Работа: cпециалист по IT-безопасности

Первый день работы специалиста по информационной безопасности… какие обязанности он должен исполнять? Грозят ли ему непрофильные задачи? С какими задачами ему придется столкнуться в своей профессиональной деятельности и как их решать? Как решить этические проблемы контроля деятельности пользователей? На эти и многие другие темы мы побеседуем с широко известным в узких кругах специалистом по it-безопасности Олегом Зайцевым.

Как всегда — ФИО, должность, образование, сертификаты

Зайцев Олег Владимирович, работаю в Смоленскэнерго ведущим инженером-программистом сектора разработки программного обеспечения и по совместительству специалистом по защите информации в службе безопасности. Я закончил в 99-м году кафедру промышленной электроники СФ МЭИ с красным дипломом, с отличием закончил аспирантуру, правда, на защиту диссертации у меня пока не хватает времени. Сертификатов у меня куча – по Oracle, различным языкам программирования, операционным системам. Но, по моему мнению, сертификат не является показателем знания – это больше формальная оценка теории, а не практики.

Вы нашли работу или она вас?

Работа нашла меня :) К моменту моего приема на работу в службу безопасности я уже несколько лет трудился в Смоленскэнерго в должности программиста и параллельно решал задачи по безопасности – построил так называемую «Систему контроля и безопасности», которая являлась ядром всех написанных на Oracle задач, ловил недетектируемые антивирусами программы.

К моменту вступления в должность вы четко представляли себе свои будущие обязанности?

Безусловно. Служба безопасности в Смоленскэнерго организовалась по необходимости (сейчас она называется «Отдел экономической безопасности и режима»). К моменту ее создания был четко известен круг проблем и задач, большинство которых уже решалось и до ее организации.

Какие сведения о своих будущих задачах должен иметь IT-профессионал?

Во-первых, он должен требовать должностную инструкцию, в которой четко прописаны его задачи и обязанности. Но тут возможны подводные камни – специалист может приниматься на стандартную инженерную ставку (например, инженер-программист) со стандартной должностной инструкцией или на ставку безопасника с должностной инструкцией, в которой будет много лишнего. В идеале при приеме на работу название должности звучит так — «специалист по защите информации» со всеми вытекающими из этого последствиями (должностными обязанностями, ответственностью и т.п.). Кроме того, необходимо узнать, требуется ли оформление допуска к информации, представляющей государственную тайну. Если требуется, то, по-хорошему, фирма должна за это доплачивать. Далее необходимо получить информацию о защищаемой сети – сколько компьютеров, серверов, администраторов, как на текущий момент организована защита. Очень важный момент – это степень документированности сети, наличие в фирме организованной системы заявок на предоставление доступа и регламентов на проведение работ по администрированию и конфигурированию серверов. Если это есть, то работа специалиста по защите информации упростится, если нет (а так бывает часто), то все придется начинать с нуля.

В каких документах регламентируются обязанности сотрудника?

Во-первых, в должностной инструкции. Плюс — в положениях о защите информации, коммерческой тайне и документообороте – по сути, изучив их, несложно представить круг задач. Это минимум подобных документов — и без него никак. Положение о коммерческой тайне в основном опирается на действующее законодательство.

Довольно часто безопасника озадачивают различными смежными вопросами — от администрирования сети и БД и до технической поддержки. Это хорошо или плохо? Нужно ли «отбиваться» от подобных задач?

От этого, по моему мнению, лучше не отбиваться. Причина проста – в небольшой фирме обычно нет особой надобности в отдельном сотруднике по обеспечению информационной безопасности. Подобные задачи по совместительству может решать, к примеру, один из администраторов сети. В таком случае не возникает конфликтов и спорных вопросов между администраторами сети и безопасником, что существенно упрощает работу. А вот нагрузка подобного специалиста иными проблемами (сопровождение задач, техподдержка, ремонтные работы) – это, конечно, недопустимо, так как снижает эффективность работы в целом.

Приведите пару примеров того, как тяжело приходится специалисту, который выполняет лишние задачи (из личной практики).

Вот мой личный контр-пример – я являюсь программистом, админом и специалистом по защите информации в одном лице. И это не снижает эффективности работы, а повышает ее. Разрабатывая ядро новой задачи, я сразу продумываю авторизацию, аудит, контроль доступа, меры поиска НСД и т.п., закладываю их в разработку и затем даю программистам «рыбу», на основании которой они строят свои задачи. С другой стороны, я всегда «в теме» — т.е. четко представляю все информационные потоки, где что хранится, как и кем обрабатывается, кто и как получает доступ и т.п. Это изрядно упрощает проведение расследований и проверок. К примеру, второй специалист по защите информации у нас в конторе тоже работает по совместительству ведущим инженером из группы админов сети.

Интимный вопрос — как сейчас распланирован ваш рабочий день?

Явного разделения задач по принципу «программирование», «администрирование», «безопасность» у меня нет. Если возникает инцидент в области безопасности, то, конечно, он приоритетен. Остальное делается автоматически или полуавтоматически. Например, утром один из админов обрабатывает все протоколы интернета за сутки автоматическим анализатором моей разработки. Анализатор фиксирует явные аномалии, на основании которых он отключает пользователей и отсылает к ним бригаду специалистов для решения вопроса на месте. Все это фиксируется в базе данных, и, при необходимости, подключается СБ. Но это бывает примерно в одном случае из десяти. Далее я просматриваю итоговый отчет анализатора, данные о ежедневном мониторинге всех компьютеров, информацию от «ловушек» в сети, информацию о доступе в базу данных и т.п. Это делается полуавтоматически и отнимает примерно 10-15 минут на 400 компьютеров. При обнаружении аномалий предпринимаются некие действия, вот, в принципе, и все.

Уделяете ли вы время масштабным превентивным проверкам ПК в компании с целью предотвращения направленного хищения информации, допустим, недетектированными троянами?

Несомненно. У меня ежедневно ведется исследование всех ПК в сети на предмет появления разных «закладок», троянов и т.п. Эффект от данной операции ощутимый – в месяц на ПК пользователей отлавливается несколько новых недетектируемых антивирусами ITW зловредов. Однако их отлов тесно связан с мониторингом трафика и сетевой активности всех ПК. Обычно цепочка простая: пользователь полез по крекам или «клубничке», предварительно отключив антивирус, и заполучил по полной программе. Причем, что интересно, это делают «продвинутые» пользователи, поскольку имеют необходимые для этого знания и привилегии. Кроме того, я периодически создаю и внедряю в сети разные ловушки, чтобы вовремя отлавливать и брать на заметку не в меру любопытных пользователей.

Как вы относитесь к контролированию действий пользователей (сервисы-скриншотеры, отправляющие снимки/видео экрана на сервер, контроль переписки через корпоративный почтовый сервер и т.д.)?

К контролю экрана и работы пользователя на ПК я отношусь отрицательно. Эффективность низкая, да и возникает вопрос — «кто будет сторожить сторожей?». Кроме того, подобная операция не совсем законна и может расцениваться как вмешательство в личную жизнь. А вот контроль за интернет- перепиской через почтовый сервер ведется и протоколы хранятся пожизненно. Но лично я являюсь противником жесткого контроля. Если сотрудник не безобразничает и не злоупотребляет ресурсами, то большого вреда от его переписки с приятелями или от подписки на гороскоп не будет. Поэтому мы не наказываем за такие дела и не блокируем деятельность до тех пор, пока пользователь не создает потенциальной угрозы для безопасности или не наносит экономического ущерба. Наряду с обработкой данных ведется тотальный аудит, и каждый пользователь знает об этом.

Должен ли специалист по безопасности действовать в тандеме с некоей службой внешней разведки (допустим, для повышения уровня боеготовности при угрозе шпионской акции)?

Обязательно. Самое хорошее – это сотрудничать с коллегами из аналогичных подразделений безопасности других контор. У нас, к примеру, такое сотрудничество налажено, и мы по обоюдной договоренности периодически атакуем друг друга по сети, чтобы проверить уровень защищенности, реакцию систем IDS и персонала.

Каким угрозам вы уделяете больше внимания? Внешним, внутренним, вирусным эпидемиям, направленным акциям или деструктивным действиям, порожденным недостаточным образованием пользователей?

Недостаточная грамотность пользователя, помноженная на его уверенность в собственных «глубоких» познаниях – это самое страшное. Большинство инцидентов в моей практике так или иначе связаны с человеческим фактором. Еще страшнее – это инсайдер, особенно с высокой квалификацией в области компьютерной техники. Эпидемия вирусов при грамотной организации сети и защиты давится достаточно просто и особой угрозы не представляет.

Были ли реальные случаи целевого заражения компьютеров хитрыми троянами (в т.ч. защищенными руткит-технологией) с целью шпионажа? Как выявлялись?

Целевое заражение, как таковое, не наблюдалось, да и реализовать его в наших условиях сложно. Хитрые трояны тоже попадаются редко, и при наличии в фирме команды специалистов и автоматических систем контроля все это ловится и давится в зачатке. Были еще случаи применения спец-программ (руткит-маскировка папок и файлов, применение виртуальных компьютеров и программ для необратимого стирания данных) для сокрытия информации от службы безопасности. Однако данные меры не понадобились – при централизованной регистрации сетевых событий обследование клиентского компьютера практически не требуется, а в случае исследования компьютера в «стационарных» условиях никакой руткит не поможет.

А как быть с «родственниками за компьютером»? На рабочих местах иногда можно увидеть даже детей сотрудников, весьма озабоченных хакерскими настроениями.

В последнее время конкретно у нас таких инцидентов немного, поскольку родители знают о том, что любое хулиганство будет зафиксировано и возникнут неприятности. Причем их знание подкреплено реальными случаями отлова хулиганов и множеством грозных документов с правилами и запретами. А вообще «хулиганящий родственник за компьютером» — это большая опасность, так как работать он будет с правами пользователя и может существенно навредить. Сами пользователи обычно этого не понимают. По моей статистике инциденты такого рода подразделяются на две группы:

1. Ребенок приходит к родителям «скачать рефераты из интернета». Несложно представить, на какие сайты он полезет кроме рефератов – порно, warez и т.п. Последствие – внушительный расход трафика, иногда загрузка вредоносных программ, которые пропускает антивирус.

2. Ребенок или родственник приходит «сделать типовой по программированию». При этом он приносит пару номеров журнала «Хакер», несколько дисков типа «Все для хакера» и, вообразив себя этим самым хакером, начинает безобразничать. Особого вреда он не причинит – прав и знаний не хватит, но его действий обычно достаточно, чтобы поднять специалистов службы безопасности по боевой тревоге.

Борьба с этим явлением проста – жесткие правила и ответственность для пользователя, с указанием, что ему запрещено допускать к ПК посторонних лиц. Плюс пропускная система с регистрацией посетителей и камерами наблюдения, фиксирующими всех входящих и выходящих.

Какие меры наказания вы считаете разумными для таких сотрудников?

Все зависит от нарушения. Пойманного инсайдера или пользователя, который умышленно совершал некие деструктивные действия необходимо как минимум уволить. Это хороший урок нарушителю и пример остальным пользователям. Уголовное дело при таком увольнении обычно не возбуждается, если, конечно, своими действиями вредитель не нанес ущерба фирме. За более мелкие нарушения наказание, соответственно, меньше – отключение от интернета, выговоры и лишения премии за более значимые безобразия.

Как вы относитесь к умеренной самодеятельности? Допустим, если пользователь склонен без помощи устранять мелкие проблемы ПО.

Самодеятельность у нас ненаказуема, и в разумных рамках всячески поощряется. Например, почти все сотрудники имеют возможность устанавливать ПО и настраивать систему. Это снимает нагрузку с админов и упрощает жизнь самим пользователям. Причем угрозы для сети в этом нет – пользователь знает, что за запрещенные действия будет наказание. Плюс у него на компьютере ничего ценного нет, и в случае чего можно просто «перезалить» его систему из образа, который снимается после установки и настройки системы.

Немного футуризма — каких угроз будущего вы опасаетесь? Как насчет квантовых компьютеров, обещающих могучий прирост в плане брутфорса?

Самая страшная угроза – это человек :) Зачем ломать пароли, искать уязвимости и т.п., когда проще подкупить человека, который знает нужные коды и пароли и имеет доступ к информации. Поэтому особой угрозы от техники я не ожидаю. А вот развитие беспроводных сетей и flash-накопителей становится угрозой – это оборудование небольшое по размеру, но позволяет «слить» большой объем информации за короткое время. В таком случае всю информацию придется держать на серверах с доступом по 3-уровневой технологии, и пользователю будет сливать нечего – «видит око да зуб неймет».

Насколько вашей работе помогают решения на основе нейросетей?

Немного помогают – их удобно применять как инструмент нечеткой логики, для анализа событий и детектирования определенных ситуаций. К сожалению, с ними много мороки – нужно готовить обучающие выборки, учить НС, тестировать…

Но я активно применяю нечеткую логику и всевозможные технологии из области ИР (искусственного разума). У меня есть масса книг, затрагивающих это направление, я собрал коллекцию практически всех значимых работ в этой области, да и практический опыт имеется. Самый удачный проект в этом направлении – автоматический стационарный анализатор зловредов.

Ваш персональный антируткит AVZ широко известен. Не пора ли переходить на корпоративные продукты? :)

Я не рассматриваю AVZ как антируткит – это интегрированный инструмент для дистанционного исследования и чистки ПК. Он давно корпоративный – под управлением скриптов он отлично работает в корпоративной среде, у меня он на каждом ПК применяется. Но главное его назначение легко понять из реальной ситуации – предположим, удаленный филиал, связь только по телефону и электронной почте. Есть предположение, что на некоем ПК завелся троян и нужно его проверить. Ехать туда – километров 100-200 в один конец, а пользователь максимум может файл запустить из проводника – вот отсюда и появился AVZ, его скриптовый язык, средства автоматического карантина и прочее.

Блиц-опрос: ваш любимый антивирус, корпоративный файрвол, язык программирования, IDS (здесь можно и просто пофилософствовать, поскольку всем ясно, что однозначных ответов тут может не быть).

По моему мнению, лучше аппаратный файрвол или, по крайней мере, *nix-машина, решающая задачи файрвола и маршрутизации. Из антивирусов – антивирус Касперского (у нас он применяется в разных версиях — локальный, корпоративный, почтовый). По поводу языка программирования я придерживаюсь мнения, что для каждого типа задач удобны определенные языки программирования. Поэтому я знаю и применяю много языков – для программирования клиентских задач мне больше всего нравится Delphi (в нашей компании он является корпоративным стандартом разработки, — очень удобен для построения разных финансово-экономических задач с кучей окошек/менюшек, работающих с Oracle). Для низкоуровневого программирования и в ходе дизассемблирования я постоянно применяю Ассемблер, нередко приходится программировать на C, Java и PHP для web, очень много на SQL и PL/SQL. Плюс C и Ассемблер для ОМК – однокристальных микроконтроллеров.

И, наконец, как, по-вашему, можно сделать работу отдела специалиста по безопасности и отдела ИТ-безопасности максимально комфортной? :)

Главное – разработать и утвердить все необходимые нормативные документы, планы и регламенты. Затем их нужно довести до пользователей, подробно объяснить их суть и смысл и пояснить, что пока они работают в рамках этих правил, отдел безопасности и ИТ-отдел — их друзья. А вот если будут нарушать – то пускай пеняют на себя: тут, как говорится, ничего личного – есть единые для всех правила, и есть служба, призванная следить за их соблюдением. Многие неопытные админы этого не делают – начинают «строить» и гонять пользователей, запрещать или разрешать им что-то без единой политики и утвержденного «свода законов», что приводит к конфликтам, обидам, жалобам друг на друга и т.п. Следующий шаг – упорядочение правил предоставления пользователем доступа к ресурсам сети и разработка соответствующего регламента. Кроме того, очень полезно провести глобальную инвентаризацию сети и всех ресурсов и составить своеобразную базу данных: уяснить, где что хранится и обрабатывается, на каких рабочих местах есть составляющие коммерческую тайну документы, применяется ЭЦП и электронные ключи. Затем необходимо составить прогнозы возможного ущерба в случае хищения информации с каждого из ресурсов, ее сознательного искажения, повреждения, уничтожения или временной недоступности. Такие прогнозы очень полезны для планирования работ и аргументации их перед руководством. Еще один совет начинающему специалисту – необходимо тщательно протоколировать и документировать все расследуемые инциденты, в идеале дублируя результаты в виде базы данных.

Источник

С 2011 года на кафедре «Вычислительных систем и программирования» ИНЖЭКОНа осуществляется набор на направление бакалавриата 090900 «Информационная безопасность» по профилю «Организация и технология защиты информации» на очную и очно-заочную (вечернюю) формы обучения.

Введите e-mail адрес для получения уведомлений о публикации новых постов:

Delivered by FeedBurner

Поделиться в соц. сетях

Автор

Дмитрий Федоров

Редактор сайта, старший преподаватель кафедры вычислительных систем и программирования СПбГЭУ. Сфера интересов: языки программирования (Python, C); гуманитарные аспекты информационной безопасности.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *