компании и в какой мере.
Угрозы. Согласно авторитетной классификации NIST, включенной в «Risk Management Guide for Information Technology Systems», категорированию и оценке угроз предшествует непосредственная идентификация их источников. Так, согласно вышеупомянутой классификации, можно выделить следующие основные типы угроз:
¦ природного происхождения (землетрясения, наводнения и т. п.);
¦ исходящие от человека (неавторизованный доступ, сетевые атаки, ошибки пользователей и т. п.);
¦ техногенного происхождения (аварии различного рода, отключение электроснабжения, химическое загрязнение и т. п.).
Вышеописанная классификация может быть далее категорирована более подробно. Так, к самостоятельным категориям источников угроз, происходящим от человека, согласно упомянутой классификации NIST, относятся:
¦ хакеры;
¦ криминальные структуры;
¦ террористы;
¦ компании, занимающиеся промышленным шпионажем;
¦ инсайдеры.
Каждый из перечисленных видов угроз, в свою очередь, должен быть детализирован и оценен по шкале значимости (например, низкий, средний, высокий).
Уязвимости. Очевидно, что анализ угроз должен рассматриваться в тесной связи с уязвимостями исследуемой нами системы. Задачей данного этапа управления рисками является составление перечня возможных уязвимостей системы и категорирование этих уязвимостей с учетом их «силы».
Так, согласно общемировой практике, градацию уязвимостей можно разбить по уровням:
¦ критический;
¦ высокий;
¦ средний;
¦ низкий.
Источниками составления такого перечня/списка уязвимостей могут стать:
¦ общедоступные, регулярно публикуемые списки уязвимостей (к примеру, на www.securityLab.ru);
¦ список уязвимостей, публикуемых производителями ПО;
¦ результаты тестов на проникновение (проводится администратором безопасности внутри компании);
¦ анализ отчетов сканеров уязвимостей (проводится администратором безопасности внутри компании).
В общем случае уязвимости можно классифицировать следующим образом:
¦ уязвимости операционной системы и программного обеспечения (ошибки кода), обнаруженные производителем или независимыми экспертами;
¦ уязвимости системы, связанные с ошибками в администрировании (например, незакрытые межсетевым экраном порты с уязвимыми сервисами, общедоступные незаблокированные сетевые ресурсы C$, D$ и т. д.);
¦ уязвимости, источниками которых могут стать инциденты, непредусмотренные политикой безопасности, а также события стихийного характера.
В качестве яркого примера распространенной уязвимости операционных систем и программного обеспечения можно привести переполнение буфера (buffer overflow). К слову будет сказано, абсолютное большинство из ныне существующих вредоносных программ реализуют класс уязвимостей на переполнение буфера.
Простейшая оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.
Классическая формула оценки рисков:
R = D • P(V),
где R – информационный риск;
D – критичность актива (ущерб);
P(V) – вероятность реализации уязвимости.
7.2. Изменяем настройки по умолчанию. Делаем Windows более безопасной
Не секрет, что одним из «факторов слабости» системы Windows являются ее настройки по умолчанию. Открытые по умолчанию диски, множество непонятно зачем работающих служб и сервисов.
Итак, приступим. Основные правила безопасности следующие.
¦ Работаем не от имени администратора (надеюсь, что вы не забыли о том, что 'вредоносный код может все то, что могут пользователь и служба').
¦ Отключаем ненужные службы через Пуск > Панель управления > Администрирование > Службы (рис. 7.1 и 7.2).
Рис. 7.1. Службы Windows
Рис. 7.2. Управление запуском – все интуитивно просто
Зачем? Все очень просто. Больше работающих служб (имеется в виду связанных с сетью) – больше открытых портов – выше вероятность, что через очередной из этих открытых портов 'вломится' червь или вирус.
¦ Удаляем 'непрошеных гостей' (HelpAssistant и другие 'левые' учетные записи) из списка пользователей (рис 7.3).
Рис. 7.3. Всех «левых» пользователей вон!
¦ В пакете SP2 имеется замечательный инструмент DEP (рис. 7.4). Предотвращение выполнения данных (DEP) используется для предотвращения проникновения на компьютер вирусов и других угроз безопасности, выполняющих вредоносный код из областей памяти, которые должны использоваться только операционной системой Windows и другими программами. В отличие от брандмауэра или антивирусной программы, средство DEP не препятствует установке потенциально опасных программ на компьютер. Однако данное обстоятельство никоим образом не уменьшает значимость данной службы. Если какая-либо программа пытается запустить код (любой код) из защищенной области, DEP закрывает программу и отображает уведомление.
Рис. 7.4. Включаем DEP
ПРИМЕЧАНИЕ
Как было уже сказано выше, говорить о защищенной системе уместно только в контексте многоуровневой защиты, и это факт. К примеру, тот же DEP легко обходится некоторыми продвинутыми техниками, и даже в том случае, если речь идет об аппаратном DEP!
¦ Последний штрих – включаем отображение скрытых файлов и папок, а также системных файлов, снимаем флажок в параметре Скрывать расширения для зарегистрированных типов файлов (рис. 7.5). «Зачем?» – спросят некоторые из читателей. Ответ на этот вопрос приходит сам собой: достаточно вспомнить, к примеру, вирус KESHA, распространяющийся через флэшки в виде скрытого системного файла в скрытой папке Recycled.
Рис. 7.5. Эти три нехитрые настройки могут оказаться весьма и весьма полезными
ВНИМАНИЕ
Некоторые вирусы, распространяющиеся описанным выше способом (KESHA.EXE), дезактивируют настройку отображения скрытых файлов и папок. Выход – удаление вируса из-под чистой среды (например, загрузочный LiveCD).
Вышеперечисленные правила – отнюдь не исчерпывающее руководство по оптимизации безопасности системы, однако в большинстве случаев их оказывается вполне достаточно.
