Для этого я иногда не проводила тест на проникновение вообще. Вначале я зондировала информацию систем из Сети (чтобы увидеть, сколько информации я смогу получить). Затем я тестировала ненадежные пароли. После этого регистрировалась в системе и проводила тестирование незащищенных мест и ошибок в настройке. И последним тестом аудита был тест на проникновение извне (и только при необходимости).
Я не считаю, что тест на проникновение всегда необходим. Например, в системе оказалась старая версия Sendmail. Общеизвестно, что такая система может быть взломана. Зачем же тратить время для того, чтобы доказать, что вода мокрая?
В некоторых случаях я провожу тест на проникновение в системах, уязвимость которых известна заранее, для того, чтобы продемонстрировать руководству саму идею. Иногда такой демонстрации не требуется. Все зависит от масштаба аудита, приоритетов клиента и ожиданий руководства.
В данном аудите тест на проникновение, определенно, не был необходим. Руководство знало, что сеть может быть взломана. (И я была здесь потому, что хакерам это было тоже известно!) Аудит должен был ответить на вопрос, почему сеть все еще уязвима. Зная это, я отказалась от проведения теста на проникновение и пошла дальше.
Я приступила к проверке наиболее ответственной финансовой системы. Она была широко открыта и не имела патчей безопасности. Я взломала корневой каталог, использовав очень старую программную ошибку в защите. Легко обнаруживалось, что эти системы имели стандартные настройки и не было установлено никаких дополнительных средств защиты. Я протестировала вторую систему, затем третью и четвертую. Та же история. Насколько мне было видно, абсолютно ничего не изменилось с тех пор, как был проведен последний аудит безопасности. Было ясно, что сотрудники нижнего уровня («находящиеся в окопах») не устранили проблем.
Вопрос, вполне подходящий для телевикторины $64 000 Question: [14] почему не устранили? Определенно, проблемы безопасности в ISD должны были быть решены. Либо линейные менеджеры [15] не слышали распоряжения Чарльза сверху, либо они не хотели его услышать.
Скорее всего, когда Чарльз сказал своим людям: «Сейчас же устраните проблемы безопасности», он посчитал вопрос закрытым. Он никогда не проверял, выполняется ли его распоряжение. Какими бы причины не были, проблемы не были решены, и Чарльз не получил желаемых им результатов.
14
Одна из самых распространенных телевикторин, проводимая компанией CBS с 1950-х годов. — Примеч. пер.
15
Line management — менеджеры нижнего уровня. — Примеч. науч. ред.