12.05.2007

Реалии молодого специалиста по ИБ

image

Изначально данный материал задумывался как едкая пародия на материал Алексея Лукацкого 5 Дней из жизни CISO, в которой хотелось отразить реалии молодого специалиста по ИБ, работающего в современной российском компании средних размеров.

Вместо предисловия

Найти хорошую работу оказалось непросто – вакансии на job.ru предлагали только должности системных администраторов, занимающихся поддержкой пользователей, закупкой картриджей и прокладкой сети, и лишь в последнюю очередь касались защиты информации, поэтому резюме на вакансию специалиста по ИБ я отправил сразу же и не без волнения ждал результата. Собеседования оказались весьма простыми, на любой вопрос я мог ответить заметно больше, чем спрашивали. Итогом оказалось предложение поработать несколько дней без всякого оформления, чтобы на деле оценить мои навыки и способности вникать в новый материал.

День 1

Для начала работы мне выдали пароль локального администратора (к слову, состоящий из одной цифры) от подключенной в сеть рабочей станции. Впрочем, лежащая в кармане загрузочная флешка с chntpw давала уверенность в том, что я мог бы получить его и самостоятельно  На компьютере оказалось несколько локальных учетных записей, пароли к которым был быстро вскрыты с помощью сервиса rixler.com, где у меня уже давно накоплено достаточное количество кредитов. Пароли оказались состоящими из нескольких цифр, и меня нисколько не удивило, что они же подошли в качестве доменных. Это оказались какие-то тестовые учетки, позволившие, однако, зайти в общие папки различных отделов и почитать находящиеся там документы.

Без проблем скачанный и установленный Nessus открыл более ужасную картину –непропатченные сервера на windows 2000, неотключеный snmp на роутерах, критические уязвимости на рабочих станциях. Мое удивление начальник прокомментировал просто – “Подумаешь, патчик не поставили. Может из-за него глючить будет, а так все работает”. Примерно час ушел на то, чтобы найти эффектный эксплоит для какой-нибудь из найденных уязвимостей. Но даже полученный через IIS Printing Protocol шелл с правами Local System на сервере БД не впечатлил моих будущих коллег. “Ну вот, будет тебе чем позаниматься”

День 2

По мере освоения на новом месте выяснялось много неприятных особенностей, как-то возможные командировки, большое количество бюрократических проволочек и заполняемых по любому поводу бумажек, а так же постоянные проблемы пользователей (большей частью, девушек :), с которыми, судя по должностной инструкции, я не должен был общаться, но на практике отказывать было неудобно. К этому добавлялось непонимание начальством того факта, что безопасность – это не разовая процедура, а постоянная и сложная работа.

Впрочем, приятных моментов тоже хватало. Новый домен-контроллер, при установке которого пригодились мои знания по win2003, добавил авторитета в глазах коллег. Установка необходимых патчей на серверах и включение автоматического обновления для рабочих станций дались ценой больших споров, пришлось даже брать на себя ответственность за возможные неполадки после обновлений, но отчет сканера уязвимостей стал заметно красивее. На внешнем межсетевого экране были с нуля переписаны все правила, при получении учетной записи пользователи начали ознакомливливаться с инструкцией безопасности, а старые учетки стали оперативно отключаться и архивироваться.

День 3

За прошедшее время было решено огромное количество интересных задач. По согласованию с Генеральным, часть пользователей, работающих с секретной информацией, были сильно ограничены в возможностях по ее неконтролируемому переносу – распечатанная и пересылаемая по почте информация стала контролироваться, исчезли папки с общим доступом, usb порты стали доступными только на чтение, появился учет аппартных и программных средств. Для доступа в интренет был собран отдельный сервер с опубликованной Opera, что тут же предотвратило как угрозы атак на Internet Explorer, так и возможности утечки информации в сеть. Кроме того, посещаемые страницы стали разделяться на категории, что позволяло более-менее надежно запрещать развлекательные или вредоносные сайты.

На внешнем интернет-адресе поселился honeypot, собиравший информацию об бушующих атаках, а на всех серверах – бесплатная HIPS WehnTrust, осуществляющая рандомизацию адресных пространств приложений. На моих скромных тестах она демонстрировала полную защиту от эксплоитов, основанных на переполнениях буфера.

Для добавления в сеть новых пользователей появился vbs-скрипт, осуществлявший всю рутинную работу – создание папок, dfs-линка, почтового ящика и т.д. Он сразу ускорил процесс ввода и уменьшил количество возникающих ошибок. Другой скрипт, позволявший переименовывать компьютер, привел в порядок названия компьютеров, меняющиеся после ухода сотрудников.

Конечно же, не были упущены и менее оригинальные действия по наладке централизованного антивируса, защите беспроводных соединений и ужесточении политики использования паролей.

Достаточно много времени ушло на написание политики безопасности. Увы, этот важный документ остался без должного внимания коллег и начальства и лишь зафиксировал мои представления о правильном положении вещей, а не стал руководством к действию. Меня успакаивало то, что при желании начальства провести сторонний аудит IT эти документы могут заметно повысить нас в глазах проверяющих.

Титанического терпения потребовал сбор всех программ, которым разрешено запускаться на рабочих станциях пользователей. Запрещение всего остального через software restriction быстро отсекло игры и самостоятельно принесенные программы, а в перспективе и часть malware. Увы, труд пропал зря, так как постоянно обновлять этот список никто не хотел и постепенно он оброс правилами, разрешавшими запускать все и вся.

Другим невоплощенным планом стал Windows Rights Managent Server, сервис, позволявший задавать для любого созданного в word, excel или outlook документа задавать отдельным пользователям домена разрешения на его открытие, печать или изменение. Сервис работал безупречно, но заставить пользователей при создании документа вдумчиво задавать на него права не получилось.

Еще одной крупной проблемой были периодическая постановка задач начальником, который, на мой взгляд, не всегда имел адекватное представление о безопасности. Выполнялись они нехотя и вызывали кучу ненужных споров. К этому добавлялись постоянные требования помочь от пользователей, причем не всегда в уважительной форме.

Тем не менее, я с радостью смотрел вперед в День 4. Планы развертывания хорошей NIDS, разбиение сети на VLAN и, может быть, когда-нибудь, выделение меня в отдельный, подчиненный только директору (или хотя бы тому, кто не будет совать свой нос :) отдел.

Совершенно неожиданно мне позвонил знакомый, для которого я, еще будучи студентом, выполнял работу по анализу рисков, и предложил переходить к нему заниматься схожим проектом на постоянной основе. Я поинтересовалcя у начальника перспективами повышения ЗП и, услышав, что раньше Новго Года поднимать этот вопрос просто неуместно, написал заявление об уходе. Впереди была новая, пока мало исследованная область..

PS    Изначально данный материал задумывался как едкая пародия на материал Алексея Лукацкого 5 Дней из жизни CISO, в которой хотелось отразить реалии молодого специалиста по ИБ, работающего в современной российском компании средних размеров. При все уважении к мнению Маэстро, в реальности добиться указанных в его статье полномочий можно только в богатой компании особо крупных размеров с западным менеджементом. Кроме того, хотелось указать больше технических деталей. По мере написания градус острот снизился и получились просто заметки о жизни безопасника. Прошу не судить строго..

PPS    Все совпадения случайны, все персонажи вымышлены 

Антон Каржавин
korzh@aport.ru