суббота, 24 декабря 2011 г.

Обновлять или не обновлять серверы

Обновлять или не обновлять серверы
Вопрос обновления серверов  встает перед всеми компаниями и тем острее, чем парк серверов больше.  Персонал ИТ и ИБ часто занимают в нем диаметрально противоположные позиции и это понятно. Бизнес и аудиторы тоже добавляют масла в огонь. Вот распространенные позиции каждой стороны:
 ИТ
-  на это нужно много ресурсов, которых нет
-  это может вызвать сбои или отказы
-  и так всё работает (или основное правило админа - не трожь, пока работает)
ИБ
-  уменьшается количество уязвимостей
-  улучшается сопротивляемость  атакам
-  возрастает надежность
Бизнес
-  бизнес-процессы не должны прерываться
Аудитор
-  всё должно обновляться
Основная идея этого поста в том, что как обновление, так и не обновление серверов могут привести к их сбоям или отказам. В случае обновления это может случиться из-за программных ошибок. В случае не обновления – в результате атак. Поэтому лучше, во-первых, минимизировать и принять данные риски, а во-вторых, выполняя обновления сделать процесс потери любых свойств информационной безопасности контролируемым.
Так как же в этом во всем найти компромисс, который будет устраивать все стороны этого процесса? Мне видится следующий путь. В организации далеко не все серверы являются критичными, а также далеко не все подвержены атакам. Имеет смысл выделить первоочередную группу серверов подлежащих обновлениям и включить в них:
-  все серверы из DMZ
-  все серверы, имеющие интерфейсы или port mapping во вне
-  все серверы, по которым есть жесткие compliance требования
В дальнейшем после приобретения практического опыта данная группа может расширяться. Удельные затраты времени на обновления при расширении группы должны будут непременно снижаться в виду отработанности процесса и ставшими стандартными многие операций, да и админы перестанут бояться самого процесса обновлений.
Также хочу обратить внимание на компенсирующие меры для этого процесса. К таким мерам относятся:
-  работа с минимальными привилегиями
-  постоянно запущенный и обновляемый антивирус
-  контроль доступа как физического, так и на всех уровнях модели OSI
-  логирование событий
Мое IMHO заключается в том, что таким образом должны остаться целыми волки и сытыми овцы. :-)

пятница, 16 декабря 2011 г.

Важность контроля учетных записей

Многие, если не все, стандарты по ИБ говорят о необходимости контролировать пользователькие и технологические учетные записи. Для этого вначале необходимо добиться, чтобы любые изменения учеток происходили только по заявкам. Сами заявки нужно где-то учитывать. Таким образом, если возникает вопрос на основании чего был предоставлен доступ можно будет оперативно поднять всю информацию. Далее необходимо держать включенными только учетки работающих сотрудников, периодически проводя ревизии учеток на их актуальность.

А теперь немного юмора. Так бы я сделал, работая сисадмином в Кремле :-)