IT-безопасность: стоит ли рисковать корпорацией? - страница 9

Сохранив свою конфиденциальную информацию, в First Fidelity вздохнули с облегчением. Но, разумеется, полагаться на счастливый случай в деле защиты информации не принято. И вот что они должны были бы сделать вместо этого.

Зная теперь об альтернативных решениях, вы, возможно, удивляетесь, почему в First Fidelity использовалась столь уязвимая конфигурация. Так зачем подвергать и вашу информацию такому риску? Возможен уверенный ответ: «А почему бы и нет?» В конце концов, ведь хакер вторгся не в вашу систему. Поразительно, но во многих компаниях думают именно так.

Во многих компаниях взлом компьютеров считают игрой в лотерею. Они уверены в своем иммунитете от вторжения хакера и пренебрегают даже основными мерами предосторожности. Это никогда не может с ними произойти, поэтому они не тратятся на безопасность. Они не предусматривают процедур реагирования на инцидент, и их сотрудники не имеют навыков такого реагирования.

Как это ни просто звучит, но самое главное в предотвращении взлома — это осознать, что он может случиться у вас! Для его предотвращения используйте самый эффективный инструмент защиты — обучение. Обучайте каждого! От руководителя самого высокого уровня до самого последнего оператора по вводу данных — все должны знать, как защищать информацию от кражи, изменения и уничтожения неавторизованными пользователями. Ведь хакер-злоумышленник, получивший слишком широкий доступ, может всех лишить работы!

Рисунок 1.1

Строго говоря, неавторизованным использованием является любое использование компьютерной системы без разрешения на это системного администратора. Поэтому неавторизованным пользователем нужно считать и хакера-злоумышленника, и безвредного путешественника по киберпространству, и даже сотрудника компании, не имеющего разрешения на работу в конкретной системе в определенное время или с определенной целью. В инциденте, произошедшем с First Fidelity, таким неавторизованным пользователем мог быть любой из трех его типов, описанных выше.

Как видно из недавнего обзора CSI (Института защиты информации в компьютерных системах), результаты которого показаны на рисунке 1.2, слишком многие из руководителей компаний не представляют себе, как широко распространен неавторизованный доступ и незаконное использование.

Рисунок 1.2

Главным при отражении вторжения является способность распознать, что ваша система взламывается! Вам нужно точно знать, что наблюдаемое вами явление действительно взлом, а не аппаратный или программный сбой или причуда пользователя. Определить, подвергается ли ваша система атаке, помогут вам в первую очередь программы-детекторы вторжения. Поэтому установка программ-детекторов до того, как вы подвергнетесь атаке, абсолютно оправдана. Вспомним недавнее вторжение вируса Code Red. 19 июля 2001 года Code Red «заразил» 359 104 хост-компьютера, которые были взломаны всего лишь за 13 часов. На пике своих действий вирус поражал около 2000 новых сайтов в минуту, даже тех, на которых были установлены программы обнаружения вторжения.

Большинство IDS (Intrusion-Detection Systems — систем обнаружения вторжения) могут определить атаку, только если имеется сигнатура атаки.[4]

Если подумать, то это выглядит глупо. Это похоже на то, что вы думаете, что грабитель не заберется в дом, но забыли купить замок на дверь. Более того, после установки у себя такой сигнатуры у вас не будет уверенности в том, что противник не запустит новый вариант атаки и будет пропущен IDS.

Убедитесь в том, что ваша IDS может обнаруживать атаки «дня Зеро» (zero-day attacks), или атаки «первого удара» (first-strike attacks), или «неизвестные атаки» (unknown attacks), названные так потому, что о них еще не сообщалось, о них ничего пока не знают и их сигнатур не существует. Если ваша IDS не может определять атаки «дня Зеро», то нужно усовершенствовать вашу архитектуру. Это поможет защититься от атак, нацеленных на протоколы и осуществляемых вирусами Code Red, Nimda и их разновидностями.