Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Я спросил Чаппелл, как она попала в сферу ИБ. «Я впервые вышла на арену сетевой криминалистики совершенно случайно. В 1993 году я основала свою компанию и большую часть времени проводила анализ различных корпоративных сетей. Тогда компании были заинтересованы только в устранении неполадок, оптимизации и планировании мощностей. Они никогда не вызывали меня, чтобы поговорить о “безопасности”. <…> Спустя много лет, однако, я подключилась к инфраструктуре компании, только чтобы найти огромные проблемы безопасности и объявить о них по всей сети. Выполняя заказы своих клиентов, я должна была начать поднимать вопрос безопасности для них. Я видела некоторые пакеты и сообщения, которых просто не должно быть в их сетях. Было довольно много случаев, когда я чувствовала, что плохая производительность сети – наименьшая из забот, ведь их грабили прямо под носом. Стало очевидно, что мне нужно вплести “анализ безопасности” в свои задачи сетевого анализа. Мир сетевой криминалистики вышел на первый план. Вот несколько примеров.

В разгар проведения анализа плохо функционирующей сети клиента я стала свидетелем внезапного потока быстрого трафика, направленного к точке выхода из сети. Он исходил из системы, которая должна была быть относительно тихой в то время, так как никто не был зарегистрирован на этом компьютере. Взглянув на поток трафика поближе, я заметила в нем много знаков долларов и долларовых сумм. После повторного анализа я поняла, что у меня в руках вся выручка компании.

Во время анализа в больнице оказалось, что студенты из крупного университета получают доступ к базе данных рецептов – системе, которая содержит не только имена, адреса и номера социального страхования пациентов, но и полную информацию о различных лекарствах, прописанных им. Эта программа была разработана как сеанс анализа в реальном времени для определения причины медленных процессов входа в систему. Как только подозрительный трафик был обнаружен, все изменилось. Это стало тренировкой по обнаружению вредоносного трафика. А остальное уже история».

Я спросил Чаппелл, что больше всего ее интересует в сфере ИБ. Она сказала: «Это большой вопрос. В сетевой криминалистике так много интересных областей. Две наиболее интересных для меня прямо сейчас: ловить автоматизированные фоновые процессы, поскольку они отправляют конфиденциальную и личную информацию незаметно для пользователей, и учить людей настраивать Wireshark, чтобы быстро обнаружить наиболее распространенные симптомы сетевой разведки и атаки. Проект настройки Wireshark – актуальная для меня тема. Создание профиля Wireshark, который может быстро предупредить эксперта об опасности, – отличная особенность. Обучать людей, как использовать его в качестве инструмента сетевой криминалистики, чрезвычайно интересно».

Я спросил Лауру, в чем, по ее мнению, самая большая проблема в сфере ИБ. «Исходя из точки зрения сетевой судебной экспертизы, я должна сказать, что недостаточно компаний понимают, как интегрировать безопасность в различные отделы организации. Я часто обнаруживаю, что людям, которые устанавливают программное обеспечение клиентов, не рекомендуется изучать сетевую безопасность – они просто устанавливают его, и все. Они не делают базовую линию трафика к/от недавно отчеканенной системы. Они не понимают, что такое “нормальный” трафик, поэтому не могут обнаружить “ненормальный”. Им, конечно же, не предоставляется доступ к системе IDS для запуска файлов трассировки. Было бы просто великолепно, если бы сотрудники безопасности в компаниях провели внутреннее перекрестное обучение тому, как нарушаются системы и как предотвратить будущие проблемы. Я знаю, что эти люди заняты, но им нужно распространять знания на другие отделы».

Наконец, я узнал, что она порекомендовала бы людям, интересующимся сферой ИБ в качестве карьеры. «Во-первых, изучите Wireshark, конечно! Шучу… хотя, вообще-то, не шучу. Wireshark – идеальный инструмент понимания того, как работает сеть, к тому же он бесплатный! Он занимает первое место в инструментах безопасности sectools.org. Во-вторых, изучайте TCP/IP очень, очень, очень хорошо. Потратьте время, чтобы захватить свой собственный трафик при подключении к веб-серверу, отправлять электронную почту, загрузить файл через FTP, и т. д. Так вы узнаете, как работают протоколы, смотрите протоколы с помощью Wireshark. Наблюдайте за TCP-квитированием, характером запроса/ответа приложений, процессом разрыва соединения и т. д. В-третьих, создайте простую атакующую лабораторию. Вам не понадобятся какие-то особые компьютеры – просто свяжите некоторые из них вместе с коммутатором и воспользуйтесь бесплатными инструментами сканирования/тестирования на проникновение. Захватите и анализируйте трафик при запуске атак на другие системы. Большинство из нас учатся глазами – видеть ход сканирования гораздо интереснее, чем читать об этом. Сетевая безопасность похожа на двустороннюю монету – вам нужно почувствовать, как работают различные атаки, чтобы знать, как защититься от них.