Вас не должно удивлять то, что администрирование брандмауэра -
это очень важная работа, которой должно уделяться маскимум времени. В небольших
организациях на эту должность могут взять человека не на полную ставку, но эти
обязанности должны иметь приоритет над другими. В затраты на брандмауэр должны
входить затраты на администрирование брандмауэра; администрирование никогда не
должно быть эпизодическим.
4.3.1 Опыт в системном администрировании
Как уже говорилось в предыдущих разделах, постоянно происходит
большое число проникновений в системы через Интернет, что делает необходимым
наличие в организации высококвалифицированных администраторов, работающих полный
рабочий день. Но есть признаки того, что эта необходимость понимается далеко не
всеми; многие организации плохо администрируют свои системы, и они не являются
безопасными и защищенными от атак. Много системных администраторов работает на
полставки в лучшем случае, и не производят обновления систем при появлении
исправлений ошибок.
Квалификация администратора брандмауэра - критический фактор
для этой должности, так как брандмауэр будет эффективен настолько, насколько
эффективно его администрируют. Если брандмауэр плохо администрируется, он может
стать небезопасным и через него могут быть осуществлены проникновения, в то
время как в организации будет сохраняться иллюзия, что сеть защищена. В политике
безопасности брандмауэра должно быть явно указано на необходимость серьезного
отношения к администрированию брандмауэра. Руководство должно показать, что его
заботит это - и нанаять специалиста на полную ставку, найти деньги на
приобретение брандмауэра и его сопровождение, а также на другие необходимые
ресурсы.
4.3.2 Администрирование систем в сети
Брандмауэр не должен служить оправданием для плохого
администрирования внутренних систем. Фактически дело обстоит наоборот: если
будет осуществлено проникновение в брандмауэр, сеть, которая плохо
администрировалась станет открытой для большого числа атак и в ней потенциально
возможны большие разрушения. Брандмауэр никоим образом не делает ненужным
хорошее системное администрирование.
В то же самое время брандмауэр может позволить сети производить
"предупредительное" администрирование, а не устранение последствий
инцидентов. Так как брандмауэр обеспечивает барьер, сети могут тратить больше
времени на системное администрирование и меньше времени на реагирование на
инциденты и устранение их последствий. Рекомендуется, чтобы организации:
- Стандартизировали версии операционных систем и программ, чтобы можно было
централизованно вносить обновления в них.
- Разработали программу для быстрой установки во всей сети исправлений и новых
программ
- Использовали средства, помогающие осуществлять централизованно
администрирование систем, если это поможет обеспечить большую безопасность.
- Производили периодические сканирования и проверки систем для обнаружения
явных уязвимых мест и ошибок в конфигурации
- Имели гарантии того, что системные администраторы легко могут при
необходимости обмениваться информацией друг с другом для доведения информации о
проблемах с безопасностью, новых исправлениях
4.3.3 Как связаться с группами по борьбе с компьютерными преступлениями
Важным моментом при администрировании брандмауэра и всей сети в
целом является установление связей со специальными группами по борьбе с
компьютерными преступлениями для получения у них помощи. NIST рекомендует, чтобы
организации создавали свои небольшие группы по улаживанию происшествий с
компьютерной безопасностью, которые проводили бы расследование подозрительных
событий и устранение последствий атак, и которые позволяли бы организации быть
постоянно в курсе новых угроз и уязвимых мест. Из-за изменчивой природы угроз и
рисков Интернете важно, чтобы сотрудники, администрирующие брандмауэр, входили в
состав этих групп. Администраторы брандмауэра должны знать о всех новых уязвимых
местах в продуктах, которые они используют, и уметь использовать заранее
описанные технологии их устранения при обнаружении действий злоумышленника.
[Cur92], [Garf92] и [RFC1244] содержат информацию о том, как создать такую
группу и связаться с другими группами. NIST имеет ряд публикаций,
предназначенных специально для создания таких групп [NIST91b].
Посмотрите Приложение для получения
дополнительной информации о том, как связаться с группами по борьбе с
компьютерными преступлениями и Форумом групп по борьбе с компьютерными
преступлениями (Forum of Incident Response and Security Teams - FIRST).
|