IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Я обнаружила, что юридические системы открыты настежь. Либо Дон не имела времени или желания настроить безопасность, либо она не знала, как это делать. Контроль и наблюдение также не работали — никто не заметил, как я перепрыгивала из одной системы в другую, выискивая все их юридические секреты. Я уверена, что конкурентам очень бы хотелось взглянуть на некоторые отрывки из информации, по которой я прошлась. Я набрала достаточно свидетельств (по доступу к файлам ограниченного пользования и юридическим документам), чтобы обеспечить юридический отдел ночными кошмарами, и перешла на финансовые системы.
Системы Кендзи были защищены не лучше, чем системы Дон. Через несколько минут я имела доступ к первой системе в финансовой сети. Еще через несколько минут я получила контроль над всеми финансовыми системами. Может быть, в
Состояние систем Смиты было еще хуже. Я смогла получить полный контроль и доступ к информации в ее системах так же, как и в двух ранее тестируемых сетях. Но действительно пугало то, что я смогла бы сменить пароль, хранящийся в PROM [31] аппаратной части, и обрушить систему. Смита лишилась бы доступа к ее системам до тех пор, пока я не сообщила бы ей новый пароль, иначе ей пришлось бы менять PROM в аппаратуре. С небольшими творческими способностями (и еще с меньшими моральными устоями) хакер мог бы захватить власть над всем операционным залом и перевести несколько миллионов долларов на оффшорный счет. Чтобы разориться за неделю, такой компании нужно потерять несколько миллиардов долларов, поэтому что для них значат несколько миллионов при таком богатстве?
31
Programmable Read-Only Memory — программируемое ПЗУ. — Примеч. пер.
Теперь меня стала беспокоить легкость, с какой можно было взломать системы фирмы. Конечно, последняя группа (системы отдела охраны компании) должна была опровергнуть мое мнение. Уж над этими-то системами должен осуществляться тщательный контроль. Не так ли?
А вот и нет! Тию, должно быть, учили «защищать» свою сеть Дон, Кендзи или Смита! Снова я, никем не замеченная, получила полный контроль над системами. Некоторая полученная мной информация была действительно аппетитной. Среди всего прочего я смогла добраться до файлов с подробной информацией по ведущимся расследованиям. Представьте себе, что вы мошенник, по которому ведется расследование в компании. Имея самый малый опыт взлома, вы сможете получить всю информацию по расследованию, проводящемуся против вас. Убрать немного информации здесь, изменить немного информации там, и вот — никаких вопросов к вам от отдела охраны! Расследование закрыто.
Я набрала достаточно фактов, чтобы закончить в аудите раздел тестирования. К тому же я чувствовала, что вволю начиталась конфиденциальной информации за этот день. Как большинство профессионалов в вопросах безопасности, меня беспокоила, главным образом, защищенность сетей. В данном случае очень беспокоила. Такая большая сеть и с таким чрезвычайным уровнем риска вызывала у меня подавленность. Так как эта корпоративная сеть существовала уже пять лет, то, скорее всего, такой уровень риска присутствовал все это время.
Многие думают, что аудиторы безопасности наслаждаются, обнаруживая неряшливое отношение к безопасности и риск в системах, и видят в этом смысл своего существования. По правде сказать, иногда меня захватывает возможность взламывать одну систему за другой. Как бы то ни было, в этот день у меня было более чем достаточно «прав на существование».
Я собрала материал и отправилась в суши-бар (Хигаши-Вест). Повара Ричард, Крейг и Гарт всегда встречали меня там с улыбкой в конце тяжелого дня, Наградой мне будет лучшее суши в Пало-Альто. Немного суши, немного участия и подбадривающая беседа позволят мне забыть о депрессивном состоянии безопасности в корпоративных сетях. Так и случилось.
День 3-й: Обучение безопасности
оставлено за рамками бюджетаНе успела я забыться, как зазвонил будильник. Было 4.30 утра — как раз есть время, чтобы пробежаться перед работой. В сонном состоянии я пошла на зарядку. Подсознательно я все равно прикидывала мой дневной план по завершению аудита в InterMint.
После пробежки я отправилась в InterMint и встретилась в холле с руководителем аудита Рэндаллом Милленом. Он выписал мне пропуск на этот день и определил время беседы с системными администраторами.
Я не распространялась Рэндаллу о моих находках, Я просто сказала, что нашла некоторые любопытные вещи, о которых сообщу позднее. Мне не хотелось слишком рано говорить о них. По взгляду Рэндалла я поняла, что он доволен моей работой. Но он еще не знал, что эта работа заставит его понять риск, увеличить финансирование и, что важнее остального, обеспечить обучение.
Еще раньше мое чутье подсказывало о существовании здесь проблем с обучением. Я знала, на что похожа «окопная» работа системного администратора. Во многих компаниях обучение является роскошью. Кроме того, что они должны быть быстрыми, сообразительными и способными справиться с любой неисправностью, системные администраторы считаются всезнайками, выведенными в пробирке, унаследовавшими хорошую карму или полученными с помощью другого метода, но только не в результате хорошего обучения. Администраторы, не вписывающиеся в такие рамки, будут съедены в сыром виде — совсем как суши.
Я побеседовала с каждым из системных администраторов отдельно, чтобы узнать их мнение о том, почему административная сеть защищена, а другие системы широко открыты. Чтобы сразу узнать больше, я начала с системного администратора, обслуживающего административные системы. Хосе хорошо знал свою работу, и я хотела узнать, как он смог этому научиться и почему другие этого не смогли сделать. Беседуя с Хосе, я обнаружила, что он очень много знает. Он был доброжелателен, и с ним легко было говорить. Он понимал всю важность административных систем. Как я уже говорила, система генерального директора была взломана, когда Хосе только начал работать. Он быстро выяснил, где и какой недостаток имеется в системе. После этого случая в компании усилили контроль над безопасностью, а Хосе прошел полный курс обучения по поддержанию безопасности в сети. Я спросила его, что он думает о состоянии безопасности остальных систем компании. Он не мог на это ответить, но сказал, что сомневается в хорошем состоянии безопасности, так как никто из других системных администраторов не был обучен ее поддержке. Он также деликатно заметил, что сомневается в способности коллег сделать свои системы безопасными.
Опрос остальных системных администраторов подтвердил подозрения Хосе. Ни один из них не был обучен поддержанию безопасности. С Тией даже не проводилось базового обучения как системного администратора целых шесть месяцев с момента ее поступления на работу! Для таких, как Тия, это большая проблема, так как она никогда раньше не занималась поддержкой платформ UNIX. Ее успех в настройке безопасности систем зависел от того, как она будет обучена одним из других системных администраторов. А так как другие системные администраторы не знали, как безопасность настроить, то и Тия не могла ничему от них научиться.
Дон, Кендзи, Смиту и Тию с Хосе объединяло то, что все они были очень умными людьми. У всех был опыт программирования, а Тия и Кендзи даже имели ученые степени по вычислительной технике. В нашей среде необразованных людей не встретишь. Просто их заталкивают на должности персонала технической поддержки, как это обычно случается с системными администраторами, и говорят, чтобы они учились в процессе работы.
Метод «плыви или тони» в области обеспечения безопасности редко срабатывает. Вы не сможете научиться защите систем на своем рабочем месте, если рядом с вами никто этим не занимается. Нужно создавать хорошо налаженную практику обучения. По меньшей мере, тот, кто уже обучен, как, например, Хосе, должен передать имеющиеся у него приемы и знания остальным сотрудникам. А именно приемы, как настроить общую безопасность, и знание того, почему некоторым системам необходимо обеспечивать повышенный уровень безопасности. В идеале остальные сотрудники тоже должны были бы пройти курс профессионального обучения безопасности, чтобы научиться настраивать и поддерживать сети, не допуская взлома.