Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Удача Джеральда заключалась в том, что Кирстен была с ним достаточно откровенной и сообщила так много сведений. Он попытался разузнать побольше и выяснил, что группа обеспечения безопасности сражается с системными администраторами уже несколько лет из-за принципов настройки безопасности систем. Так как общий подход к этому вопросу выработан не был, то у большинства систем в сети настройки безопасности не было вообще.

Джеральд понял, что, пока группа обеспечения безопасности и системные администраторы не уладят своих разногласий, безопасность его систем может быть скомпрометирована. Из-за такой предыстории конфликт вряд ли мог разрешиться быстро. Как временный сотрудник, Джеральд решил установить свои системы отдельно от сети музея в изолированном помещении. Представьте, что у вас строят отдельную сеть с тем, чтобы уберечь информацию от краж и саботажа! Посмотрим, как ситуация дошла до такого состояния.

Для того чтобы отделить свои системы от сети музея, Джеральд должен был создать свою сеть и нанять своего системного администратора. На это требовалась добавка к его бюджету в виде приличного количества долларов. Для одобрения такого шага Джеральд должен был встретиться с руководством музея.

Не нужно говорить, что руководство такому подходу не обрадовалось. По правде, оно просто не поверило, что их собственная сеть не защищена. В конце концов Джеральд получил, что просил. Но руководство заставило его перед этим «попрыгать через кольцо». Оно включило в пакет договора требование, чтобы он представил доказательства незащищенности сети музея. И здесь на сцене появляюсь я.

Джеральд передал мне всю информацию о месте действий. Он посвятил меня в детали продолжающейся междоусобицы между системными администраторами и группой безопасности. Я поговорила с Кирстен, и она сообщила мне, что вся информация в сети подвергается риску.

Узнав это, я поняла, что впереди у меня тяжелая работа. Во-первых, я должна была установить, действительно ли системы не защищены. И если так, то затем я должна буду определить причину этого.

Руководство в лице Джеральда чувствовало, что системы сети не защищены. Однако это было лишь голословным заявлением. Каких-либо ощутимых доказательств этого не было, но они должны быть найдены в моем аудите.

Так как главной задачей аудита была проверка предположения Джеральда, то я решила провести аудиты систем, интервьюирование персонала и тестирование на проникновение.

В данном случае удача Джеральда заключалась в том, что Кирстен обеспечила его большим количеством информации. Такое происходит не всегда. Иногда вся сеть подвергается риску, а персонал технической поддержки не говорит об этом ни слова. Зная это, я не питала особых надежд на то, что остальные сотрудники технической поддержки сообщат мне такие же подробности, как Кирстен.

В некоторых аудитах полезно собрать как можно больше фактов перед проведением бесед с персоналом. Тогда вы сможете их использовать как рычаг воздействия на сотрудников, не испытывающих желания делиться с вами информацией или своим знанием существующей проблемы. Так как мне казалось, что этот аудит будет именно таким, то я решила собрать информацию до проведения бесед.

Кирстен создала мне учетную запись в сети и дала сетевую схему, по которой можно было бы определить системы повышенного риска. Сетевая схема выглядела вполне логично. Так как я обычно начинаю тестирование безопасности с систем с самым высоким уровнем риска, то именно их я ищу в схеме. Однако я не смогла точно определить по схеме, какие из систем попадают в эту категорию.

Я обратилась снова к Кирстен. Она показала мне группу систем, которые она считала представлявшими наибольший риск. Мы немного поговорили об этом, чтобы убедиться, что я ничего не пропустила. Со списком особо критичных целей я была готова начать аудит.

Я всегда удивляюсь, когда мне удается войти в первую намеченную для аудита систему даже без ввода пароля. Это похоже на то, как если бы вы подошли к банкомату и он выдал бы вам деньги до того, как вы достали свою карточку из бумажника. Я попала в такую же ситуацию.

Первая же выбранная мной система доверяла системе, в которой у меня была учетная запись. Как только я открыла сессию на главном сервере базы данных, я смогла получить доступ ко всем другим особо критичным системам. Мне даже не пришлось вытирать пот. Доверительные отношения между этими системами были поразительными. Все они доверяли первой взломанной мной системе, поэтому я входила в одну систему за другой.