Семь мифов о безопасности сети

Джон Луаконо

Перевод Носко Ю.В.

Успех, как я слышал, лежит в знании разницы между тем, о чем вы должны беспокоиться и тем, чем вы можете безопасно пренебрегать.

Для начальников службы безопасности трудность состоит в том, что разница не всегда очевидна. Контрпейн, компания Силиконовой долины, которая контролирует клиентские сети на предмет угроз корпоративной информации, расследовала приблизительно 391,000 событий. Из них только 20,000 (или 5 процентов) требовало следующий шаг в форме телефонного звонка, электронного письма или другого ответа, т.е. представляло угрозу корпоративной сети.

Среди всего количества угроз много ложных. Но любой профессионал по защите корпоративной информации знает, что в этом заключается самая большая опасность для корпоративной сети – среди всего количества угроз необходимо выделить те 5 процентов, которые действительно опасны.

Это становится сложнее с каждым годом. Обязательства службы безопасности больше не ограничиваются рабочим местом. Безопасности сети угрожают также и устройства, при помощи которых можно обратиться к сети: мобильные телефоны, PDA и другие устройства. Неэффективное управление безопасностью, неправильные настройки и наличие уязвимостей становятся причиной системных простоев и снижения производительности.

Но есть и гораздо большая угроза, чем просто угроза корпоративной сети – это возможность влияние на жизнь и здоровье людей. При проникновении червя Slammer сквозь системы мониторинга атомной электростанции Davis-Besse, Огайо в январе 2004, потенциальная угроза была огромна – миллионы человеческий жизней были под угрозой.

При всем при этом неужели мы ведем проигрышное сражение? Неизбежно то, что настоящая безопасность сети практически недостижима.

Это действительно так. И чтобы уберечь свою сеть от полного уничтожения нам следует распрощаться с некоторыми популярными мифами, которые мы привыкли считать истиной. Следующие семь мифов наиболее опасные в моем личном списке.

1. "Безопасность периметра - это самая главная линия защиты."

Речь идет о firewall, правильно? Мнение ошибочно, т.к. при всей необходимости защищать периметр, это не единственный источник опасности. Также большую опасность представляют: недостаточный контроль внешних соединений, слабые контроль доступа, процедура аутентификации и системы обнаружения вторжений. Защита периметра необходима, но это не единственный способ обезопасить свою сеть.

2. "Наши системы и так достаточно хорошо сконфигурированы для безопасного доступа."

Даже люди с большим опытом работы в службе информационной безопасности могут совершать ошибки. В случае атомной электростанции червь проник в корпоративную сеть по телефонной линии. В этом нет вины персонала, который много работал над безопасностью сети, просто по воле случая проникновение было совершено теми путями, которые считались неприспособленными для этого.

3. "Мы в курсе того, как информация попадает внутрь корпоративной сети и выходит наружу."

Корпоративные сети динамичны и очень трудны для управления. Часто считают, что сети не растут, и остаются такими, какими их спроектировали. Когда появился протокол 802.11 мы увидели серию выпусков новостей о том, как можно подключиться к корпоративной сети через парковочный лот на стоянке для автомобилей. Даже появился новый термин – военное вождение (war driving), введенный Петером Шипли, а мериканским Интернет гуру, - который обозначает последнее развлечение хакеров по осуществлению беспроводного вторжения с использованием нестандартных средств.

4. "Мы можем полностью рассчитывать на программное обеспечение."

Даже лучшие производители программного обеспечения иногда делают ошибки, которые в последствии будут стоить заказчику немало. Например, вы помните, как в 1999 НАСА утратил орбитальный спутник Марса? Причина была в некорректном программировании системы маневрирования орбитального спутника, которое заключалось в том, что программист перепутал метрические и неметрические величины. Наш мир нельзя назвать совершенным, и поэтому надо играть по правилам, которые обеспечат наибольшую безопасность. Новая продукция (в том числе Sun Microsystems’ Solaris 10) позволяет администрировать системы, создавая раздельное программное обеспечение для обеспечения связи, безопасности и изоляции дефекта. Этот вид технологии нужен для того, чтобы выделять потенциальные уязвимости.

5. "Если набрать оборудование одного или двух производителей, это обеспечит безопасность и поможет сэкономить средства."

Это самое опасное мнение. Разнородность оборудования, возможно, подразумевает больше производителей оборудования, но это также помогает обеспечить большую безопасность системы. Предпочтение какого-то одного производителя, как монокультура в земледелии, представляет большой риск для сети. Поэтому лучше не зависеть от одного производителя сетевого оборудования, а по возможности выбирать лучшее из всех доступных вариантов.

6. "Со временем потребность в регулировании уменьшается."

Регуляторные меры, которые предназначены для усиления авторизации и аутентификации не возникли после каких-либо больших скандалов таких, как в случае Enron и WorldCom, и со временем потребность в таком регулировании не уменьшится. Движение за усиление регулирования началось задолго до возникновения этих финансовых скандалов. Регулирование всегда будет идти впереди инноваций в бизнесе и развития технологии транзакций.

7. "Мы можем не бояться плохих ребят, потому что мы знаем, кто есть хорошие парни."

Идентификация и разграничение доступа действительно могут обеспечить какой-то уровень безопасности и защитить нужную информацию от тех, кому ее знать не нужно. Но выполнение этих правил должно сочетаться со знанием того, что хорошие парни могут в какой-то момент стать плохими. История знает сотни примеров того, как работник покидал компанию на хороших условиях, а потом использовал свои знания про операции компании для того, чтобы осуществить вторжение. Некоторые работники таким образом создавали своей бывшей компании плохую репутацию, выдавая СМИ ложные сведение про финансовые операции компании. Политику безопасности необходимо применять одинаково к тем, кто на хорошем счету и тем, кто находится в «плохом» списке.

Мифы, как например эти семь, представляют самую большую угрозу корпоративной безопасности, потому что они стараются приблизить нас к понятию "статической безопасности сети", которая перестает развивать при достижении определенного уровня. Но мы-то уже знаем, что настоящая безопасность – это нечто, что всегда будет находиться за пределами достижимости. Все, что мы можем сделать – это постоянно усиливать свою безопасность, никогда не останавливаясь на достигнутом.

Джон Луаконо - вице-президент департамента программного обеспечения компании Sun Microsystems.