Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

JFC наняла меня провести, как они сказали, «выборочный аудит» (spot audit). В некоторых компаниях выборочный аудит проводится для выяснения уровня риска. При его проведении выбирается репрезентативная группа наиболее важных систем. Если аудит показывает, что эти системы подвержены риску, то есть вероятность риска и для остальных систем. Это — ресурсосберегающий подход в тестировании безопасности. Хотя он рангом ниже, чем полный аудит, но определенно лучше простого расчета на удачу (последнюю стратегию безопасности используют гораздо больше компаний, чем вы думаете).

Проблема выборочного аудита заключается в том, что вы сосредоточены только на одном освещенном пятне в темной комнате. Но когда я провожу выборочный аудит, то стараюсь осматривать комнату и вокруг этого пятна.

Я попросила руководство компании подготовить для меня схему сети. Когда я приехала, схема меня уже ждала. Перед началом аудита мне захотелось видеть больше чем список систем и сетевых номеров. Я хотела видеть, куда идут все соединения. Для этого мне была нужна схема текущего состояния сети, которая бы придавала виртуальному миру более осязаемые формы. Я считаю, что схемы сети являются основным элементом в обслуживании сетевых соединений. И если системный администратор говорит мне, что у него нет схемы или что схема у него в голове, то это меня настораживает.

У JFC была отличная схема сети. Глядя на нее, я заметила, что один из серверов базы данных, подключенных к интранет JFC, был также подключен к какой-то другой безымянной сети. Куда шла эта другая сеть? Очевидно, она куда-то уходила, но из схемы было неясно — куда. Одна линия сети, выходящая из сервера, повисала в воздухе и была проведена в том же направлении, что и брандмауэр компании. Из общего вида схемы можно было предположить, что этот сервер был подключен прямо к Интернету.

Подключение сервера базы данных к Интернету без настроек безопасности или без брандмауэра перед сервером выглядело нелепым. Этого никто бы никогда не сделал! Или все-таки сделал?

Проводя аудиты, я научилась ничего не предполагать. В безопасности лучше не делать предположений. Ведь именно предположения вызвали проблему в данном случае. Дэйв предположил, что Фред настроит сервер базы данных как брандмауэр. Фред предположил, что его работа состояла лишь в подключении к Интернету. После моего открытия мне нужно было сообщить руководству, что необходимо провести аудит и сервера Drug10.

Просмотрев схему сети и наметив системы, которые казались наиболее подверженными риску, я встретилась с Дэйвом, чтобы узнать его мнение о том, какие системы мне бы следовало проверить. Важно узнать, что могут сказать по этому поводу люди «из окопов». Им могут быть известны скрытые риски, которым подвергается компания. Дэйв заявил, что ему все равно, какие системы я проверяю.

Некоторые системные администраторы не любят, когда их системы тестируются аудиторами. Люди думают, что это угрожает им потерей работы, но аудит безопасности не имеет к такой угрозе никакого отношения. Он влечет за собой уменьшение риска, повышение безопасности, воспитывает в людях старательность и т. д. Я успокоила его, сказав, что если обнаружу какую-то проблему, то скажу ему о ней. Я также напомнила ему, что иногда аудит безопасности не только помогает повысить саму безопасность, но и дает возможность увеличить финансирование и количество сотрудников. Я спросила Дэйва о том, достаточна ли была оказываемая ему помощь при настройке безопасности. Он ответил, что действительно не знает, как обеспечивать защиту систем, и что для этого ему нужна помощь других сотрудников.

Я сказала ему, что он мог бы немного поучиться безопасности. Он нашел эту идею великолепной. Как и многие системные администраторы, Дэйв имел мало времени для обучения, так как тратил его на обслуживание систем и поддержание правильной их работы. Короче говоря, Дэйв нуждался в обучении и дополнительных сотрудниках. Для меня это было неудивительным. Считается, что системные администраторы знают все и работают непрерывно. Я была системным администратором и это знаю.

Я сказала Дэйву, что, хотя схема сети у меня есть, я все же хочу посмотреть их политики и процедуры безопасности. Он ответил, что сделает их копии для меня к завтрашнему утру.

Мне не терпелось спросить Дэйва о сервере базы данных. Он и так уже был встревожен, и я не хотела сообщать ему плохих вестей. И все же по пути к выходу у меня случайно вырвалось: «Кстати, похоже, что сервер базы данных с именем Drug10 подключен к двум сетям. Это так?» Дэйв ответил: «Да, я подключил этот сервер к Интернету для того, чтобы один из клиентов имел доступ к базе данных». Этот ответ возбудил мое любопытство. Я спросила: «Когда?» Дэйв ответил: «В прошлом месяце».