Как широко распространены подобные атаки? В 2001 году исследователи из University of California в Сан-Диего зафиксировали 12 800 атак по типу «отказ от обслуживания» в течение одного трехнедельного интервала.
Предусмотреть или потребовать необходимое финансирование безопасности
Тестировать пароли
Пароли образуют первую линию обороны против неавторизованных пользователей, и их взлом является одной из самых популярных форм компьютерной атаки. Хороший пароль не может быть обычным словом. Его легко взломать, найдя это слово в словаре. Хороший пароль должен представлять собой выражение, не являющееся словом (nonword). Учите своих пользователей, как выбрать хороший пароль, не являющийся словом и удобный для запоминания.
Системным администраторам также нужно проверить, насколько надежно выбрали пароли их пользователи, при помощи программы, названной "Crack". Если вы системный администратор и не имеете копии программы "Crack", то постарайтесь получить ее, так как хакеры уже ее имеют. Гарантирую!
Перед запуском "Crack" или другого «взломщика паролей» в сети вашей компании, убедитесь в том, что не нарушаете политики безопасности вашей компании. Использование "Crack" в системе, к которой у вас нет доступа, может стоить вам работы, большого штрафа или даже привести в тюрьму.
Сделать исправления программ (патчи), повышающие безопасность
Выполнять политики и процедуры
Если вся ваша сеть после установки имеет настройки с высоким уровнем риска, то последующий перевод системы на требуемый уровень безопасности будет связан со значительными затратами времени и людских ресурсов. Для того чтобы этого избежать, убедитесь в том, что ваши системы не остались в состоянии стандартных настроек и без необходимых политик и процедур. Подробнее о политиках и процедурах см. главу 8, «Безопасность внутренних сетей».
Использовать экспертов
Не так давно я беседовала с руководителем информационной службы компании, входящей в список Fortune 500. Я сообщила ему, что от инженеров и руководящих работников его компании я узнала о нескольких рискованных настройках систем в их сети. Им следовало бы нанять аудитора безопасности и протестировать их сеть. Я сказала, что аудит не обойдется им дорого и позволит точно узнать, какому риску они подвергаются. Ответ руководителя информационной службы был необычным. Он сказал: «Линда, это как если бы из моего самого дорогого костюма вытащили одну нитку. Ничего не стоит это сделать, но последствия будут дорогими». Я поняла его так, что по-настоящему дорогим будет не аудит, а «чистка» выявленных во время него зон риска. Проблемой при таком
подходе будет то, что рано или поздно кто-то будет готов выдернуть эту нитку. Вопросами будут (кроме «Когда?»): «Кто?» и «С какой целью?». Надеюсь, что на вопрос «Кто?» будет ответ аудитор, а не хакер, а на вопрос «С какой целью?» анализ риска, а не выискивание возможной добычи.
Обучать использованию
Одной из проблем в TransWorld было то, что Джордж и Натан занимались (предположительно) защитой информации клиентов, не обучившись этому предмету в течение хотя бы одного часа. Это сумасшествие! Добейтесь, чтобы ваши сотрудники были обучены тому, как обеспечивать безопасность обслуживаемых ими систем.
Контрольный список
Знаете ли вы, что пытаетесь защитить в вашей сети?
Участвует ли руководство в оценке риска?
Имеются ли политики и процедуры для настройки систем?
Охватывают ли эти политики и процедуры разрешение доступа к файлам, пароли и установку патчей?
Имеется ли политика, охватывающая физическую безопасность?
Все ли учетные записи пользователей имеют пароли?
Были ли изменены учетные записи, по умолчанию установленные во время установки системы?
Входит ли в политику запрещение гостевых учетных записей, установленных по умолчанию?
Регулярно ли отключаются неактивные учетные записи?
Устанавливаются ли патчи безопасности совместно с установкой всех новых систем?
Пытались ли вы взломать пароли системы (систем), которую вы обслуживаете, с целью тестирования ненадежных паролей?
Проводите ли вы периодический аудит для проверки состояния имеющихся средств безопасности?
Отслеживаете ли вы неавторизованные изменения файлов?
Уверены ли вы в том, что все сотрудники, устанавливающие ваши системы, обучены политикам и процедурам безопасности вашей компании?
Проверяете ли вы дважды, что все известные проблемы безопасности решены, перед тем, как подключить к сети новое оборудование или программы?
Достаточно ли у вас финансируется безопасность?
Первоочередными ли являются нужды оценки риска, обучения, проведения аудита и разработки политик и процедур?
Настраиваете и просматриваете ли вы контрольные журналы?
Принимаете ли вы меры предосторожности при экспорте файловых систем?
Отключаете ли вы ненужные службы?
Заключительные слова
Проблема такого подхода состоит в том, что брандмауэр является лишь очень небольшой частью безопасности систем. Вы выбрали один из них и наняли кого-то для его установки. Такая стандартная установка на самом деле увеличивает количество проблем безопасности в интранет. Я это говорю, не просто познакомившись со статистикой. Я это все наблюдаю изнутри сетей «из окопов».