IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Аудит, день 2-й: Ничем не подкрепленные политики
Дэйв встретил меня в холле JFC. Мне хотелось поскорее добраться до клавиатуры Drug10, но сначала я должна была получить политики безопасности. Мы задержались из-за них в офисе Дэйва. Политики, распечатанные им, были немногочисленными и короткими — они умещались на нескольких дюймах бумаги. Дэйв занялся чтением электронной почты. Он тихонько ругнулся и начал выстукивать на клавиатуре ответ. Должно быть, он имел дело с трудным клиентом.
Пока он этим занимался, у меня была возможность взглянуть на политики. Это были политики очень высокого уровня — в них с высоты 30 000 футов [19]
19
Около 10 километров. — Примеч. пер.
Как только Дэйв оторвался от своей электронной почты, я попросила его провести меня в компьютерный зал. В JFC имелось несколько уровней безопасности для защиты компьютерного зала. За консолями и другим оборудованием следили четыре оператора. Они должны были обеспечить мою работу в системе, и Дэйв подтвердил, что я буду работать весь день. Физическая безопасность была хорошей. Видно было, что в нее были вложены серьезные средства.
Мы с Дэйвом прошли в середину зала. Со всех сторон нас окружали серверы выше моей головы. На всех них были таблички — Drug4, Drug5, Drug6. Уровень адреналина во мне стал расти. Я знала, что среди них искать. Я чувствую запах риска за милю. И за углом я увидела его — Drug10.
Дэйв создал мне учетную запись и сказал, что придет забрать меня на обед. Я уже почти зарегистрировалась в системе, когда он заканчивал фразу. По мере зондирования системы я не могла поверить своим глазам. Предположения подтвердились. Эта система оказалась подключенной к Интернету без какой-либо настройки безопасности. Это была еще одна стандартная установка системы.
Дальнейшее изучение показало, что сервер был очень сильно скомпрометирован хакером. Хакер даже заменил системные файлы и оставил «черный ход» для облегчения повторной прогулки! Невозможно себе представить, что будет, если из Интернета или интранет JFC придет хакер. Так как на сервере Drug10 легко может быть получен привилегированный доступ, то хакеру даже не придется много трудиться, Работу ему упрощало наличие неактивных учетных записей с легко угадываемыми паролями и тот факт, что патчи безопасности никогда не устанавливались.
Сервер Drug10 выполнял также и сетевые службы, которые бы следовало выключить. Есть много способов получения информации о системе с использованием сетевых служб. Например, с помощью команды "finger" [20] можно получить информацию о пользователях системы. Эта информация может быть позднее использована для запуска атаки против этих пользователей. Зачем выставлять напоказ информацию без необходимости? Это — одна из причин, по которой следует выключать ненужные вам службы.
20
Не во всех ОС она поддерживается, и не каждый провайдер ее разрешает выполнять. — Примеч. пер.
Работа хакера не просто упрощалась, она превращалась в прогулку по парку. Было так
Так как риск для JFC (и McConnell Drugs) был слишком велик, то на написание отчета пока не было времени. Некоторые из аудиторов присваивают степеням риска цвет — например, зеленый, желтый или красный. Данной степени риска я бы присвоила категорию: «СЕЙЧАС НЕБО УПАДЕТ НА ЗЕМЛЮ».
Я связалась с менеджером внутреннего аудита Дорис, которая меня нанимала, и сказала ей о падающих небесах и причине этого. Она сообщила о ситуации заинтересованным сторонам и созвала совещание их представителей. На него пригласили Дэна (эксперта по безопасности JFC), Фреда (так называемого эксперта JFC по брандмауэрам), Дэйва (системного администратора), менеджеров всех причастных к данному вопросу групп технической поддержки и меня. Через два часа все участники собрались в зале.
Что мне нравится в профессиональных сотрудниках внутреннего аудита, так это то, что они понимают риск и имеют полномочия внутри компании, достаточные для того, чтобы вытащить вилку из розетки у любой системы, если есть необходимость. Я как раз и рекомендовала немедленно вытащить вилку у Drug10. И спасибо менеджеру внутреннего аудита за серьезное отношение к проблеме. Обслуживающий персонал работал всю ночь, устанавливая новую систему взамен Drug10. К следующему утру новая система была подключена к сети.
Последний день аудита: Кто несет ответственность за безопасность
После того как риск для сети JFC был уменьшен, я смогла закончить оставшуюся часть аудита. Результаты аудита показывали серьезные нарушения безопасности у большинства наиболее важных систем.
Во главе списка рисков были следующие:
• Не были сделаны исправления программ (патчи), повышающие безопасность.
• Существовала избыточность разрешений на доступ к файлам.
• Пароли легко было отгадать.
• Были включены ненужные сетевые службы.
Большое количество рисков не удивило меня. Когда такая важная система, как Drug10, настраивается столь плохо, что информация всей компании и ее клиентов подвергается риску, то я не могла ожидать, что обнаружу должный контроль над безопасностью других систем. Перед тем как написать отчет, я решила поговорить с Фредом, так называемым экспертом JFC по брандмауэрам. Зайдя в его офис, я попросила уделить мне немного времени. Когда я села и пыталась завязать с ним разговор, Фред продолжал печатать. Мне это очень не нравится. Когда люди печатают во время разговора с вами, то этим стараются показать две вещи: 1) «У меня есть дела важнее разговора с вами». 2) «Вам вовсе не нужно мое внимание (или вы не заслуживаете его)». Я не была настроена терпеть такое отношение ко мне, поэтому встала и попросила Фреда встретиться со мной в зале заседаний в конце холла.
Фред от своих манер общения не отказался и там. Пытаясь получить от него информацию, я обнаружила, что он саркастичен, заносчив и не очень умен. По моему мнению, он был типичным неудачником. Он попытался переложить ответственность на другого. Он путано стал мне объяснять, что все было бы в порядке, если бы Дэйв настроил безопасность на сервере базы данных. Он также сказал, что в его намерения не входило настраивать безопасность системы — это, по его мнению, была работа Дэйва.
Если вы работаете системным администратором, как Дэйв, то вы, возможно, вспомните подобный случай. Когда защита взломана, то все показывают пальцем на вас.