IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Представьте отчет по инциденту (и как вы действовали в нем) руководству
Если вы сами являетесь руководителем, то потребуйте, чтобы обо всех инцидентах вам были представлены отчеты. Стандартная процедура составления отчета по любому и каждому взлому заключается в создании всеохватывающей картины состояния безопасности сети. Если из отчетов будет видно, что взломы приобретают хронический характер или их частота увеличивается, то, очевидно, нужно совершенствовать или усиливать меры безопасности. По протоколам отчетов также можно установить участки вашей сети, на которые нацеливаются взломщики для получения информации (например, стараются получить
По-новому взгляните на ваш бюджет
На бумаге все любят безопасность. Но когда речь заходит о вложении средств, то расходы на планирование и осуществление мер безопасности часто урезаются. «Так как с бюджетом в этом квартале имеются трудности, то руководство говорит, что нужно подождать с расходами на реагирование на инциденты». За этим последует конец года, и процедуры все еще останутся ненаписанными.
Важность безопасности легко забывается. Лишь на некоторое время после самых значительных из взломов какая-нибудь несчастная компания оказывается в фокусе передач «60 минут» или CNN. Все вдруг сразу беспокоятся о мерах безопасности и о том, чтобы такое не произошло с ними. Затем в телестудиях гаснет свет, шум в прессе затихает, а хакер отправляется за решетку или исчезает в киберпространстве. Интерес к безопасности пропадает, и руководство снова не хочет включать ее в бюджет.
Маркус Ранум (Marcus Ranum), часто упоминающийся как отец брандмауэров, однажды сказал: «Когда дело доходит до безопасности, то нужно, чтобы парень, стоящий рядом с вами, получил пулю в голову прежде, чем руководство обратит внимание на безопасность». Если вы руководитель, отвечающий за безопасность, то не занимайте позицию «ожидания пули» в этих вопросах. Ведь на самом деле стоимость восстановления после серьезного взлома значительно превосходит расходы на установку защиты. Для уменьшения этой стоимости до минимума в будущем убедитесь, что в бюджет включено финансирование требуемой безопасности.
Контрольный список
Используйте этот список для определения готовности вашей компании реагировать на взлом. Можете ли вы поставить «Да» напротив каждого пункта?
— Есть ли у вас процедуры реагирования на инцидент?
— Понятны ли эти процедуры и отвечают ли они современным требованиям?
— Обучены ли все ответственные сотрудники использованию этих процедур?
— Есть ли в процедурах инструкции по контакту с экспертами по безопасности 24 часа в сутки и 7 дней в неделю?
— Предусмотрена ли процедура эскалации проблемы на вышестоящий уровень, если не удается связаться с экспертом по безопасности?
— Есть ли процедура, определяющая, когда обращаться за внешней помощью и к кому?
— Предусмотрено ли в процедурах немедленное уведомление руководителя информационной службы при возникновении вторжения и после его отражения?
— Выделено ли достаточно средств на разработку и поддержание реагирования на инциденты, связанные со взломом?
— Действительно ли ответственные сотрудники посещают все требуемые занятия?
— Проводятся ли личные проверки ответственного персонала?
— Все ли гладко во взаимоотношениях между системными администраторами и группами обеспечения безопасности?
— Имеются ли планы восстановления системы после инцидента?
— Надлежащим ли образом контролируются меры безопасности в
— Включены ли контрольные журналы систем?
— Просматриваются ли периодически журналы регистрации в системах?
— Установлены и работают ли необходимые инструменты по обнаружению вторжения?
— Установлены ли в вашей сети программы-детекторы, обнаруживающие «неизвестные» атаки?
— Можете ли вы обнаружить и предотвратить атаки как на сеть, так и на хост-компьютер (многоуровневый подход к обнаружению)?
— Легко ли отслеживается путь атаки в вашей сети?
Заключительные слова
Статистика, которую ведет CERT, показывает, что количество нарушений безопасности более чем удваивается каждый год. По данной статистике, число инцидентов возросло с 3934 в 1998 году до 9859 в 1999 году, а затем до 211 7569 в 2000 году и до 52 658 в 2001 году. Только за первый квартал 2002 года было зарегистрировано еще 26 829 инцидентов. Пугает то, что о многих нарушениях не было сообщений, так как их не удалось обнаружить. В то время как 38 % респондентов, участвующих в опросе CSI 2002 года, сообщили о неавторизованном использовании своих веб-сайтов в прошедшем году, 21 % других респондентов честно признались, что не знают, были ли взломаны их сайты или нет.
Легко видеть, что даже если у вас нет причин поверить в существование факта взлома систем вашей компании, вы все равно можете быть жертвой незамеченной атаки. В одном из своих действительно показательных исследований Министерство обороны США провело тестирование, которое продемонстрировало, как редко взломы обнаруживаются и регистрируются (рисунок 1.4). В данном тесте было атаковано 8932 компьютера. В результате атаки было взломано 7860 систем — около 88 %. И только о 19 атаках были сделаны сообщения — менее 0,003 %!
Источник: Defense Information Systems Agency.
Рисунок 1.4
Дэн Фармер (Dan Farmer), хорошо известный исследователь компьютерной безопасности, провел тестирование высокопрофессиональных коммерческих веб-сайтов. Результаты тестирования показали серьезную уязвимость Интернета. Из 1700 веб-серверов, подвергшихся тестированию в данном исследовании, более 60 % могли бы быть взломаны или выведены из строя, и только на трех сайтах было замечено, что их тестируют.
В стремлении подключиться к Интернету вы можете забыть о безопасности, и ваша система легко может оказаться среди этих уязвимых 60 %. Если вы не уверены в том, что контролируете безопасность вашего веб-сервера (или любой другой системы), то проведите проверку на безопасность сами или вызовите эксперта по безопасности, который проведет оценку вашего сайта.
Тесты Министерства обороны и Дэна проводились несколько лет назад. Сегодня трудно сказать, сколько компаний смогли бы обнаружить подобные атаки. На многих сайтах установлены программы-детекторы вторжений, отслеживающие атаки. Если в вашей компании их еще не установили, то нужно это сделать. Не ждите, пока название вашей компании появится в выпуске новостей CNN.