Information
- Affiliation:
- Консултант ИТ Сигурност и защита на информацията, редовен автор в CIO на тема ИТ Сигурност
- Location:
- Sofia, Bulgaria
- Phone:
- +359 886 14 69 19
Favorite Pages
Notes
3 of 13 notesSee All
- Практичната ИТ Сигурност - Част 1 12:31pm Nov 9|2 Comments
- Тигрови мерки 2:17am Jun 10|1 Comment
- “whitelisting” или най-кратката статия за информационна сигурност 8:43am May 18
Photos
1 albumSee All
xkcd comics on securityUpdated about 12 months ago
No one has added fan photos.
В досегашните статии за списание CIO се опитвах да фокусирам вниманието ви върху няколко различни проблема едновременно - явно има по-добър подход. Затова започвам серия от последователни статии посветени на практичната страна на ИТ сигурността - или по-точно на нещата които можете да приложите веднага, или да включите в план за действие.
Към публикацията в CIO.bg - http://cio.bg/2772_praktic
Обратно на разпространеното схващане, няма да започнем защитата от периметъра. Защитните стени, системите за сигурност - това трябва да е последната грижа при изграждане на всяка защита. Нашата цел е да защитим информацията, не да направим доставчиците на различни "решения" богати, нали така?
ПЪРВА СТЪПКА - ЗАЩИТА НА ПОСЛЕДНОТО ЗВЕНО
Съществуват няколко вида "последни звена" - работна станция, база данни, защитена търговска информация, защитени бизнес практики, дори потребителят може да бъде смятан като най-вътрешното звено за защита... Да започнем от работните станции - ще ви задам поредица от въпроси и ще ви предложа съответните решения - в повечето случаи, те са общовалидни, също като проблемите които решават.
1. Защитени ли са работните станции от физическа кражба?
Ако не, помислете за начини да ги защитите. Например, много бизнес лаптопи имат опция за заключване със стоманена връзка за бюрото - ако имате такава възможност, използвайте я. Охраната и служителите по сигурността трябва да спират и удостоверяват всеки, който изнася компютри от сградата. Видеонаблюдението в случая не е от голяма полза и не може да бъде превантивна мярка - няколко инфрачервени диода около лицето на човек или върху шапка правят съществуването им безсмислено. Имайте го предвид.
Задайте си въпроса: вие знаете ли начини за влизане във вашата бизнес сграда, без никой да поиска от вас удостоверение или пропуск? Ако има такива начини, елиминирайте ги. Досега, където и да съм работил не съм виждал напълно сигурна сграда - може би точно защото никой не си е задавал този въпрос или не си го е задавал правилно. Датчиците за движение трябва да са разположени под ъгъл един спрямо друг, винаги по двойки и по такъв начин, че бавното движение или заслепяване на един датчик да не е достатъчно за елиминиране на цялата система за сигурност.
2. Всяка работна станция има ли парола за BIOS, предотвратяваща стартиране с Live CD или Bootable USB?
Ако не, време е да си изработите стратегия за използване на различни BIOS пароли за всеки компютър и сървър. Можете да разработите алгоритъм за вариране на паролата според серийния номер или местоположението на компютъра - така администраторите няма да има нужда да помнят паролите, а потребителите или "нарушителите" няма да знаят логиката и няма да могат да ги познаят. Ако не смятате това за необходима стъпка, хвърлете едно око на http://www.piotrbania.com/
3. Портове: USB, FireWire, Оптичните устройства...
Aко имате пуснат FireWire порт, това е огромна дупка в сигурността - този порт позволява директен достъп до паметта, без да се взимат под внимание контролите на операционната система. Изключете FireWire още в BIOS, освен ако не е абсолютно необходим за работния процес. Същото се отнася и за USB устройствата - контролирайте поне използването им, ако не можете да ги забраните. На сайта ми - http://www.securityguy.org
Ако все пак се налага да ползвате USB памети за бизнес цели, най-доброто на което бихте могли да се спрете е Ironkey (https://www.ironkey.com/en
4. Потребителят - има ли административни права върху компютъра с който работи?
Ако отговорът е да, това е лошо. Най-доброто което можете да на направите е да присъедините всеки потребител, включително мрежовите и системни администратори, към групата Guests (предполагам използването на Microsoft Windows операционни системи в повечето компании в България), и да създадете акаунти с които могат да се извършват административни действия, но е невъзможно да бъдат използвани за Login. Ако някой има нужда да извърши административно действие на компютъра си, винаги може да ползва опцията Run As.
Изградете добри системни политики за сигурност. За Windows XP и Windows 2003, можете смело да приложите, с минимални редакции, следния архив - http://www.nsa.gov/ia/_fil
5. Антивирусните системи...
Тук може много да се дискутира. Аз лично съм „враг" на най-разпространените системи, поради факта, че добрите вируси са написани с мисълта за деактивиране на именно тези продукти, но това не значи, че не ви трябва антивирусна програма. Търсете такава, която може да прихваща браузърни сесии и да блокира достъпа до опасни сайтове още преди зареждане на зловреден код. Според мен един от най-добрите блогове за ИТ сигурност е блогът на F-Secure - http://www.f-secure.com/we
6. Откраднати носители на данни
Според http://datalossdb.org/stat
На първо място, започнете с пълно криптиране на операцинната система, препоръчвам безплатната TrueCrypt програма, същото се отнася и за другите носители на информация. Освен предотвратяване на загуба и изтичане на информация при загуба и кражба на носители, поставете се на мястото на някой проникнал в мрежата по някакъв начин и срещащ навсякъде криптирани данни, винаги с различни пароли... Опитайте с опростени, рестриктивни (непозволяващи "лавиране") политики за ИТ сигурност, а не с огромни документи описващи задълженията на служителите - просто инсталирайте на всеки компютър криптираща програма, и направете план за поетапно криптиране.
Възможно е да вълзложите на ИТ отдела да изработи скрипт, който криптира работните станции извън работно време - така ще избегнете загуба на работни часове. Добре е също така да изработите проста стратегия за пароли... вижте точка 7.
7. Паролите...
Отделете време за обучение - това е вече нещо, което е повече в областта на психологията, отколкото на ИТ. Помогнете на хората да разберат колко лесно е да се създават и запомнят трудни за отгатване пароли. Научете ги на l337 азбуката - 1 = !, 3 = e, 4 = A, @ = a, 7 = t, 0 - O, 9=g, и тн. Например... 4l!g@70r, ще значи Aligator, едното присъства в повечето bruteforce - речници, а другото - не. Първо, е забавно, второ - сигурно.
Самите системи не би трябвало да приемат пароли, по-кратки от 8 (по-добре 12) символа. Или им дайте следната идея - любимата музикална група и любимата песен образуват една дълга фраза, която в същото време е и перфектната парола - невъзможна за отгатване, лесна за запомняне. Още по-хубаво е да се използват фрази на български с латински букви... представете си само колко трудно ще е за някой от друга държава да познае такава парола...
Направете обучението забавно - използвайте фрапантни, пикантни, смешни фрази - нека хората възприемат сигурността като нещо позитивно, а не като поредната суха тренировка без смисъл.
8. Човешкият фактор
Още по-вътрешно ниво от работната станция е човешкият фактор. Битката често се води на интелектуално ниво още преди да излезе на физическо. Както във войната, така и в бизнеса - някой може да иска да открадне информация използвайки просто човешките взаимоотношения, но и без външна намеса информацията може да изтече през e-mail, chat, facebook и т.н. Най-често това става случайно, в малък процент от случаите - нарочно.
За да не се случва, отново опираме до психология на поведението - има нужда от обучение, промяна на отношението към информацията и на ценностната система на хора, които постват онлайн всичко ново и интересно, независимо дали е конфиденциално или не. Някой праща мейл "помогни на дете, изпрати на всички", след 20 минути писмото е обиколило всички служители на компанията и е излязло навън, изнасяйки със себе си списък с всички e-mail адреси ... Две години работите по нов продукт, и някой споделя за него във Facebook - давайте цветни, ярки и емоционални примери на хората си, за да ги запомнят на емоционално ниво - хората са емоционални, използвайте това. Ако вие не го използвате първи, някой друг ще го направи със сигурност.
Като крайна мярка, можете да прибегнете и до принципа на "пръчката и поничката" - наказания и поощрения, според случая. Имайте предвид, че поощренията трябва да отговарят по сила на наказанията - не може наказанието да е процент от заплатата, а поощрението фирмена химикалка или потупване по рамото.
Един въпрос който следва да си зададете: ако ваш служител намери флаш памет на улицата пред сградата, ще я включи ли веднага в компютъра си за да провери какво има вътре? Обучени ли са служителите ви за разпознаване на такива рискове?
9. 0-day атаки и защита
След всичко казано дотук, един риск остава незабелязан и в същото време изключително опасен - 0-day уязвимостите в популярен софтуер като Adobe Acrobat Reader, Microsoft Word, Microsoft Excel и т.н. - съответните компании редовно предоставят кръпки но не винаги ИТ отделът инсталира най-новите версии... ако някой прати "инфектиран" файл на нечия поща и успее да изпълни код, дори с всички досега изброени мерки информацията от ще изтече, освен ако не предприемете мерки за спиране на достъпа до Интернет отвътре навън.
Тъй като тази статия се занимава с вътрешни системи за защита намиращи се на крайното устройство - в случая работна станция, лаптоп - ще препоръчам да използвате защитна стена, блокираща достъпа на дадени програми или процеси до Интернет, освен ако потребителят изрично не го разреши. Само като пример ще дам безплатната версия на http://personalfirewall.co
И така... оставяйки настрана комерсиалните или некомерсиални продукти за защита, служителите ви наясно ли са с рисковете пред отваряне на pdf, doc, xls файлове от непознати източници? Ако не са, е крайно време да ги запознаете. Един единствен pdf прикачен файл, изпратен на секретарката на изпълнителния директор, може да ознаменува края на една компания - денят, в който всички конфиденциални данни от нейния компютър изтекат навън...
Защитени ли сте от този риск? Да... всъщност, много малко хора, не само в България - където и да е посвета, знаят как да се справят с подобни рискове. На практика, решение няма - няма продукт, който да си закупите и да решите проблема... Но има логични решения, или по-скоро последователност от действия които могат да предотвратят изтичане на информация по този начин.
Всеки код, всяка програма се изпълнява в контекста на потребителя. Можете да промените донякъде стандартното обкръжение при което потребителят изпълнява всяка команда и програма с едни и същи привилегии, добавяйки още минимум едно ниво на сложност - като някои програми, например браузъри, пощенски клиенти, могат да се изпълняват с права Guest, докато всички останали, които не могат да работят като Guest - като User, и само в изключителни случаи - като Administrator. Съществуват решения за виртуализация - виртуализация на браузъри, програми, или операционни сисетми - също така сегрегация на мрежи. Можете да използвате VPN връзка за Интернет достъп, и нормална връзка за корпоративна мрежа. Може също така да използвате VPN дори за достъп до мрежата отвътре - не мислете, че е прекалено параноично, и не е чак толкова сложно за изпълнение.
Но да се върнем отново на предишния риск - изпълнение на зловреден код от изпратен документ, получен в пощата на служител, на компютъра на който има изключително конфиденциални данни. За да предпазим данните, можем да изпълняваме например Outlook през Citrix, или още по-добре - през Windows Server 2008 - виртуализация на приложения, или хостинг на приложения. По този начин, програмата не се изпълнява на клиентския, заразен компютър, а данните не се пазят на него.
Отново искам да напомня - никое приложение, използвано от потребител, освен когато това не е изрично необходимо, не бива да се изпълнява с административни права. Но... отново, имаме проблем. Ако някой изпълни код на работната станция, той може да "прослуша" и паролите, използвани дори за хоствани, или виртуализирани приложения, и да получи достъп до тях и данните в тях. Какъв е начинът за защита? Трябва по някакъв начин да се предпазите от изтеклите вече в мрежата 0-day скриптове, независимо дали за тях има кръпки или не. Едно решение е безплатната програма, която все още е в бета версия, F-Secure Exploit Shield. Програмата редовно се обновява срещу последните експлоити в мрежата, и работи много добре - следи за изпълним двоичен код в паметта - не за изпълними файлове, а изпълним код - сравнява с базата си даннни, и ако не хареса нещо - блокира изпълнението му. Лично съм я тествал за експлоит, за който Microsoft все още не бяха пуснали обновление - сработи, и не позволи на кода да се изпълни.
За да намалите шанса от „хакване", обновяване до Windows Vista или Windows 7 (за препоръчване) е добро решение поради добавената в тях функция ASLR, значително затрудняваща писането на експлоити и компрометиране на уязвими програми на ниво операционна система. Някои приложения също така могат да се изпълняват през Web - пример за това е новият проект EyeOS, работеща версия на който ще излезне през 2010 година, продукт с отворен код изнасящ операционната система в браузъра... но докато този начин на работа навлезне в бизнеса, ще има още много да се потрудим за да защитаваме сегашните системи, при които данните се намират на работната станция.
И така... защитили сме BIOS, защитили сме паролите, криптирали сме данните, въвели сме политиката за сигурност за операционната система препоръчана от NSA, имаме добра антивирусна програма, добра защитна стена непозволяваща на неизвестни и неодобрени от потребителя процеси да достъпват Мрежата, в най-добрия случай сме включили в схемата виртуализация на приложения или операционни системи, разделяме фирмената от външната мрежа с VPN, и сме инсталирали F-Secure Exploit Shield - от гледна точка на сигурността, работната станция вече прилича на крепост. Остава още нещо...
10. HIDS
Колко компании използват Host Intrusion Detection Systems? Поне в България... доста малко. Имайки предвид - от това което знам от опит, от приятели и познати, честотата на пробивите в сигурността би трябвало да предизвика по-активна реакция... да, може би причината е, че тези пробиви остават неизвестни за самите компании? Това е поне моето мнение.
OSSEC http://www.ossec.net/) има безплатна версия за HIDS, работеща както с Линукс клиенти и сървъри, така и с Windows базирани такива. Без да навлизам в детайли - HIDS следи за неоторизирани промени върху файловата система на дадена работна станция или сървър - нови файлове, нови програми, нови записи в конфигурацията, нови потребители и т.н. - и ако открие нещо подозрително, изпраща репорт където трябва.
Не е толкова голяма трудност да се въведе - по-скоро ще трябва да се погрижите да имате човешките ресурси които да преглеждат редовно логовете. Какъв смисъл има да имате HIDS ако няма кой да следи логовете? Колкото и да е странно, има хора плащащи хиляди долари за комерсиални подобни системи, само за да ги имат - но не преглеждат логовете - това не е добра идея.
11. Защита на бази данни
Те също са "крайно стъпало" - стигне ли някой до тях, играта приключва. За защитата на бази данни от изтичане на информация може да се каже много. Съветвам ви обаче вместо да следвате инструкции за защита, да потърсите инструкции за преодоляване на защити за бази данни. Това е най-добрият подход при откриване на уязвимости в собствените ви бази, и най-краткият път към успеха. Ключовите думи които бих използвал при търсене са: "pentesting oracle", "pentesting ms sql", "database penetration testing" и т.н. Можете да замените "pentesting" с "attacking".
И не се ограничавайте само до самата база данни - срещал съм случаи, когато базата е една укрепена крепост - но приложенията, написани от трета страна (самото бизнес приложение, използващо базата данни) съдържа в себе си като кодирани, но лесно декодируеми стрингове, пароли и потребителски имена към базата, даващи пълен достъп! Естествено, организацията не беше (и все още не е...) наясно, че тази уязвимост съществува в компанията им... Оглеждайте се за такива уязвимости. Искайте от доставчиците на софтуер пълен сорс код на приложенията. Ако нямате сорс кода, няма как да сте сигурни. Накратко - доверявай се, но проверявай!
В ЗАКЛЮЧЕНИЕ
Тази статия би могла да послужи като план за пълно "бойно снаряжение" на работните станции или дори сървърите - за организация с размер 100-300 служители, планирането и въвеждането на всяка последователна стъпка от плана не би трябвало да отнеме повече от една-две седмици. Като резултат, за няколко месеца можете да се погрижите за сигурността на една средно голяма компания, при това без почти никакви разходи, което не е никак зле за кризисни времена като сегашните.
Към публикацията в CIO.bg - http://cio.bg/2772_praktic
Обратно на разпространеното схващане, няма да започнем защитата от периметъра. Защитните стени, системите за сигурност - това трябва да е последната грижа при изграждане на всяка защита. Нашата цел е да защитим информацията, не да направим доставчиците на различни "решения" богати, нали така?
ПЪРВА СТЪПКА - ЗАЩИТА НА ПОСЛЕДНОТО ЗВЕНО
Съществуват няколко вида "последни звена" - работна станция, база данни, защитена търговска информация, защитени бизнес практики, дори потребителят може да бъде смятан като най-вътрешното звено за защита... Да започнем от работните станции - ще ви задам поредица от въпроси и ще ви предложа съответните решения - в повечето случаи, те са общовалидни, също като проблемите които решават.
1. Защитени ли са работните станции от физическа кражба?
Ако не, помислете за начини да ги защитите. Например, много бизнес лаптопи имат опция за заключване със стоманена връзка за бюрото - ако имате такава възможност, използвайте я. Охраната и служителите по сигурността трябва да спират и удостоверяват всеки, който изнася компютри от сградата. Видеонаблюдението в случая не е от голяма полза и не може да бъде превантивна мярка - няколко инфрачервени диода около лицето на човек или върху шапка правят съществуването им безсмислено. Имайте го предвид.
Задайте си въпроса: вие знаете ли начини за влизане във вашата бизнес сграда, без никой да поиска от вас удостоверение или пропуск? Ако има такива начини, елиминирайте ги. Досега, където и да съм работил не съм виждал напълно сигурна сграда - може би точно защото никой не си е задавал този въпрос или не си го е задавал правилно. Датчиците за движение трябва да са разположени под ъгъл един спрямо друг, винаги по двойки и по такъв начин, че бавното движение или заслепяване на един датчик да не е достатъчно за елиминиране на цялата система за сигурност.
2. Всяка работна станция има ли парола за BIOS, предотвратяваща стартиране с Live CD или Bootable USB?
Ако не, време е да си изработите стратегия за използване на различни BIOS пароли за всеки компютър и сървър. Можете да разработите алгоритъм за вариране на паролата според серийния номер или местоположението на компютъра - така администраторите няма да има нужда да помнят паролите, а потребителите или "нарушителите" няма да знаят логиката и няма да могат да ги познаят. Ако не смятате това за необходима стъпка, хвърлете едно око на http://www.piotrbania.com/
3. Портове: USB, FireWire, Оптичните устройства...
Aко имате пуснат FireWire порт, това е огромна дупка в сигурността - този порт позволява директен достъп до паметта, без да се взимат под внимание контролите на операционната система. Изключете FireWire още в BIOS, освен ако не е абсолютно необходим за работния процес. Същото се отнася и за USB устройствата - контролирайте поне използването им, ако не можете да ги забраните. На сайта ми - http://www.securityguy.org
Ако все пак се налага да ползвате USB памети за бизнес цели, най-доброто на което бихте могли да се спрете е Ironkey (https://www.ironkey.com/en
4. Потребителят - има ли административни права върху компютъра с който работи?
Ако отговорът е да, това е лошо. Най-доброто което можете да на направите е да присъедините всеки потребител, включително мрежовите и системни администратори, към групата Guests (предполагам използването на Microsoft Windows операционни системи в повечето компании в България), и да създадете акаунти с които могат да се извършват административни действия, но е невъзможно да бъдат използвани за Login. Ако някой има нужда да извърши административно действие на компютъра си, винаги може да ползва опцията Run As.
Изградете добри системни политики за сигурност. За Windows XP и Windows 2003, можете смело да приложите, с минимални редакции, следния архив - http://www.nsa.gov/ia/_fil
5. Антивирусните системи...
Тук може много да се дискутира. Аз лично съм „враг" на най-разпространените системи, поради факта, че добрите вируси са написани с мисълта за деактивиране на именно тези продукти, но това не значи, че не ви трябва антивирусна програма. Търсете такава, която може да прихваща браузърни сесии и да блокира достъпа до опасни сайтове още преди зареждане на зловреден код. Според мен един от най-добрите блогове за ИТ сигурност е блогът на F-Secure - http://www.f-secure.com/we
6. Откраднати носители на данни
Според http://datalossdb.org/stat
На първо място, започнете с пълно криптиране на операцинната система, препоръчвам безплатната TrueCrypt програма, същото се отнася и за другите носители на информация. Освен предотвратяване на загуба и изтичане на информация при загуба и кражба на носители, поставете се на мястото на някой проникнал в мрежата по някакъв начин и срещащ навсякъде криптирани данни, винаги с различни пароли... Опитайте с опростени, рестриктивни (непозволяващи "лавиране") политики за ИТ сигурност, а не с огромни документи описващи задълженията на служителите - просто инсталирайте на всеки компютър криптираща програма, и направете план за поетапно криптиране.
Възможно е да вълзложите на ИТ отдела да изработи скрипт, който криптира работните станции извън работно време - така ще избегнете загуба на работни часове. Добре е също така да изработите проста стратегия за пароли... вижте точка 7.
7. Паролите...
Отделете време за обучение - това е вече нещо, което е повече в областта на психологията, отколкото на ИТ. Помогнете на хората да разберат колко лесно е да се създават и запомнят трудни за отгатване пароли. Научете ги на l337 азбуката - 1 = !, 3 = e, 4 = A, @ = a, 7 = t, 0 - O, 9=g, и тн. Например... 4l!g@70r, ще значи Aligator, едното присъства в повечето bruteforce - речници, а другото - не. Първо, е забавно, второ - сигурно.
Самите системи не би трябвало да приемат пароли, по-кратки от 8 (по-добре 12) символа. Или им дайте следната идея - любимата музикална група и любимата песен образуват една дълга фраза, която в същото време е и перфектната парола - невъзможна за отгатване, лесна за запомняне. Още по-хубаво е да се използват фрази на български с латински букви... представете си само колко трудно ще е за някой от друга държава да познае такава парола...
Направете обучението забавно - използвайте фрапантни, пикантни, смешни фрази - нека хората възприемат сигурността като нещо позитивно, а не като поредната суха тренировка без смисъл.
8. Човешкият фактор
Още по-вътрешно ниво от работната станция е човешкият фактор. Битката често се води на интелектуално ниво още преди да излезе на физическо. Както във войната, така и в бизнеса - някой може да иска да открадне информация използвайки просто човешките взаимоотношения, но и без външна намеса информацията може да изтече през e-mail, chat, facebook и т.н. Най-често това става случайно, в малък процент от случаите - нарочно.
За да не се случва, отново опираме до психология на поведението - има нужда от обучение, промяна на отношението към информацията и на ценностната система на хора, които постват онлайн всичко ново и интересно, независимо дали е конфиденциално или не. Някой праща мейл "помогни на дете, изпрати на всички", след 20 минути писмото е обиколило всички служители на компанията и е излязло навън, изнасяйки със себе си списък с всички e-mail адреси ... Две години работите по нов продукт, и някой споделя за него във Facebook - давайте цветни, ярки и емоционални примери на хората си, за да ги запомнят на емоционално ниво - хората са емоционални, използвайте това. Ако вие не го използвате първи, някой друг ще го направи със сигурност.
Като крайна мярка, можете да прибегнете и до принципа на "пръчката и поничката" - наказания и поощрения, според случая. Имайте предвид, че поощренията трябва да отговарят по сила на наказанията - не може наказанието да е процент от заплатата, а поощрението фирмена химикалка или потупване по рамото.
Един въпрос който следва да си зададете: ако ваш служител намери флаш памет на улицата пред сградата, ще я включи ли веднага в компютъра си за да провери какво има вътре? Обучени ли са служителите ви за разпознаване на такива рискове?
9. 0-day атаки и защита
След всичко казано дотук, един риск остава незабелязан и в същото време изключително опасен - 0-day уязвимостите в популярен софтуер като Adobe Acrobat Reader, Microsoft Word, Microsoft Excel и т.н. - съответните компании редовно предоставят кръпки но не винаги ИТ отделът инсталира най-новите версии... ако някой прати "инфектиран" файл на нечия поща и успее да изпълни код, дори с всички досега изброени мерки информацията от ще изтече, освен ако не предприемете мерки за спиране на достъпа до Интернет отвътре навън.
Тъй като тази статия се занимава с вътрешни системи за защита намиращи се на крайното устройство - в случая работна станция, лаптоп - ще препоръчам да използвате защитна стена, блокираща достъпа на дадени програми или процеси до Интернет, освен ако потребителят изрично не го разреши. Само като пример ще дам безплатната версия на http://personalfirewall.co
И така... оставяйки настрана комерсиалните или некомерсиални продукти за защита, служителите ви наясно ли са с рисковете пред отваряне на pdf, doc, xls файлове от непознати източници? Ако не са, е крайно време да ги запознаете. Един единствен pdf прикачен файл, изпратен на секретарката на изпълнителния директор, може да ознаменува края на една компания - денят, в който всички конфиденциални данни от нейния компютър изтекат навън...
Защитени ли сте от този риск? Да... всъщност, много малко хора, не само в България - където и да е посвета, знаят как да се справят с подобни рискове. На практика, решение няма - няма продукт, който да си закупите и да решите проблема... Но има логични решения, или по-скоро последователност от действия които могат да предотвратят изтичане на информация по този начин.
Всеки код, всяка програма се изпълнява в контекста на потребителя. Можете да промените донякъде стандартното обкръжение при което потребителят изпълнява всяка команда и програма с едни и същи привилегии, добавяйки още минимум едно ниво на сложност - като някои програми, например браузъри, пощенски клиенти, могат да се изпълняват с права Guest, докато всички останали, които не могат да работят като Guest - като User, и само в изключителни случаи - като Administrator. Съществуват решения за виртуализация - виртуализация на браузъри, програми, или операционни сисетми - също така сегрегация на мрежи. Можете да използвате VPN връзка за Интернет достъп, и нормална връзка за корпоративна мрежа. Може също така да използвате VPN дори за достъп до мрежата отвътре - не мислете, че е прекалено параноично, и не е чак толкова сложно за изпълнение.
Но да се върнем отново на предишния риск - изпълнение на зловреден код от изпратен документ, получен в пощата на служител, на компютъра на който има изключително конфиденциални данни. За да предпазим данните, можем да изпълняваме например Outlook през Citrix, или още по-добре - през Windows Server 2008 - виртуализация на приложения, или хостинг на приложения. По този начин, програмата не се изпълнява на клиентския, заразен компютър, а данните не се пазят на него.
Отново искам да напомня - никое приложение, използвано от потребител, освен когато това не е изрично необходимо, не бива да се изпълнява с административни права. Но... отново, имаме проблем. Ако някой изпълни код на работната станция, той може да "прослуша" и паролите, използвани дори за хоствани, или виртуализирани приложения, и да получи достъп до тях и данните в тях. Какъв е начинът за защита? Трябва по някакъв начин да се предпазите от изтеклите вече в мрежата 0-day скриптове, независимо дали за тях има кръпки или не. Едно решение е безплатната програма, която все още е в бета версия, F-Secure Exploit Shield. Програмата редовно се обновява срещу последните експлоити в мрежата, и работи много добре - следи за изпълним двоичен код в паметта - не за изпълними файлове, а изпълним код - сравнява с базата си даннни, и ако не хареса нещо - блокира изпълнението му. Лично съм я тествал за експлоит, за който Microsoft все още не бяха пуснали обновление - сработи, и не позволи на кода да се изпълни.
За да намалите шанса от „хакване", обновяване до Windows Vista или Windows 7 (за препоръчване) е добро решение поради добавената в тях функция ASLR, значително затрудняваща писането на експлоити и компрометиране на уязвими програми на ниво операционна система. Някои приложения също така могат да се изпълняват през Web - пример за това е новият проект EyeOS, работеща версия на който ще излезне през 2010 година, продукт с отворен код изнасящ операционната система в браузъра... но докато този начин на работа навлезне в бизнеса, ще има още много да се потрудим за да защитаваме сегашните системи, при които данните се намират на работната станция.
И така... защитили сме BIOS, защитили сме паролите, криптирали сме данните, въвели сме политиката за сигурност за операционната система препоръчана от NSA, имаме добра антивирусна програма, добра защитна стена непозволяваща на неизвестни и неодобрени от потребителя процеси да достъпват Мрежата, в най-добрия случай сме включили в схемата виртуализация на приложения или операционни системи, разделяме фирмената от външната мрежа с VPN, и сме инсталирали F-Secure Exploit Shield - от гледна точка на сигурността, работната станция вече прилича на крепост. Остава още нещо...
10. HIDS
Колко компании използват Host Intrusion Detection Systems? Поне в България... доста малко. Имайки предвид - от това което знам от опит, от приятели и познати, честотата на пробивите в сигурността би трябвало да предизвика по-активна реакция... да, може би причината е, че тези пробиви остават неизвестни за самите компании? Това е поне моето мнение.
OSSEC http://www.ossec.net/) има безплатна версия за HIDS, работеща както с Линукс клиенти и сървъри, така и с Windows базирани такива. Без да навлизам в детайли - HIDS следи за неоторизирани промени върху файловата система на дадена работна станция или сървър - нови файлове, нови програми, нови записи в конфигурацията, нови потребители и т.н. - и ако открие нещо подозрително, изпраща репорт където трябва.
Не е толкова голяма трудност да се въведе - по-скоро ще трябва да се погрижите да имате човешките ресурси които да преглеждат редовно логовете. Какъв смисъл има да имате HIDS ако няма кой да следи логовете? Колкото и да е странно, има хора плащащи хиляди долари за комерсиални подобни системи, само за да ги имат - но не преглеждат логовете - това не е добра идея.
11. Защита на бази данни
Те също са "крайно стъпало" - стигне ли някой до тях, играта приключва. За защитата на бази данни от изтичане на информация може да се каже много. Съветвам ви обаче вместо да следвате инструкции за защита, да потърсите инструкции за преодоляване на защити за бази данни. Това е най-добрият подход при откриване на уязвимости в собствените ви бази, и най-краткият път към успеха. Ключовите думи които бих използвал при търсене са: "pentesting oracle", "pentesting ms sql", "database penetration testing" и т.н. Можете да замените "pentesting" с "attacking".
И не се ограничавайте само до самата база данни - срещал съм случаи, когато базата е една укрепена крепост - но приложенията, написани от трета страна (самото бизнес приложение, използващо базата данни) съдържа в себе си като кодирани, но лесно декодируеми стрингове, пароли и потребителски имена към базата, даващи пълен достъп! Естествено, организацията не беше (и все още не е...) наясно, че тази уязвимост съществува в компанията им... Оглеждайте се за такива уязвимости. Искайте от доставчиците на софтуер пълен сорс код на приложенията. Ако нямате сорс кода, няма как да сте сигурни. Накратко - доверявай се, но проверявай!
В ЗАКЛЮЧЕНИЕ
Тази статия би могла да послужи като план за пълно "бойно снаряжение" на работните станции или дори сървърите - за организация с размер 100-300 служители, планирането и въвеждането на всяка последователна стъпка от плана не би трябвало да отнеме повече от една-две седмици. Като резултат, за няколко месеца можете да се погрижите за сигурността на една средно голяма компания, при това без почти никакви разходи, което не е никак зле за кризисни времена като сегашните.
Те могат да бъдат използвани както от държавни агенции за сигурност, така и от големи, средни, малки компании. Наричат ги "тигрови екипи", защото начинът по който работят заедно прилича на лов - лов за слаби точки в компютърни системи. В случая обаче, те работят за вас - защото обикновено "tiger team" е вътрешен екип, борещ се с вътрешни уязвимости, постоянно атакуващ собствената си мрежа, плътно до персоналните компютри, лаптопи, фирмени смартфони на служителите в компанията
Александър Свердлов
Искате ли да бъдете в състояние да заявите на своите служители, клиенти и инвеститори, че информацията им е "защитена"? Не можете да бъдете честни, правейки такова изказване, ако не е налице някой, който постоянно атакува мрежата ви и потвърждава тази защитеност на практика. Най-евтиният и понякога най-ефективният начин за целта е да създадете собствен "тигров екип". Обикновено това формирование включва добър комуникатор (за социална инженерия), програмист, "мрежар", специалист по *nix системи и по Windows системи, както и специалист по пробиване на уеб приложения. В зависимост от големината на компанията и нейната мрежа, всяка от тези функции може да бъде изпълнявана от повече от един човек, или пък един човек да изпълнява няколко от тях. Естествено, не всеки програмист е подходящ за целта - задължителен е опит в преодоляване на системи за сигурност, писане на експлоити, все неща, за които много разработчици само са чували от техни познати, които са виждали как техен приятел го прави... Трябва да имате предвид също, че такива хора не се намират лесно - те не четат обяви за работа, не се предлагат сами на пазара, а в редките случаи когато работят "на чисто", са доста заети.
Как да сформирате "tiger team"?
Ако не разполагате вече с такива специалисти (отново подчертавам, с опит в преодоляване на системи за сигурност от най-различно естество) ви остава ви само едно - да отделите служители, и да им поставите цел - за една година да се обучат да атакуват собствената ви мрежа. В тази криза, инвестирането на цяла година заплати, време, ресурси при риска тези хора да отидат другаде по-късно, не е лесно решение. Да, това не е звучало приемливо и на нито една от държавните и частни институции, ежедневно компрометирани от най-различни индивиди - от индустриални шпиони до крадци на лична информация - въпросът е, колко плащат те, техните клиенти и партньори като резултат от това? Готови ли сте да поемете риска да загубите неизвестно количество информация, клиенти, имидж, само заради желанието си да спестите пари за обучение на такъв екип? Един-единствен penetration test в зависимост от мащабите на мрежата ви, може да струва десетки хиляди евро - и повече - а продължителността му обикновено е около седмица. Кой ще проверява системите ви за уязвимости през останалата част от годината? От тази гледна точка, собственият екип е невероятна ценност. Виждал съм как работят такива екипи в компании като Paypal, American Express, Bank Of America - например, веднага щом получат дадена система за сигурност, сървър, продукт използван в компанията за обработка на данни - те го проверяват из основи за дупки в сигурността - нещо, което извършено от външна компания ще ви струва много пари, а ако не го направите... рискувате информацията си. Вътрешния екип, ако го отгледате и се грижите за него добре, е изключително ценна придобивка. Ако искате да го направите, тази статия е за вас.
Обучение
Започваме от елементарните неща - всечи член на екипа трябва да придобие базови познания по ИТ сигурност, и това не може да стане с четене на книжки или ходене на курсове. Въпреки, че и в България вече се нароиха "специалисти" обучаващи в White Hat Hacking (дават и сертификати), в много случаи след като преминат тези курсове злощастните им посетители стават "penetration tester"-и, и "тестват" сигурността на компании като вашата... със същото съмнително качество, с което биха го направили техните учители.
Истината е, че сертификатите не значат абсолютно нищо в тази сфера. Ако отидете на, да речем, конференция "Defcon" или "BlackHat" и попитате някой от лекторите колко сертификата по ИТ сигурност притежава, ще му осигурите дневната доза смях. Все едно да питате някой шампион по бягане или вдигане на тежести, колко сертификати и какво образование притежава. Тук тези неща просто не важат - приемете го като факт. На някои сертифицирани "етични хакери" им е излязло име - "хартиени тигри" - не без причина. Те могат да ви замаят с хартийките си, но поставете ги в реална ситуация на атака - ще седят в храстите и ще се чудят откъде да започнат... тези хора са безполезни за вашата компания. Бягайте от тях. Това важи с особена сила когато наемате служители за позиция "ИТ сигурност". Виждал съм доста обяви, съдържащи неща като "познание на тази защитна стена, тази операционна система, и този продукт", но нито една не съдържа изискването "опит в преодоляване на системи за сигурност и защита на мрежи от външни атаки". Такива хора трудно се намират - остава ви да обучите свои.
История и практика
И така, след лиричното отклонение - отново към целта - елементарните познания по ИТ сигурност. Като във всяка дисциплина, се изисква познаване на историята - на първите компютри, първите "хакове" на телефонни системи, първите стъпки на "социалните инженери" в САЩ, всички тези неща не се изучават в курсове и университети. Можете да закупите книгата "Тhe Best Of 2600" (доста дебела книга) от Amazon.com - това е една прекрасна основа, която да дадете на екипа. Също така е и съществен мотивиращ фактор, моделиращ мисленето им - вече сами ще могат да поставят цели за обучението си, с правилната насока, идваща отвътре... ако успеят да хванат "нишката".
След като усвоят историята идва ред на практиката. Изисква се малко пътуване във времето - отново, назад. Сайтът www.phrack.org/ е нещо, което всеки от екипа трябва да познава като буквар - като се започне от първия (исторически) брой и се стигне до последния. След като отделят няколко месеца за изучаването му (и практикуване на наученото), членовете на екипа ще имат вече и необходимите технически позания, за да направят следващата стъпка.
Тестова среда
Осигурете на екипа тестова среда - могат да работят и с виртуални сървъри, но е добре да имат поне 1, като минимум, с който да си играят на хардуерно ниво. Ще им трябва тестова безжична мрежа, тестова VOIP среда, тестова мрежа тотално изолирана от Интернет или от вътрешната мрежа, и втора мрежа свързана само с Интернет, но отново тотално изолирана от вътрешнофирмената среда. Един VMWare ЕSX сървър, стоящ върху 4 или 8-процесорна система и достатъчно голям дисков масив и външен сторидж, е добро минимално начало. Работните им станции, имайки предвид параметрите на съвременните компютри, би трябвало също да издържат по поне 2 едновременно работещи виртуални машини - това ще спести пари от сървъри и ще им даде повече контрол, без да зависят всички едновременно от една кутия. Създаването на тези тестови среди ще е само по себе си добра тренировка, както и поддържането им в работно състояние.
След като построят тестовата среда, ще им трябват сценарии за атака - за това, могат да се обърнат към множество сайтове за wargaming. Един пример - http://www.de-ice.net/ . Още един пример: за да се научи някой да пробива уязвимости в уеб сървъри, може да използва приложения написани специално за целта - като WebGoat на проекта OWASP (www.owasp.org). Изпълнението на задачите поставени от тези сайтове изисква истинска екипна работа от хората ви.
Оттук насетне, ролите се разделят (почти)
На този етап всеки в екипа поема нещата в свои ръце, специализирайки в атакуване на системи от неговата област. Ако досега са четяли една и съща книга, един и същи "исторически" сайт, сега е време да се развият като индивидуални "ловци" - да намерят потенциални, приличащи на работните "възли", опорни точки и слаби точки които могат да атакуват, и да го правят докато не се научат да пробиват. 7-8 месеца са напълно достатъчни за целта, поне за познанията, необходими им след приключване на периода за постоянна атака на работната мрежа. Социалния инженер започва да изготвя стратегии за "пускане на въдица" в своята компания, от рода на фалшиви е-мейли водещи към фалшиви сайтове с измамни полета за потребителско име и парола, обаждания по телефона измъкващи конфиденциална информация, всичко това ще му е вече познато от горните два източника, той ще може да изготви план въз основа на вече наученото и да се движи напред. В тестовата среда ще пуска имитации на корпоративния интранет, ще използва написани от програмиста "вируси" за заразяване на тестови системи. Същото важи за програмиста, мрежаря, *nix специалиста, и този който ще пробива уеб приложения - изпълнявайки своите задачи по атака на тестовата мрежа, те си помагат един на друг и напредват заедно към целта. Работейки заедно, всеки ще попие от другите знания, които ще обогатят неговата роля и ще го направят по-продуктивен.
Ако наистина създавате екип, а не разчитате на един човек - ще видите невероятна динамика между тях - едно е да работиш с някой върху таблица в Excel, съвсем друго е да планираш атака срещу потенциално уязвима система... това ще е нещо което ще ги задържи заедно и ще ги движи напред - ако имате шанса да ги наблюдавате как работят, ще искате всеки в компанията да работи с такъв хъс!
Продължаваща мотивация
За да ги стимулирате допълнително (а стимул няма да е излишен - когато си объркан, не знаеш накъде да поемеш с атаката, винаги е добре да имаш пред себе си цел) можете да им предложите бонус за всяка успешна и документирана атака. Така ще ги доближите и до "черните" им събратя, които получават понякога до 5000 долара! за малка успешна атака и открадната информация - вие едва ли ще искате да им плащате по толкова, но идеята е същата - материалният стимул работи за врага, ще сработи и за вас.
След завършване на едногодишния период на обучение можете да промените схемата - ще се плащат бонуси за успешни атаки вече срещу работната среда, а не тестовата - както и за "заловени" "хакери" - прекъснати атаки, проследени източници, блокирани бъдещи атаки благодарение на уловени опити - само месечната заплата не е достатъчна да накара някой да търси игла в купа сено по цял ден. Но ако плащате за всяка намерена игла... нещата се променят. Ще видите реално отразени атаки, и ще виждате мрежата си все по-защитена и по-защитена с всеки изминал ден. А това е нещо, което определено си заслужава да бъде видяно!
Александър Свердлов
Искате ли да бъдете в състояние да заявите на своите служители, клиенти и инвеститори, че информацията им е "защитена"? Не можете да бъдете честни, правейки такова изказване, ако не е налице някой, който постоянно атакува мрежата ви и потвърждава тази защитеност на практика. Най-евтиният и понякога най-ефективният начин за целта е да създадете собствен "тигров екип". Обикновено това формирование включва добър комуникатор (за социална инженерия), програмист, "мрежар", специалист по *nix системи и по Windows системи, както и специалист по пробиване на уеб приложения. В зависимост от големината на компанията и нейната мрежа, всяка от тези функции може да бъде изпълнявана от повече от един човек, или пък един човек да изпълнява няколко от тях. Естествено, не всеки програмист е подходящ за целта - задължителен е опит в преодоляване на системи за сигурност, писане на експлоити, все неща, за които много разработчици само са чували от техни познати, които са виждали как техен приятел го прави... Трябва да имате предвид също, че такива хора не се намират лесно - те не четат обяви за работа, не се предлагат сами на пазара, а в редките случаи когато работят "на чисто", са доста заети.
Как да сформирате "tiger team"?
Ако не разполагате вече с такива специалисти (отново подчертавам, с опит в преодоляване на системи за сигурност от най-различно естество) ви остава ви само едно - да отделите служители, и да им поставите цел - за една година да се обучат да атакуват собствената ви мрежа. В тази криза, инвестирането на цяла година заплати, време, ресурси при риска тези хора да отидат другаде по-късно, не е лесно решение. Да, това не е звучало приемливо и на нито една от държавните и частни институции, ежедневно компрометирани от най-различни индивиди - от индустриални шпиони до крадци на лична информация - въпросът е, колко плащат те, техните клиенти и партньори като резултат от това? Готови ли сте да поемете риска да загубите неизвестно количество информация, клиенти, имидж, само заради желанието си да спестите пари за обучение на такъв екип? Един-единствен penetration test в зависимост от мащабите на мрежата ви, може да струва десетки хиляди евро - и повече - а продължителността му обикновено е около седмица. Кой ще проверява системите ви за уязвимости през останалата част от годината? От тази гледна точка, собственият екип е невероятна ценност. Виждал съм как работят такива екипи в компании като Paypal, American Express, Bank Of America - например, веднага щом получат дадена система за сигурност, сървър, продукт използван в компанията за обработка на данни - те го проверяват из основи за дупки в сигурността - нещо, което извършено от външна компания ще ви струва много пари, а ако не го направите... рискувате информацията си. Вътрешния екип, ако го отгледате и се грижите за него добре, е изключително ценна придобивка. Ако искате да го направите, тази статия е за вас.
Обучение
Започваме от елементарните неща - всечи член на екипа трябва да придобие базови познания по ИТ сигурност, и това не може да стане с четене на книжки или ходене на курсове. Въпреки, че и в България вече се нароиха "специалисти" обучаващи в White Hat Hacking (дават и сертификати), в много случаи след като преминат тези курсове злощастните им посетители стават "penetration tester"-и, и "тестват" сигурността на компании като вашата... със същото съмнително качество, с което биха го направили техните учители.
Истината е, че сертификатите не значат абсолютно нищо в тази сфера. Ако отидете на, да речем, конференция "Defcon" или "BlackHat" и попитате някой от лекторите колко сертификата по ИТ сигурност притежава, ще му осигурите дневната доза смях. Все едно да питате някой шампион по бягане или вдигане на тежести, колко сертификати и какво образование притежава. Тук тези неща просто не важат - приемете го като факт. На някои сертифицирани "етични хакери" им е излязло име - "хартиени тигри" - не без причина. Те могат да ви замаят с хартийките си, но поставете ги в реална ситуация на атака - ще седят в храстите и ще се чудят откъде да започнат... тези хора са безполезни за вашата компания. Бягайте от тях. Това важи с особена сила когато наемате служители за позиция "ИТ сигурност". Виждал съм доста обяви, съдържащи неща като "познание на тази защитна стена, тази операционна система, и този продукт", но нито една не съдържа изискването "опит в преодоляване на системи за сигурност и защита на мрежи от външни атаки". Такива хора трудно се намират - остава ви да обучите свои.
История и практика
И така, след лиричното отклонение - отново към целта - елементарните познания по ИТ сигурност. Като във всяка дисциплина, се изисква познаване на историята - на първите компютри, първите "хакове" на телефонни системи, първите стъпки на "социалните инженери" в САЩ, всички тези неща не се изучават в курсове и университети. Можете да закупите книгата "Тhe Best Of 2600" (доста дебела книга) от Amazon.com - това е една прекрасна основа, която да дадете на екипа. Също така е и съществен мотивиращ фактор, моделиращ мисленето им - вече сами ще могат да поставят цели за обучението си, с правилната насока, идваща отвътре... ако успеят да хванат "нишката".
След като усвоят историята идва ред на практиката. Изисква се малко пътуване във времето - отново, назад. Сайтът www.phrack.org/ е нещо, което всеки от екипа трябва да познава като буквар - като се започне от първия (исторически) брой и се стигне до последния. След като отделят няколко месеца за изучаването му (и практикуване на наученото), членовете на екипа ще имат вече и необходимите технически позания, за да направят следващата стъпка.
Тестова среда
Осигурете на екипа тестова среда - могат да работят и с виртуални сървъри, но е добре да имат поне 1, като минимум, с който да си играят на хардуерно ниво. Ще им трябва тестова безжична мрежа, тестова VOIP среда, тестова мрежа тотално изолирана от Интернет или от вътрешната мрежа, и втора мрежа свързана само с Интернет, но отново тотално изолирана от вътрешнофирмената среда. Един VMWare ЕSX сървър, стоящ върху 4 или 8-процесорна система и достатъчно голям дисков масив и външен сторидж, е добро минимално начало. Работните им станции, имайки предвид параметрите на съвременните компютри, би трябвало също да издържат по поне 2 едновременно работещи виртуални машини - това ще спести пари от сървъри и ще им даде повече контрол, без да зависят всички едновременно от една кутия. Създаването на тези тестови среди ще е само по себе си добра тренировка, както и поддържането им в работно състояние.
След като построят тестовата среда, ще им трябват сценарии за атака - за това, могат да се обърнат към множество сайтове за wargaming. Един пример - http://www.de-ice.net/ . Още един пример: за да се научи някой да пробива уязвимости в уеб сървъри, може да използва приложения написани специално за целта - като WebGoat на проекта OWASP (www.owasp.org). Изпълнението на задачите поставени от тези сайтове изисква истинска екипна работа от хората ви.
Оттук насетне, ролите се разделят (почти)
На този етап всеки в екипа поема нещата в свои ръце, специализирайки в атакуване на системи от неговата област. Ако досега са четяли една и съща книга, един и същи "исторически" сайт, сега е време да се развият като индивидуални "ловци" - да намерят потенциални, приличащи на работните "възли", опорни точки и слаби точки които могат да атакуват, и да го правят докато не се научат да пробиват. 7-8 месеца са напълно достатъчни за целта, поне за познанията, необходими им след приключване на периода за постоянна атака на работната мрежа. Социалния инженер започва да изготвя стратегии за "пускане на въдица" в своята компания, от рода на фалшиви е-мейли водещи към фалшиви сайтове с измамни полета за потребителско име и парола, обаждания по телефона измъкващи конфиденциална информация, всичко това ще му е вече познато от горните два източника, той ще може да изготви план въз основа на вече наученото и да се движи напред. В тестовата среда ще пуска имитации на корпоративния интранет, ще използва написани от програмиста "вируси" за заразяване на тестови системи. Същото важи за програмиста, мрежаря, *nix специалиста, и този който ще пробива уеб приложения - изпълнявайки своите задачи по атака на тестовата мрежа, те си помагат един на друг и напредват заедно към целта. Работейки заедно, всеки ще попие от другите знания, които ще обогатят неговата роля и ще го направят по-продуктивен.
Ако наистина създавате екип, а не разчитате на един човек - ще видите невероятна динамика между тях - едно е да работиш с някой върху таблица в Excel, съвсем друго е да планираш атака срещу потенциално уязвима система... това ще е нещо което ще ги задържи заедно и ще ги движи напред - ако имате шанса да ги наблюдавате как работят, ще искате всеки в компанията да работи с такъв хъс!
Продължаваща мотивация
За да ги стимулирате допълнително (а стимул няма да е излишен - когато си объркан, не знаеш накъде да поемеш с атаката, винаги е добре да имаш пред себе си цел) можете да им предложите бонус за всяка успешна и документирана атака. Така ще ги доближите и до "черните" им събратя, които получават понякога до 5000 долара! за малка успешна атака и открадната информация - вие едва ли ще искате да им плащате по толкова, но идеята е същата - материалният стимул работи за врага, ще сработи и за вас.
След завършване на едногодишния период на обучение можете да промените схемата - ще се плащат бонуси за успешни атаки вече срещу работната среда, а не тестовата - както и за "заловени" "хакери" - прекъснати атаки, проследени източници, блокирани бъдещи атаки благодарение на уловени опити - само месечната заплата не е достатъчна да накара някой да търси игла в купа сено по цял ден. Но ако плащате за всяка намерена игла... нещата се променят. Ще видите реално отразени атаки, и ще виждате мрежата си все по-защитена и по-защитена с всеки изминал ден. А това е нещо, което определено си заслужава да бъде видяно!
Много може да бъде написано за сигурността на информацията. Това как да не бъде изнесена от вътрешни хора, как да не бъде открадната от външни, как да се предпази от унищожение или да бъде осигурена нейната постоянна достъпност. Тук ще се концентрирам върху предпазване от кражба на информация чрез проникване отвън - и ще ви представя най-лесния, най-ефективния, и най-краткия откъм описания метод
Доколкото съм запознат с дейността на колеги занимаващи се с тестове на възможности за проникване в информационните системи или т.нар. Penetration Testing (извън България) - тези, които си вършат работата честно, я вършат само 2 пъти - третия път това вече не е работа по проверка за пробиваемост, а просто помощ на клиента да премине поредната годишна сертификация - защото първия път се намират всички логически и практически уязвимости в системата и се предлага решение на проблемите, втория път се проверява изпълнението на тези препоръки, а третия и всеки следващ тест са само за профилактика... и до голяма степен, това е заради най-важната и най-ефективната препоръка на... да ги наречем, честните pentest компании.
Whitelisting
Всички знаем какво е blacklist - всеки забранен за посещение отвътре външен ресурс, и всеки външен адрес на който му е забранен достъп до нашата мрежа. Проблемът е, че само в Китай имаме стотици хиляди нови потребители месечно, съответно, ако блокираме индивидуални "злосторници", само за "хакерите" от тази огромна държава ще трябва да отделим цял отдел занимаващ се с въвеждане на адреси... просто е неефективно. Това се отнася за зловредни сайтове, такива които принципно не би трябвало да се посещават в работно време, програми за чат и аудио- и видео- разговори, игри, и тн.
Какво е решението? Да, разбира се - Whitelisting. На защитната стена и на проксито се създава много проста конфигурация - всичко е забранено, освен... На уеб проксито изключително лесно може да се направи настройка, препращаща към вътрешна интранет страница всеки път, щом потребител въведе непознат за системата адрес в браузъра си - с поле в което да попълни мотива за посещение на този уеб адрес към администратора на проксито - да, първия месец ще има недоволни, администратора ще е буквално затрупан от подобни съобщения - но на втория, третия месец, когато потребителите свикнат, а най-необходимите им адреси са въведени и одобрени, страстите ще утихнат, а вашата организация ще е неимоверно по-защитена отколкото ако ползваше blacklist логика на защита.
Една кратка 15 минутна презентация под формата на видеоклип за причините за това нововъведение, придружена от кратко текстово обяснение ще е достатъчна за повечето хора да осъзнаят целта на упражнението и важността му за целостта на информацията в компанията, както и за продуктивността на хората в работно време. И аз лично, не се сещам за разумен довод някой да е недоволен - все пак, няма цензура - всички сайтове които ще помогнат на човек да бъде продуктивен, нямат причина да не бъдат одобрени. Кой е първият доброволец, който ще поиска да му бъде позволен достъп в работно време към сайт за запознанства?
И какво общо има penetration testing-а с казаното до тук?
Когато става въпрос за проникване отвън, изключително рядко се случва атаката да дойде от одобрен, доверен ресурс. Обикновено, оторизираните тестове на сигурността преодоляват защитите от непознати адреси, експлоитите които пращат се свързват с непознати за системата адреси... ако позволявате достъп от и до само одобрени ресурси, просто няма начин някой да направи пробив отвън. Дори и да проникне вирус в системата, той няма да може да изнесе информация от компанията. Затова, когато един pentest екип препоръча whitelist и компанията го въведе като практика, третият тест е вече обикновена формалност - смисъла на един тест за пробиви е да се осъществи пробив - а след въвеждането на политика за одобрени ресурси, единствените пробиви могат да бъдат осъществени с пробив във физическата сигурност или чрез измама на служител...
Продуктивност на служителите, непробиваемост на системите отвън - това са фактори, които могат да надделеят над първоначалната трудност при убеждаване на хората да приемат това решение. И ми е много интересно, ако го въведете, коя pentest компания ще успее да направи пробив в информационните ви системи? Да не забравим - на такива компании се плаща само и единствено ако успеят да направят пробив. Ако ще плащате за репорт на сигурността, както винаги съм казвал - просто си свалете безплатния Nessus и сканирайте мрежата си с него.
Доколкото съм запознат с дейността на колеги занимаващи се с тестове на възможности за проникване в информационните системи или т.нар. Penetration Testing (извън България) - тези, които си вършат работата честно, я вършат само 2 пъти - третия път това вече не е работа по проверка за пробиваемост, а просто помощ на клиента да премине поредната годишна сертификация - защото първия път се намират всички логически и практически уязвимости в системата и се предлага решение на проблемите, втория път се проверява изпълнението на тези препоръки, а третия и всеки следващ тест са само за профилактика... и до голяма степен, това е заради най-важната и най-ефективната препоръка на... да ги наречем, честните pentest компании.
Whitelisting
Всички знаем какво е blacklist - всеки забранен за посещение отвътре външен ресурс, и всеки външен адрес на който му е забранен достъп до нашата мрежа. Проблемът е, че само в Китай имаме стотици хиляди нови потребители месечно, съответно, ако блокираме индивидуални "злосторници", само за "хакерите" от тази огромна държава ще трябва да отделим цял отдел занимаващ се с въвеждане на адреси... просто е неефективно. Това се отнася за зловредни сайтове, такива които принципно не би трябвало да се посещават в работно време, програми за чат и аудио- и видео- разговори, игри, и тн.
Какво е решението? Да, разбира се - Whitelisting. На защитната стена и на проксито се създава много проста конфигурация - всичко е забранено, освен... На уеб проксито изключително лесно може да се направи настройка, препращаща към вътрешна интранет страница всеки път, щом потребител въведе непознат за системата адрес в браузъра си - с поле в което да попълни мотива за посещение на този уеб адрес към администратора на проксито - да, първия месец ще има недоволни, администратора ще е буквално затрупан от подобни съобщения - но на втория, третия месец, когато потребителите свикнат, а най-необходимите им адреси са въведени и одобрени, страстите ще утихнат, а вашата организация ще е неимоверно по-защитена отколкото ако ползваше blacklist логика на защита.
Една кратка 15 минутна презентация под формата на видеоклип за причините за това нововъведение, придружена от кратко текстово обяснение ще е достатъчна за повечето хора да осъзнаят целта на упражнението и важността му за целостта на информацията в компанията, както и за продуктивността на хората в работно време. И аз лично, не се сещам за разумен довод някой да е недоволен - все пак, няма цензура - всички сайтове които ще помогнат на човек да бъде продуктивен, нямат причина да не бъдат одобрени. Кой е първият доброволец, който ще поиска да му бъде позволен достъп в работно време към сайт за запознанства?
И какво общо има penetration testing-а с казаното до тук?
Когато става въпрос за проникване отвън, изключително рядко се случва атаката да дойде от одобрен, доверен ресурс. Обикновено, оторизираните тестове на сигурността преодоляват защитите от непознати адреси, експлоитите които пращат се свързват с непознати за системата адреси... ако позволявате достъп от и до само одобрени ресурси, просто няма начин някой да направи пробив отвън. Дори и да проникне вирус в системата, той няма да може да изнесе информация от компанията. Затова, когато един pentest екип препоръча whitelist и компанията го въведе като практика, третият тест е вече обикновена формалност - смисъла на един тест за пробиви е да се осъществи пробив - а след въвеждането на политика за одобрени ресурси, единствените пробиви могат да бъдат осъществени с пробив във физическата сигурност или чрез измама на служител...
Продуктивност на служителите, непробиваемост на системите отвън - това са фактори, които могат да надделеят над първоначалната трудност при убеждаване на хората да приемат това решение. И ми е много интересно, ако го въведете, коя pentest компания ще успее да направи пробив в информационните ви системи? Да не забравим - на такива компании се плаща само и единствено ако успеят да направят пробив. Ако ще плащате за репорт на сигурността, както винаги съм казвал - просто си свалете безплатния Nessus и сканирайте мрежата си с него.
Alexander Sverdlov's Notes
Практичната ИТ Сигурност - Част 1Nov 9, 2009
Тигрови меркиJun 10, 2009
“whitelisting” или най-кратката статия за информационна сигурностMay 18, 2009
Уловени в социалните мрежиMay 18, 2009
Буря в комуникациите - заплаха за криптиращите устройстваMar 17, 2009
Принципът „Нападението е най-добрата отбрана” – база за реална оценка на ИТ сигурносттаFeb 11, 2009
Митът DMZJan 10, 2009
Bruce Schneier factsJan 7, 2009
PKI не е това което беше! Внимавайте!Dec 31, 2008
Принтер-изненада!Dec 27, 2008