Безопасность: Учитесь обеспечивать безопасность

Недостаточно иметь антивирус или брандмауэр последней версии. Чтобы обеспечить безопасность своей инфраструктуры, вы, кроме того, должны сосредоточиться на образовании своих сотрудников.

Джон Вакка

Адаптированная выдержка из книги «Computer and Information Security Handbook» (Elsevier Science & Technology)

Подобно тому, как поддержка надежной безопасной среды является динамическим процессом, подготовка высококвалифицированных профессионалов области безопасности также ведется динамически. Важно иметь в виду, что, несмотря на то, что хотя техническая инфраструктура организации меняется не так уж часто, ежедневно обнаруживаются новые уязвимости и проводятся новые атаки.

Очень немногие организации имеют неизменную инфраструктуру. Сотрудникам постоянно требуется новое ПО. Стремясь повысить эффективность, организации все время вводят новые технологии. Каждое нововведение, скорее всего, принесет дополнительные уязвимости защиты.

Для ИТ-специалистов важно быть готовыми к идентификации новых угроз и уязвимостей и реакции на них. Сотрудникам, заинтересованным в глубоких знаниях в области безопасности, следует начать с программы, не привязанной к конкретному поставщику. В таких программах центральное место занимают принципы, а не конкретные продукты.

Институт SANS предлагает две вводные программы: Intro to Information Security — пятидневный курс для людей, которые делают свои первые шаги в сфере безопасности, и SANS Security Essentials Bootcamp — шестидневный курс для людей, имеющих кое-какой опыт работы в области безопасности. Каждый курс доступен как программа для самостоятельного обучения и может использоваться при подготовке к сертификационным экзаменам.

Еще один вариант — начать с программы, соответствующей сертификационным требованиям CompTIA Security, такой как Global Knowledge Essentials of Information Security. После того как вы получите набор фундаментальных знаний в области безопасности, следует переключиться на обучение, учитывающее специфику поставщика, чтобы применить изученные принципы к конкретным приложениям и устройства защиты, используемым в рабочей среде.

Отличный способ идти в ногу с современными тенденциями в области безопасности — принимать активное участие в деятельности отраслевой организации, связанной с безопасностью. Ключевой момент здесь — активное участие. Многие профессионалы вступают в организации только затем, чтобы добавить строчку в раздел «профессиональное членство» своего резюме.

«Активно участвовать» означает присутствовать на регулярных собраниях, входить в комитет или занимать руководящую должность. Хотя это кажется пугающим с точки зрения затрат времени, вы получаете выигрыш за счет доступа к сети профессиональных ресурсов, которая позволяет сформировать свои представления, служит рупором и позволяет получить помощь, когда возникают проблемы. Участие в таких ассоциациях — эффективный по затратам метод не отстать от существующих тенденций и проблем в области безопасности.

Могут оказаться полезными следующие организации:

• ASIS International: самая крупная в мире организация, занимающаяся безопасностью. Специализируется в основном на физической безопасности, но недавно начала заниматься и компьютерной безопасностью.
• ISACA: раньше называлась Information Systems Audit and Control Association.
• High Technology Crime Investigation Association (HTCIA).
• Information Systems Security Association (ISSA).
• InfraGard: объединение государственных и частных организаций, спонсируемое Федеральным бюро расследований (ФБР).

Помимо ежемесячных собраний многие местные подразделения этих организаций спонсируют региональные конференции, участие в которых, как правило, доступно по цене, и на которых выступают эксперты национального уровня.

Подумайте о сертификации

Пожалуй, один из лучших критериев определения, действительно ли сотрудник отлично разбирается в принципах информационной безопасности, — то, может ли он пройти сертификацию Certified Information Systems Security Professional (CISSP). У кандидатов на этот сертификат проверяются знания в следующих 10 областях:

1. Управление доступом.
2. Защита приложений.
3. Непрерывность бизнеса и планирование аварийного восстановления.
4. Криптография.
5. Информационная безопасность и управление рисками.
6. Правовые нормы, соблюдение законодательство и расследования.
7. Безопасность операций.
8. Физическая (экологическая) безопасность.
9. Архитектура и проектирование систем безопасности.
10. Безопасность телекоммуникаций и сетей.

Эту сертификацию особенно ценят за то, что кандидат должен иметь как минимум пять лет профессионального опыта в области информационной безопасности или четыре года опыта и высшее образование. Чтобы получить сертификат, кандидат должен пройти 120-часовое профессиональное обучение в течение трехлетнего цикла сертификации. Это гарантирует, что люди, владеющие удостоверениями CISSP, идут ногу с последними тенденциями в области безопасности. Сертификаты CISSP присваиваются International Information Systems Security Certification Consortium, также известным как (ISC)².

Мыслите «вне рамок»

Для большинства организаций угроза их интеллектуальным активам и технической инфраструктуре исходит от «плохих парней», находящихся вне организации и пытающихся проникнуть в ее сеть. Такие организации устанавливают мощную защиту периметра, заключая свои ресурсы «в рамки».

Однако внутренние сотрудники имеют доступ к собственнической информации, необходимой им для выполнения своих обязанностей. Часто бывает, что они выносят эту информацию в места, уже не контролируемые работодателем. Обычно это делается без злого умысла, просто сотрудникам требуется такой доступ к данным, при котором они более эффективно выполняют свою работу. Однако это становится проблемой, когда сотрудник увольняется и организация не принимает мер по сбору и контролю собственнической информации, которая находится в распоряжении бывших сотрудников.

Одна из угроз интеллектуальной собственности, чаще всего упускаемых из виду, — безобидные и повсеместно распространенные в наше время USB-накопители. Эти устройства размером с губную помаду являются современными дискетами (с точки зрения хранения переносимых данных). Они удобны при переносе данных между компьютерами.

Разница между этими устройствами и дискетами в том, что USB накопители способны хранить много данных. USB-накопитель на 16 ГБ имеет такую же емкость, как более чем 10000 дискет. Вы можете купить такой USB-накопитель дешевле, чем за $15. Учтите, что с течением времени емкость этих устройств увеличивается, а цена уменьшается, поэтому они чрезвычайно привлекательны.

Эти устройства — не единственная угроза данным. Имеются и другие устройства, подключаемые через USB-порты и позволяющие переписать данные из компьютера и сети, которым они подключены, — цифровые камеры, MP3-плееры и внешние жесткие диски. Большинство людей осознает, что внешние жесткие диски могут представлять угрозу, но понимают ли они, что камеры, MP3-плееры и другие устройства тоже являются угрозой?

Камеры и музыкальные плееры предназначены для хранения изображений и музыки, но для компьютера это просто устройства массового хранения. Людям сложно представить себе, что iPod может хранить не только музыку, но и документы текстовых процессоров, базы данных и электронные таблицы. К счастью, Microsoft Windows отслеживает, какие устройства подсоединены к системе, с помощью ключа реестра HKEY_Local_Machine\System \ControlSet00x\Enum\USBStor. Может оказаться интересным взглянуть на этот ключ на вашем собственном компьютере, чтобы посмотреть, какие типы устройств подсоединялись.

В Windows Vista имеется дополнительный ключ для отслеживания подсоединенных устройств: HKEY_Local_Machine\Software\Microsoft\Windows Portable Devices\Devices.30. Анализ реестра — отличный способ исследования того, чем занимаются пользователи компьютеров. Однако для многих людей навигация по реестру и его интерпретация оказываются слишком сложными. Если вам хотелось бы побольше узнать о реестре, скачайте и запустите RegRipper от Харлана Карви (Harlan Carvey).

Еще одна угроза, из-за которой информация может выйти за стены организации, — многочисленные наладонные устройства. Многие из них способны отправлять и принимать электронную почту, а также создавать, хранить и передавать файлы текстовых процессоров, электронных таблиц и в формате PDF.

Хотя большинство работодателей не приобретает эти устройства для своих сотрудников, они чуть ли не с удовольствием позволяют сотрудникам синхронизировать личные устройства с корпоративными компьютерами. Из системы запросто можно скопировать контактные данные клиентов, бизнес-планы и другие материалы.

Некоторые предприятия полагают, что эта угроза находится под их контролем, поскольку они выделяют своим сотрудникам корпоративные устройства и могут забрать устройство, когда сотрудник уволится. Единственная проблема при этом подходе — то, что сотрудник без труда может скопировать данные из устройства на свой домашний компьютер перед возвращением устройства.

Поскольку портативные устройства хранения данных и наладонные устройства представляют собой угрозу, для организации важно создать политики, определяющие допустимое использование этих устройств. Кроме того, целесообразно реализовать решение корпоративного уровня для управления тем, кто и когда может копировать данные на них и может ли вообще.

Развивайте культуру обеспечения безопасности

Один из самых важных средств обеспечения безопасности — сами сотрудники предприятия, но только если они обучены соблюдению политик безопасности и идентификации потенциальных проблем безопасности. Многие сотрудники не понимают значение различных политик безопасности и их реализаций. Они полагают, что политики не приносят ничего, кроме неудобств. Для получения поддержки и лояльности сотрудников потребуется время, но это время будет потрачено с пользой.

Начните с подробного объяснения причин, по которым вводятся те или иные процессы безопасности. Одной из причин может быть обеспечение продуктивности сотрудников, но, прежде всего, сфокусируйте внимание на потенциальных проблемах безопасности. При несогласованном скачивании и установке ПО можно установить злонамеренное ПО, которое может заразить системы пользователей, из-за чего компьютеры будут работать медленно или вообще не будут работать.

Хотя большинство сотрудников понимает, что открытие вложений электронной почты, которые не ожидались или пришли от неизвестных отправителей, может привести к заражению злонамеренным ПО, большинство не знает об изощренных возможностях современного злонамеренного кода. «Постоянная продвинутая угроза» (Advanced Persistent Threat), то есть возможность заражения системы, несмотря на пунктуальное использование антивирусных программ, стала существенной проблемой. Теперь сотрудники должны понимать, что неразборчивое посещение веб-сайтов, может привести к «попутной» установке злонамеренного ПО.

Наверное, самый прямой путь к получению поддержки пользователей — довести до их сведения, что для реакции на атаки и исправления проблем, возникающих из-за пользователей, требуются деньги, в результате чего не хватает средств на повышение зарплат и карьерный рост. Сообщить сотрудникам, что они тоже «участвуют своими деньгами» — один из способов вовлечь их в обеспечение безопасности.

Если на решение проблем безопасности выделены средства и с помощью сотрудников удалось уложиться в бюджет, то разницу между выделенными и потраченными средствами можно поделить между сотрудниками, выплатив им премию. Тогда сотрудники не только будут с большей вероятностью сообщать о замедлении работы сети или системы, но и, наверно, даже следить за тем, чтобы по офису не ходили незнакомые люди.

Еще один механизм приобретения союзников в деле обеспечения безопасности — давать рекомендации относительно того, какие механизмы следует использовать для защиты домашних компьютеров. Хотя некоторые из них, возможно, не приносят компании доход, имейте в виду, что многие сотрудники хранят корпоративные данные на своих домашних компьютерах. Эти рекомендации можно давать в виде презентаций или новостной рассылки.

Цель всей этой деятельности — стимулировать сотрудников добровольно обращаться к руководству или группе обеспечения безопасности. Если это происходит регулярно, значит, вам удалось расширить возможности группы обеспечения безопасности и сделать свою организацию гораздо более защищенной.

Джон Вакка (John Vacca) — консультант по информационным технологиям, профессиональный писатель, редактор, обозреватель и автор бестселлеров международного масштаба, проживающий в Померое, штат Огайо. Автор более 50 книг, посвященных тонкостям хранения данных, компьютерной безопасности и аэрокосмическим технологиям. Вакка также является специалистом по управлению конфигурациями, специалистом по компьютерам и был ответственным за компьютерную безопасность (computer security official, CSO) в программе космических станций NASA (Freedom) и International Space Station Program с 1988 г. до своего увольнения из NASA в 1995 г.

Дополнительную информацию об этой и других книгах Elsevier см. на сайте Elsevier Science & Technology books.