IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Из всех задач, стоящих сегодня перед системными администраторами, обучение, возможно, является задачей, которой они уделяют меньше всего времени. Перегруженные работой в условиях нехватки персонала, многие системные администраторы считают обучение пустой тратой времени, отрывающей их от более неотложных задач ежедневной технической поддержки и общих забот о рабочем состоянии сети. На самом же деле и по многим причинам обучение системных работников является важным видом технической поддержки. Если такой вид поддержки откладывается (или совсем игнорируется), то последствия могут быть ужасающими.
Первый контакт: Тестирование безопасности
Несколько лет назад отдел внутреннего аудита InterMint Financial нанял меня для тестирования безопасности в офисе
В отличие от большинства проводимых мной аудитов, этот не был вызван какой-либо возникшей проблемой. Руководители компании хотели только убедиться в том, что уровень риска в их корпоративной сети был низким. Вначале аудит показался глотком свежего воздуха. Компания хочет провести аудит не потому, что ей нужно реагировать на возникшую проблему, а только потому, что ей нужно убедиться в отсутствии скрытых проблем!
День 1-й: Сбор фактов
Я начала этот аудит, как и большинство других, с просмотра сетевой схемы, чтобы понять конфигурацию сети и возможные риски. Мне нравится проводить аудит корпоративных сетей, потому что это одно из мест, в которых хакер будет искать секреты компании. Мне заплатили за то, чтобы я вычерпала всю грязь. Для этого нужно было думать как хакер. Так как я проводила аудит не сети разработчиков, то я не стала искать коды программ или результаты исследований. Вместо них я искала стратегическую информацию высшего уровня. Я делала то, что мог делать конкурент, притворившийся сотрудником компании. Я искала легкий доступ к административным системам, хранящим стратегическую информацию компании или даже личные сведения о руководителях. Так как конкуренты могут иметь такие намерения и имеют их, то системы генерального директора, директора по информационным технологиям и финансового директора нужно всегда считать потенциальными целями взлома. Для недопущения хакера к этим зонам и снижения риска должны быть приняты дополнительные меры предосторожности при установке систем и проводиться профилактический аудит.
В первый раз, когда со мной говорил руководитель внутреннего аудита Рэндалл Миллен, он подчеркнул, что хочет от меня проведения аудита безопасности с целью лишь подтвердить отсутствие риска. Мой аудит, однако, был первым случаем, когда отдел внутреннего аудита проверял безопасность корпоративной сети, поэтому я была уверена, что риск будет обнаружен. Данная компания не поразила меня особой расслабленностью в вопросах безопасности. Компании, не проводящие аудита безопасности своих сетей, не могут иметь доказательств их безопасности. Они лишь предполагают, что сети безопасны. По моему опыту, такое предположение само по себе является одним из главных рисков.
Я продолжила изучение сетевой схемы и типов хранящейся в сетях информации. Я обнаружила много аппетитных вещей. Они начинались с того, что вся административная информация хранилась в сети. Для получения призовых очков тем не менее имелись системы юридического и финансового отделов и отдела охраны компании, которые обещали улов соблазнительной конфиденциальной информации. Я запланировала систематически нападать на каждую систему в этих группах, фокусируясь на самой вкусной конфиденциальной информации. Характер этой информации обеспечивал в случае успешного взлома систем вполне понятное изумление.
Интересной особенностью сетевой схемы было то, что информация отделов хранилась в разных сетях, обслуживаемых разными сотрудниками. Административные системы контролировались Хосе Гарсией, юридические системы — Дон Форбс, финансовые системы — Кендзи Абэ, операционный зал — Смитой Кумар, а охрана компании — Тией Фэрчайлд. Такая структура обслуживания уже добавляла риск в общую картину. Она также увеличивала вероятность плохой обученности или плохих
процедур у множества системных администраторов, отвечающих за сеть. Я понимаю, что одному системному администратору невозможно тщательно обслуживать тысячи машин, и поэтому компании обычно имеют более одного сотрудника на этом участке. Но чем больше людей занимаются одним делом, тем выше становится общий риск и, конечно, больше возможностей появляется у предприимчивого хакера. Не делайте такой ошибки. Хакеры знают о вероятности риска, связанного с чрезмерным количеством обслуживающего персонала. То, о чем они мечтают, — это толпы системных администраторов, мало знающих, как обеспечивать безопасность наиболее важных систем.День 2-й: Тестирование систем
После моих первоначальных исследований я решила, что в этом аудите требуется тест на проникновение. Были три причины для такого тестирования. Во-первых, руководитель аудита не знал, какой риск имеется (и есть ли он вообще) в сети. Это говорило мне о том, что руководство ничего не знает о состоянии безопасности. Они, скорее всего, думают, что все в порядке, так как никто не говорил им другого. Было ясно, что это случай, когда я была должна доказать руководству возможность взлома их систем. Во-вторых, я считала, что из-за характера содержащейся в них информации эти системы будет просто интересно взламывать. Последней причиной было то, что я хотела поиграть с моими новыми игрушками. Брэд Пауэлл, давно известный в наших кругах эксперт по безопасности, только что передал мне несколько отличных новых инструментов взлома.
Как и хакеры, профессионалы по вопросам безопасности часто передают друг другу новые инструменты для взлома систем. Конечно, вы должны входить в наш закрытый круг, чтобы получить их. Это является частью нашего кодекса чести. В любом случае я уже попробовала эти инструменты в своей сети, и они работали чудесно. Теперь мне представилась возможность применить их в «реальном мире».
Я начала аудит с зондирования информации в административных системах, а затем запустила свои обычные тесты на дыры. (В общем, я делала то же, что делал бы хакер.) К удивлению, я обнаружила, что административная система довольно крепка. Хосе, очевидно, знал свое дело и потратил время на обеспечение защиты систем. Несомненно, он был хорошо обучен и знал точно, что ему делать для поддержки его административных машин. Разумеется, некоторые из экспертов по безопасности стали бы спорить и хвастаться, что они могут забраться в любую машину. Тем не менее во время моего теста на проникновение я проверила все уязвимые места. Если после проведения всех запланированных мной тестов я не смогла проникнуть в систему, то это значит, что система тест прошла. А системы Хосе прошли через мои тесты победным маршем.
Продолжая работать на административных системах, я попросила Хосе создать мне учетную запись. Я также дала ему понять, что он хорошо поработал. Системные администраторы редко слышат такое от аудиторов безопасности, и улыбка Хосе подтвердила, что он оценил мои слова.
Я вошла в одну из систем Хосе и поискала ошибки в базовой системе файлов и настройках. Такие ошибки не могут быть обнаружены вне сети — ими являются избыточность в разрешении доступа к файлам, наличие неактивных учетных записей и программы setuid (set user ID — установка идентификатора пользователя). В общем, система выглядела хорошо. Еще оставалась возможность кое-что усовершенствовать, но ничего такого, что я могла бы указать в отчете. После выхода из системы я сообщила Хосе, что ему можно было бы ужесточить разрешения на доступ к файлам в большинстве своих систем. Короче говоря, он проделал блестящую работу. И я собиралась сказать начальству: «Этот парень — звезда!»
Коллеги Хосе вовсе не заслуживали такой же оценки. Юридические системы были поразительно уязвимыми. Мне хватило нескольких минут, чтобы получить контроль над первой системой. Я без усилий прошлась по системам всех юристов компании. Очевидно, Дон имела совершенно другой подход к установке и обслуживанию систем. Выглядело так, как если бы Дон (или ее начальник) считали юридические системы не столь важными, чтобы их защищать или контролировать. Несомненно, юристы InterMint испугаются, это узнав.