Не самі секретні складові мережевої безпеки

  1. Комп'ютерні злочини можна припинити. Проблема в тому, що рутинні повсякденні турботи адміністраторів...
  2. Заручившись підтримкою КЕРІВНИЦТВА
  3. НАЙМІTE розумного
  4. ЇЖА ДЛЯ РОЗДУМІВ
  5. Ворога треба знати в обличчя
  6. Хакери-любителі
  7. хактивісти
  8. злочинці
  9. державний шпигунство
  10. ресурси Internet
Комп'ютерні злочини можна припинити. Проблема в тому, що рутинні повсякденні турботи адміністраторів ІТ, а також відсутність підтримки з сторонируководства не сприяють забезпеченню належного рівня безпеки.

Продуктова піраміда - це графічне представлення збалансованої дієти в версією міністерства сільського господарства США. Згідно цій діаграмі, зернові та овочеві культури повинні складати основну частину нашого раціону. Зрозуміло, ми знаємо, що пшеничний хліб і брокколі за своїми поживними властивостями перевершують тістечка і кока-колу, однак чиновники міністерства вважають своїм обов'язком нагадати про це. Бо всупереч нашій обізнаності, їмо ми часто зовсім інше.

Те ж саме можна сказати і про комп'ютерну безпеку. Засоби і методи припинення незаконного вторгнення в обчислювальні системи добре відомі і доступні. Але адміністратори так перевантажені рутинною роботою, що у них просто не вистачає часу, щоб вжити належних заходів безпеки. І в цьому випадку мережа стає таким собі аналогом малокорисною їжі: чи не оновлюється вчасно програмне забезпечення, погано сконфігуровані міжмережеві екрани, неефективні способи захисту і т. Д.

Такі мережі можуть цілком пристойно працювати, поки не відбувається щось надзвичайне: крадіжка кредитної картки, розкрадання клієнтської бази даних або зміна контексту сайту Web хакерами-любителями. І тільки потім з'ясовується, що обходяться ці компроміси досить дорого. За даними огляду з безпеки і злочинів в області інформаційних технологій за 2001 р, опублікованого Інститутом комп'ютерної безпеки (CSI) спільно з ФБР, втрати від протизаконних дій в 2000 р склали приблизно 377 млн ​​доларів. І що ще більш дивно, ця цифра враховує дані лише 35% респондентів (186 з 538 опитаних), інші 65% не захотіли або не змогли оцінити нанесений їм збиток.

В середньому збитки від злому інформаційної системи складають близько 454 тис. Доларів. Вартість вкраденої конфіденційної інформації оцінюється приблизно в 4,4 млн доларів.

Ці дані гріють душу постачальникам систем безпеки. Справді, якщо тільки одне вторгнення обходиться вам більш ніж в 400 тис. Доларів, може бути, ви все-таки задумаєтеся про необхідність придбання брандмауера для відображення спроб незаконного підключення, - це буде в чотири рази дешевше.

Однак для того, щоб захистити систему від вторгнення, необов'язково вислуховувати поради продавця. «Найчастіше мова не йде про витрати в 3 млн доларів на покупку програмного забезпечення захисту, - упевнений Стюарт Макклой, президент і керівник технічного відділу компанії Foundstone, що спеціалізується на навчанні та консультаціях з питань безпеки. - Все, що вам потрібно, - це один тлумачний адміністратор з безпеки ».

Пропонована вашій увазі стаття присвячена питанням мережевої безпеки. Тут описані конкретні кроки, які необхідно виконати адміністратора, щоб забезпечити достатній рівень захисту інформаційної системи. Крім того, в ній даються практичні поради, як заручитися підтримкою керівної ланки для забезпечення надійної системи безпеки.

НІ ДНЯ БЕЗ «заплатити»

Фахівці в галузі програмного забезпечення діляться на програмістів і тих, хто тестує програмне забезпечення. Програмісти розробляють окремі частини програмного продукту, що реалізують певні функції. Решта досліджують програмний код, «визначають, які припущення були зроблені програмістами, а також дивляться, що станеться, якщо ці припущення будуть порушені», - так пояснює поділ обов'язків Скотт Блейк, який відповідає за стратегію розвитку продуктів захисту в дослідницькому підрозділі RAZOR компанії Bindview.

Іноді експерти з тестування намагаються поліпшити програмне забезпечення, наприклад прискорити його роботу. В інших випадках вони відшукують лазівки, що дозволяють використовувати програмне забезпечення не передбачених програмістом способом. Це відбувається майже з кожної відомої програмою. Наприклад, в Таблиці 1 представлений ряд вразливих місць в системі захисту, виявлених в деяких популярних операційних системах.

Часом компанії, що спеціалізуються на безпеці систем, платять за критичний аналіз їх коду. Хтось робить це з інтересу до складної проблеми, хтось - з потреби задовольнити своє самолюбство, а хтось просто пропонує свою допомогу для захисту від несанкціонованих вторгнень. Буває, що присутні відразу три названі причини. Іноді експерти з тестування вказують компанії-розробнику програмного забезпечення на вразливі місця в надії, що та внесе необхідні виправлення. В інших випадках такий фахівець поширює свої зауваження по неофіційних каналах, в результаті кожен, хто розбирається в цьому питанні, може скористатися виявленими проломи в захисті.

В результаті постачальники програмного забезпечення змушені регулярно створювати «латки» на ці вразливі місця, а мережеві адміністратори - вчасно їх встановлювати, щоб забезпечити належну безпеку системи. «Найважливіше, що повинен робити системний адміністратор, - не спізнюватися з установкою« латок »в своїй системі», - підкреслює Блейк. Він нагадує, що багато злочинів в сфері інформаційних технологій стали можливими завдяки тому, що хакери знаходять прогалини в програмному забезпеченні, які дозволяють легко обійти мережевий захист: «У дев'яти випадках з десяти вони використовують в своїх інтересах старі, давно відомі недоробки в програмах, для яких вже існують «латки», але їх не потурбувалися застосувати ».

Теоретично установка «латки» не так вже складна, хоча на практиці не все так просто навіть для досвідчених адміністраторів, які намагаються бути в курсі найостанніших розробок.

Одна з труднощів полягає в тому, що в інформаційних системах встановлюється все більше і більше нових програмних продуктів. Відповідно до інформації, поширеної компанією SecurityFocus.com, кількість знову знайдених уразливих місць в програмному забезпеченні зросла з 10 за тиждень 1999 р до 25 в тиждень в 2000 р (див. Малюнок). За оцінками цієї компанії, в 2003 р дана цифра буде близька до 50.

Друга проблема криється в самих «латках». За словами Марка Ловлесса (відомого також як Скромний Мандрівник), провідного аналітика з питань безпеки, що працює в групі RAZOR компанії Bindview, буває так, що їх застосування в одній системі впливає на якість роботи іншого, особливо це стосується додатків, створених в самій компанії. «Перед тим як ставити« латки », необхідно провести відповідне тестування», - радить він.

Крім того, адміністратору доводиться стежити за цілою низкою операційних систем і прикладних пакетів. Не так уже й рідко в інформаційній системі використовують одночасно BIND для DNS (програму для підтримки сервера доменних імен в мережі Internet), sendmail для керування електронною поштою, Apache для серверів Web, а в якості мережевої операційної системи продукцію Microsoft або Novell, а також програмне забезпечення власної розробки. Навіть в гомогенних мережах на серверах може бути встановлено програмне забезпечення різних версій. Всі ці різнорідні компоненти перетворюють процедуру відстеження та встановлення необхідних «латок» в справжній кошмар.

І, нарешті, останнє, але не менш важливе - робочий час, можливо, найдорогоцінніший ресурс мережевого адміністратора. За словами Ловлесса, «якщо ви ледь справляєтеся з щоденної плинністю (наприклад, фінансовий відділ не може роздрукувати документи, а бухгалтерія хоче відновити інформацію двомісячної давності про персонал), то немає нічого ціннішого для вас, ніж час».

Однак навіть у цьому випадку необхідно враховувати одну просту річ: своєчасне застосування «латок» - досить потужний засіб для зниження ризику. Можна сказати, що для комп'ютерної безпеки вашої компанії це традиційне щоденне яблуко для поповнення вітамінів.

Системи з вчасно встановленими комплектами «латок» стають невидимими для радіолокаторів численних бажаючих в неї проникнути. «Хакери - неабиякі ледарі, - каже інженер з інформаційної безпеки компанії Grayhat Security, відомий під псевдонімом CHS. - Кожного разу, коли з'являється вразливе місце, вони прагнуть до легкої здобичі і починають сканувати весь діапазон IP-адрес, намагаючись його виявити ». Але при скануванні системи з встановленим повним комплектом «латок» виявити таку пролом неможливо, тому ваші сервери не стануть жертвою хакерів-любителів.

Застосування «латок» не вимагає додаткових фінансових витрат, так як постачальники надають їх для вільного копіювання. Існують також безкоштовні засоби для допомоги з віддаленим оновленням систем (див. «Ресурси Internet» ). Якщо ж ви згодні витратити трохи грошей, то такі компанії, як Bindview і Pentasafe, готові запропонувати продукти, які допоможуть відстежити і управляти установкою «латок» по всьому підприємству.

Заручившись підтримкою КЕРІВНИЦТВА

Комп'ютерної безпеки відводиться окрема колонка в балансовій відомості підприємства. Слід пам'ятати, що це не структурний підрозділ, результати діяльності якого вимірюються отриманим прибутком. Безпека ніколи не була прибутковою статтею, і керівники часто не розуміють, що безпека - це процес, а не продукт, особливо якщо ви тільки що витратили значні кошти на обладнання.

До того ж люди, які не вникають в те, що відбувається в серверній кімнаті, зазвичай трохи інакше - хоча і цілком обгрунтовано - сприймають бізнес. При сьогоднішньому бурхливому розвитку економіки швидкість стала серйозним фактором в конкуренції. «Тиждень - занадто довгий термін для перевірки безпеки», - заявляє Пітер Шиплі, консультант з безпеки в компанії Bay Area. Перш за все керівництво компаній хоче знати, як швидко повернуться затрачені кошти, коли можна буде вийти на первинне розміщення акцій, а проблеми безпеки в таких випадках нерідко відкладаються на більш пізній термін.

Таким чином, адміністратору слід пояснити керівництву, чим ризикує компанія, а також запропонувати способи зниження ризиків, що виникають. Для цього можна скористатися так званим хакерських інструментарієм. Ці кошти вільно доступні в Internet і можуть виконувати різні функції - від ретельного спостереження за мережевим трафіком до зондування вразливих місць у вашій інформаційній системі.

«Основна мета подібних засобів - дати можливість системним адміністраторам, відповідальним за безпеку, виконувати свою роботу», - підкреслює Блейк з компанії Bindview.

Якщо ви ніколи раніше не користувалися такими інструментами, то можете відчувати деяке упередження проти їх використання в мережі. Без сумніву, деякі запобіжні заходи цілком виправдані, оскільки вже ці кошти розроблялися з метою несанкціонованого проникнення в комп'ютерні системи.

Адміністратору можуть надати неоціненну допомогу і пакети програмного забезпечення для виявлення вразливих місць. «Я написав кілька подібних програм», - каже Ловлесс. Серед отриманих від системних адміністраторів коментарів в співвідношенні 10: 1 переважають заяви такого змісту: «Я скачав цю програму, застосував її для перевірки моїх систем і довів своєму босові, що вони погано захищені».

Звичайно, Ловлесс не закликає необгрунтовано використовувати хакерські кошти для залучення уваги керівництва. Однак деякий розумне їх застосування допомагає виявити прогалини в критично важливих системах. «Покажіть кому-небудь результати ваших перевірок, - каже Ловлесс. - Я, наприклад, зміг отримати важливі дані виробничого відділу завдяки наявності проломи в системі розробників ». Такі дані стануть набагато більш переконливим аргументом у розмові з керівництвом, ніж розпливчасті сценарії можливих атак.

Незважаючи на те що безпека, на відміну від відділу продажів, дійсно не приносить прибуток, адміністратори з безпеки можуть підкріпити свої міркування і фінансовими аргументами. Шиплі нагадує, що злом системи підприємства обійдеться в сотні разів дорожче. У розмові з відповідальними особами за виділення фінансових коштів, потужним аргументом може стати огляд комп'ютерних злочинів Інституту комп'ютерної безпеки (CSI), підготовлений спільно з ФБР. Крім опитування компаній про видах подібних злочинів, скоєних проти них, цей інститут підраховує фінансові втрати. Наведені цифри непогано сприяють розумінню і дослідженню фінансових ризиків, з якими стикаються інформаційні системи.

Ви досягнете більшого успіху в отриманні бюджетних коштів для підтримки інформаційної безпеки, якщо підготуєте докладний список, в якому ясно вкажете, що ви хочете і чому. Аргументи стануть ще більш переконливими, якщо вдасться висловити ваші потреби в термінах прибутку на інвестований капітал (ROI).

Можна також звернутися до компаній, що надають спеціалізовані послуги з організації безпеки інформаційних систем. Вони зазвичай пропонують цілий пакет послуг, що включає в якості базових компонентів міжмережеві екрани і системи виявлення вторгнень (Intrusion Detection System, IDS). У пакет послуг може входити і оцінка слабких місць в системі захисту, і перевірка можливості проникнення в систему, і централізована захист, і інші послуги. Це, звичайно, недешево, але такі трудомісткі завдання, як моніторинг роботи брандмауера і журналів системи виявлення вторгнень (IDS), не дуже дорогі, зате заощадять час для інших не менш важливих речей.

НАЙМІTE розумного

Кваліфікований адміністратор з мережевої безпеки - відмінний захист від незаконних вторгнень у вашу інформаційну систему. Тому найкращою інвестицією в безпеку стане навчання відповідальних за це співробітників.

Ймовірно, найбільш доступним засобом є Internet. Такі сайти, як BugNet ( http://www.bugnet.com ) І BugTraq ( http://www.bugtraq.com ), Являють собою справжні бібліотеки зі списками вразливих місць і способів їх виправлення. Адміністратору достатньо кожен день приділяти цим сайтам трохи часу, і він цілком зможе зібрати всю необхідну йому інформацію.

Для більш глибокого вивчення відвідайте конференції з безпеки. Кілька організацій, наприклад Інститут комп'ютерної безпеки і інститут SANS, проводять навчальні курси на всій території Сполучених Штатів. Популярна конференція BlackHat ( http://www.blackhat.com ) Пропонує курси як для початківців, так і для більш досвідчених фахівців з безпеки. Виходить раз на два тижні інформаційний бюлетень «Збірник з безпеки зв'язку» публікує список інших курсів і конференцій. З ним можна ознайомитися на сайті http://www.infosecuritymag.bellevue.com .

Але ніщо не зрівняється з практичним навчанням. Для цього буде потрібно власна лабораторія, де адміністратори могли б експериментувати без побоювання перешкодити роботі основної мережі. Така лабораторія може обійтися досить дешево. «Якщо у вас є вільний комп'ютер на базі 386-го процесора, то на ньому можна перевірити потенційні вразливі місця», - заявляє Шиплі.

З цим згоден і Ловлесс: «На старі персональні комп'ютери можна завантажити безкоштовні операційні системи і досхочу поекспериментувати з ними. Це допоможе адміністратору продумати шляхи вдосконалення захисту мережі ».

ЇЖА ДЛЯ РОЗДУМІВ

Наступного разу, вибираючи між яблуком і цукеркою, уявіть собі якийсь збудник хвороби, блукаючий всередині вас в пошуках слабких місць вашого організму (подібно хакерам-любителям в мережі Internet). З'їдаючи цукерку, ви даєте додатковий шанс для розвитку карієсу, захворювання серця, ожиріння, а вибираючи яблуко, ставите перед ним чергову перешкоду - «латку».

Так само як повноцінне харчування передбачає щоденний прийом здорової їжі, комп'ютерна безпека вимагає, щоб їй кожен день приділялася час і увагу. Встановлюючи чергову «латку», уважно спостерігаючи за появою нових уразливих місць в системі, підвищуючи свою кваліфікацію і вивчаючи досвід більш обізнаних у цій галузі людей, ви можете підтримувати свою мережу в стабільному стані.

Ендрю Конрі-Мюррей - редактор Network Magazine з питань бізнесу. З ним можна зв'язатися за адресою: [email protected] .

Ворога треба знати в обличчя

Хто це там намагається прослуховувати волоконно-оптичну лінію зв'язку? На думку Білла Кровелла, головного адміністратора компанії Cylink (виробника обладнання для віртуальних приватних мереж) і колишнього зам. директора Національного агентства безпеки, порушників безпеки мережі можна розділити на чотири категорії: хакери-любителі (script kiddies), що використовують готові утиліти для злому і атак, хакери - громадські активісти (так звані хактивісти), просто комп'ютерні злочинці, а також шпигуни, що діють при поддержке какого-либо государства.

Хакери-любителі

Це найчисленніша група з чотирьох названих. «Вони подібні до вандалам, - каже Кровелл, - тому що найпопулярніший вид діяльності таких злочинців - псування сайту Web». Хакери-любителі - це зневажливий термін для людини, слабо або взагалі не розбирається в програмуванні і не має інших комп'ютерних навичок. Такі «умільці» зазвичай використовують фрагменти кимось раніше написаного коду - як правило, сценарії, які дозволяють їм організувати і здійснити вторгнення в мережу. Створюють їх зазвичай люди з більш глибокими знаннями в області операційних систем і програмування. Незалежно від того, якою мірою хакери розбираються в часто заплутаному комп'ютерному коді, в їх розпорядженні є готові сценарії, які можна застосувати для зміни контенту caйтов Web, написання вірусів і здійснення атак на кшталт «відмова в обслуговуванні».

хактивісти

Другу групу складають хактивісти. Цим незвичайним ім'ям називають людей, що діють за певними мотивами, зазвичай мають політичну або соціальне забарвлення. Вони зрозуміли, що піратські набіги на мережі - ще один спосіб заявити про себе і своїх вимогах. Наприклад, через те, що напруга у відносинах між Сполученими Штатами і Китаєм зросла після того, як був збитий літак-шпигун, деякі американські сайти Web виявилися прикрашені антиамериканськими гаслами. Хактивісти найчастіше воліють такі кошти, як зміна контенту сайтів Web і атаки по типу «відмова в обслуговуванні».

Професійний рівень хактівістом різний, досить часто вони передають сценарії користувачам-однодумцям для подальшого здійснення своїх задумів.

злочинці

«Злочинні елементи - найменш численна група», - вважає Кровелл. Мотивація цих людей очевидна - гроші. Internet для них - ще один спосіб незаконного отримання грошей, чи стосується це крадіжки номерів кредитних карт, вимагання, крадіжки або продажу комерційних таємниць. Професійний рівень цього класу комп'ютерних злочинців набагато вище, ніж у представників перших двох груп, і такі злочинці мають в порівнянні з іншими певні переваги.

По-перше, як стверджує Кровелл, вони «отримують вигоду від того факту, що Internet всюдисущий і безмежний». Злочинцеві зовсім не потрібно знаходитися в США, щоб пограбувати американський банк. До того ж на світовому рівні відсутня єдина політика розслідування і покарання міжнародних комп'ютерних злочинів, а багато країн не мають необхідних технологічними ресурсами для розслідування комп'ютерних злочинів.

По-друге, злочинець може бути зовсім не сторонньою людиною (чужий серед своїх), наприклад співробітником компанії-жертви, добре обізнаним про відбуваються в ній або прийнятих процедурах, що стосуються його мети. Він може займатися бізнесом, бути членом громадської організації або уряду. «Такі люди часто грають важливу роль в підготовці подібних атак», - каже Кровелл. Подібні атаки відрізняються ретельністю попередньої розвідки і планування.

«Люди з подібними злочинними намірами знайдуться завжди, - продовжує Кровелл. - Це може бути чимось незадоволений співробітник або працівник, який має боргові зобов'язання, і про це завжди слід пам'ятати ».

державний шпигунство

І остання, не менш важлива група злочинців - зловмисники, які діють за підтримки держави. До них відносяться терористи, фахівці з інформаційних воєн і розвідувальні служби. «Ці хлопці чудово навчені і, як правило, не залишають слідів», - застерігає Кровелл.

Так кого ж слід побоюватися найбільше? Всіх без винятку!

Суть ось у чому. Не важливо, чим ви займаєтеся, але, підключившись до Internet, ви тут же стаєте потенційною жертвою. Знаючи про те, хто спробує увійти в вашу мережу, і маючи уявлення про ті способи, якими вони озброєні, щоб нашкодити вашим ресурсів, ви можете прийняти попереджувальні заходи і захистити свою мережу.

ресурси Internet

Сайт Web компанії Security Storm http://www.packetstorm.security.com містить велику кількість звітів про виявлені вразливі місця у різних програмах, засобів їх усунення та іншу інформацію, пов'язану з безпекою інформаційних систем.

Компанія SecurityFocus.com публікує новини з питань безпеки та численні рекомендації з виявлення вразливих місць, а також засоби їх усунення. Цю та іншу корисну інформацію ви можете знайти за адресою: http://www.securityfocus.com .

на сайті http://www.razor.bindview.com підрозділи RAZOR компанії Bindview є інструментарій забезпечення безпеки, додаткова інформація, а також посилання на інші корисні сайти.

Інститут SANS є дослідницьку та навчальну організацію для мережевих адміністраторів і професіоналів в області безпеки. На сайті цієї організації http://www.sans.org можна знайти попередження, що стосуються безпеки, новини, дослідницький матеріал, офіційні документи, про також довідкові дані з питань освіти і сертифікації.

Для адміністраторів Windows особливий інтерес може представляти «Збірник з питань безпеки Windows», де дається щомісячна зведення по виявленим небезпечних місць і помилок. Цю інформацію ви знайдете за адресою: http://www.sans.org .

За адресою: http://www.gocsi.com , Ви можете зареєструватися для отримання безкоштовного екземпляру огляду з комп'ютерної безпеки і злочинів за 2001 р, опублікованого Інститутом комп'ютерної безпеки спільно з ФБР.

назад

Так кого ж слід побоюватися найбільше?
Новости
13.09.2011
Редизайн сайта
В 2011 году был проведен редизайн сайта нашей компании и его запуск в сеть Интернет. Услуги редизайна сайта и его продвижения оказала нам дизайн-студия Web Skill.
все новости
ОДО "Машиностроительный завод "БУРАН"© 2007-2011 | Все права защищены