IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Хотя в Costa Corp проводилась оценка рисков, у них просто не было сотрудников, знающих, как обеспечивать безопасность систем. Поэтому системы оставались незащищенными и уязвимыми для атак. Мой аудит, проведенный через несколько лет после этого, показал, что эти системы по-прежнему подвергались риску: патчи, повышающие безопасность, не были установлены, пароли можно было легко угадать, не были отключены лишние службы, и нарушений безопасности стало больше, чем было выявлено при предыдущей оценке.
Взлом и потеря финансовой информации открыли глаза высшему руководству на эту проблему. Как правило, неавторизованный доступ и раскрытие конфиденциальной информации заставляют генерального
56
То есть правила, которые необходимо выполнять для обеспечения безопасности. — Примеч. пер.
Руководство ввело жесткую политику обеспечения настройки и поддержки безопасности систем. В качестве эффективного стимула для владельца каждой системы эта политика устанавливала, что если при тестировании системы в ней будут обнаружены уязвимые места, то либо они будут устранены в течение 48 часов, либо система будет отключена от сети. Эту политику поддерживал директор по информационным технологиям, и за ее выполнением следили по всей компании. Политики нуждаются в поддержке руководства, иначе они становятся бесполезными.
Когда пришел новый директор по информационным технологиям, то у него оказались другие взгляды на безопасность, Старый директор был приверженцем политики «соответствуй-или-умри», то есть либо ваша система соответствует политике, либо ее выбрасывают из сети. Такая политика стимулирует обеспечение безопасности, но требует, чтобы ее придерживались на всех уровнях компании. В каждой организации должны быть цели по обеспечению безопасности: должно проводиться обучение для того, чтобы люди поняли, как защитить свои системы; должны использоваться инструменты для тестирования, контроля и поддержки безопасности; люди должны тестировать и защищать свои системы и т. д. Так как новый директор по информационным технологиям не поддерживал эту политику, то многие системы сети со временем стали менее защищенными. Кроме того, он не сделал обеспечение безопасности корпоративной целью. Когда в бюджете не нашлось средств на осуществление важных инициатив в области электронной коммерции, то ради них было отложено приобретение инструментов обнаружения вторжения и тестирования безопасности. Таким образом, компания «перекачала» ресурсы из бюджета безопасности в бюджет поддержки деловых целей компании.
Риск для всей корпорации
Проведенная мной в 2002 году оценка состояния безопасности показала, что появилась новая угроза для организаций в целом, которая может представлять предмет серьезного беспокойства. Она заключается в том, что руководство не обращает внимания на некоторые основные меры по обеспечению безопасности. Так, например, две главные ошибки, допущенные компанией Costa Corp, состояли в следующем: 1) она не требовала выполнения своих политик; 2) она позволила руководству нарушать политики безопасности и не вникать в риск, создаваемый при этом для компании в целом.
В компании Costa Corp выработалась практика исключений, которая позволяла
В Costa Corp была также разработана политика подключения к Интернету, определяющая, что подключение любой системы к Интернету должно разрешаться руководством и должно соответствовать правилам установки подключения, разработанным группой обеспечения безопасности. Эта политика была хорошо написана, такими же хорошими были и правила, определяющие обеспечение защиты системы и ее тестирование перед подключением к Интернету. Тот, кто разработал политику и правила, разбирался в вопросах безопасности. Но в погоне за деловыми целями тем не менее некоторые из подразделений компании полностью проигнорировали эту политику. Они установили веб-серверы в Интернете, не получив разрешения высшего руководства и не установив средств защиты.
Руководство компании обнаружило эту проблему тогда, когда один из ее международных веб-серверов был взломан. Хакер исказил внешний вид веб-сайта и подорвал общественную репутацию Costa Corp. Получилось так, что проблема оказалась гораздо большей, чем просто неправильное подключение веб-сервера к Интернету. Расследование, проведенное группой обеспечения безопасности Costa Corp, показало, что через серверы компании к Интернету было подключено более 400 систем. Группа безопасности не знала, кто подключил эти системы или кто ими владел. У многих систем не было настроек безопасности, поэтому их легко было взломать из Интернета.
Даже если сотрудники компании проигнорировали ее политики и подключили незащищенные веб-серверы к Интернету, компания все равно остается ответственной за эти системы, которые могут быть использованы для запуска атак против других компаний. Атаки из систем таких беспечных владельцев происходят каждый день. Хакеры используют сотни и тысячи скомпрометированных систем для запуска атак против других систем и сетей. Не так давно при помощи атак по типу «отказа от обслуживания» были обрушены несколько высокопрофессиональных сайтов, таких, как сайты Yahoo, Inc. и EBay, Inc. В этих атаках серверы или сети «наводняются» бесполезным трафиком, и законные пользователи больше не могут получать доступа к их ресурсам. Подобные атаки все еще представляют значительную угрозу безопасности. Такие атаки демонстрируют, как хакеры могут использовать ваши машины для нападения на другие системы и сети.
Два года назад тинейджером, проживающим в Модесто, штат Калифорния, была предпринята атака, которая не получила широкой огласки. Он получил доступ к системам регулирования слива воды одной из канадских плотин. Правоохранительные органы успели его поймать до того, как он успел что-либо наделать, но что было бы, если им не удалось его схватить?
Представьте себе, что этот тинейджер, взломавший незащищенный веб-сервер, принадлежавший компании Fortune 500, и получивший доступ к системе слива канадской плотины, открыл бы ее и затопил населенные пункты ниже плотины, вызвав ущерб в миллионы долларов и гибель 300 жителей. Позвольте теперь сказать, что хотя правоохранительные органы и не всегда могут определить след, ведущий к такому тинейджеру, они все же способны выйти на след компании Fortune 500, которой принадлежит этот веб-сервер, использовавшийся для запуска атаки. При этом можно было бы задать такие вопросы: