К тексту статьи...

18Мая
image
Что и от кого мы защищаем? И для чего все-таки нужен аудит?

Что и от кого мы защищаем? И для чего все-таки нужен аудит?

Некоторое время назад меня пригласили провести аудит одной очень серьезной и многопрофильной компании, практически холдинга.
Руководитель IT-службы холдинга - взрослый, очень грамотный и очень опытный специалист с хорошим бюджетом на IT и достаточно большим штатом сотрудников.
Судя по его характеристикам, отзывам сотрудников и руководства и внедренной концепции IT-безопасности казалось, что IT-аудит в данном случае - это всего лишь желание еще больше утвердится в мысли, что "у нас все круто и безопасно". Еще одной причиной проведения IT-аудита был переезд в новый офис и желание заменить классическую телефонию на IP-телефонию. Так как акционеры и руководство компании люди довольно возрастные и тяжело воспринимающие новые тенденции в IT, да и "советчиков" рассказывающих всякие небылицы достаточное количество, то решили подстраховаться и заручится независимым мнением.
Ну что же? Засучили рукава и вперед...
По концепции IT-безопасности со своим устройством я мог подключиться только к гостевой сети, а это только выход в интернет по отдельному каналу и допуск к нескольким гостевым принтерам. Вообщем это отдельная сеть никак не связанная с сетью холдинга. Не подходит. Мне нужен доступ в сеть холдинга!
Для доступа в сеть холдинга нужен компьютер, заведенный в домен и с настроенной системой безопасности исключительно сотрудниками IT-службы холдинга. Ну хорошо, давайте.
Через день мне было подготовлено рабочее место по стандарту холдинга - в домене компании с доступом только к общим ресурсам. Из программного обеспечения - Windows, Office, архиватор, программа просмотра изображений, PDF-ридер и прочая мелочевка, которая входит в минимальный набор софта практически любой компании. На столе у меня стоял IP-телефон, подключенный в общую систему телефонии. В общем я ничем не отличался от стандартного сотрудника с минимальными правами доступа.
Нужно начинать работать, а как? Доступ к сайтам ограничен, свое программное обеспечение я поставить не могу - ограничение доменной политики. Сделано все очень грамотно!!!
Но я же знаю, что чем грамотнее руководитель IT-подразделения, там больше у него загрузка и тем меньше у него остается времени на контроль за действиями подчиненных. Максимум на что хватает времени - это подготовить подробнейшие инструкции и несколько раз на первом этапе проверить их исполнение, а дальше срабатывает "человеческий фактор"...
Вот на этот "человеческий фактор" я и сделал ставку.
Оказалось, что в компании разрешено пользоваться USB и CD-DVD-устройствами. ОПА!!!!
Я подготовил дома нужное мне программное обеспечение, пришел на работу и занялся своим "черным" делом. При включении компьютера я выбрал загрузку с DVD-устройства и загрузился в программе сброса пароля Windows. Естественно программа не дала мне сбросить пароль доменного администратора, но мне это было и не нужно, зато сбросила пароль локального администратора Windows.
Я перезапустил систему и первое что сделал - это поменял права на папку "Program Files", так как по доменной политике программы разрешалось запускать только из этой папки. Затем я создал внутри папку "MyProg", дал на нее все права и закачал в нее разнообразные программы для взлома подготовленные для запуска в portable-режиме. Перезагрузился, залогинился в домене и получил доступ ко всем своим программам. Бинго!
Дальнейшее - "дело техники". Мне не нужно было что-то ломать, подбирать пароли, запускать вирусы... Достаточно было перехватить важную информацию и указать на бреши в "идеальной" безопасности. Я запустил сниффер на неделю и затем расшифровал полученный трафик. Не буду вдаваться в подробности перехваченного, так как естественно, что я заключил договор о не разглашении, но для понимания скажу, что была пара очень интересных писем на тему финансов и несколько важных телефонных звонков. Вообщем хватило бы на очень крупные неприятности.
Отчеты я передал руководству, полученные данные уничтожил, бреши были закрыты молниеносно.
К чему весь этот текст? Основная ошибка при планировании безопасности данного объекта - это уверенность в том, что при идеально закрытом внешнем периметре не обязательно закрывать что-то внутри, так как "враг не пройдет" внутрь и ничего не сможет сделать. НО... Безопасности мало не бывает!!!
Теперь вторая часть статьи в которой я хочу порассуждать на тему - нужно ли обезопашивать себя и защищаться до параноидального уровня?
Первое, что нужно учитывать при защите информации, что любой взлом - это привлечение высококлассных дорогих специалистов и если стоимость работы таких специалистов выше стоимости вашей информации, то естественно, что привлекать их никто не будет.
Проще и дешевле получить интересующую информацию от недовольного сотрудника, чем тратить деньги на хакера.
В любом случае, защита информации - это комплекс мер, состоящий не только из аппаратной и программной защиты, но еще и из контроля за действиями сотрудников и их отношением к соблюдению безопасности. Мер для обеспечения безопасности очень много, а что из этого подойдет вам...

Читайте наш блог! Впереди еще много интересный статей!

blog
blog
blog

Обратная связь

У вас есть дополнения, пожелания, вопросы, замечания? Напишите нам и мы вам обязательно ответим!

image
Вячеслав Чермашенцев

Опыт работы с 1989 года. Начинал как программист, затем расширил горизонты в сторону системного администрирования. На счету более 100 удачно реализованных проектов.

Ваши комментарии

Оставить комментарий

*
*
*
CAPTCHA Введите слово с картинки*: