Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
Часть V. Приложения 699
Приложение А. ПОРТЫ 701
Приложение Б. ЧЕТЫРНАДЦАТЬ САМЫХ ОПАСНЫХ ИЗЪЯНОВ 707
Приложение В. "АНАТОМИЯ"
ХАКИНГА
709
Предметный указатель
711
Содержание
11
Посвящается Мелинде и Эван, любовь и терпение которых позволяет мне всегда быть
счастливым. Спасибо моей семье, поскольку без нее я не стал бы тем, кто я есть.
— Стюарт Мак-Клар (Stuart McClure)
Как всегда, посвящается моей семье, благодаря которой мне удалось пережить еще
одну череду бесконечных бессонных ночей работы над этой книгой.
—
Джоел
Скембрей (Joel Scambray)
Эта книга посвящается моей любящей жене Анне и моему маленькому сыну Алексу, ко-
торые воодушевили меня и обеспечили большую поддержку. Спасибо моей матери за ее по-
мощь в моем становлении, а также за то, что она научила меня бороться с трудностями.
— Джордж Курц (George
Kurtz)
Об авторах
Стюарт
Мак-Клар
Стюарт Мак-Клар (Stuart McClure) является соавтором книги Секреты хакеров. Безо-
пасность
Windows
2000 — готовые решения, вышедшей в Издательском доме
"Вильяме".
Он имеет более чем десятилетний опыт работы в области информационных технологий
и
обеспечения
безопасности. Последние три года Стюарт выступает в качестве соавтора
рубрики Security
Watch
журнала
InfoWorld
(http:
//www.infoworld.com/security),
где
еженедельно рассматриваются общие вопросы обеспечения безопасности, средства
взлома и известные изъяны. Это позволяет ему общаться более чем с 400 000 читателей.
До начала своей работы в компании
Foundstone
Стюарт Мак-Клар был старшим ме-
неджером группы специалистов по обеспечению безопасности компании Ernst & Young и
занимался управлением проектов, обзорами известных атак и вторжений, а также оценкой
существующих
информационных технологий. До работы в компании Ernst & Young Стю-
арт работал аналитиком по вопросам безопасности в центре тестирования журнала In-
foWorld, где было протестировано почти 100 сетей и средств защиты брандмауэров, а также
разработок в области аудита, выявления вторжений и технологий шифрования по откры-
тому ключу. До сотрудничества с журналом InfoWorld Стюарт более шести лет работал в
отделах корпоративных, учебных и правительственных организаций в качестве менеджера
по информационным технологиям и занимался администрированием и защитой сетей
Novell, NT, Solaris,
AIX,
AS/400.
Стюарт
Мак-Клар
имеет степень бакалавра университета Колорадо и обладает мно-
гочисленными сертификатами, в том числе инженера по сетевым программным средст-
вам компании Novell (CNE — Certified NetWare Engineer). Он сертифицированный спе-
циалист в области безопасности информационных
систем
(CISSP — Certified Information
Systems Security
Professional),
а также CCSE (Certified Checkpoint Security
Engineer).
Джоел
Скембрей
Джоел Скембрей (Joel Scambray) также является одним из соавторов книги Секреты
хакеров. Безопасность Windows 2000 — готовые решения, которая уже вышла в Издатель-
ском доме "Вильяме". Она значительно расширяет область применения идей, описан-
ных в других книгах этой серии. Излагаемые Джоелом подходы базируются на навыках,
которые он получил, оказывая консалтинговые услуги в области защиты информацион-
ных систем самым разнообразным клиентам, начиная с членов группы Fortune 50 и за-
канчивая начинающими компаниями. В процессе этой деятельности он получил всесто-
ронние и глубокие знания, связанные с многочисленными технологиями защиты, а
также проанализировал и разработал архитектуру систем защиты для различных прило-
жений и продуктов. Джоел Скембрей обсуждает вопросы защиты Windows 2000 со мно-
гими организациями, в том числе институтом CSE (Computer Security Institute), учебным
центром
MIS,
ассоциациями
ISSA,
SANS, ISACA (аудиторов информационных систем)
и многими крупными корпорациями. Кроме того, в компании Foundstone он ведет курс
Ultimate
Hacking Windows. В настоящее время Джоел является управляющим директором
компании Foundstone, Inc.
(http://www.foundstoune.com).
Раньше он работал менед-
жером в компании Ernst & Young, аналитиком центра тестирования журнала InfoWorld, a
также руководителем отдела информационных технологий крупной компании по тор-
говле недвижимостью. Джоел Скембрей получил образование в Калифорнийском уни-
верситете в Лос-Анджелесе, а также обладает сертификатом CISSP.
Джордж Курц
Джордж Курц (George Kurtz) является главным администратором компании
Foundstoune
(http://www.foundstoune.com),
занимающей ключевые позиции в об-
ласти разработки решений для обеспечения безопасности сетей. Джордж — эксперт
международного масштаба по вопросам безопасности, который в течение своей про-
фессиональной карьеры выполнил тестирование сотен брандмауэров, сетей и систем
электронной почты. Он имеет большой опыт выявления вторжений, использования
брандмауэров, разработки процедур принятия контрмер и обеспечения удаленного
доступа. Как главный администратор компании
Foundstone
и один из ее создателей,
Джордж Курц прекрасно сочетает деловую проницательность с глубокими профессио-
нальными знаниями. Именно эти качества и необходимы для выбора правильного
стратегического направления развития его компании. Кроме того, опыт Джорджа по-
зволяет помочь клиентам разобраться, как влияет обеспечение безопасности на ус-
пешность их коммерческой деятельности. Предпринимательский дух Джорджа Курца
является одной из главных предпосылок того, что компания Foundstone занимает
ключевые позиции в области решений проблем защиты.
Джордж является соавтором книги
Секреты
хакеров. Безопасность Linux — готовые ре-
шения (Издательский дом "Вильяме"). Он часто выступает на многочисленных конферен-
циях и публикуется в самых разнообразных печатных изданиях, включая The Wall Street
Journal,
Info
World,
USE
Today
и
Associated
Press.
Его
регулярно
приглашают
комментировать
события в области нарушения безопасности. Кроме того, Джорджа можно видеть на раз-
личных телевизионных каналах, в том числе CNN, CNBC, NBC и ABC.
О других авторах
Кристофер Абад (Christopher Abad) — инженер отдела исследований и разработки
компании Foundstone, Inc. Он обладает глубокими знаниями по криптографии, сете-
вой безопасности и разработке программного обеспечения и в настоящее время изу-
чает математику в Калифорнийском университете в Лос-Анджелесе. Кроме того,
Кристофер завершил важные исследования в области обеспечения безопасности,
включая новаторскую работу по пассивному изучению сети, и участвовал в многочис-
ленных презентациях по этому вопросу на многих конференциях.
Стефан
Варне
(Stephan Barnes) — вице-президент компании Foundstone. До работы
в компании Foundstone Стефан был старшим менеджером по разработке решений в
обдасти электронной коммерции компании Ernst & Young и группы Computer Risk
Management Артура Андерсена (Arthur Andersen). Кроме того, в течение нескольких
лет он исследовал средства автопрозвона, возможность использования для проникно-
вения в сеть удаленного доступа и голосовых систем. Все эти вопросы чрезвычайно
важны при оценке защищенности современных корпораций по отношению к внеш-
нему миру. Стефан
Варне
оказывал услуги финансовым, телекоммуникационным,
страховым, производственным компаниям, а также корпорациям из сферы обслужи-
вания и высоких технологий. Стефан часто выступает на конференциях и в организа-
циях. Более двадцати лет он пользуется псевдонимом M4phrll. Web-узел Стефана
Барнса можно найти
по
адресу
http:
//www.m4phrll.
com.
Маршалл Бедой (Marshall Beddoe) является инженером отдела исследований и разра-
ботки компании Foundstone, Inc. Он занимается вопросами пассивного исследования
сетей, выявления
промискуитетного
режима прослушивания, проблемами системы
FreeBSD, а также новыми приемами и средствами взлома. Маршалл подготовил и пред-
ставил курс лекций по современным методам проникновения в сети. Этот курс он чита-
ет в учреждениях военного ведомства США и различных компаниях Fortune 500.
Эрик Пейс
Биркгольц
(Erik Pace Birkholz,
CISSP,
MSCE) — главный консультант
компании Foundstone. Он специализируется на разработке архитектуры, применяемой
для тестирования средств взлома. Кроме того, Эрик занимается курсами Ultimate
Hacking: Hands On и Ultimate NT/2000 Security: Hands On. До начала сотрудничества с
компанией Foundstone Эрик был экспертом консалтинговой группы компании Inter-
net Security System. До этого он работал в группе обеспечения безопасности электрон-
ной коммерции компании Ernst & Young, где он являлся также членом группы Na-
tional Attack and Penetration и инструктором по курсу Extreme Hacking. В течение двух
лет Эрик работал также аналитиком-исследователем в ассоциации NSCA и в настоя-
щее время участвует в конференциях Black Hat и
TISC
(The Internet Security Confer-
ence). Он публикует статьи в журнале The Journal of the National Computer Security Asso-
ciation и Digital Battlefield компании Foundstone. Эрик принимал участие в написании
книги Секреты хакеров. Безопасность Windows 2000 — готовые решения (Издательский
дом "Вильяме"), а также второго издания данной книги.
Йен-Минг Чен (Yen-Ming Chen, CISSP, MCSE) является главным консультантом
Foundestone и консультирует клиентов компании. Он имеет более чем четырехлетний
опыт администрирования UNIX и серверов Internet. Йен-Минг обладает глубокими
знаниями в области беспроводных сетей, криптографии, выявления вторжений и жи-
вучести сетей. Его статьи опубликованы в
SysAdmin,
UnixReview
и других специализи-
рованных журналах. Раньше Йен-Минг работал в
CyberSecurity
Center и участвовал в
разработке системы выявления вторжений, основанной на использовании агентов. Он
принимал активное участие в проекте по созданию утилиты snort. Йен-Минг имеет
степень бакалавра математики Национального университета Тайвани и степень маги-
стра информационных сетевых технологий университета
Карнеги-Меллона.
Клинтон
Маж
(Clinton Mugge, CISSP) — главный консультант компании
Foundstone, работающий непосредственно с клиентами. Он специализируется на ана-
лизе сетей, тестировании программных продуктов и проектировании безопасной ар-
хитектуры. Он имеет более чем семилетний опыт работы в области обеспечения безо-
пасности, в том числе физической безопасности, защиты отдельных узлов, сетевых
архитектур и выявления скрытой деятельности. Он принимает участие в проектах по
разработке адекватных контрмер против вторжений и проектированию сетей совмест-
но с государственными учреждениями. До работы в компании Foundstone Клинтон
Маж служил в контрразведке армии США, а затем был сотрудником компании
Ernst & Young. Клинтон участвует в конференциях, публикует статьи в журналах и ра-
ботает техническим рецензентом форума Incident Response. Он имеет степень магистра
в области управления и степень бакалавра в области маркетинга. С Клинтоном Ма-
жем можно связаться по адресу
clinton.mugge@foundstone.com.
Дэвид
Вонг
(David Wong) является экспертом по вопросам компьютерной безопасно-
сти и работает главным консультантом в компании Foundstone. Он провел анализ за-
щищенности многочисленных программных продуктов, а также эффективность различ-
ных атак и методов проникновения. Ранее Дэвид работал на должности инженера по
программному обеспечению в большой телекоммуникационной компании, где занимал-
ся разработкой программного обеспечения для исследования и мониторинга сетей.
Мелани Вудраф (Melanie
Woodruff,
MCSE) — консультант по вопросам безопасно-
сти компании Foundstone, специализирующейся на анализе атак и методов проникно-
вения из Internet, корпоративных сетей и с использованием удаленных
соединений.,
Мелани имеет большой опыт работы с клиентами из различных финансовых, прави-
тельственных и торговых организаций. До своей работы в компании Foundestone она
была консультантом в консалтинговой компании Big Five. Мелани имеет степень ба-
калавра в области информационных систем и менеджмента университета в
г. Цинциннати штата Огайо.
О технических рецензентах
Том Ли (Tom Lee, MCSE) — менеджер по информационным технологиям компа-
нии Foundstone. В настоящее время он занимается обеспечением работоспособности и
защиты технических средств компании от взломщиков и, что еще более важно, от ее
служащих. Том имеет десятилетний опыт администрирования систем и сетей и зна-
ком с вопросами обеспечения защиты самых различных систем, начиная с Novell и
Windows NT/2000 и заканчивая Solaris, Linux и BSD. До перехода в компанию
Foundstone Том Ли работал в качестве менеджера по информационным технологиям в
Калифорнийском университете в г. Риверсайд.
Эрик
Шульц
(Eric
Schultze)
последние девять лет занимается информационными техно-
логиями и системами защиты. Его основное внимание сфокусировано на платформе ком-
пании Microsoft и ее технологиях. Эрик часто выступает на конференциях, связанных с
вопросами обеспечения безопасности, включая NetWorld+Interop,
Usenix,
Black Hat, SANS
и MIS, часто появляется на телевидении
(NBC,
CNBC), а также публикуется в таких изда-
ниях, как TIME,
ComputerWorld
и The Standard. Ранее Эрик Шульц работал в компаниях
Foundstone, Inc., Security Focus, Ernst &Young, Price
Waterhouse,
Bealls,
Inc. и Salomon Brothers.
Он был одним из авторов первого издания этой книги и в настоящее время является ме-
неджером программы обеспечения безопасности корпорации Microsoft.
Предисловие
Уяз-ви-мый
(прил.)
—
1.
Чувствительный к физическому или эмоциональ-
ному воздействию.
2. Чувствительный к атаке: "Мы уязвимы на воде и на
суше, независимо от наличия флота или армии"
(Александр Гамильтон).
3. Восприимчивый к осуждению или критике; откры-
тый для нападения. 4. Подверженный влиянию, равно
как убеждению и искушению.
При подключении к
Internet
из дома или офиса мы в любом случае сразу же становим-
ся уязвимыми. При подключении к
Internet
вы фактически становитесь членом (не важно,
по желанию или случайно) сообщества, в котором каждый является частью огромной сис-
темы, более мощной, чем сумма ее отдельных составляющих, где время и расстояние не
играют никакого значения. Взаимосвязанность посредством Internet делает всех участни-
ков этого взаимодействия чрезвычайно близкими друг к другу. Теперь ваш ближайший со-
сед — это взломщик из другой страны, который хочет нанести вред, или талантливый ре-
бенок, для развлечения рыщущий в виртуальном пространстве в поисках уязвимых мест.
Как и в любом другом сообществе, далеко не все граждане
киберпространства
чест-
ные люди. Сегодня практически в любой газете можно найти факты из жизни, связан-
ные с применением силы или скандалами. Это же касается и Internet. В высокоскорост-
ном сообществе Internet, которое характеризуется огромным количеством связей, можно
легко увидеть важные негативные явления, характеризующиеся большой скоростью.
Еще более огорчительным является тот факт, что в сообществе Internet "живут" очень
умные люди с экстраординарным талантом и уймой свободного времени, которое они
затрачивают на нанесение ущерба, а не на созидательную деятельность.
Не нужно слишком углубляться в историю Internet, чтобы увидеть быстрое развитие
средств компьютерного взлома. Мне кажется, что скорость, с которой обнаруживаются
и используются новые изъяны, гораздо выше, чем та, которая определяется законом
Мура (Moore Law). Возможно,
сообщество
обеспечения безопасности должно сформу-
лировать свой собственный закон, который гласит следующее: "В конечном счете
взломщики в Internet смогут найти и воспользоваться каждым изъяном. Чем интереснее
цель, тем быстрее это произойдет." К сожалению, большинство людей считают, что они
"не относятся" к целям, заслуживающим внимания. Это не имеет ничего общего с дей-
ствительностью. В этом может убедиться любой, кто установил брандмауэр на своем
домашнем компьютере. Мне гораздо проще перечислить все страны, из которых не
предпринимались попытки подсоединения к моему домашнему компьютеру, чем те из
них, из которых осуществлялись подобные нападения. Каждый день подобные действия
предпринимает как минимум дюжина "любителей", которые хотят узнать, будет ли мой
компьютер "общаться" с ними через хорошо известного "троянского коня" или уязви-
мые приложения. Почему это происходит изо дня в день? Все объясняется очень про-
сто: они слишком часто находили и взламывали уязвимые компьютеры.
Имеющиеся на сегодня средства взлома созданы относительно небольшой группой
квалифицированных специалистов. В настоящее время благодаря наличию готовых
средств, требующих лишь щелчка мышью, которые достаточно загрузить и запустить,
скомпилировать и выполнить, в руки любого новичка попадает разрушительное оружие.
Не так давно обсуждалось применение утилиты ping в качестве основного метода для соз-
дания условия DoS. А сразу же после этого подобные приемы начали стремительно разви-
ваться и привели к возможности осуществления распределенной атаки DoS на компьюте-
ры UNIX. Затем эти приемы были быстро адаптированы для использования на другой
платформе, которая оказалась еще более уязвимой, — платформе Windows, используемой
тысячами пользователей. Прекрасным примером все ускоряющегося развития методов
взлома является вирусы-черви, которые распространяют "троянских коней" без вмеша-
тельства человека. С осени 2000 до лета
2001
года появились вирусы Bymer,
Ramen
Linux,
Lion,
SADMIND,
Leave и Code Red. Вирус Code Red является, по-видимому, наиболее
"дорогостоящей" автоматизированной атакой. Нанесенный им вред и средства, затрачен-
ные на борьбу с ним, оцениваются в несколько миллиардов долларов. Возможность осу-
ществления подобного
"хакинга
на автопилоте" оказывается чрезвычайно важной и значи-
тельно повышает шансы взломщиков достигнуть успеха. Другие приемы, реализованные в
вирусах-червях, характеризуются одной общей особенностью: от связанных с ними изъя-
нов можно защититься и, следовательно, избежать нанесения ущерба. Все подобные изъя-
ны, а также соответствующие контрмеры описываются в данной книге.
Безопасность и современный рынок
В деловом мире существует достаточно жесткая конкуренция, и безопасность в
большей мере следует рассматривать не столько с точки зрения обеспечения доступ-
ности служб, а как средство рыночного регулирования. Формирование такой тенден-
ции и инциденты в области обеспечения безопасности существенно влияют на курс
акций, а также на развитие внешних корпоративных связей. Очевидно, что угроза
атак из Internet будет повышаться, а различные компании по-прежнему будут про-
должать использовать каналы Internet для осуществления части или всех своих
бизнес-транзакций. Несмотря на все повышающуюся опасность атак в Internet, кор-
порации продолжают расширять сферу своего присутствия в сети. Почему это проис-
ходит? Из-за того, что Internet жизненно важна для бизнеса. Следовательно, все ком-
пании должны быть защищены и готовы к тому вниманию, которое, возможно, про-
явят к ним злоумышленники со злонамеренными целями. Разнообразные риски,
связанные с ведением бизнеса в Internet, еще более повышают важность поддержки
репутации компании. Ухудшение репутации из-за нарушения безопасности является
одним из самых быстрых путей потери клиентов и торговых партнеров. Нарушение
безопасности, приведшее к разглашению конфиденциальной информации, вашей или
ваших клиентов, может стать настоящей катастрофой.
Сети даже самых опытных в области обеспечения безопасности компаний все рав-
но будут содержать различные изъяны, поэтому они должны по-прежнему помнить о
необходимости снижения риска. На этом пути первым шагом является получение
знаний. И лишь после этого можно приступать к необходимым действиям и улучше-
ниям. В ваших руках оказалось одно из наиболее мощных средств, доступных в на-
стоящее время на рынке. С его помощью вы сможете получить необходимые знания.
Читайте эту книгу и используйте полученную информацию. Хотелось бы высказать
благодарность авторам этой книги. От них я на протяжении многих лет получал пре-
красные советы. Эту книгу они назвали "Книгой изъянов и контрмер". Я надеюсь,
что вы будете использовать полученную из этой книги информацию для повышения
защищенности вашей организации. С точки зрения обеспечения безопасности в бу-
дущем компаниями с хорошей репутацией будут считаться те, которые делают ставку
на талантливых людей и гибкие технологии. Это позволит им успешно бороться с по-
стоянно изменяющимися подходами взломщиков и постоянно улучшать свою систему
защиты. Те компании, которые не последуют этому примеру, почти наверняка попа-
дут на первую страницу журнала The Wall Street Journal. А это далеко не лучший путь.
Пит
Марфи
(Pete Murphy), 8/4/2001
Вице-президент по вопросам безопасности, отдел компьютерной безопасности и опе-
ративного реагирования Банка Америки
18
Предисловие
Питер Ф. Марфи (Peter F. Murphy) отвечает за работу группы борьбы с хакерами
(Vulnerability and Response Management) Банка Америки. В состав этого подразделения
входят группа оперативного реагирования Банка Америки (BACIRT — Bank of Amer-
ica Computer Incident Response Team), выявления вторжений, оценки состояния под-
системы защиты, управления в кризисных
ситуациях,
судебных расследований, ре-
гиональные центры восстановления рабочего пространства, а также группа тестирова-
ния и планирования непредвиденных ситуаций в компьютерной сети.
Пит имеет семнадцатилетний опыт разработки систем, технологий аудита и обес-
печения безопасности информации в банковской и финансовой сферах. Пит является
членом ассоциации
ISACA
(Information Systems Audit and Control Association). Кроме
того, он имеет сертификат аудитора информационных систем (CISA — Certified In-
formation Systems Audit) и принимает участие в работе группы Vulnerability Assessment,
являющейся
составной частью президентской комиссии
CIP
(Critical Infrastructure
Protection), а также группы обмена информацией по вопросам сетевой безопасности
(NSIE — Network Security Information Exchange), входящей в состав Национального
президентского консультативного совета по вопросам безопасности телекоммуника-
ций (NSTAC — National Security Telecommunications Advisory Council).
Комментарий к современному состоянию
сетевой безопасности
от компании Cisco Systems, Inc.
Билл был сильно разочарован результатами анализа своей деятельности и тщательно
продумал свою месть. Его работодатель,
GREATNETgames.
com,
быстроразвивающаяся
компания, у которой не оказалось времени внимательно продумать вопросы безопасно-
сти. Очень немногочисленный и слишком перегруженный персонал при проектирова-
нии сети не разработал всестороннего плана обеспечения безопасности. В сети
GREATNETgames.
com для соединения с глобальной сетью используется пограничный
маршрутизатор. Однако его возможности по обеспечению
защиты
совсем не задейство-
ваны. Внутренняя сеть оптимизирована для удобства, а не для безопасности. На сетевом
сервере не применяется единая схема шифрования паролями, которая необходима для
строгой аутентификации. Специалисты по информационным технологиям установили
брандмауэр для защиты внутренней сети, но не общедоступного Web-сервера. Посколь-
ку сеть GREATNETgames . com наверняка уязвима для любого взломщика, то что говорить
о "своем" хорошо осведомленном человеке. И Билл приступает к работе.
После простого сканирования сети в распоряжении Билла оказалась ясная картина
ее изъянов. Он исследовал домен NT, используемый финансовой службой, компьюте-
ры отдела исследований и учета кадров, а также обнаружил несколько несложных па-
ролей, большинство из которых запомнил. С помощью стандартных учетных записей
Билл разместил "троянских коней", которые будут предоставлять ему все возможно-
сти удаленного управления, а также установил сетевой анализатор для сканирования
почтовых сообщений. Это позволит быть в курсе обсуждения его атак. Кроме того, он
реализовал несколько "бомб" замедленного действия, которые автоматически срабо-
тают через определенное время. После успешного завершения всех действий Билл
приступает к поиску данных о торговых операциях. И это только начало...
В течение последних двадцати лет компьютерная индустрия совершила порази-
тельный переход от закрытых сетей, основанных на использовании мэйнфреймов, к
открытым сетям с доступом в Internet. В настоящее время компании участвуют в
Предисловие
19
электронной коммерции, чтобы оставаться конкурентоспособными, и могут быстро
подключаться к своим многочисленным партнерам, обеспечивая возможность взаимо-
действия с удаленными служащими. И это происходит на фоне многих других нов-
шеств. Однако наряду с преимуществами использования Internet повышается также
риск деловой деятельности, и компании должны быть к этому готовы. При
"открытии" сети сразу же возрастает и риск. Как продемонстрировано в приведенном
выше сценарии, невнимательное отношение к вопросам защиты может предоставить
много потенциальных возможностей искусным взломщикам.
Вне всякого сомнения, червь Code Red, вирус Melissa и другие широко известные
средства создания атак DoS должны привлекать пристальное внимание специалистов
по информационным технологиям и бизнесу. Очевидно, что даже самые могущест-
венные компании оказываются уязвимыми. Зачастую именно они выбираются в каче-
стве цели. Опасность
хакинга
становится все более серьезной, а его результаты все
более разрушительными. Не стоит раздумывать о целесообразности защиты информа-
ции при построении сети и развертывании новых приложений.
Государственное регулирование также начинает играть все более существенную роль.
Организации должны учитывать новые законы и защищать свою ценную информацию.
Вряд ли радостным окажется звонок из юридического отдела, когда руководители ком-
пании захотят разобраться в том, как взломщику удалось воспользоваться вашей сетью
для нападения на другие сети. Эти "дополнительные обязательства" должны оказать
существенное влияние на увеличение вложений в сферу электронной коммерции.
Как же управлять рисками в таком изменчивом и опасном окружении, являющем-
ся следствием тех колоссальных преимуществ, которые обеспечиваются Internet? Это
ключевой вопрос. Сразу же
стоит
сказать о том, что простого ответа на этот вопрос
нет. Не существует никакой "серебряной пули". Любая компания, предоставляющая
свой продукт или службу с обещаниями решить ваши "проблемы безопасности", де-
зинформирует потенциального покупателя.
Однако построение и использование защищенной сети абсолютно необходимо, ес-
ли ваша организация хочет безопасно пользоваться всеми преимуществами Internet.
Каждая организация является уникальной и имеет свои собственные причины для
участия в электронной коммерции. Однако вполне очевидно, что стратегия обеспече-
ния безопасности должна напрямую быть связана с преследуемыми целями. Вот пять
самых важных элементов любой робастной стратегии обеспечения безопасности, каж-
дый из которых базируется на остальных. Эти элементы формируют
комплексный
план, который нужно рассматривать в логической
последовательности.
1. Политики. Имеется ли у вас четкая политика обеспечения безопасности, которая
согласуется с целями, которые нужно достигнуть с помощью электронной коммер-
ции? Распространена ли эта политика между служащими вашей организации? Без
разработанной в письменной форме политики обеспечения безопасности у вас не
будет целей, которых требуется достичь, или средства оценки связанной с этим дея-
тельности. Как можно достигнуть цели, если неизвестны пути ее достижения?
2. Планы. Какова ваша стратегия реализации принятых политик? Имеется ли в
вашем распоряжении комплексный план обеспечения безопасности сущест-
вующей сети? Естественно, к наиболее важным вопросам относится не только
перечень приложений и технологий, используемых в сети в настоящее время,
но и то, какой сеть должна стать завтра. Например, предназначена ли ваша ин-
фраструктура обеспечения безопасности для защиты и поддержки сетевых ре-
шений нового поколения, таких как IP-телефония, беспроводные сети и т.д.?
3. Продукты. Какие ключевые технологии и службы требуются для выполнения плана
и достижения поставленных целей? Как они должны
быть
развернуты, чтобы обес-
печивался требуемый уровень защиты, производительности, масштабируемости и
качества обслуживания?
Насколько
важна поддержка клиентов? На подобные во-
20 Предисловие