Вы, как и большинство людей, всегда считали вашу корпоративную сеть тихой гаванью для вашей информации. К сожалению, для поддержания тишины в этой гавани необходимо хорошее обучение, но немногие люди, отвечающие за безопасность, это обучение получают. Рассмотрим пример
Компания InterMint Financial являлась хорошо известным гигантом Уолл-стрит, и ее интранет насчитывала более тысячи систем. Из-за больших размеров обязанности по обслуживанию этой мегасети были поделены между пятью сотрудниками: Хосе Гарсия, Дон Форбс, Кендзи Абэ, Смитой Кумар и Тией Фэрчайлд, К несчастью, только Хосе Гарсия был обучен настройке безопасности сети.
Хосе получил хорошее обучение по безопасности, когда «поднялся на борт». После обучения и приобретения некоторых практических навыков Хосе знал, что нужно делать для управления «кораблем» безопасности. Он настраивал свои системы, постоянно помня о безопасности, устанавливал средства контроля, использовал программы-детекторы вторжения, управлял применением защитных псевдонимов
и неусыпно следил за появлением новых угроз. Хосе занимал активную позицию по защите своей сети.
Если бы каждый знал столько же, сколько и Хосе, то интранет InterMint была бы а прекрасной форме. Однако в обязанности Хосе не входило обучение поддержке безопасности остальных сотрудников.
Как и во многих компаниях, в InterMint не было программы обучения системных администраторов вопросам безопасности. Да, обучение выглядело сверху вполне достаточным. В компании была прекрасная программа обучения по защите информации для других сотрудников. Было даже издано пособие по выбору надежных паролей. Но не было предусмотрено ни одного занятия по безопасности для людей, настраивающих системы.
То, что Хосе был правильно обучен, было чистой случайностью. Когда Хосе только начинал работать, он обнаружил взлом системы генерального директора. В благодарность за это руководство выделило средства на обучение Хосе, чтобы он смог обеспечивать безопасность «административной» сети. Но остальные четверо системных администраторов, обслуживающих системы юридического отдела, финансового отдела, отдела охраны и операционного зала, не получили никакого обучения.
Так как другие системные администраторы не знали, как настраивать и поддерживать безопасность, то они этого и не делали. Они оставили информацию в своих сетях открытой и доступной любому! Самым плохим было то, что электронная почта и базовые каталоги всех систем, за исключением административной, были оставлены открытыми для всех желающих их прочитать, изменить или уничтожить. К сожалению, так происходит, когда корпоративные сети поручаются системным администраторам, не имеющим опыта. Такая неопытность может вам навредить!
Из всех задач, стоящих сегодня перед системными администраторами, обучение, возможно, является задачей, которой они уделяют меньше всего времени. Перегруженные работой в условиях нехватки персонала, многие системные администраторы считают обучение пустой тратой времени, отрывающей их от более неотложных задач ежедневной технической поддержки и общих забот о рабочем состоянии сети. На самом же деле и по многим причинам обучение системных работников является важным видом технической поддержки. Если такой вид поддержки откладывается (или совсем игнорируется), то последствия могут быть ужасающими.
Первый контакт: Тестирование безопасности
В отличие от большинства проводимых мной аудитов, этот не был вызван какой-либо возникшей проблемой. Руководители компании хотели только убедиться в том, что уровень риска в их корпоративной сети был низким. Вначале аудит показался глотком свежего воздуха. Компания хочет провести аудит не потому, что ей нужно реагировать на возникшую проблему, а только потому, что ей нужно убедиться в отсутствии скрытых проблем!
День 1-й: Сбор фактов
Хосе прошли через мои тесты победным маршем.
Продолжая работать на административных системах, я попросила Хосе создать мне учетную запись. Я также дала ему понять, что он хорошо поработал. Системные администраторы редко слышат такое от аудиторов безопасности, и улыбка Хосе подтвердила, что он оценил мои слова.
Я вошла в одну из систем Хосе и поискала ошибки в базовой системе файлов и настройках. Такие ошибки не могут быть обнаружены вне сети ими являются избыточность в разрешении доступа к файлам, наличие неактивных учетных записей и программы setuid (set user ID установка идентификатора пользователя). В общем, система выглядела хорошо. Еще оставалась возможность кое-что усовершенствовать, но ничего такого, что я могла бы указать в отчете. После выхода из системы я сообщила Хосе, что ему можно было бы ужесточить разрешения на доступ к файлам в большинстве своих систем. Короче говоря, он проделал блестящую работу. И я собиралась сказать начальству: «Этот парень звезда!»