Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Отслеживание внешних подключений — это хорошее начало для восстановления контроля над вашей сетью. Но вам также следует заняться ограничением этих подключений. На самом деле, не каждому желающему действительно нужен такой доступ. Для уменьшения риска вы можете установить правила, по которым бы определялось, когда (и нужно ли) предоставлять доступ по заявкам на подключение.

Статистика показывает увеличение количества подключений к Интернету, и стоит невероятный шум по поводу роста производительности, обеспечиваемого легким доступом к информации. Но расширение доступа не всегда ведет к повышению производительности. Семьдесят восемь процентов участников опроса, проведенного CSI в 2002 году, сообщили, что ловили своих сотрудников за использованием подключения к Интернету не по назначению. Находящийся в Калифорнии Saratoga Institute сообщает, что в 2000 году более 60 процентов американских фирм наказывали сотрудников за незаконное использование подключения к Интернету, Более того, в целых 30 процентах фирм даже прибегали к увольнению сотрудников за онлайновый трейдинг, [25] Day trading-торговля ценными бумагами при помощи компьютера, ограниченная временем одного дня. — Примеч. пер. азартные игры, посещение порносайтов и просто за перерасход времени доступа к Интернету. Прежде чем увеличивать производительность вашей компании при помощи расширения доступа, подумайте о возможных последствиях. Для начала поручите кому-нибудь из руководящих сотрудников выдавать разрешение на внешние подключения к другим сетям. Хорошо было бы также, чтобы каждое из разрешений им подписывалось. При этом ответственность немного сдвинется вверх по цепочке — и чем выше, тем лучше.

Я твердо убеждена в том, что если бы в JFC было необходимо утверждать подключение Drug10, то кто-то бы задумался. По крайней мере, при этом прекратили бы «поджаривать» Дэйва и повернулись бы к руководителю, отвечающему за выдачу разрешений.

По крайней мере, JFC для своей обороны предусмотрело политику для брандмауэров. Хотя это была политика, одна на все случаи и смотрящая с высоты 30 000 футов, но все-таки она была. В ней указывалось, что допускается только одно подключение к Интернету. К сожалению, за ее выполнением не следили. Если бы было иначе, то Drug10 не был бы установлен с рискованной конфигурацией.

Разработанные политики не имеют смысла, если затем они не подкреплены непрерывным и безжалостным отслеживанием их выполнения.

Ошибки в программном обеспечении и при установке конфигурации сетевых служб могут приводить к образованию брешей в безопасности. От программных ошибок, к сожалению, нам никогда не избавиться. Поэтому, чтобы уменьшить до минимума риск для вашей системы, вам нужно как можно меньше быть открытым для сетевых служб. Ненужные службы (такие, как walld, fingerd, sprayd и т. д.) следует выключать. Работа таких служб дает хороший повод для начала атаки против вашей сети по типу «отказ от обслуживания».

В политике безопасности вашего сайта должно ясно говориться, какие службы необходимы, а какие создают неприемлемые риски и должны быть выключены. Если в политике вашего сайта не упоминаются сетевые службы и вы не знаете, какие службы выключать, то наймите администратора по безопасности или консультанта, которые вам помогут. Ничего не предпринимайте в отношении служб в системах, которые вы обслуживаете, пока не узнаете точно, что вам делать.

Это я говорила уже не раз и буду повторять снова и снова: часто слабым звеном в безопасности является незнание. Все технические достижения в мире будут бессильны, если персонал не обучен и попросту игнорирует имеющиеся средства защиты.

Системный администратор JFC Дэйв ясно представлял себе, что безопасность нужна. Но у него не возникло ни одной мысли, как ее настроить. Если вы окажетесь в подобной ситуации, то учитесь, как настраивать безопасность, у того, кто это знает. Ни на кого не надейтесь. Дэйв уже так поступил. Он подумал, что Фред возьмет на себя решение проблемы. К несчастью, Фред не считал обеспечение безопасности Drug 10 частью своей работы. Дэйв добился бы большего, если бы Фред научил его, как настраивать безопасность в данном случае. Еще большего Дэйв добился бы, если бы его начальник обеспечил надлежащее обучение.