Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Анализ угроз

У нас сегодня интересный день — нам предстоит очень долго и много думать.

В первую очередь, давайте подумаем, откуда может произойти вторжение в личную жизнь вашей компании, от каких преступников нужно ее защищать (хулиган, преступник, организованная группа, шпион), что именно нужно защищать в первую очередь (какую информацию, какие помещения).

Зачем это нужно? Поверьте — это нужно. В дальнейшем это поможет вам существенно сократить время на развертывание полноценной защиты периметра, а также убережет вас от глупых ошибок, создания дыр в защите и траты лишних денег.

После того, как все возможные угрозы перечислены, необходимо вычислить весовые коэффициенты опасности источников угроз. То есть, определить наиболее опасные угрозы, а также те угрозы, вероятность возникновения которых для вашей организации очень мала.

Для каждой организации коэффициенты угроз могут быть свои. В первую очередь это зависит от того, чем именно занимается организация. Обладает ли она какими-либо правительственными секретами, ценными материалами, работает ли с ценными бумагами. Поэтому выставлять рейтинг найденным угрозам вам придется самостоятельно.

Выставление рейтинга угрозам позволит нам определить те из них, защита от которых является наиболее актуальной нашей задачей.

Саботаж и ограбления

• Почему то, администраторы систем защищают сеть корпорации только от вирусов и хакеров. Совершенно забывая, что огромный ущерб корпорации могут нанести и ее же сотрудники. Причем, не только по неосторожности, но и умышленно. Подумайте о том, как исключить или хотя бы минимизировать риск от нерадивых, обиженных или подкупленных сотрудников.
• Любая информация является товаром. И поверьте, у сотрудников много такой информации, раскрытие которой может навредить компании. И ваша задача — запретить сотрудникам возможность получения доступа к информации, которая им не предназначена. А также запретить возможность распространения информации дальше стен организации.
• В наше время, когда флэшки и другие носители информации имеют ничтожно малые размеры, каждый сотрудник может пронести через пост охраны архив всех секретов компании. И ваша задача — помешать ему сделать это.
• Также не забывайте, что сотрудник — это не только потенциальная угроза компрометации важной информации. Это еще и троянский конь, который может впустить на территорию предприятия злоумышленников.
• Сотрудники организации — это не только потенциальные пособники преступников. Это еще и возможные объекты шантажа и преследования. Так что следует подумать о том, как защитить их от возможных проблем, и по каким признаком, в случае чего, определить, что ваши сотрудники действуют не по своей воле.
• Следует защищаться не только от того, что связано с компьютерами. Порой не менее опасным является факт прослушивания — установка всевозможных жучков, несанкционированная установка камер и т.п.
• Защитные мероприятия должны решать следующие задачи (помимо предотвращения вторжений): сдерживание и запугивание, обнаружение нарушителя или факта вторжения, увеличение времени, в течение которого нарушитель сможет выполнить свое грязное дело, задержание нарушителя. Именно для этих целей, а не для целей предотвращения вторжения, применяются ограждения, сигнализации, решетки, системы дверей.
• Представьте себя в роли преступника, и подумайте, как именно можно пробраться в здание, какие маршруты использовать для того, чтобы попасть в особо важные помещения, как потом выбираться наружу.

Вредоносные программы

И, конечно, не стоит забывать об Интернете. Контроль — вот то слово, которое должно сопровождать каждое действие сотрудника в Интернете. Никаких беспорядочных блужданий по Сети. Только возможность посещения тех страниц, которые нужны сотруднику для работы. Беспорядочные блуждания по сети сравнимы с беспорядочными интимными отношениями — рано или поздно, но это приведет к непоправимому.

Все виды угроз

• Не забывайте о посте охраны. Здание организации — это не базарная площадь. Доступ к зданию для посторонних должен быть запрещен. Лучше всего, если на входе будет стоять охранник, разрешающий вход в здание только по пропускам. Старушка-консьержка в качестве охранника не подойдет.
• Подумайте, откуда может произойти вторжение, и как можно это предотвратить. У копании есть WiFi-сети? Сотрудники могут приносить и подключать к сети свои или корпоративные ноутбуки? Может ли кто-нибудь незаметно проникнуть в здание предприятия сквозь окна, двери, крышу, подвал?
• Используя для организации беспроводной сети точку доступа с большим радиусом действия, вы должны понимать, что злоумышленник сможет подключиться и провести атаку на вашу сеть, даже не будучи на территории вашего предприятия. Особенно следует опасаться строений, которые стоят рядом с вашей компанией, и за которыми сможет укрыться злоумышленник. Также следует остерегаться транспорта, который останавливается рядом с вашей компанией. Ведь злоумышленник может действовать и под прикрытием своего автомобиля.
• В наш век миниатюризации и высоких технологий любой сотрудник может подключить к своему компьютеру USB-модем, телефон с GPRS или что-то подобное. И тем самым получить доступ к Интернету в обход наложенных вами правил и ограничений. Не забывайте об этом, и убедитесь, что настройки компьютеров в сети не позволят сотрудникам это сделать.
• В последнее время возникла довольно интересная тенденция. Хакеры стали использовать в своих целях программы и комплексы, которые устанавливают администраторы в сети для облегчения своей жизни. Поэтому подумайте, не смогут ли хакеры воспользоваться против вас же той программой удаленного администрирования, которую вы установили накануне?
• Существует четыре вида действий над информацией, которые могут нанести вред компании: сбор, модификация, утечка, уничтожение. Вы точно защитили важную информацию своей компании от всех этих действий?
• Не всю информацию нужно защищать в одинаковой мере. Следует разделять информацию, которая составляет коммерческую тайну, просто ценные ресурсы, и ненужную информацию.
• Разрабатывая план взлома и побега не стоит зацикливаться только на «земном». Посмотрите на небо, или чуточку ближе. Например, на систему вентиляции, ложные потолки для прокладки кабеля, и т.п. Быть может, злоумышленник сможет воспользоваться ими для того, чтобы пробраться в/из здания?
• Разрабатывая систему безопасности, также следует учитывать и возможные стихийные бедствия. В том числе, должны учитываться климатические, сейсмологические условия той местности, в которой вы находитесь. Вероятность сильных ветров, тумана, большого количество снега, больших морозов.

Основные правила безопасности для администратора

После того, как приоритеты информационной безопасности определены, давайте подойдем к зеркалу, и подумаем, что можем сделать мы, как администраторы, чтобы свести угрозы безопасности к минимуму.

Спам

• Хорошая защита от спама в корпоративной системе — удаление всех писем, в заголовке которых нет определенного ключевого слова. Главное, чтобы ваши заказчики и партнеры знали о такой защите.

  Было бы вообще прекрасно, если бы после удаления письма отправителю сообщения посылалось уведомление о том, что он не указал ключевое слово в теме письма. Тогда забывчивые партнеры смогут повторно отправить вам письмо, а вот спам-роботы этого сделать не смогут. Особенно если учесть, что в спамовых письмах часто указываются несуществующие адреса отправителей.

• Желательно для чтения почты использовать почтовый клиент, который не отображает автоматически картинки, ссылки на которые указаны в письме. Дело в том, что спамеры очень часто добавляют к письму какую-либо картинку размером в один пиксель. Делают они это по тем же причинам, что и возможность «отписаться от рассылки» — чтобы проверить, читаете ли вы почту. Если почтовый клиент обратится к веб-серверу спамера за картинкой, значит читаете.

  Например, почтовый клиент The Bat! картинки по умолчанию не скачивает и не отображает. Сначала он отображает перед вами сообщение со списком всех картинок в письме, и вы сами можете выбрать, какие картинки нужно скачать и отобразить, а какие скачивать не стоит.

• Если вы дорожите своей безопасностью, тогда лучше всего установить в настройках вашего почтового клиента, чтобы он все пришедшие письма открывал в режиме простого текста. То есть, чтобы не использовал HTML для отображения HTML-писем.

  Например, в почтовом клиенте The Bat! для этого нужно отобразить диалог НАСТРОЙКА THE BAT! (меню СВОЙСТВА/НАСТРОЙКА), и в разделе РЕДАКТОР И ПРОСМОТР ПИСЕМ выбрать пункт ТОЛЬКО ТЕКСТ в раскрывающемся списке ПРИ ПРОСМОТРЕ HTML-ПИСЕМ ИСПОЛЬЗОВАТЬ.

Вредоносные программы и хакеры

• Если это не требуется нуждами компании, не разрешайте сотрудникам открывать вложения, которые приходят вместе с электронными письмами. Например, KIS и другие антивирусные программы позволяют указать форматы вложений, которые будут автоматически удаляться из электронной почты.

  Главное — предупредите сотрудников о том, что вложения удаляются. Если они узнают это не от вас, их отношение к вам будет не особо ласковым.

• Надеюсь, вы поступили так, как я советовал (см. глава 3, раздел «Если компьютер уже заражен») — включили отображение всех скрытых файлов, а также отображение всех расширений файлов. В таком случае предупредите сотрудников, чтобы они никогда не открывали вложения, которые имеют двойные расширения. Например, вложение с именем privet.jpg.exe.
• Даже если у вас дорогой Интернет, старайтесь держать вирусные базы данных вашей антивирусной программы в свежести.
• Всегда устанавливайте новые обновления для операционной системы Windows, программ пакета Microsoft Office, и других установленных у вас программ.
• Если у вас есть права администратора на компьютере, тогда лучше всего завести себе учетную запись обычного пользователя и работать из под нее. И только при необходимости выполнить что-либо административное использовать учетную запись с правами администратора… конечно, если вы не хотите использовать механизм UAC.
• Лучше всего, если компьютер, который используется для доступа к Интернету, будет только этим и заниматься. Нужно удалить или отключить все лишние службы на этом компьютере, удалить все лишние программы. Только Интернет и «защитные» программы, и ничего более. В таком случае у сетевых червей и хакеров будет меньше шансов прорваться в сеть вашего предприятия через уязвимости в каком-либо программном обеспечении или стандартных службах Windows.

Саботаж и ошибки сотрудников

Если вы являетесь одним администратором в компании — это должно значить буквально то, что на компьютерах сети должна быть только одна административная учетная запись. Ваша. И только вы должны иметь к ней доступ. Остальные сотрудники должны иметь права пользователя.

Для Windows Vista это не актуально, но для Windows XP повторюсь — никогда не предоставляйте своим сотрудникам даже права опытных пользователей (добавление их учетных записей в группу ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ). Так как пользователь с правами опытного пользователя может за считанные минуты получить права локального администратора без помощи каких-либо дополнительных программ. На многих системах для этого достаточно лишь иметь доступ на запись к каталогу %PROGRAMFILES%.

Если это возможно, следует ввести в организации систему уровней доступа. То есть, разграничить информацию на секретную, очень секретную, не очень секретную. И разрешать сотрудникам доступ только к той информации, которая им действительно нужна для работы.

Никогда не забывайте о шифровании важной информации с помощью криптостойких алгоритмов и длинных ключей. Если информация зашифрована, то даже после кражи риск ее компрометации остается достаточно низким.

Все виды угроз

• В самую первую очередь — архивация. Ежедневная архивация всех важных данных. Даже если эти данные находятся на системе с организованным массивом RAID. Не стоит питать иллюзий о том, что RAID сможет спасти от вирусов или других причин уничтожения важных данных.
• Не разрешайте сотрудникам устанавливать программы. Это должно быть привилегией администратора. У вас, как у администратора, должен быть образ чистой операционной системы с уже установленными программами, которые используются в офисе. И в случае различных неприятностей вам будет достаточно просто развернуть данный образ на проблемном компьютере. 10-30 минут — и компьютер полностью готов к работе.
• Если в подопечной вам сети более 20-30 компьютеров, тогда, в конце-то концов, разверните в ней домен Active Directory. Хватит отлаживать это на более и более поздний срок. Домен Active Directory поможет упростить контроль над всеми компьютерами сети. А постоянный контроль — залог постоянной защиты.
• Не стоит устанавливать на компьютеры сотрудников программы, которые не нужны им по роду их деятельности. То же касается и всевозможных служб.
• Надеюсь, вы понимаете, что только один компьютер в сети должен иметь выход в Интернет? А остальные должны получать доступ к Интернету через него. Это правило — еще один залог постоянной защиты вашей сети. Контролировать одну большую дыру на одном компьютере куда как легче, чем множество больших дыр на компьютерах сети. Да и заткнуть одну дыру, в крайнем случае, будет куда как проще.
• Не забывайте о паролях. Ваш пароль администратора должен быть максимально сложным — это без вопросов. Но то же касается и паролей обычных сотрудников. Пускай они будут не такими сложными, но, тем не менее, они должны состоять более чем из 15 (ну хорошо, хорошо, хотя бы более 8) символов, среди которых должны быть прописные и строчные буквы, цифры, и другие символы.
• Если в вашей сети используется файловый сервер, файлы на который могут добавлять и обычные сотрудники, тогда необходимость в общих ресурсах на компьютерах сети отпадает. Желательно запретить создание таких ресурсов — данные между компьютерами сети можно будет передавать и через файловый сервер. Тогда вредоносные программы, способные распространяться по сети с помощью расшаренных ресурсов, не смогут этого сделать.
• Если запретить ресурсы общего доступа нельзя, тогда не забывайте о паролях. Каждый ресурс общего доступа должен быть под паролем. Пускай даже самым простым — главное, что его не знает вредоносная программа. В этом случае следует лишь подумать, как запретить возможность сохранения пароля, которую предоставляет операционная система Windows.
• Еще один плюс централизованного хранения файлов на файловом сервере — возможность контролировать, какие именно файлы добавляет тот или иной сотрудник. Благодаря этому в сети может сократиться количество «развлекательных» и «ненужных» файлов. Ведь сотруднику придется закачать такие файлы на файловый сервер, чтобы другие сотрудники смогли их оттуда скачать. А это значит, что есть риск, что такие файлы сможете увидеть и вы.
• Не имеет смысла вести лог-файлы (настройка аудита) со сведениями о том, что именно делал каждый сотрудник на своем компьютере. Так уж и быть — компьютер сотрудника, это его маленький мир. Но никогда не забывайте об аудите работы серверов. Давайте опять возьмем в качестве примера файловый сервер. Если сотрудникам разрешено размещать, скачивать и удалять файлы с него, тогда должен вестись лог-файл, содержащий сведения о том, какой компьютер и когда загрузил файл на сервер, удалил файл с сервера, скачал его.

Продолжение следует