Телефонный звонок. Голос на другом конце: «Наша система анализа сетевой безопасности обнаружила подозрительные признаки в вашей сети. Я думаю, вам стоит взглянуть на это прямо сейчас». Мне стало не по себе от предчувствия неприятного разговора с начальством
В течение нескольких лет я консультировал по вопросам информационной безопасности компании, специализирующиеся в области здравоохранения, финансовых служб и высоких технологий. Мне предложили постоянную работу в одной фирме, практически не имеющей отношения к высоким технологиям, и я согласился, посчитав это неплохим вариантом: работа не бей лежачего, да еще и платят регулярно.
Очень скоро стало понятно, что я сильно заблуждался. Прежде я указывал клиентам на проблемы с защитой, а они мне за это платили. Кроме того, я регулярно получал весьма неплохие гонорары за «ликвидацию последствий». Теперь же я нахожусь по другую сторону баррикады. Именно я отвечаю за состояние сети, и консультанты по защите указывают мне на все обнаруженные проблемы. О чем я думал?
Вернемся к телефонному разговору. Мой собеседник был представителем компании, занимающейся вопросами сетевой безопасности. Эту компанию мы пригласили для проведения оценки того, насколько надежна защита нашей информационной системы. Я был вынужден обратиться к услугам этой фирмы, располагая довольно ограниченным бюджетом и жесткими сроками: через неделю мы должны были провести аудит (как внешний, так и внутренний) общего состояния ИТ, так что необходимо было быстро принимать решение.
Производители средств анализа системы безопасности, услугами которых мы пользовались раньше, уделяли основное внимание вопросу контроля доступа и в уже известных уязвимых местах защиты — весьма традиционный подход. На этот раз мне хотелось бы пригласить консультантов, более опытных и профессиональных, чем наши сотрудники.
Я переговорил с представителями нескольких консалтинговых фирм и был крайне разочарован. Однако после того, как я обратился за советом к коллегам, мне посоветовали одну компанию, которая разработала инструментарий на основе решений из разряда Open Source. Мы подписали договор и сразу приступили к работе.
По прошествии нескольких дней, которые ушли на сбор информации и анализ, консультанты обнаружили сотни тысяч подозрительных обращений на сайты по всему миру, многие из которых были абсолютно не объяснимы. Покопавшись в Google, я в итоге выяснил, что эти обращения — дело рук банальных «троянцев».
Я отправился к своей непосредственной начальнице и рассказал ей о результатах, о своей версии происходящего и поделился своим представлением, какой может оказаться атака. Мы также обсудили, стоит ли поделиться этой информацией с руководством или лучше провести более детальные исследования. Осознав, какие нам грозят юридические проблемы, если наша сеть все-таки стала тем самым «плацдармом», мы решили, что прежде, чем обращаться вверх по иерархии компании, имеет смысл получить более точные сведения.
Порты вызова
Анализ настроек сетевого экрана для исходящего трафика подтвердил, что они были вполне разумны и накладывали достаточно жесткие ограничения. Я составил сводную таблицу для сравнения правил работы сетевого экрана с деятельностью известных «троянцев», которые могли использовать имеющиеся у нас порты. В конце концов я сократил список таких «троянцев» до разумного размера. После чего решил, что необходимо сосредоточиться в первую очередь на портах 80 (HTTP) и 25 (SMTP), поскольку именно они чаще всего используются злонамеренным кодом.
Мы применяем технологию Web-фильтрации и надежный антивирусный инструментарий, поэтому я не мог понять, что же происходит. После тщательного анализа выяснилось, что большая часть подозрительной активности связана с определенным сетевым сегментом, где фильтрация не применяется, то есть доступ к подозрительным сайтам здесь не блокируется. Отлично. Я обратился к нашему сетевому архитектору с просьбой реализовать технологию Web-фильтрации в этом сегменте. Он ответил: «Нужно еще два маршрутизатора и несколько недель на установку оборудования». Тупик.
Следующим шагом была попытка идентифицировать и проверить системы, из которых осуществлялся доступ на нелегитимные сайты, но журналы регистрации DHCP по существу оказались бесполезными. Еще один тупик.
Отчет центральной диспетчерской системы антивирусного контроля показал, что были инфицированы сотни систем! Я стал штудировать отчеты месяц за месяцем в поисках признаков вирусной деятельности и убедился, что с января по апрель никакой вспышки вирусов не было. Но в мае ситуация изменилась. С мая по настоящий момент система контроля сообщила о наличии огромного количества вирусов в нашей сети, многие из которых были принесены «троянцами». Это был дурной знак. Я обратился за помощью к менеджеру по операциям центра обработки данных.
В компании-производителе нашей антивирусной системы подтвердили: в мае на основном сервере электронной почты антивирусные службы были отключены из-за повреждения файлов. Потребовалось несколько дней на то, чтобы вернуть системы в корректное состояние. За это время в нашу сеть проникло неизвестное количество вирусов, переносимых почтовыми сообщениями. Очистка «вручную» потребует немало времени и сил. Вот теперь настала пора обратиться к высшему руководству.
За последние несколько недель мне пришлось немало потрепать себе нервы, но положительным во всем этом было то, что неприятные результаты аудита нашей системы информационной безопасности позволили выявить множество проблем. Их необходимо было решить и составить новый бюджет, предусматривающий покупку более качественных инструментов, а также увеличение штата и возможные организационные реформы.
Эта статья написана человеком, который действительно работает менеджером по информационной безопасности. С С. Дж. Келли, чье настоящее имя и компанию мы не называем по понятным причинам, можно связаться по адресу mscjkelly@yahoo.com