12.05.2007

–еалии молодого специалиста по »Ѕ

image

»значально данный материал задумывалс€ как едка€ пароди€ на материал јлексе€ Ћукацкого 5 ƒней из жизни CISO, в которой хотелось отразить реалии молодого специалиста по »Ѕ, работающего в современной российском компании средних размеров.

¬место предислови€

Ќайти хорошую работу оказалось непросто – вакансии на job.ru предлагали только должности системных администраторов, занимающихс€ поддержкой пользователей, закупкой картриджей и прокладкой сети, и лишь в последнюю очередь касались защиты информации, поэтому резюме на вакансию специалиста по »Ѕ € отправил сразу же и не без волнени€ ждал результата. —обеседовани€ оказались весьма простыми, на любой вопрос € мог ответить заметно больше, чем спрашивали. »тогом оказалось предложение поработать несколько дней без вс€кого оформлени€, чтобы на деле оценить мои навыки и способности вникать в новый материал.

ƒень 1

ƒл€ начала работы мне выдали пароль локального администратора (к слову, состо€щий из одной цифры) от подключенной в сеть рабочей станции. ¬прочем, лежаща€ в кармане загрузочна€ флешка с chntpw давала уверенность в том, что € мог бы получить его и самосто€тельно  Ќа компьютере оказалось несколько локальных учетных записей, пароли к которым был быстро вскрыты с помощью сервиса rixler.com, где у мен€ уже давно накоплено достаточное количество кредитов. ѕароли оказались состо€щими из нескольких цифр, и мен€ нисколько не удивило, что они же подошли в качестве доменных. Ёто оказались какие-то тестовые учетки, позволившие, однако, зайти в общие папки различных отделов и почитать наход€щиес€ там документы.

Ѕез проблем скачанный и установленный Nessus открыл более ужасную картину –непропатченные сервера на windows 2000, неотключеный snmp на роутерах, критические у€звимости на рабочих станци€х. ћое удивление начальник прокомментировал просто – “ѕодумаешь, патчик не поставили. ћожет из-за него глючить будет, а так все работает”. ѕримерно час ушел на то, чтобы найти эффектный эксплоит дл€ какой-нибудь из найденных у€звимостей. Ќо даже полученный через IIS Printing Protocol шелл с правами Local System на сервере Ѕƒ не впечатлил моих будущих коллег. “Ќу вот, будет тебе чем позаниматьс€”

ƒень 2

ѕо мере освоени€ на новом месте вы€сн€лось много непри€тных особенностей, как-то возможные командировки, большое количество бюрократических проволочек и заполн€емых по любому поводу бумажек, а так же посто€нные проблемы пользователей (большей частью, девушек :), с которыми, суд€ по должностной инструкции, € не должен был общатьс€, но на практике отказывать было неудобно.   этому добавл€лось непонимание начальством того факта, что безопасность – это не разова€ процедура, а посто€нна€ и сложна€ работа.

¬прочем, при€тных моментов тоже хватало. Ќовый домен-контроллер, при установке которого пригодились мои знани€ по win2003, добавил авторитета в глазах коллег. ”становка необходимых патчей на серверах и включение автоматического обновлени€ дл€ рабочих станций дались ценой больших споров, пришлось даже брать на себ€ ответственность за возможные неполадки после обновлений, но отчет сканера у€звимостей стал заметно красивее. Ќа внешнем межсетевого экране были с нул€ переписаны все правила, при получении учетной записи пользователи начали ознакомливливатьс€ с инструкцией безопасности, а старые учетки стали оперативно отключатьс€ и архивироватьс€.

ƒень 3

«а прошедшее врем€ было решено огромное количество интересных задач. ѕо согласованию с √енеральным, часть пользователей, работающих с секретной информацией, были сильно ограничены в возможност€х по ее неконтролируемому переносу – распечатанна€ и пересылаема€ по почте информаци€ стала контролироватьс€, исчезли папки с общим доступом, usb порты стали доступными только на чтение, по€вилс€ учет аппартных и программных средств. ƒл€ доступа в интренет был собран отдельный сервер с опубликованной Opera, что тут же предотвратило как угрозы атак на Internet Explorer, так и возможности утечки информации в сеть.  роме того, посещаемые страницы стали раздел€тьс€ на категории, что позвол€ло более-менее надежно запрещать развлекательные или вредоносные сайты.

Ќа внешнем интернет-адресе поселилс€ honeypot, собиравший информацию об бушующих атаках, а на всех серверах – бесплатна€ HIPS WehnTrust, осуществл€юща€ рандомизацию адресных пространств приложений. Ќа моих скромных тестах она демонстрировала полную защиту от эксплоитов, основанных на переполнени€х буфера.

ƒл€ добавлени€ в сеть новых пользователей по€вилс€ vbs-скрипт, осуществл€вший всю рутинную работу – создание папок, dfs-линка, почтового €щика и т.д. ќн сразу ускорил процесс ввода и уменьшил количество возникающих ошибок. ƒругой скрипт, позвол€вший переименовывать компьютер, привел в пор€док названи€ компьютеров, мен€ющиес€ после ухода сотрудников.

 онечно же, не были упущены и менее оригинальные действи€ по наладке централизованного антивируса, защите беспроводных соединений и ужесточении политики использовани€ паролей.

ƒостаточно много времени ушло на написание политики безопасности. ”вы, этот важный документ осталс€ без должного внимани€ коллег и начальства и лишь зафиксировал мои представлени€ о правильном положении вещей, а не стал руководством к действию. ћен€ успакаивало то, что при желании начальства провести сторонний аудит IT эти документы могут заметно повысить нас в глазах провер€ющих.

“итанического терпени€ потребовал сбор всех программ, которым разрешено запускатьс€ на рабочих станци€х пользователей. «апрещение всего остального через software restriction быстро отсекло игры и самосто€тельно принесенные программы, а в перспективе и часть malware. ”вы, труд пропал зр€, так как посто€нно обновл€ть этот список никто не хотел и постепенно он оброс правилами, разрешавшими запускать все и вс€.

ƒругим невоплощенным планом стал Windows Rights Managent Server, сервис, позвол€вший задавать дл€ любого созданного в word, excel или outlook документа задавать отдельным пользовател€м домена разрешени€ на его открытие, печать или изменение. —ервис работал безупречно, но заставить пользователей при создании документа вдумчиво задавать на него права не получилось.

≈ще одной крупной проблемой были периодическа€ постановка задач начальником, который, на мой взгл€д, не всегда имел адекватное представление о безопасности. ¬ыполн€лись они нехот€ и вызывали кучу ненужных споров.   этому добавл€лись посто€нные требовани€ помочь от пользователей, причем не всегда в уважительной форме.

“ем не менее, € с радостью смотрел вперед в ƒень 4. ѕланы развертывани€ хорошей NIDS, разбиение сети на VLAN и, может быть, когда-нибудь, выделение мен€ в отдельный, подчиненный только директору (или хот€ бы тому, кто не будет совать свой нос :) отдел.

—овершенно неожиданно мне позвонил знакомый, дл€ которого €, еще будучи студентом, выполн€л работу по анализу рисков, и предложил переходить к нему заниматьс€ схожим проектом на посто€нной основе. я поинтересовалc€ у начальника перспективами повышени€ «ѕ и, услышав, что раньше Ќовго √ода поднимать этот вопрос просто неуместно, написал за€вление об уходе. ¬переди была нова€, пока мало исследованна€ область..

PS    »значально данный материал задумывалс€ как едка€ пароди€ на материал јлексе€ Ћукацкого 5 ƒней из жизни CISO, в которой хотелось отразить реалии молодого специалиста по »Ѕ, работающего в современной российском компании средних размеров. ѕри все уважении к мнению ћаэстро, в реальности добитьс€ указанных в его статье полномочий можно только в богатой компании особо крупных размеров с западным менеджементом.  роме того, хотелось указать больше технических деталей. ѕо мере написани€ градус острот снизилс€ и получились просто заметки о жизни безопасника. ѕрошу не судить строго..

PPS    ¬се совпадени€ случайны, все персонажи вымышлены 

јнтон  аржавин
korzh@aport.ru
или введите им€

CAPTCHA
—траницы: 1  2  3  4  5  6  
1
12-05-2007 20:51:57
ѕасиба! –еалии сисадмина на секлабе... +1 !
0 |
13-05-2007 00:10:30
кажетс€ системный администратор и специалист по »Ѕ - немного разные должности?
0 |
1
12-05-2007 20:54:27
ƒл€ того чтобы внедрить все задуманное нужно дл€ начала преобрести вес в компании... и раз за разом показывать плюсы уже зделанных результатов .... часто можно услашыть: "чем проще тем лучше". ќбычно это все как бы плюсик делающему даже без поощерени€.
0 |
1
13-05-2007 15:43:44
пока ты будешь "набирать вес" спокойно может что-нить куда-нить исчезнуть...а обвин€т за бездействие теб€!
0 |
12-05-2007 21:04:24
’от€ проблема дл€ мен€ стоит в полный рост (летом диплом), но стать€ не понравилась.
0 |
13-05-2007 23:08:41
ј зр€, вполне правдоподобна€ стать€, особенно, если "день 1" и далее заменить на "мес€ц 1", или хот€ бы "недел€ 1". Ќе верю €, что специалисту, который работает третий день, дадут курочить бизнес-процессы компании.
0 |
14-05-2007 09:09:27
ѕрадоподобность этой статьи в том "как все плохо"? ¬полне может быть. ј автор что-то пыталс€ сделать? ѕолитику безопасности написал? ѕринес просто пачку бумаги и начальнику на стол - вот мол политика вам. "¬ечером близко к тексту, утром наизусть"? «ачем он вообще эту политику писал? Ќравитс€ ковыр€тьс€ с сет€ми, эксплоитами и т. д.? Ќет желани€/умени€ решать орг. вопросы? «начит и работу нужно искать администратора безопасности (например), а не специалиста по «». ƒругой вопрос, что найти работу довольно сложно.
0 |
12-05-2007 21:14:43
Ќа мен€ уже пародии пишут... ƒожил 1. Ќе совсем пон€тно протипоставление обычного админа из этой статьи и CISO из моей. ¬се равно что сравнивать байдарку "“аймень-2" и океанский лайнер. 2. ћне становитс€ страшно, если "специалист по »Ѕ" начинает первый день с взлома своей сети.  акой он тогда нафиг специалист? ј главное, дл€ чего он это делал? ѕоказать свою крутизну? »ли узнать о парольной политике в компании? ≈сли последнее, то почему нельз€ было изменить настройки ќ— так, чтобы все пользователи при следующем входе в сеть помен€ли пароли и пароли были не менее 8 символов? Ёффект был бы тот же, но свои хакерские наклонности можно было и не демонстрировать. 3. "—пециалист по »Ѕ" занимаетс€ установкой контроллера домена? Ќу-ну. “огда не надо заниматьс€ ерундой - надо было искать вакансию админа. 4. "Ќепри€тные особенности" в виде командировок и бюрократии - это реальность почти любой компании. » не надо льстить себе, что можно найти компанию, где этого нет. ќсобенно с нормальными услови€ми труда дл€ такого крутого специалиста. 5. ѕоловина запланированных "дел" у автора не получилось. Ќо по тексту видно, что автор и не пыталс€ сделать ничего, чтобы доказать свою правоту. Ќичего не получилось и "фиг с ним" - буду новое "интересное" дело делать. ѕотому то у нас так все и происходит, как в статье. "—пециалисты по »Ѕ" ход€т по компани€м в поисках более высокой зарплаты и желают только высокой позиции, отдельного подразделени€, пр€мого подчинени€ генеральному и чтобы никто свой нос не совал...  лассические желание студента или выпускника, не проработавшего и года. 6. ј насчет технических деталей в моей статье вынужден разочаровать автора. CISO не занимаетс€ IPшным стеком, установкой honeypot, написание скриптов, изменением правил на ћ—Ё и т.д.
0 |
12-05-2007 22:47:56
ѕароди€ на парадию - это круто. не становитс€ страшно, если "специалист по »Ѕ" начинает первый день с взлома своей сети. Ѕольша€ часть действий в области »Ѕ (и не только) начинаютс€ с оценки эффективности существующих механизмов. “ак что приведенный в примере г-н вполне толково разыграл карту со слабой парольной политикой и системой разграничени€ доступа, нагл€дно продемонстрировав еЄ недстатки и обосновав необходимость улучшени€. “ак что не надо бо€тс€ но свои хакерские наклонности можно было и не демонстрировать Ќет такой вещи как "хакерские наклонности". ≈сть "навыки по оценке защищенности систем". ¬есьма полезные и востребованные на рынке. „еловек сэкономил компании деньги, провед€ пен-тест самосто€тельно. почему нельз€ было изменить настройки ќ— так, чтобы все пользователи при следующем входе в сеть помен€ли пароли и пароли были не менее 8 символов? Ёфектом подобного действи€ были бы потери в один рабочий день компании и как следствие - первый день работы стал бы последним. »зменение парольной политики это комплекс мер включающий в себ€ в том числе и обучение пользователей. "—пециалист по »Ѕ" занимаетс€ установкой контроллера домена? ”дивлю вас, но даже в подразделени€х крупных компаний "специалистам по »Ѕ" приходитс€ заниматьс€ подобными вещами. Ќе вставл€ть компакт-диск, но например - настраивать DC в соотвествии с политикой безопасности. ѕоловина запланированных "дел" у автора не получилось » не могло получитс€. »бо требовали организации процесса, на что у "специалиста" нет ни полномочий , ни компетенции. ¬ общем "маэстро", урежьте марш.
0 |
13-05-2007 00:13:34
€ думаю пункт 2 отпадает. он хотел показать начальству, что проблему есть, а не "работает и ладно" третий думаю тоже. компани€ € так пон€л оч. маленька€. 5. см. пункт 2. хот€ х3
0 |
Ќе задан ID пользовател€.

14-05-2007 08:31:30
Ќу да... CISO высоко летает, дырок не замечает... ”вы больша€ часть того что вы писали в своей статье возможна, только тогда когда в подчинении у такого CISO наход€тс€ люди описанные в статье  аржавина. ј если у него таких подчиненных нет - это не лайнер, а так блокшив, не более того.
0 |
1
17-05-2007 17:20:54
¬нимательно прочел обе статьи и комменты. г-ну Ћукацкому - сравнение между байдаркой и лайнером не катит. не катит и велосипед с маздой. ј вот аналоги€ двигатель мазды - рычаг переключени€ скоростей вполне. ѕародию нашел - посме€лс€. ќна в том, что скоро в "маздах" »Ѕ компаний останутьс€ одни "рычаги", в свете отсутстви€ претендентов на роль "движка", ввиду €вной непривлекательности данной роли.
0 |
06-06-2007 15:12:20
ѕервое что надо сделать перед тем как защищать обьект-вы€снить где защишать. Ѕыстрый осмотр пространства и первична€ оценка возможны при помощи снифера и сканера портов. ¬сЄ верно делал аффтар. »наче через мес€ц работы начальство может задать вопрос-а что ты сделал дл€ хип-хопа? » потом доказывай что это делал ты.
0 |
1
12-05-2007 22:35:02
’ех, сразу радуют две вещи: - "выделение в отдельный отдел, где никто будет нос сувать" - "”вы, этот важный документ осталс€ без должного внимани€ коллег и начальства и лишь зафиксировал мои представлени€ о правильном положении вещей" ”тЄр скупую слезу. P.S. ¬прочем, дерзай. ≈сли пообтешешьс€ за пару лет, то уже что-то представл€ть из себ€ будешь. Ќу и перечитаешь ещЄ раз свой пост ...
0 |
—траницы: 1  2  3  4  5  6