IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Если бы каждый знал столько же, сколько и Хосе, то интранет InterMint была бы а прекрасной форме. Однако в обязанности Хосе не входило обучение поддержке безопасности остальных сотрудников.
Как и во многих компаниях, в InterMint не было программы обучения системных администраторов вопросам безопасности. Да, обучение выглядело сверху вполне достаточным. В компании была прекрасная программа обучения по защите информации для других сотрудников. Было даже издано пособие по выбору надежных паролей. Но не было предусмотрено ни одного занятия по безопасности для людей, настраивающих системы.
То, что Хосе был правильно обучен, было чистой
30
В данном случае сеть, в которой были собраны компьютеры высших руководителей компании. — Примеч. науч. ред.
Так как другие системные администраторы не знали, как настраивать и поддерживать безопасность, то они этого и не делали. Они оставили информацию в своих сетях открытой и доступной любому! Самым плохим было то, что электронная почта и базовые каталоги всех систем, за исключением административной, были оставлены открытыми для всех желающих их прочитать, изменить или уничтожить. К сожалению, так происходит, когда корпоративные сети поручаются системным администраторам, не имеющим опыта. Такая неопытность может вам навредить!
Из всех задач, стоящих сегодня перед системными администраторами, обучение, возможно, является задачей, которой они уделяют меньше всего времени. Перегруженные работой в условиях нехватки персонала, многие системные администраторы считают обучение пустой тратой времени, отрывающей их от более неотложных задач ежедневной технической поддержки и общих забот о рабочем состоянии сети. На самом же деле и по многим причинам обучение системных работников является важным видом технической поддержки. Если такой вид поддержки откладывается (или совсем игнорируется), то последствия могут быть ужасающими.
Первый контакт: Тестирование безопасности
Несколько лет назад отдел внутреннего аудита InterMint Financial нанял меня для тестирования безопасности в офисе их компании. Работа по контракту с отделом внутреннего аудита компании является обычным делом. В состав отделов внутреннего аудита, как правило, не входят эксперты по безопасности. Поэтому эти отделы заключают контракты на выполнение работ по вопросам безопасности с экспертами, которые затем представляют отчет о рисках. В данном случае отдел аудита попросил меня взглянуть на их корпоративную сеть и представить отчет по найденным рискам.
В отличие от большинства проводимых мной аудитов, этот не был вызван какой-либо возникшей проблемой. Руководители компании хотели только убедиться в том, что уровень риска в их корпоративной сети был низким. Вначале аудит показался глотком свежего воздуха. Компания хочет провести аудит не потому, что ей нужно реагировать на возникшую проблему, а только потому, что ей нужно убедиться в отсутствии скрытых проблем!
День 1-й: Сбор фактов
Я начала этот аудит, как и большинство
В первый раз, когда со мной говорил руководитель внутреннего аудита Рэндалл Миллен, он подчеркнул, что хочет от меня проведения аудита безопасности с целью лишь подтвердить отсутствие риска. Мой аудит, однако, был первым случаем, когда отдел внутреннего аудита проверял безопасность корпоративной сети, поэтому я была уверена, что риск будет обнаружен. Данная компания не поразила меня особой расслабленностью в вопросах безопасности. Компании, не проводящие аудита безопасности своих сетей, не могут иметь доказательств их безопасности. Они лишь предполагают, что сети безопасны. По моему опыту, такое предположение само по себе является одним из главных рисков.
Я продолжила изучение сетевой схемы и типов хранящейся в сетях информации. Я обнаружила много аппетитных вещей. Они начинались с того, что вся административная информация хранилась в сети. Для получения призовых очков тем не менее имелись системы юридического и финансового отделов и отдела охраны компании, которые обещали улов соблазнительной конфиденциальной информации. Я запланировала систематически нападать на каждую систему в этих группах, фокусируясь на самой вкусной конфиденциальной информации. Характер этой информации обеспечивал в случае успешного взлома систем вполне понятное изумление.
Интересной особенностью сетевой схемы было то, что информация отделов хранилась в разных сетях, обслуживаемых разными сотрудниками. Административные системы контролировались Хосе Гарсией, юридические системы — Дон Форбс, финансовые системы — Кендзи Абэ, операционный зал — Смитой Кумар, а охрана компании — Тией Фэрчайлд. Такая структура обслуживания уже добавляла риск в общую картину. Она также увеличивала вероятность плохой обученности или плохих процедур у множества системных администраторов, отвечающих за сеть. Я понимаю, что одному системному администратору невозможно тщательно обслуживать тысячи машин, и поэтому компании обычно имеют более одного сотрудника на этом участке. Но чем больше людей занимаются одним делом, тем выше становится общий риск и, конечно, больше возможностей появляется у предприимчивого хакера. Не делайте такой ошибки. Хакеры знают о вероятности риска, связанного с чрезмерным количеством обслуживающего персонала. То, о чем они мечтают, — это толпы системных администраторов, мало знающих, как обеспечивать безопасность наиболее важных систем.