+Один месяц: Незапланированное тестирование безопасности
Drug 10 оставался подключенным к Интернету целый месяц, пока не обнаружилось, что он скомпрометирован взломщиком. Это открытие было сделано совершенно случайно. Его сделала я, когда меня наняли провести профилактический аудит некоторых систем JFC. Без такого счастливого совпадения скомпрометированный сервер мог остаться незамеченным и незащищенным до бесконечности.
Мое участие в этом началось с момента, когда руководство JFC наняло меня для проведения тестирования безопасности нескольких серверов, размещенных в их компьютерном зале. Хотя скомпрометированная система (Drug10) являлась сервером данных, она не была среди систем, которые я должна была тестировать.
JFC наняла меня провести, как они сказали, «выборочный аудит» (spot audit). В некоторых компаниях выборочный аудит проводится для выяснения уровня риска. При его проведении выбирается репрезентативная группа наиболее важных систем. Если аудит показывает, что эти системы подвержены риску, то есть вероятность риска и для остальных систем. Это — ресурсосберегающий подход в тестировании безопасности. Хотя он рангом ниже, чем полный аудит, но определенно лучше простого расчета на удачу (последнюю стратегию безопасности используют гораздо больше компаний, чем вы думаете).
Проблема выборочного аудита заключается в том, что вы сосредоточены только на одном освещенном пятне в темной комнате. Но когда я провожу выборочный аудит, то стараюсь осматривать комнату и вокруг этого пятна.
Аудит, день 1-й: Схемы сети говорят о многом
Я попросила руководство компании подготовить для меня схему сети. Когда я приехала, схема меня уже ждала. Перед началом аудита мне захотелось видеть больше чем список систем и сетевых номеров. Я хотела видеть, куда идут все соединения. Для этого мне была нужна схема текущего состояния сети, которая бы придавала виртуальному миру более осязаемые формы. Я считаю, что схемы сети являются основным элементом в обслуживании сетевых соединений. И если системный администратор говорит мне, что у него нет схемы или что схема у него в голове, то это меня настораживает.
У JFC была отличная схема сети. Глядя на нее, я заметила, что один из серверов базы данных, подключенных к интранет JFC, был также подключен к какой-то другой безымянной сети. Куда шла эта другая сеть? Очевидно, она куда-то уходила, но из схемы было неясно — куда. Одна линия сети, выходящая из сервера, повисала в воздухе и была проведена в том же направлении, что и брандмауэр компании. Из общего вида схемы можно было предположить, что этот сервер был подключен прямо к Интернету.
