То, что вы собираетесь прочитать, не является плодом моего воображения. Здесь собраны описания реальных аудитов. Каждая глава посвящена отдельному аудиту, который я проводила в реальной, живой, функционирующей компании. Если бы я использовала действительные названия компаний, то вы, вероятно, узнали бы среди них своих партнеров по бизнесу.

Конечно, я не использовала действительных названий компаний, имен сотрудников или других участников событий по очевидным юридическим и этическим причинам. Но я привела здесь реальные факты, касающиеся риска и моего подхода к аудиту в каждом конкретном случае.

Читайте внимательно, особенно если вы являетесь руководителем верхнего уровня, линейным менеджером, системным администратором, юристом или профессиональным представителем правоохранительных органов. Описываемые риски являются рисками, которые вы должны себе представлять.

В любом случае реальные риски кроются не только внутри операционных систем. Серьезные риски скрываются в способах установки систем, проведения настройки, технической поддержки и управления. Именно эти факторы главным образом определяют риск для вашей компании.

Указывая на эти риски, я надеюсь, что люди, отвечающие за информацию в сетях, начнут занимать активную и вдумчивую позицию в обеспечении безопасности.

Как устроена эта книга

Хотя все описываемые аудиты являются реальными, я начинаю каждую главу с выдуманной истории, рассказанной от первого лица. Работая в различных компаниях, я начала понимать, что большинство людей станут воспринимать безопасность серьезно только тогда, когда что-либо произойдет с их системами, их информацией и их компанией, — это одна из причин, по которой детское «Я» остается в людях на всю жизнь. Я ввожу читателя в каждую из этих историй для передачи ощущения того, что это может случиться с вашей информацией и с вашей компанией.

В следующем разделе каждой главы описываются действительные риски для безопасности, которые я обнаружила при проведении аудита. В этом разделе также объясняется происхождение этих рисков. Это ведь не происходит так, что не успели вы проснуться утром, как узнали, что защита вашей сети в самовольной отлучке. Бреши в защите обычно образуются по недосмотру или из-за плохого планирования в течение длительного времени. В этом разделе объясняется, каким образом можно дойти до такого состояния.

В последнем разделе каждой главы «Мы пойдем другой дорогой…» вам будет, главным образом, рассказано о том, как избежать подобных проблем. Я надеюсь, что вы прочитаете эти разделы внимательно и близко к сердцу воспримете мои рекомендации.

О хакерах

На протяжении всей книги я использую термин «хакер», чтобы обозначить того, кто получает неавторизованный доступ к системам и информации. Некоторые специалисты используют для этого термин «кракер» (cracker), замечая при этом, что некоторым программистам нравится называть себя «хакерами», в то время как они являются в действительности составителями программ высшей квалификации и не склонны к преступной деятельности. Я все же решила использовать термин «хакер», так как он более распространен за пределами круга экспертов по безопасности, и любому выбравшему эту книгу он будет понятен.

Я присвоила «хакеру» мужской пол, и, хотя им может быть и женщина, я не хотела надоедать, часто употребляя оборот «он или она».

Наконец, эта книга о хакерах, но не для них. Если вы являетесь начинающим хакером (wanna-be), то вам не удастся в этой книге научиться взлому систем. Вам лучше поставить книгу обратно на полку.

Глава 1

Отражение атак

Наступил субботний вечер. Сеть вашей компании была прекрасно спроектирована, отлично работала и еще лучше обслуживалась. Группа по обеспечению безопасности бьла хорошо обучена, а политики и процедуры поддержания безопасности отражены в инструкциях. Но, стремясь поскорее написать эти инструкции (с тем чтобы получить большую премию), вы забыли внести в них процедуру реагирования на инциденты. И пока вы поздравляли себя с отлично проделанной работой, хакер проник в самое чувствительное место системы.

Что делать теперь? Судьба хранящейся в системе информации зависит от того, как быстро вы сможете ответить на этот вопрос (если только на него есть ответ). Сотрудники компании ждут указаний, что им делать, как и когда. Им также нужно знать, к кому обращаться при обнаружении взлома. Иначе ситуация может быстро выйти из-под контроля. Эскалация ответных усилий особенно важна, если масштабы вторжения выходят за рамки знаний, которые есть у группы обеспечения.