Сколько речей уже было произнесено во славу просвещения в области безопасности! Уши вянут, скажете вы. Однако истинная ценность такого просвещения неоспорима.
В сентябре Институт системного администрирования, сетевого обеспечения и безопасности (System Administration, Networking, and Security Institute — SANS) обнародовал результаты своего последнего опроса, проведенного среди руководителей и администраторов правительственных учреждений. Им были заданы вопросы о том, что, на их взгляд, представляло основную угрозу сетевой безопасности, и какие проблемы безопасности из числа тех, с которыми им приходилось сталкиваться, были самыми серьезными. Полученные ответы лишний раз свидетельствуют, что обучение и просвещение — самый верный путь к достижению должного уровня безопасности в вашем офисе.
Сколько речей уже было произнесено во славу просвещения в области безопасности! Уши вянут, скажете вы. Однако истинная ценность такого просвещения неоспорима: обучение основам безопасности — по-видимому, самое действенное оружие для защиты от сетевых атак. Других таких эффективных средств в вашем арсенале не найдется.
Мы постоянно твердим: «Безопасность — не цель, а процесс», «Безопасность — не продукт, а способ мышления». Многие из вас сочтут эти лозунги очевидными, однако массы, как правило, их просто не воспринимают. Мы ежемесячно получаем по электронной почте десятки посланий, в которых спрашивается, насколько безопасен тот или иной продукт. Если вы задаете такой вопрос, значит, вы не понимаете его сути. Продукт мог быть безопасен вчера или сегодня (в той мере, насколько это вам может быть известно), но завтра — это уже другой день.
Мы берем на себя смелость утверждать, что безопасность можно обеспечить только путем постоянного повышения уровня знаний и информированности. Мы видим, какие удивительные метаморфозы претерпевают наши клиенты: еще вчера они превозносили достоинства какого-нибудь межсетевого экрана, а сегодня уже сами проводят атаку с переадресацией портов через тот самый межсетевой экран, за надежность которого они ручались накануне. Мы уверены, что демонстрация всевозможных способов обхода защиты систем — единственный способ заставить людей понять, как избавиться от этих проблем, причем раз и навсегда.
Знания об уязвимых местах в продуктах, сетевых архитектурах, процедурах настройки и сопровождения нельзя почерпнуть путем чтения книг или установки каких-либо продуктов; для этого необходимо понять, каким образом происходит атака на вашу сеть, чтобы можно было спланировать соответствующую защиту. Если вы не знаете, как работают ваши враги, вы не сможете помешать им проникнуть в ваши владения; и никакие меры, предпринятые разработчиком продукта, вас не спасут.
Очень странно слышать разговоры о вреде лишних знаний. Кое-кто считает, что если показывать людям, как можно взломать их системы, то о безопасности можно забыть. Подобное умонастроение можно объяснить только тем, что эти скептики тоже не понимают сути вещей. А может, ими движут более глубинные мотивы. В следующий раз, когда вы услышите от кого-нибудь такую аргументацию, попробуйте выяснить, не предлагает ли ваш собеседник на продажу свои собственные разработки. Вы должны четко формулировать для себя морально-этические нормы безопасности; ведь ваши советчики могут руководствоваться отнюдь не только добрыми намерениями.
Среди других препятствий на пути укрепления безопасности, отмеченных в отчете Института SANS, — отсутствие консенсуса в выборе стандартов на главные приоритеты безопасности и ведомственное сопротивление инициативам, предпринимаемым в сфере безопасности. Осознание и предвидение потенциальных рисков, конечно, помогает определить приоритеты безопасности, но как вы сможете осознать и предвидеть риски, ни разу не увидев своими глазами, в чем они проявляются? Если какая-нибудь картина заслуживает описания в тысячу слов, то предпринятая попытка проникновения тянет на роман.
Ведомственное сопротивление — еще один внушительный барьер, который приходится преодолевать во многих организациях. Такое сопротивление является следствием все того же недостаточного понимания широты и глубины проблемы безопасности. Никакое совещание с руководством, сколько бы оно ни длилось, не даст возможности внятно объяснить, чем чреваты атаки для бизнеса; здесь поможет только наглядная демонстрация.
А что вы думаете по поводу роли, которую могут сыграть просвещение, обучение и сертификация в деле защиты вашей рабочей среды? Напишите нам по адресу cwr@osp.ru.
Стюарт Макклур — президент и технический директор консалтинговой фирмы Foundstone, занимающейся вопросами безопасности; Джоэл Скамбрей — управляющий директор той же фирмы