Взвешенный подход — залог успеха
Анализ риска — не самое любимое занятие для большинства специалистов по информационной безопасности. Предмет этот сух и выглядит слишком искусственным, далеким от переполнений буфера, открытых портов и систем с неустраненными уязвимыми местами.
Так называемые эксперты по анализу информационного риска предложили несколько количественных методик для идентификации ресурсов, нуждающихся в защите, оценки угрозы для этих ресурсов и возможных последствий угрозы. Однако при оценке финансового ущерба от аварий нередки ошибки на порядок величины, что делает эти формулы и методы непригодными для специалистов-практиков. Но чем их заменить?
Трудный выбор
Несмотря не неточности существующих методов оценки риска, фундаментальные, основанные на здравом смысле принципы анализа риска полезны каждому, кто работает в сфере информационной безопасности, особенно когда приходится принимать решение о затратах времени и денег. В первую очередь необходимо признать, что ресурсы ограниченны. Было бы самонадеянно полагать, что можно предотвратить все возможные опасности. Попытки это сделать окажутся медвежьей услугой для предприятия.
Проблема заключается в том, что ресурсы ограниченны, а риск — нет. Следовательно, анализ риска в значительной степени сводится к тому, чтобы поделить пирог ресурсов между различными рисками. Но невозможно сделать правильный выбор, если следовать только за рекламой в средствах массовой информации или руководствоваться идеями шефа, которые меняются еженедельно после прочтения очередной статьи в «Коммерсанте». Тем не менее, соблюдая несколько принципов, основанных на здравом смысле, можно принять решение, которое сэкономит время и деньги.
Инвентаризация ресурсов
Прежде всего необходимо понять, какие ресурсы требуют защиты. Определение ресурсов меняется в зависимости от зоны ответственности специалиста и веса технической составляющей в его служебных обязанностях. Если попросить разных сотрудников одного ИТ-подразделения указать ресурсы, нуждающиеся в защите, то будут получены различные ответы: от конкретных серверов и устройств до баз данных, бизнес-процессов и даже таких абстрактных концепций, как доверительные партнерские отношения. Все эти ответы верны в зависимости от служебного положения сотрудника.
Привязка к ресурсам высокого уровня
Выбирая технический компонент или процесс ИТ-инфраструктуры, нуждающийся в защите, нужно связать низкоуровневый ресурс с соответствующим ресурсом высокого уровня. Например, резервные копии данных потребителей представляют собой технический ресурс, связанный с несколькими ценными бизнес-ресурсами высокого уровня, в том числе с основным процессом выполнения заказов, от которого зависит прибыль предприятия, добрыми отношениями с потребителями, которые доверили предприятию конфиденциальную информацию, и соответствием законодательным актам. С этой точки зрения выделение дополнительных ресурсов для защиты данных потребителей будет оправданным.
Но вряд ли следует делать то же самое для хранилища данных компании. В отличие от базы данных потребителей, в хранилище данных нет персональной информации, она не влияет на процесс выполнения заказов и не обеспечивает серьезной финансовой отдачи при оптимизации цепи поставок.
Привязка к высокоуровневым рискам
Также полезно связать технические риски с высокоуровневыми бизнес-рисками перед тем, как приступать к внедрению контрмер. Этот шаг поможет избежать применения параметров и технологий безопасности только потому, что они существуют, без учета их эффективности.
Например, можно шифровать резервные наборы данных, но для этого обычно требуются дополнительные затраты труда и иногда новые аппаратные средства, если перед шифрованием и записью на ленту данные требуется хранить на диске. Шифрование данных потребителей снижает серьезный риск разглашения строго конфиденциальной информации. Эти меры не обязательно связаны с большими финансовыми затратами, так как небольшую базу данных можно зашифровать на диске и переписать на ленту без применения SAN для промежуточного хранения.
Однако шифрование хранилища данных предприятия может быть пустой тратой ресурсов. Если отказаться от шифрования, то в худшем случае незашифрованные данные бизнес-аналитики могут попасть к конкурентам. Если хранилище данных столь велико, что придется покупать дополнительные устройства памяти для промежуточного хранения, то необоснованность повышенных мер защиты становится очевидной.
Борьба с реальной угрозой
Защита паролей от взлома — идеальный пример нерационального использования ресурсов некоторыми администраторами. Можно потратить время на выбор наиболее эффективных комбинаций символов и длины пароля, которые окажутся неприступными для новейших инструментов взлома или по крайней мере задержат взломщиков. А можно досадовать на легкость, с которой взломщики разгадывают пароли с помощью готовых таблиц гораздо быстрее, чем в прошлом. Мой совет — все продумать, прежде чем тратить большие деньги, и убедиться в реальности угрозы.
Чтобы взломать пароль, взломщику необходимо добыть экземпляр хеша пароля. Обычно для этого нужны административные полномочия или физический доступ к целевой системе. Согласно вечному закону компьютерной безопасности, лицу с административными полномочиями или физическим доступом к системе предоставляется полная свобода действий, и борьба с ним заведомо безнадежна. Попытки помешать злоумышленнику — администратору или человеку, имеющему физический доступ к системе, подобны отсечению одной змеи от головы Медузы Горгоны: можно решить одну проблему, но в действительности их гораздо больше.
Вместо того чтобы тратить ресурсы на создание паролей, которые трудно взломать, лучше защитить учетные записи администраторов и строго контролировать физический доступ к системам, а также предусмотреть другие сценарии, которые могут привести к краже данных, необходимых для взлома пароля. Например, при удачном стечении обстоятельств взломщик может перехватить пакеты, которыми обмениваются стороны в процессе аутентификации. Если в организации болезненно относятся к перехвату данных аутентификации, риск можно смягчить, применив более надежные сетевые протоколы аутентификации, обеспечив физическую недоступность сетевых линий и уменьшив уязвимость сети к перенаправлению протокола ARP.
Разумная мера
Эффективный анализ риска сводится к одному важному положению: затраты на защиту ресурсов не должны превышать их ценности. Конечно, это скользкий путь, так как количественная оценка переменных относится к сфере черной магии, а не науки. Но, понимая связь между низкоуровневыми и высокоуровневыми ресурсами и рисками, взвешивая возможные варианты и вступая в бой лишь в том случае, если победа окупит затраты, можно максимально эффективно использовать ограниченные ресурсы.
Рэнди Франклин Смит - Редактор Windows IT Pro, ведущий инструктор и разработчик курсов для программы по безопасности Windows NT/2000 института MIS Training. Его компания, Monterey Technology Group, занимается консалтингом в области информационной безопасности. Связаться с ним можно по адресу: rsmith@montereytechgroup.com