Большинство программных продуктов, будь то операционные системы, системы управления базами данных, или приложения, поставляются производителями с так называемыми настройками по умолчанию (default settings). И не секрет, что зачастую эти настройки выбраны таким образом, чтобы повысить удобство использования программного обеспечения, а не его безопасность. Это естественно, так как именно удобство использования, а не безопасность, определяет популярность продукта на рынке. По крайней мере, так было до недавнего времени.
Настройки по умолчанию, не измененные администратором после установки ПО или оборудования, могут сослужить хорошую службу злоумышленникам. Многие наверняка слыхали о случаях, когда для получения доступа к тому или иному сайту, почтовому ящику или консоли маршрутизатора взломщику было достаточно перебрать несколько широко известных паролей, устанавливаемых вендором в системе по умолчанию. В ежегодных отчетах консалтинговых фирм, занимающихся реагированием на инциденты информационной безопасности, небезопасная конфигурация оборудования и ПО - причина возникновения внушительной доли всех расследованных взломов.
Конечно же, пароли это не единственный параметр настройки, который администратору следует изменить в ходе настройки новой системы, программы или оборудования. В древности, то есть 15-20 лет назад, знание того, какие параметры следует изменить, приходило к администраторам с опытом, зачастую в результате настоящих взломов, испытанных на собственной шкуре. Позже, как и все хорошее, эти знания начали стандартизировать и издавать подробные руководства по безопасной настройке различных распространенных типов оборудования и софта.
В своей практике я часто обращаюсь к материалам, размещенным на сайте The Center for Internet Security, www.cisecurity.org . Это такая международная организация, членами которой являются другие организации, как государственные, так и коммерческие, пользующиеся авторитетом в области ИТ-безопасности. Например, SANS, Carnegie Mellon University, NASA, NIST, EMC2, IBM, HP, McAfee, Rapid 7, Qualys, Smantec, Tenable etc. На сайте в свободном доступе выложены стандарты по безопасной настройке самых разнообразных продуктов. Также, за дополнительную плату в виде членских взносов, можно получить доступ к автоматическим средствам проверки конфигураций на соответствие этим стандартам.
Также, руководства по безопасной настройки можно найти на сайте NSA.gov . Здесь информации больше, - для настройки некоторых типов продуктов и технологий представлено несколько руководств, - так что есть из чего выбрать.
Документы доступные на этих сайтах не раз сослужили мне добрую службу. Надеюсь, будут полезны и вам.
В своей практике я часто обращаюсь к материалам, размещенным на сайте The Center for Internet Security, www.cisecurity.org . Это такая международная организация, членами которой являются другие организации, как государственные, так и коммерческие, пользующиеся авторитетом в области ИТ-безопасности. Например, SANS, Carnegie Mellon University, NASA, NIST, EMC2, IBM, HP, McAfee, Rapid 7, Qualys, Smantec, Tenable etc. На сайте в свободном доступе выложены стандарты по безопасной настройке самых разнообразных продуктов. Также, за дополнительную плату в виде членских взносов, можно получить доступ к автоматическим средствам проверки конфигураций на соответствие этим стандартам.
Также, руководства по безопасной настройки можно найти на сайте NSA.gov . Здесь информации больше, - для настройки некоторых типов продуктов и технологий представлено несколько руководств, - так что есть из чего выбрать.
Документы доступные на этих сайтах не раз сослужили мне добрую службу. Надеюсь, будут полезны и вам.
