IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Я не предлагаю вам устанавливать программы-детекторы на каждую систему вашей сети. Но стратегическое размещение их в ключевых местах (в сетях и наиболее важных для работы системах) даст вам несомненное преимущество.
Готовиться к худшему
Хотя предупредительные меры составляют 80 % всех средств, остаются еще целых 20 %. В действительности, как бы тщательно вы ни планировали, всегда остаются непредвиденные проблемы. Способность их решать часто сводится к подготовке к неожиданностям. Поэтому, чтобы избежать ситуации, в которой оказался First Fidelity, нужно проделать следующее.
Разработать
Если в вашей компании нет политики действий при вторжении в письменном виде, то вы не одиноки. Хотя мы сосредоточились на больших компаниях США, но ослабленное внимание к безопасности простирается далеко за национальные границы. Опрос, проведенный KPMG [5] в 2001 году среди канадских фирм, показал, что только у половины респондентов имелись стандартные процедуры на случай взлома систем безопасности электронной торговли.
5
KPMG — фирма, предоставляющая консультационные услуги в области аудита, страхования, налогообложения и финансов. — Примеч. пер.
Рисунок 1.3
При необходимости нанять эксперта
Создание группы реагирования на инциденты (IRT — Incident-Response Team), разработка политик и процедур и поддержание общей обстановки на современном уровне является объемной задачей. Это требует времени, знаний и координации сотрудников и ресурсов. Если у вас нет процедур и у компании нет опыта по их разработке, то наймите эксперта. «Эксперт» не надо переводить как «хакер». Будьте внимательны к тому, кого нанимаете. Как показывает рисунок 1.3, большинство компаний не хочет принимать на работу бывших хакеров в качестве консультантов.
Есть ряд компаний, серьезно относящихся к этому вопросу и могущих оказать ценные услуги. (Подробнее см. Приложение А, «Люди и продукты, о которых следует знать».) При разработке процедур реагирования на инциденты для одной из компаний я беседовала с ответственным сотрудником консультационной компании, занимающейся вопросами безопасности, о том, какую поддержку они могут предоставлять. Я спросила, как скоро может их эксперт прибыть на место происшествия. «У нас глобальный охват, — ответил тот, — и мы можем прислать команду сотрудников на требуемое место в любой точке земли в течение минут или часов, в зависимости от вашего местонахождения». Компании, занимающиеся вопросами безопасности и предлагающие такой вид услуг, готовы и стремятся вам помочь. Они пришлют немедленно своих экспертов, как только возникнет проблема. Они повидали много бедствий и знают, как трудно наводить порядок после серьезного взлома. Важно установить с ними контакт до того, как взлом произойдет. При этом у вас появится уверенность в том, что кто-то способен откликнуться на ваш зов, когда вы окажетесь в зоне бедствия.
Обучиться самому (или обеспечить обучение сотрудников)
Даже когда процедуры реагирования на инцидент имеются, системные администраторы и пользователи могут быть не обучены их применению. Политики и процедуры, которые не были ясно усвоены, не принесут много пользы. При этом создается ложное чувство безопасности. Нужно не только хорошо отразить в документах и раздать всем процедуры для чрезвычайных
Хорошей идеей является проверка ваших политик и процедур до возникновения инцидента. Можно провести имитационный прогон. Вы можете захотеть привлечь группу проникновения к тестированию безопасности вашего сайта. Скажем, «Группа тигров» попытается взломать ваш сайт и в то же время проверить действия вашей группы при взломе. Было бы неверным заставлять людей гадать о том, реальный ли это взлом или нет. Другими словами, не кричите «Волк!». Если вы привлекли консультанта по безопасности для тестирования защиты вашего сайта и реагирования на взлом, то предупредите об этом обслуживающий персонал. Пусть они знают, что это имитационный прогон, а не реальное событие.
Установить точку контакта
Во время вторжения часы продолжают тикать. Пока вы будете раздумывать о том, кому позвонить или что вам делать, вы упустите драгоценное время. В процедурах нужно указать, кого оповещать при взломе. В компании должен быть определен контактный телефон, наподобие линии службы спасения 911, по которому пользователи смогли бы позвонить в случае взлома.
Понять цели и установить их приоритеты
Цели и приоритеты вашей компании и соседних организаций могут взаимно отличаться. Главным при этом будет то, что при сложных инцидентах не будет времени оценивать приоритеты. Поэтому ваши цели при обнаружении взлома должны быть отражены в документах и понятны вам еще до того, как взлом произойдет.
Знание своих целей важно при составлении соответствующего плана действий. Цели действий в условиях вашей сети могут включать в себя некоторые или все из нижеперечисленных.
Защитить информацию клиента. Возможно, ваша сеть хранит важную для клиентов информацию. Если хакер похитит, изменит, уничтожит или даже выставит такую информацию в Интернете, то вы можете предстать перед судом.
Изолировать атаку. Предотвратите использование ваших систем для запуска атаки против других компаний. В некоторых случаях вам будет нужно отключить систему от сети, чтобы предотвратить дальнейший ущерб и ограничить масштабы атаки. Например, если у вас имеется внешняя клиентская сеть (extranet), подключенная к вашей сети, а хакер пытается получить доступ к системе, которая соединяет вас с клиентской сетью, то вы должны защитить сеть вашего клиента. Если вы осознали это, то будьте готовы (и знайте как) перекусить провод.
Оповестить вышестоящее руководство. Руководство отвечает за соответствие, точность и надежность информации. Если системы в вашей компании взламываются, то руководитель информационной службы [6] должен знать об этом и быть в курсе событий.
Обеспечить документирование события. Запись всех подробностей может помочь руководству в получении информации по оценке взлома и при проведении расследований в отношении конкретных лиц.
6
CIO Chief Information Officer. — Примеч. пер.