IT-безопасность: стоит ли рисковать корпорацией? - [8]
Большинство IDS (Intrusion-Detection Systems — систем обнаружения вторжения) могут определить атаку, только если имеется сигнатура атаки.[4]
Если подумать, то это выглядит глупо. Это похоже на то, что вы думаете, что грабитель не заберется в дом, но забыли купить замок на дверь. Более того, после установки у себя такой сигнатуры у вас не будет уверенности в том, что противник не запустит новый вариант атаки и будет пропущен IDS.
Убедитесь в том, что ваша IDS может обнаруживать атаки «дня Зеро» (zero-day attacks), или атаки «первого удара» (first-strike attacks), или «неизвестные атаки» (unknown attacks), названные так потому, что о них еще не сообщалось, о них ничего пока не знают и их сигнатур не существует. Если ваша IDS не может определять атаки «дня Зеро», то нужно усовершенствовать вашу архитектуру. Это поможет защититься от атак, нацеленных на протоколы и осуществляемых вирусами Code Red, Nimda и их разновидностями.
Я не предлагаю вам устанавливать программы-детекторы на каждую систему вашей сети. Но стратегическое размещение их в ключевых местах (в сетях и наиболее важных для работы системах) даст вам несомненное преимущество.
Готовиться к худшему
Хотя предупредительные меры составляют 80 % всех средств, остаются еще целых 20 %. В действительности, как бы тщательно вы ни планировали, всегда остаются непредвиденные проблемы. Способность их решать часто сводится к подготовке к неожиданностям. Поэтому, чтобы избежать ситуации, в которой оказался First Fidelity, нужно проделать следующее.
Разработать политику действий при вторжении в письменном виде
Если в вашей компании нет политики действий при вторжении в письменном виде, то вы не одиноки. Хотя мы сосредоточились на больших компаниях США, но ослабленное внимание к безопасности простирается далеко за национальные границы. Опрос, проведенный KPMG[5] в 2001 году среди канадских фирм, показал, что только у половины респондентов имелись стандартные процедуры на случай взлома систем безопасности электронной торговли.
Рисунок 1.3
При необходимости нанять эксперта
Создание группы реагирования на инциденты (IRT — Incident-Response Team), разработка политик и процедур и поддержание общей обстановки на современном уровне является объемной задачей. Это требует времени, знаний и координации сотрудников и ресурсов. Если у вас нет процедур и у компании нет опыта по их разработке, то наймите эксперта. «Эксперт» не надо переводить как «хакер». Будьте внимательны к тому, кого нанимаете. Как показывает рисунок 1.3, большинство компаний не хочет принимать на работу бывших хакеров в качестве консультантов.
Есть ряд компаний, серьезно относящихся к этому вопросу и могущих оказать ценные услуги. (Подробнее см. Приложение А, «Люди и продукты, о которых следует знать».) При разработке процедур реагирования на инциденты для одной из компаний я беседовала с ответственным сотрудником консультационной компании, занимающейся вопросами безопасности, о том, какую поддержку они могут предоставлять. Я спросила, как скоро может их эксперт прибыть на место происшествия. «У нас глобальный охват, — ответил тот, — и мы можем прислать команду сотрудников на требуемое место в любой точке земли в течение минут или часов, в зависимости от вашего местонахождения». Компании, занимающиеся вопросами безопасности и предлагающие такой вид услуг, готовы и стремятся вам помочь. Они пришлют немедленно своих экспертов, как только возникнет проблема. Они повидали много бедствий и знают, как трудно наводить порядок после серьезного взлома. Важно установить с ними контакт до того, как взлом произойдет. При этом у вас появится уверенность в том, что кто-то способен откликнуться на ваш зов, когда вы окажетесь в зоне бедствия.
Обучиться самому (или обеспечить обучение сотрудников)
Даже когда процедуры реагирования на инцидент имеются, системные администраторы и пользователи могут быть не обучены их применению. Политики и процедуры, которые не были ясно усвоены, не принесут много пользы. При этом создается ложное чувство безопасности. Нужно не только хорошо отразить в документах и раздать всем процедуры для чрезвычайных ситуаций, но и добиться того, чтобы каждый пользователь компьютера компании (от генерального директора до оператора по вводу информации) знал, как их применять. Ответственность за компьютерную безопасность должна ложиться на плечи каждого сотрудника.
Хорошей идеей является проверка ваших политик и процедур до возникновения инцидента. Можно провести имитационный прогон. Вы можете захотеть привлечь группу проникновения к тестированию безопасности вашего сайта. Скажем, «Группа тигров» попытается взломать ваш сайт и в то же время проверить действия вашей группы при взломе. Было бы неверным заставлять людей гадать о том, реальный ли это взлом или нет. Другими словами, не кричите «Волк!». Если вы привлекли консультанта по безопасности для тестирования защиты вашего сайта и реагирования на взлом, то предупредите об этом обслуживающий персонал. Пусть они знают, что это имитационный прогон, а не реальное событие.
Установить точку контакта