Чтение онлайн

Если вы генеральный директор и надеетесь, что ваша интранет будет в безопасности и не проверяете ее, то вас может ждать большой сюрприз. Угрозы благополучию предприятий продолжают возрастать и требуют все более высоких уровней защиты корпоративных интранет.

В начале 1990-х годов мы подошли к выбору дорог в компьютерной безопасности. Несколько лет назад многие компании выбрали кривую тропинку (с меньшей защитой или без нее) из-за того, что риски были небольшими и последствия менее опустошающими. Теперь другая ситуация. Сегодня угроза информации в интранет высока как никогда. Если ваша интранет все еще подвергается риску вследствие стандартной настройки, недостаточного финансирования безопасности и плохой культуры общения внутри компании, то вам нужно немедленно включиться в работу.

Как ясно показывает рассмотренный случай, плохая культура общения представляет

собой один из главных рисков для безопасности. Большинство из нарушений, реально обнаруженных в данном исследовании, довольно обычны — простые пароли, стандартные настройки и т. д. На нынешнем этапе компьютерной революции, ни одна уважающая себя компания не должна страдать от таких простых симптомов, так как большинство из них устраняется довольно легко в условиях хороших взаимосвязей в компании.

В отличие от вооруженных ограблений, компьютерным преступлениям не придается большого значения. Часто скрываемые жертвами с целью предотвратить дальнейший ущерб (ценам акций, репутации и т. д.), компьютерные преступления увеличиваются в количестве с феноменальной скоростью. По данным Центра защиты национальной инфраструктуры (National Infrastructure Protection Center), подразделения ФБР, работающего с правительственными органами и частными компаниями, начиная с 1998 года, количество компьютерных преступлений ежегодно удваивается. Нарастающий итог ущерба от таких преступлений увеличивается соответственно. В обзоре, представленном Information Week [16] и Price Waterhouse Coopers [17] в середине 2000 года, стоимость ущерба за этот год только от компьютерных вирусов оценивается в 1,6 триллиона долларов. Как отметил представитель ФБР Лесли Уайзер (Lesly Wiser) в своем докладе Конгрессу по вопросам кибербезопасности в августе 2001 года: «Эти цифры превосходят валовой национальный продукт сразу нескольких государств».

Директор по информационным технологиям любой компании должен быть в курсе любого из рисков для своей корпоративной сети, включая и факты ее успешных взломов. Я уверена, что ваш директор по информационным технологиям хочет узнавать о взломах от линейных менеджеров, а не из выпуска новостей CNN Headline. И если у вас нет прямого канала связи наверх, то создайте его.

Вы являетесь генеральным директором очень молодой фармацевтической компании. Вы стоите у окна в вашем просторном кабинете и наслаждаетесь ростом цен на ваши акции. Сегодня за ваши акции давали около 100 000 долларов. Но в следующем году, когда ваше лекарство со сверхсекретной формулой завоюет рынок, вы ожидаете, что стоимость вашей компании поднимется до 5 миллионов долларов. Разве жизнь не прекрасна?

Но рано радуетесь. Как только вы переносите свой взгляд на вашу электронную почту, то замечаете, что менеджер группы безопасности прислал сигнал тревоги:

«УВЕДОМЛЕНИЕ О ВТОРЖЕНИИ. ВТОРЖЕНИЕ ХАКЕРА В СЕТЬ НОВЕЙШИХ ИССЛЕДОВАНИЙ».

По телефону вы быстро узнаете, что хакер проник почти незамеченным в сеть. Ваши специалисты выяснили, что он вошел через внешнее соединение, но никто не может определить, какую точку входа в сеть он использовал. Ваша сеть растет так же быстро, как и ваша компания, и никто не знает, сколько внешних входов в нее имеется. Ваш системный администратор может знать, сколько подключений к Интернету у вас есть. (В прошлом году у вас было одно подключение.

В этом году их три.) Но никто не знает, сколько модемов установлено.

Печально, но такое незнание широко распространено. Лишь несколько лет назад «удаленный доступ» для обычной компании представлял собой несколько модемов и, может быть, одно подключение к Интернету. Сегодня та же самая компания может иметь десятки подключений к Интернету и сотни модемных подключений к внешнему миру.

Каждый день в офисах и лабораториях создаются новые подключения, и сотрудники компаний подключаются из своего дома. Клиентам нужен доступ в реальном времени, и они также подключены к вашей сети. В стремлении подключиться, иногда компании теряют способность контролировать внешние соединения. Результатом становится размытость границ между Интернетом, интранет и экстранет. При этом трудно или почти невозможно сказать, где начинается и где кончается ваша сеть.

Подключение к внешнему миру похоже на снежный буран. Он может начаться с отдельных порывов ветра, а затем быстро превращается в плотную снежную завесу, через которую вы не можете увидеть своих ног. Если вы не сможете контролировать внешние подключения, то вы споткнетесь или упадете лицом в снег — запросто. Теперь посмотрим…

Компания JFC Farmaceutical захотела предоставить доступ к своей информации одному из своих клиентов для ускорения совместного исследовательского проекта. Клиенту, компании McConnell Drugs, был нужен доступ к информации, хранящейся на сервере базы данных (Drug10). Технической стороной подключения клиента занимался системный администратор Дэйв Ферлонг.

Так как Дэйв раньше никогда не работал над проектом такого масштаба, то он начал смотреть документацию. Он обнаружил, что у JFC нет утвержденной архитектуры или политики по подключению клиентов к ее интранет. Поэтому Дэйв попросил совета у эксперта компании по брандмауэрам Фреда Джонсона. Вместе Фред и Дэйв выработали свой план. Они подключили сервер базы данных к Интернету для того, чтобы сотрудники McConnell Drugs имели доступ к информации. К сожалению, они подключили сервер базы данных напрямую к Интернету, не поставив впереди него брандмауэр для его защиты и не проведя настроек безопасности на сервере базы данных. Такая конфигурация оставила дверь к сети JFC широко открытой. Было только вопросом времени, чтобы в нее «зашел» хакер. Это как раз и случилось — хакер зашел прямо в дверь.

Как смогли администратор по брандмауэрам и системный администратор сделать такую серьезную ошибку? Кто дал им полномочия на принятие такого решения?

Пугает то, что такие вещи могут происходить. Когда компании теряют контроль над своими внешними подключениями и границы сети становятся «размытыми», то одна ошибка может разрушить будущее целой компании. Это чуть-чуть не случилось с JFC.

Фред и Дэйв вместе стали решать, как обеспечить работоспособный доступ. Так как у Фреда не было письменного документа о том, как подключать клиентов к сети JFC, то они вдвоем обсудили, как предоставить клиенту доступ к информации на Drug10 (сервере базы данных) и как это реализовать. В общем, Фред и Дэйв решили подключить Drug10 прямо к Интернету, чтобы McConnell Drugs смогла иметь доступ к серверу через Интернет. Они предположили, что настроят Drug10 для двух целей. Во-первых, Drug10 должен служить брандмауэром. Во-вторых, что более важно для Дэйва, компании McConnell Drugs должен обеспечиваться доступ к нужной информации.

Фред имел опыт в установке брандмауэров и подключении систем к Интернету и поэтому согласился помочь Дэйву.

Дэйв закончил свою часть работы первым. Время отклика Drug10 уже его не удовлетворяло. Поэтому перед подключением сервера к Интернету Дэйв установил в него более мощную систему и загрузил программное обеспечение. Так как у Дэйва не было каких-либо политик или процедур подключения систем к Интернету, то он просто проделал стандартную установку. У Дэйва не было идей по настройке безопасности систем, и он посчитал, что с этим справится Фред как специалист по брандмауэрам. Но у Фреда тоже не было идей.

Фред подключил сервер базы данных к Интернету. Затем он предоставил доступ McConnell Drugs, чтобы они могли копировать файлы из Drug10 на систему в их сети. Фред вообще не думал о настройке безопасности системы, так как считал, что это работа Дэйва. Он полагал, раз все получили доступ к тому, что им надо, то его работа на этом закончена. Фред приступил к другой работе.