По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Телефонная станция Cisco Unified Communications Manager (далее CUCM) является системой обработки вызовов на базе программного обеспечения, разработанного компанией Cisco Systems. Первая версия CUCM была анонсирована в 1997 году, под названием CallManager 1.0. На момент написания статьи последняя и самая актуальная версия - CUCM 10.5. CUCM работает с такими элементами сетей передачи голоса поверх протокола IP (VoIP) как: шлюзы, телефонные аппараты, мосты для конференцсвязи, голосовая почта, видеоконференцсвязью и многими другими.
Чаще всего, для работы с оконечными устройствами CUCM использует собственный протокол сигнализации, разработанный компанией Cisco Systems под названием Skinny Client Control Protocol (SCCP). Помимо собственных разработок, CUCM поддерживает и открытые стандарты, такие как H.323, Media Gateway Control Protocol (MGCP) или Session Initiation Protocol (SIP). Схема работы CUCM приведена рисунке ниже:
На рисунке схематично обозначена схема работы CUCM в рамках корпоративной сети. Пунктирными линиями обозначены Real-time Transport Protocol (RTP) потоки, которые переносят в поле информационной (полезной) нагрузки медиа – данные разговора. Особое внимание следует обратить на расположение линий направления RTP – они проходят напрямую от телефонного аппарата до телефонного аппарата. Телефонная станция CUCM контролирует телефонную сигнализацию, на данном примере, по протоколам SIP/SCCP. Это означает, что если во время разговора CUCM перестанет работать, разговор между абонентами будет продолжен, но такие функции как удержание, трансфер, отбой вызова и другие функции управления вызовом будут не доступны.
Цифровая телефонная станция CUCM выполнена на базе операционной системы Linux с закрытыми правами администратора и с предустановленной базой данных IBM Informix. В совокупности, такой вид операционной системы носит название VOS (voice operating system). Продукт устанавливается пакетом, сначала VOS, а затем само программное обеспечение.
Интерфейс управления цифровой телефонной станцией CUCM выполнен как WEB – приложение, доступное через протокол HyperText Transfer Protocol (HTTP). Интерфейс имеет удобную навигацию по вкладкам, пять разных Graphical user interface (GUI) для сегментации функций администрирования и возможность предоставлять уровни доступа администраторам. Основной интерфейс проиллюстрирован на рисунке:
Как было сказано ранее, CUCM имеет пять различных панелей администрирования:
Cisco Unified CM Administration
Cisco Unified Reporting
Disaster Recovery System
Cisco Unified Serviceability
Cisco Unified OS Administration
Интерфейс Cisco Unified CM Administration – основной интерфейс администратора. Здесь можно настраивать системные настройки, параметры маршрутизации вызовов, настройка медиа – ресурсов, таких как Music On Hold (MOH), параметров интеграции с другими продуктами компании Cisco Systems, конфигурацию телефонных аппаратов, шлюзов, «привратников» (gatekeepers), администрирование групп пользователей и многие другие настройки.
Интерфейс Cisco Unified Reporting обеспечивает доступ к отчетам о работе телефонной станции. Данная консоль отчетности собирает данные с различных системных журналов и предоставляет эту информацию в просто для администратора виде.
Интерфейс Disaster Recovery System (DRS) создан для резервирования конфигурации, или как принято говорить «бэкапа» телефонной станции CUCM. Бэкап может происходить как локально на сервер, так и на удаленные площадки по протоколу SSH File Transfer Protocol (SFTP).
Графический интерфейс Cisco Unified Serviceability предоставляет наблюдение и контроль работоспособности телефонной станции, включая в себя такие настройки как конфигурацию опций оповещения о проблемах в работе CUCM, систему трассировки для обнаружения причин проблем, богатое меню инструментов, в котором можно смотреть отчеты Call Detail Record (CDR). Данный интерфейс позволяет настроить параметры Simple Network Management Protocol (SNMP), созданного для управления и контроля.
Последним в списке интерфейсов значится Cisco Unified OS Administration. Он предназначен для мониторинга аппаратной платформы и различных системных статистических данных, таких как: загруженность центрального процессора, свободного пространства жестких дисков, мониторинга системного времени, информации об IP – адресах, работы в рамках протокола Internet Control Message Protocol (ICMP).
Еще один немаловажный интерфейс, это Command Line Interface (CLI) – консоль. Он удобен для перезагрузки сервиса, например, при недоступности основного графического интерфейса через порт 8080.
Cisco UCM - решение для крупного бизнеса или государственного учреждения
Телефонная станция CUCM это гибкое и масштабируемое решение. Одним из важных преимуществ является возможность кластеризации серверов, или другими словами объединения. В общем случае, в одном кластере может работать до 20 серверов. Среди них только 8 серверов занимаются обработкой вызовов, остальные, это дополнительные сервера предназначенные для расширения функционала кластера (сервисы музыка на удержании, Trivial File Transfer Protocol (TFTP) сервер и многие другие). Работая в кластере, сервера CUCM могут работать с 30 000 абонентами.
При работе в кластере различают два типа серверов – «паблишер» (публикатор) и «сабскрайбер» (подписчики). В данной модели один сервер, который является «паблишером» дублирует базу данных на все остальные сервера, которые являются «сабскрайберами. Схема работы кластера показана на рисунке:
Большое преимущество IP PBX CUCM – это возможность развернуть сервер в виртуальной среде.
Системы виртуализации появились после того, как соотношение эффективности использования одного аппаратного сервера к стоимости данного сервера, с каждым днем стремилось к меньшему и меньшему значению. Виртуализация позволяет делить аппаратные ресурсы сервера между различными приложениями. Например, предприятие покупает аппаратный сервер, для конкретной цели. Системный администратор данной организации устанавливает на него операционную систему на базе Windows, а затем, приложение, для которого был куплен этот сервер. Спустя некоторое время, у организации появилось требование для внедрения в корпоративный контур бизнес – приложений, которые работают на базе Linux. За неимением систем виртуализации, компания сталкивается с новой проблемой – покупкой нового сервера, по причине того, что разнородные операционные системы не смогут существовать на одном и том же аппаратном ресурсе.
При наличии системы виртуализации, компания может установить специальное программное обеспечение «гипервизор» на имеющийся Windows сервер. Гипервизор позволит изолировать друг от друга различные операционные системы на одном и том же сервере, обеспечит безопасность, защиту, целостность данных, предоставит централизованное и удобное управление виртуальным серверным ресурсом компании, а так же множество встроенных средств и инструментов автоматизации, предназначенных для автоматического резервирования данных и конфигурации серверов. Предприятия решит поставленную задачу, оптимизировав расходы на аппаратные сервера.
Преимущества
Выделим основные конкурентные преимущества систем виртуализации
Экономия расходов предприятия на покупке дополнительного сервера.
Экономия места в телекоммуникационной стойке.
Снижение тепловыделения и электропотребления.
«Бесшовное» обновление операционной системы сервера, позволяющее не производить перезагрузку и не останавливать работу приложения.
Централизация управления и администрирования серверов.
Гибкая настройка конфигурации, автоматического резервирования. Создание отказоустойчивости внутренними средствами программного обеспечения гипервизора.
Общий принцип работы систем виртуализации проиллюстрирован на рисунке: Виртуализация CUCM
Ведущие производители систем виртуализации, это такие компании как VMware, Hyper-V, Xen и Citrix Systems.
Все маршрутизаторы добавляют подключенные маршруты. Затем в большинстве сетей используются протоколы динамической маршрутизации, чтобы каждый маршрутизатор изучал остальные маршруты в объединенной сети. Сети используют статические маршруты - маршруты, добавленные в таблицу маршрутизации посредством прямой настройки - гораздо реже, чем динамическая маршрутизация. Однако статические маршруты иногда могут быть полезны, и они также могут быть полезными инструментами обучения.
Статические сетевые маршруты
IOS позволяет назначать отдельные статические маршруты с помощью команды глобальной конфигурации ip route. Каждая команда ip route определяет пункт назначения, который может быть сопоставлен, обычно с идентификатором подсети и маской. Команда также перечисляет инструкции пересылки, обычно перечисляя либо исходящий интерфейс, либо IP-адрес маршрутизатора следующего перехода. Затем IOS берет эту информацию и добавляет этот маршрут в таблицу IP-маршрутизации.
Статический маршрут считается сетевым, когда пункт назначения, указанный в команде ip route, определяет подсеть или всю сеть класса A, B или C. Напротив, маршрут по умолчанию соответствует всем IP-адресам назначения, а маршрут хоста соответствует одному IP-адресу (то есть адресу одного хоста).
В качестве примера сетевого маршрута рассмотрим рисунок 1. На рисунке показаны только детали, относящиеся к статическому сетевому маршруту на R1 для подсети назначения 172.16.2.0/24, которая находится справа. Чтобы создать этот статический сетевой маршрут на R1, R1 настроит идентификатор и маску подсети, а также либо исходящий интерфейс R1 (S0/0/0), либо R2 в качестве IP-адреса маршрутизатора следующего перехода (172.16.4.2).
Схема сети устанавливает соединение между двумя маршрутизаторами R1, R2 и двумя хостами 1 и 2. Порт G0/0 .1 R1 подключен к шлейфу слева, который, в свою очередь, подключен к хосту 1, имеющему подсеть 172.16. 1.9. Интерфейс S0/0/0 R1 последовательно подключен к R2 с IP-адресом 172.16.4.2. Интерфейс G0/0.2 на R2 подключен к шлейфу, который, в свою очередь, подключен к хосту 2 с IP-адресом 172.16.2.0.9. Здесь маршрутизатор R1 предназначен для адреса 172.16.2.0/24 в подсети. Пакеты должны перемещаться либо с интерфейса S0/0/0 маршрутизатора R1, либо с маршрутизатора R2 с IP-адресом 172.16.2.0/24.
В примере 1 показана конфигурация двух примеров статических маршрутов. В частности, он показывает маршруты на маршрутизаторе R1 на рисунке 2 для двух подсетей в правой части рисунка.
При настройке сети маршрутизатор R1 имеет соединение с двумя маршрутизаторами R2 и R3 справа. Интерфейс G0/0 .1 маршрутизатора R1 подключен к заглушке слева и, в свою очередь, подключен к хосту A, имеющему подсеть 172.16.1.9 с маской подсети 172.16.1.0 /24. Справа-интерфейс S0/0/1.1 из R1 с маской подсети 172.16.4.0 / 24 подключается к интерфейсу S0/0/1.2 из R2 с маской подсети 172.16.2.0 / 24 через последовательную линию. Кроме того, интерфейс G0/1/ 0.1 из R1 с маской подсети 172.16.5.0 / 24 подключается к интерфейсу G0/0/0 .3 из R3 с маской подсети 172.16.3.0 / 24 через глобальную сеть. Заглушка подключается к интерфейсу G0/0 .2 из R2, где маска подсети равна 172.16.2.0 / 24 и, в свою очередь, подключена к хосту B, имеющему подсеть 172.16.2.9. Заглушка подключается к интерфейсу G0/0 .3 из R3, где маска подсети равна 172.16.3.0 / 24 и, в свою очередь, подключена к хосту C, имеющему подсеть 172.16.3.9.
ip route 172.16.2.0 255.255.255.0 S0/0/0
ip route 172.16.3.0 255.255.255.0 172.16.5.3
Пример 1 Добавление статических маршрутов в R1
В двух примерах команд ip route показаны два разных стиля инструкций пересылки. Первая команда показывает подсеть 172.16.2.0, маска 255.255.255.0, которая находится в локальной сети рядом с маршрутизатором R2. Эта же первая команда перечисляет интерфейс S0 / 0/0 маршрутизатора R1 как исходящий интерфейс. Этот маршрут в основном гласит: Чтобы отправить пакеты в подсеть с маршрутизатора R2, отправьте их через мой собственный локальный интерфейс S0/0/0 (который подключается к R2).
Второй маршрут имеет такую же логику, за исключением использования различных инструкций пересылки. Вместо того, чтобы ссылаться на исходящий интерфейс R1, он вместо этого перечисляет IP-адрес соседнего маршрутизатора на WAN-канале в качестве маршрутизатора следующего прыжка. Этот маршрут в основном говорит следующее:чтобы отправить пакеты в подсеть с маршрут.
Маршруты, созданные этими двумя командами ip route, на самом деле выглядят немного иначе в таблице IP-маршрутизации по сравнению друг с другом. Оба являются статическими маршрутами. Однако маршрут, который использовал конфигурацию исходящего интерфейса, также отмечается как подключенный маршрут; это всего лишь причуда вывода команды show ip route.
В примере 2 эти два маршрута перечислены с помощью статической команды show ip route. Эта команда выводит подробную информацию не только о статических маршрутах, но также приводит некоторые статистические данные обо всех маршрутах IPv4. Например, в этом примере показаны две строки для двух статических маршрутов, настроенных в примере 2, но статистика утверждает, что этот маршрутизатор имеет маршруты для восьми подсетей.
IOS динамически добавляет и удаляет эти статические маршруты с течением времени в зависимости от того, работает исходящий интерфейс или нет. Например, в этом случае, если интерфейс R1 S0/0/0 выходит из строя, R1 удаляет статический маршрут к 172.16.2.0/24 из таблицы маршрутизации IPv4. Позже, когда интерфейс снова открывается, IOS добавляет маршрут обратно в таблицу маршрутизации.
Обратите внимание, что большинство сайтов используют протокол динамической маршрутизации для изучения всех маршрутов к удаленным подсетям, а не статические маршруты. Однако если протокол динамической маршрутизации не используется, сетевому администратору необходимо настроить статические маршруты для каждой подсети на каждом маршрутизаторе. Например, если бы маршрутизаторы имели только конфигурацию, показанную в примерах до сих пор, ПК А (из рис. 2) не смог бы получать пакеты обратно от ПК В, потому что маршрутизатор R2 не имеет маршрута для подсети ПК А. R2 понадобятся статические маршруты для других подсетей, как и R3.
Наконец, обратите внимание, что статические маршруты, которые будут отправлять пакеты через интерфейс Ethernet - LAN или WAN, - должны использовать параметр IP-адреса следующего перехода в команде ip address, как показано в примере 2. Маршрутизаторы ожидают, что их интерфейсы Ethernet смогут достичь любого количества других IP-адресов в подключенной подсети. Ссылка на маршрутизатор следующего перехода определяет конкретное устройство в подключенной подсети, а ссылка на исходящий интерфейс локального маршрутизатора не определяет конкретный соседний маршрутизатор.
Статические маршруты хоста
Ранее в этой лекции маршрут хоста определялся как маршрут к одному адресу хоста. Для настройки такого статического маршрута команда ip route использует IP-адрес плюс маску 255.255.255.255, чтобы логика сопоставления соответствовала только этому одному адресу.
Сетевой администратор может использовать маршруты хоста для направления пакетов, отправленных одному хосту по одному пути, а весь остальной трафик - в подсеть этого хоста по другому пути. Например, вы можете определить эти два статических маршрута для подсети 10.1.1.0 / 24 и Хоста 10.1.1.9 с двумя различными адресами следующего перехода следующим образом:
ip route 10.1.1.0 255.255.255.0 10.2.2.2
ip route 10.1.1.9 255.255.255.255 10.9.9.9
Обратите внимание, что эти два маршрута перекрываются: пакет, отправленный в 10.1.1.9, который поступает на маршрутизатор, будет соответствовать обоим маршрутам. Когда это происходит, маршрутизаторы используют наиболее конкретный маршрут (то есть маршрут с наибольшей длиной префикса). Таким образом, пакет, отправленный на 10.1.1.9, будет перенаправлен на маршрутизатор следующего прыжка 10.9.9.9, а пакеты, отправленные в другие пункты назначения в подсети 10.1.1.0/24, будут отправлены на маршрутизатор следующего прыжка 10.2.2.2.
Плавающие статические маршруты
Затем рассмотрим случай, когда статический маршрут конкурирует с другими статическими маршрутами или маршрутами, изученными протоколом маршрутизации. То есть команда ip route определяет маршрут к подсети, но маршрутизатор также знает другие статические или динамически изученные маршруты для достижения этой же подсети. В этих случаях маршрутизатор должен сначала решить, какой источник маршрутизации имеет лучшее административное расстояние, а чем меньше, тем лучше, а затем использовать маршрут, полученный от лучшего источника.
Чтобы увидеть, как это работает, рассмотрим пример, проиллюстрированный на рисунке 3, который показывает другую конструкцию, чем в предыдущих примерах, на этот раз с филиалом с двумя каналами WAN: одним очень быстрым каналом Gigabit Ethernet и одним довольно медленным (но дешево) Т1. В этом проекте сеть Open Shortest Path First Version 2 (OSPFv2) по первичному каналу, изучая маршрут для подсети 172.16.2.0/24. R1 также определяет статический маршрут по резервному каналу к той же самой подсети, поэтому R1 должен выбрать, использовать ли статический маршрут или маршрут, полученный с помощью OSPF.
Сетевая диаграмма показывает интерфейс G0 / 0 маршрутизатора R1, который подключен к маршрутизатору R2 через ethernet через облако MPLS. Интерфейс S0 / 0 / 1 R1 соединен с маршрутизатором R3 по последовательной линии. R2 и R3 соединены в ядре облака корпоративной сети, имеющего подсеть 172.16.2.0/24. Маршрутизатор R1 достигает подсети либо по OSPF v1 по основному каналу, либо по статическому маршруту по резервному каналу.
По умолчанию IOS отдает предпочтение статическим маршрутам, чем маршрутам, изученным OSPF. По умолчанию IOS предоставляет статическим маршрутам административное расстояние 1, а маршрутам OSPF-административное расстояние 110. Используя эти значения по умолчанию на рисунке 3, R1 будет использовать T1 для достижения подсети 172.16.2.0 / 24 в этом случае, что не является удачным решением. Вместо этого сетевой администратор предпочитает использовать маршруты, изученные OSPF, по гораздо более быстрому основному каналу и использовать статический маршрут по резервному каналу только по мере необходимости, когда основной канал выходит из строя.
Чтобы отдавать предпочтение маршрутам OSPF, в конфигурации необходимо изменить настройки административного расстояния и использовать то, что многие сетевики называют плавающим статическим маршрутом. Плавающий статический маршрут перемещается в таблицу IP-маршрутизации или перемещается из нее в зависимости от того, существует ли в настоящее время лучший (меньший) маршрут административного расстояния, полученный протоколом маршрутизации. По сути, маршрутизатор игнорирует статический маршрут в то время, когда известен лучший маршрут протокола маршрутизации.
Чтобы реализовать плавающий статический маршрут, вам необходимо использовать параметр в команде ip route, который устанавливает административное расстояние только для этого маршрута, делая значение больше, чем административное расстояние по умолчанию для протокола маршрутизации. Например, команда ip route 172.16.2.0 255.255.255.0 172.16.5.3 130 на маршрутизаторе R1 будет делать именно это - установив административное расстояние статического маршрута равным 130. Пока основной канал остается активным, а OSPF на маршрутизаторе R1 изучает маршрут для 172.16.2.0/24, с административным расстоянием по умолчанию 110, R1 игнорирует статический маршрут.
Наконец, обратите внимание, что хотя команда show ip route перечисляет административное расстояние большинства маршрутов в виде первого из двух чисел в двух скобках, команда show ip route subnet явно указывает административное расстояние. В примере 3 показан образец, соответствующий этому последнему примеру.
Статические маршруты по умолчанию
Когда маршрутизатор пытается маршрутизировать пакет, он может не совпадать с IP-адресом назначения пакета ни с одним маршрутом. Когда это происходит, маршрутизатор обычно просто отбрасывает пакет.
Маршрутизаторы могут быть сконфигурированы таким образом, чтобы они использовали либо статически настроенный, либо динамически изучаемый маршрут по умолчанию. Маршрут по умолчанию соответствует всем пакетам, так что, если пакет не соответствует какому-либо другому более конкретному маршруту в таблице маршрутизации, маршрутизатор может, по крайней мере, переслать пакет на основе маршрута по умолчанию.
Классический пример, когда компании могут использовать статические маршруты по умолчанию в своих корпоративных сетях TCP / IP, - это когда компания имеет много удаленных узлов, каждый из которых имеет одно относительно медленное WAN-соединение. Каждый удаленный узел имеет только один возможный физический маршрут для отправки пакетов в остальную часть сети. Таким образом, вместо использования протокола маршрутизации, который отправляет сообщения по глобальной сети и использует драгоценную полосу пропускания глобальной сети, каждый удаленный маршрутизатор может использовать маршрут по умолчанию, который направляет весь трафик на центральный сайт, как показано на рисунке 4.
Соединение состоит из трех маршрутизаторов: Core, B1 и B1000. Последовательные соединения показаны между маршрутизаторами Core - B1 и Core - B1000. Все эти маршрутизаторы подключены к подсети индивидуально. Маршрутизатор B1 отправляет все нелокальные пакеты в Core через интерфейс S0/0/1. Существует также связь между B1 и B1000.
IOS позволяет настроить статический маршрут по умолчанию, используя специальные значения для полей подсети и маски в команде ip route: 0.0.0.0 и 0.0.0.0. Например, команда ip route 0.0.0.0 0.0.0.0 S0/0/1 создает статический маршрут по умолчанию на маршрутизаторе B1-маршрут, который соответствует всем IP-пакетам-и отправляет эти пакеты через интерфейс S0/0/1.
В примере 4 показан пример статического маршрута по умолчанию с использованием маршрутизатора R2 с рисунка 1. Ранее на этом рисунке вместе с примером 3 был показан маршрутизатор R1 со статическими маршрутами к двум подсетям в правой части рисунка. Пример 4 завершает настройку статических IP-маршрутов путем настройки R2 в правой части рисунка 1 со статическим маршрутом по умолчанию для маршрутизации пакетов обратно к маршрутизаторам в левой части рисунка.
Вывод команды show ip route содержит несколько новых и интересных фактов. Во-первых, он перечисляет маршрут с кодом S, что означает статический, но также со знаком *, что означает, что это кандидат в маршрут по умолчанию. Маршрутизатор может узнать о нескольких маршрутах по умолчанию, и затем маршрутизатор должен выбрать, какой из них использовать; * означает, что это, по крайней мере, кандидат на то, чтобы стать маршрутом по умолчанию. Чуть выше "шлюз последней надежды" относится к выбранному маршруту по умолчанию, который в данном случае является только что настроенным статическим маршрутом с исходящим интерфейсом S0/0/1.
Читая различные статьи и новости, вы можете заметить, что существует множество терминов, которые постоянно используются в обсуждениях информационной безопасности.
Эта статья посвящена изучению различных терминов по безопасности.
Угрозы, уязвимости и эксплойты
Уязвимость определяется как слабое место в системе безопасности или недостаток системы, используя который можно намеренно нарушить целостность, конфиденциальность и/или доступность системы.
Уязвимость может быть результатом ошибок программирования или проектирования системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.
Уязвимость, о которой злоумышленники или специалисты по кибербезопасности узнали раньше чем производитель решения, в котором она обнаружена, называется уязвимостью нулевого дня (0-day, Zero-Day). 0-day уязвимости наиболее опасны для системы и должны устраняться максимально оперативно, чтобы злоумышленники больше не могли их эксплуатировать.
Хакеры, и профессионалы в области кибербезопасности соревнуются друг с другом в поисках уязвимостей в системах. Хакеры всегда ищут слабые места в безопасности, которые позволяют им взломать систему или сеть.
Профессионалы в области кибербезопасности всегда стремятся обнаружить эти недостатки и исправить их, прежде чем хакеры смогут их найти. Исследователи безопасности постоянно работают с поставщиками операционных систем и программного обеспечения, разработчиками приложений и многими другими организациями, чтобы защитить свои продукты от злоумышленников.
Производители многих популярных продуктов, приложений и ОС запускают специальные программы вознаграждения (bug bounty), которые гарантируют денежное вознаграждение исследователям, сообщившим об уязвимости по всем правилам программы. Исследователи, которые занимаются поиском уязвимостей называются bounty-hunter.
Каждый раз, когда обнаруживается новая уязвимость, ей присваивается уникальный идентификатор, который публикуется в базе данных. Эта база данных известна как Common Vulnerabilities and Exposures (CVE). После присвоения номера CVE, сведения об уязвимости обычно публикуются в общей базе cve.mitre.org. Данную базу поддерживает организация MITRE.
Обмен этой информацией помогает другим IT-специалистам реализовать меры по снижению последствий или внести изменения для обеспечения более полной защиты своих систем. Представьте, что ваша компания уже много лет использует решение от поставщика А. Однажды, в этом решении обнаруживается критическая уязвимость, которая еще не исправлена производителем. Об этом узнает ваша IT-команда. Они могут использовать справочный номер CVE для сбора дополнительной информации, найти описание уязвимости, затронутые приложения, затронутые операционные системы, версии решения, которые подвержены уязвимости. Таким образом, если в вашей организации есть это уязвимое решение, ваша команда может реализовать дополнительные меры безопасности для защиты систем и пользователей. Это делается до тех пор, пока поставщик не выпустит обновление безопасности для устранения уязвимости в системе безопасности.
Примером нашумевшей критической уязвимости является EthernalBlue (CVE-2017-0144). Это уязвимость в реализации протокола Microsoft Server Message Block 1.0 (SMBv1) в операционных системах Microsoft Windows. Уязвимость в позволяла злоумышленнику, удаленно получить доступ к системе жертвы и выполнить в ней любой код. Пользуясь данной возможностью 12 мая 2017 года, злоумышленники из группировки Lazarus Group (предположительно спонсируется правительством КНДР) распространили шифровальщик WannaCry на более чем 300 тысячах компьютеров под управлением ОС Windows в 150 странах мира, нанеся ущерб свыше 1$ млрд. Вредоносный код WannaCry зашифровал все файлы на хостах жертв и предлагал заплатить выкуп в биткоинах за ключ на дешифровки.
В настоящее время, киберпреступные группировки, использующие вымогательское ПО (шифровальщики) имеют развитую организационную структуру. Разработчики шифровальщика обычно предоставляют лишь само вредоносное ПО, а распространением, взломом и давлением на жертву занимаются другие злоумышленники, которые купили это ВПО. Такая модель, где обязанности между злоумышленниками четко разделены, называется Ransomware-as-a-Service (RaaS) (Вымогательского по как сервис). Как правило, вымогатели стараются атаковать как можно более крупную организацию (такая атака называется Big Game Hunt). Алгоритм таких атак можно описать следующим образом:
Злоумышленники каким-либо образом (посредством фишинга, украденных учетных данных, уязвимостей и прочего) получают внутренний доступ к сети атакуемой организации;
Затем они ищут и скачивают конфиденциальную информацию, которую можно украсть, чтобы потом шантажировать организацию-жертву публикацией данных материалов;
Затем они по возможности удаляют все резервные копии систем, которые планируют атаковать, чтобы их невозможно было оперативно восстановить;
Затем они разворачивают вымогательское ПО и начинают давить на организацию для получения выкупа;
В случае отказа от организации платить выкуп, они публикуют украденную информацию. Это наносит организации колоссальный репутационный ущерб, в результате которого она даже может закрыться.
Наиболее известные преступные группировки, работающие по модели RaaS:
Хакеры используют эксплойты, чтобы воспользоваться уязвимостью в системе. Эксплойт определяется как вредоносный код или инструмент, который может быть использован для эксплуатация уязвимости в целевой системе или сети. Эксплойты могут быть как локальными, так и удаленными. Локальный эксплойт должен находиться в целевой системе, т.е хакеру нужно будет получить доступ к хосту, а затем выполнить эксплойт в системе. Удаленный эксплойт позволяет хакеру запускать эксплойт по сети, поэтому злоумышленнику не требуется физический доступ к машине жертвы, а нужно просто подключение по сети.
База данных эксплойтов www.exploit-db.com — это база, которую поддерживают создатели Kali Linux, Offensive Security. Она содержит множество эксплойтов, используемых специалистами безопасности для тестирования своих систем.
Специалисты по кибербезопасности используют как индивидуальные специализированные, так и коммерческие инструменты для обнаружения уязвимостей. Существуют специалисты по анализу защищенности (пентестеры), которых специально нанимают для того, чтобы они взломали сеть или системы. Задачей пентестеров является обнаружение и использование всех известных и скрытых уязвимостей на хосте (системе) их Заказчика. Пентестер может использовать такой инструмент, как Metasploit, который представляет собой среду разработки эксплойтов. Metasploit позволяет разрабатывать и запускать эксплойты и и другие вредоносные нагрузки на атакуемой системе.
Злоумышленники могут также автоматизировать свои эксплойты с помощью наборов эксплойтов (exploit kit). Набор эксплойтов - это предварительно упакованный набор вредоносных нагрузок, который обычно загружается на общедоступный сервер, такой как популярный веб-сервер в Интернете. Целью набора эксплойтов является обнаружение любых уязвимостей в системах пользователей, когда они посещают зараженный веб-сервер. Как только набор эксплойтов обнаружит уязвимость, он попытается использовать ее, просто загрузив вредоносный код в систему жертвы и выполнив его. Примером набора эксплойтов является Angler.
Еще один ключевой термин безопасности - угроза. Угроза определяется как все, что может причинить вред активу или создать опасность для него. Примером угрозы может быть как открытый наружу порт удаленного доступа, так и недовольный сотрудник, который намеревается нарушить работоспособность сети организации после своего увольнения из компании. Это намерение сосредоточено на разрушении одного из трех принципов CIA триады: доступности.
Охота за угрозами (Threat Hunting) становится очень популярным видом деятельности в мире кибербезопасности. Она включает в себя проактивный поиск в системах и сетях для обнаружения и смягчения любого типа киберугроз, которые ускользнули от существующих средств и решений безопасности.
Важно, чтобы специалисты по безопасности защищали свою внутреннюю сеть с помощью контрмер так же, как они защищают свою сеть периметра. Контрмера — это средство защиты, предназначенное для смягчения (устранения) потенциальной угрозы. Примером контрмеры является реализация мер безопасности уровня 2, таких как безопасность порта, динамическая проверка ARP (Dynamic ARP Inspection - DAI), контроль доступа к сети (Network Access Control - NAC), отслеживание DHCP (DHCP snooping) и т. д.
Выявление субъектов угрозы
Злоумышленник — это обычно человек или группа людей, которые намерены использовать свои навыки для выполнения противоправных действий в отношении организации, человека или системы. У всех хакеров разные намерения взломать целевые системы, одни взламывают ради развлечения, другие - ради финансовой выгоды.
Ниже приведен список различных типов субъектов угроз и их намерений:
Script kiddie: это тот, кто использует готовые скрипты и инструменты, созданные более опытными хакерами. Этому человеку не хватает реальных технических знаний в области безопасности, которые есть у настоящих хакеров, но он имеет такое же намерение нанести вред системе или сети. Script kiddie могут нанести такой же урон системе, как и настоящие хакеры, даже если им не хватает знаний или навыков. Они могут следовать инструкциям опытного хакера и достигать тех же результатов без полного понимания технических деталей.
Hacktivists: хактивист — это активист с набором навыков хакера. Этот человек использует свои хакерские навыки для достижения политических или социальных целей. Хактивисты используют свои навыки для выполнения таких действий, как повреждение веб-сайтов (deface), кража и утечка конфиденциальной информации в Интернете и т. д. Это их способ протеста. Примером может быть группировка Anonymous.
Инсайдер: в то время как организация проводит тщательную проверку всех потенциальных сотрудников во время собеседования, хакеры также могут притвориться простым и невинным человеком, который заинтересован в трудоустройстве в целевой организации. Цель состоит в том, чтобы получить работу в качестве доверенного сотрудника, а затем, находясь внутри, хакер сможет лучше изучить сеть и системы безопасности изнутри, что облегчит взлом организации. Инсайдером также считается недовольный сотрудник, которым может или уже нанёс какой-либо ущерб организации посредством информационных систем или кражи данных с них. Это - внутренняя угроза.
Организованная преступность: В настоящее время некоторые хакеры работают в группах с намерением использовать свои навыки и ресурсы для получения финансовой выгоды. Каждый человек в организованной преступной группе обычно имеет специализацию и играет определенную роль в команде. Обычно есть лидер, который предоставляет финансовые ресурсы, необходимые группе для приобретения лучших инструментов (как правило в dark/deepweb), чтобы гарантировать, что их атаки на цели будут успешными. К данному типу также можно отнести RaaS-группировки.
Спонсируемые государством (state-sponsored): Этот тип хакеров спонсируется правительством и проводит различные кибероперации в интересах своей страны. К таким операциям чаще всего относиться кибершпионаж или кибератаки против правительственных и частных организаций других стран. Этой группе хакеров обычно доступны лучшие инструменты и оборудование.
Атаки, которые проводят последние два типа группировок также часто называют Advanced Persistent Threat (APT). Атака APT превосходит обычные киберугрозы, так как ориентируется на взлом конкретной цели и готовится на основании информации о ней, собираемой в течение длительного времени. APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных уязвимостей и методов «социальной инженерии».
Поскольку APT-атаки может отслеживать сразу несколько групп исследователей кибербезопасности (как правило - производителей/вендоров решений по кибербезопасности), одна группировка может иметь множество названий.
Примеры известных APT-группировок:
LAZARUS (APT38, Guardians of Peace, Whois Team, HIDDEN COBRA, Zinc) - Северокорейская APT-группировка, ответственная за распространение WannaCry
PLA Unit 61398 (APT 1, Comment Crew, Comment Panda, GIF89a, and Byzantine Candor) - Китайская APT-группировка, занимающаяся кибершпионажем
Charming Kitten ( APT35, Phosphorus, Ajax Security,NewsBeef ) - Иранская APT-группировка
Хакеров, которые используют свой набор навыков для противоправных намерений также называют black hat, а white hat – это хорошие парни в индустрии кибербезопасности, которые используют свои навыки для защиты организаций. Однако есть и gray hat, которые располагаются между white и black hat. Серые хакеры могут использовать свои навыки как для добрых, так и для дурных намерений, например, если они работают специалистом по безопасности и параллельно совершают кибератаки.
Security Operations Center (SOC)
Центр управления безопасностью (Security Operations Center - SOC) - это команда людей, прошедших обучение и имеющих высокую квалификацию в области кибербезопасности. Целью SOC является мониторинг, обнаружение, предотвращение и устранение любых угроз в сети организации. Внутри SOC существует множество процессов, которым необходимо следовать, чтобы каждый аналитик или инженер мог эффективно обрабатывать все данные, которые поступают в SOC от различных сетевых устройств и устройств безопасности. Эти процессы помогают команде SOC лучше отслеживать входящие данные и выявлять любые угрозы, возникающие в организации.
У SOC обычно есть набор процедур, инструментов и утилит, которые постоянно обновляются. По мере появления новых угроз и атак процедуры, инструменты и утилиты могут быть изменены, чтобы обеспечить лучшее оснащение SOC для обработки киберугроз следующего поколения. Модуль Runbook, иногда называемый playbook, используется в SOC, чтобы помочь команде лучше отслеживать процессы реагирования на инциденты в повседневных операциях.
На следующем рисунке показаны компоненты модуля Runbook или playbook SOC:
Многие SOC автоматизируют свои модули Runbook, чтобы сократить время реакции на инциденты безопасности. Этот процесс известен как Runbook Automation (RBA). Многие организации не сразу обнаруживают угрозы или другие формы нарушений безопасности в своей сети. Иногда организации требуется несколько недель или даже месяцев, чтобы обнаружить угрозу в своей сети. Между моментом первоначального взлома и моментом обнаружения хакер или вредоносное ПО могут нанести большой ущерб системам и сетям жертвы. Автоматизируя процессы в SOC, RBA сокращает время между обнаружением и устранением.
Киберкриминалистика (форензика)
Как и следователь, который ловит преступника, эксперт в области безопасности должен правильно собрать доказательства киберпреступления. Для этого он должен приехать на место киберпреступления (в пострадавшую от кибератаки организацию), опросить свидетелей и провести тщательный анализ атакованной сети и ее активов. В зависимости от сложности атаки, эта работа может длиться очень долго, ведь кибератака может включать несколько этапов и в процессе расследования будут обнаруживаться новые пострадавшие активы. Для того, чтобы атакованная компания могла обратиться с суд, эксперт должен предоставить неопровержимые доказательства взлома. Эти доказательства хранятся на атакованных активах (компьютерах, серверах, сетевых устройствах).
Они могут передаваться между несколькими людьми, которые работают над тем же делом. Чтобы гарантировать правильное отслеживание, перемещения доказательств и то, кому они принадлежат, когда они передаются от человека к человеку, используется chain of custody. Термин chain of custody используется во время судебного расследования.
Chain of custody обычно содержит следующие сведения:
Фамилия эксперта
Дата и время получения доказательств
Дело и номер
Номер экземпляра, если имеется несколько частей
Причина, по которой были собраны доказательства
Место нахождения доказательств
Если chain of custody не поддерживается должным образом, доказательства могут быть не приняты в суде. Кроме того, необходимо убедиться, что доказательства никоим образом не изменяются и что они всегда сохраняют свое первоначальное состояние. Эксперты создают копию доказательств и работают только с копией (например, снимают образ диска с атакованного компьютера) чтобы сохранить целостность оригинала. Первое что попросит эксперт, получив задачу на кибекриминалистическое расследование - ничего не трогать до его приезда.
В отрасли существуют различные криминалистические инструменты, которые позволяют следователю получить изображение цифровых доказательств. Вот некоторые из этих инструментов:
Программное обеспечение EnCase для судебной экспертизы
Набор инструментов для криминалистической экспертизы AccessData (AccessData Forensic Toolkit - FTK)
Наконец, при транспортировке любых доказательств из одного места в другое, например, с места преступления в судебно-медицинскую лабораторию, очень важно, чтобы chain of custody также поддерживалась должным образом, чтобы гарантировать, что никакие доказательства не будут подделаны или неправильно обработаны по пути.
Обратная разработка (Reverse engineering)
Reverse engineering - это метод изучения приложения, программного обеспечения или объекта, для определения того, как они на самом деле функционируют и работают. В области кибербезопасности инженер по reverse engineering - это профессионал, который использует свои навыки, чтобы изучить вредоносное ПО, для лучшего понимания того, как обнаруживать и защищать системы от любых будущих атак.
Во время reverse engineering, специалист по безопасности также выполняет анализ вредоносных программ, чтобы узнать и понять влияние и функции этих программ.
В SOC обычно есть люди, специализирующиеся на reverse engineering, которые изучают (исследуют, разбирают) вредоносное ПО после того, как оно было обнаружено и локализовано в сети.
Процесс изучения начинается с локализации вредоносного ПО в сети, например, с удаления всех зараженных систем из сети и создания клона или образа жестких дисков для анализа аналитиком безопасности и специалистом по reverse engineering вредоносных программ.
Специалист по reverse malware отвечает за определение следующих сведений о вредоносном ПО:
Как работает вредоносная программа?
В чем цель вредоносного ПО?
Как распространяется вредоносное ПО?
Ниже приведен алгоритм reverse engineering вредоносных программ:
Изоляция зараженных систем в сети.
Создание образа зараженного компьютера и перемещение его в изолированную сеть.
Выполнение reverse engineering вредоносных программ.
Анализ того, что пытается сделать вредоносная программа.
После того, как вредоносное ПО будет тщательно исследовано, SOC может приступить к внедрению новых контрмер для защиты от этой угрозы в будущем.
Различные инструменты, которые помогают аналитику во время расследования:
Утилиты изучения реестра
Сетевые утилиты
Утилиты изучения изменений файлов
Утилиты отладки и дизассемблера
Персональные данные (ПДн) и персональные данные пациента
Мы живем в мире, где практически невозможно не хранить нашу информацию в системе или сети. Независимо от того, совершаете ли вы покупки в интернет-магазине, совершаете онлайн-транзакцию в своем банке или даже оплачиваете счета за коммунальные услуги онлайн, системы, которые мы используем, чтобы предоставить нам эти возможности, хранят информацию о нас.
При использовании онлайн-банкинга, банку требуются личные данные о вас для создания учетной записи, и эта информация хранится в системе и сети банка. То же самое и с любой организацией в современном мире. В разных странах действуют правила, требующие, чтобы эти системы, сети и информация были защищены законом.
Один тип данных, которые обычно хранят компании о своих клиентах, известен как информация, позволяющая установить личность (Personally Identifiable Information - PII) они же - персональные данные (ПДн). ПДн - это любая информация, которая может использоваться для идентификации личности. Представьте, что вы частый покупатель на одном из популярных интернет-магазинов. Вам необходимо будет создать учетную запись и предоставить некоторую личную информацию о себе, такую как ваше имя, дату рождения и даже номер кредитной карты. Эта информация относится к категории ПДн. ПДн информация всегда должна быть защищена потому, что, если злоумышленник взломал систему и/или сеть, в которых хранятся ваши данные, хакер может украсть вашу информацию и передать ее в darknet или продать ее, позволяя другим злоумышленникам атаковать вас лично. Как бы вы относились к утечке вашей личной информации в Интернете? Думаем, отрицательно.
Ниже приведены примеры ПДн (PII):
Имя
Дата рождения
Номер кредитной карты
Водительское удостоверение
Любые биометрические данные, такие как отпечатки пальцев, геометрия лица и так далее
Девичья фамилия матери
Номер СНИЛС, ИНН
Реквизиты банковского счета
Адрес электронной почты
Номер телефона
Физический адрес проживания
Ниже приведены примеры организаций, которые хранят ПДн о вас:
Медицинские учреждения
Финансовые организации
Государственные учреждения
Медицинские работники всегда хранят информацию о своих пациентах, и эта информация всегда должна быть конфиденциальной и безопасной. Защищенная медицинская информация (Protected Health Information - PHI) - это любая информация, которую медицинское учреждение (организация) хранит о своих пациентах, которая может быть использована для их идентификации.
Ниже приведены примеры PHI:
Имя пациента
Номер телефона
Адрес электронной почты
Адрес проживания
Любые записи медицинских журналах
Номер медицинского полиса, СНИЛС, ИНН
Водительское удостоверение
Биометрические данные о пациенте
Информация о психическом или физическом здоровье пациента
Информация о поставщике медицинских услуг для пациента
Как ПДн (PII), так и PHI являются крайне чувствительной информацией и для их защиты должны использоваться наиболее надежные методы. Утечки такого рода информации сильно бьют по репутации компаний и по доверию к ним со стороны клиентов. Кроме того, в некоторых странах (в том числе в РФ) существуют законы, обязывающие компании серьезно относиться к обработке и защите персональных данных и предусматривающие серьезные наказания в случае нарушения данного законодательства.
Понимание риска
По мере того, как все больше организаций и людей подключают свои системы и частные сети к Интернету, возрастает риск, поскольку многие из этих устройств и сетей уязвимы для большинства кибератак. Риск определяется как возможность причинения вреда или ущерба чему-либо, или кому-либо. В области кибербезопасности очень сложно полностью учесть все возможные риски и угрозы из сети или всей организации.
Важное примечание! По данным Национального института стандартов и технологий (National Institute of Standards and Technology - NIST), Риск = Угроза x Уязвимости x Воздействие.
При расчете риска мы определяем угрозу как все, что имеет намерение использовать уязвимость на целевом объекте. Как мы уже узнали, уязвимость - это слабое место в системе. Поверхность же атаки - это сумма всех слабых мест в целевой системе. Например, чем больше компонентов установлено на сервере, тем больше число потенциально уязвимых мест и, соответственно, поверхность атаки. Воздействие - это фактический ущерб, который будет нанесен цели в случае успеха атаки.
В мире кибербезопасности сложно установить фиксированное числовое значение для каждой из этих переменных. Таким образом, мы понимаем, что риск может существовать в случае нанесения ущерба, который повлиял на конфиденциальность, целостность и/или доступность.
Ниже приведены различные типы рисков, с которыми организации сталкиваются каждый день:
Бизнес-риск: Это потенциальные риски или риски, которые возникают в результате ведения повседневной деятельности. Примером бизнес-риска является то, что конкурент может решить открыть новый филиал рядом с вашей организацией с намерением переманить ваших клиентов.
Риск данных: этот риск возникает, когда данные украдены или скомпрометированы злоумышленником или кибератакой. Примером риска потери данных является возможность заражения программой-вымогателем, которая шифрует все ваши данные и потребует выкуп для дешифрования данных.
Системный риск: Это когда системы, которые используются для обеспечения повседневной работы бизнеса, остаются уязвимыми для кибератак и угроз, таких как вредоносное ПО.
Риск потери данных: этот тип риска существует, когда данные в системе теряются из-за какого-либо сбоя системы. Примером риска потери данных является возможность отказа жесткого диска, на котором хранятся важные файлы и записи.
Инсайдерский риск: Это риск деятельности сотрудника, который намеревается взломать корпоративную сеть и нанести ущерб системам, принадлежащим организации.
Риск приложения: этот тип риска представляет собой потенциальную возможность сбоя важного приложения в корпоративной сети.
Специалисты в области безопасности должны научиться минимизировать поверхность атаки и снизить риск кибератак на любые активы. Чтобы снизить вероятность кибератак, лучше всего сначала идентифицировать все активы внутри организации. Актив - это все, что имеет ценность для компании.
Активы можно разбить на следующие категории:
Материальные активы - это физические объекты, представляющие ценность для организации. Примерами материальных активов являются компьютеры, серверы, сетевые устройства, такие как маршрутизаторы и коммутаторы, устройства безопасности, такие как межсетевые экраны и системы IPS, а также мебель.
Нематериальные активы - это объекты, к которым мы не можем физически прикоснуться. Примерами нематериальных активов являются данные, интеллектуальная собственность, процессы, процедуры и все, что находится в цифровом формате.
Люди: люди, которые являются сотрудниками организации, и данные клиентов также должны быть защищены. Если хакеры смогут обмануть ваших сотрудников в ходе атаки, это может привести к тому, что вся сеть организации будет скомпрометирована.
В мире кибербезопасности угрозы существуют повсюду вокруг нас, и уровень риска увеличивается с каждым днем. Многие организации считают, что все киберугрозы и атаки исходят из Интернета, и, возможно, купят «дорогой» брандмауэр у надежного провайдера в надежде, что он защитит корпоративную сеть.
Как было сказано ранее, это одноуровневый подход, который не защищает от всех киберугроз или атак. Многие организации не осознают или иногда осознают слишком поздно, что более 90% кибератак исходят из их внутренней сети, за устройством безопасности периметра, которое должно было защищать их сеть.
Это может быть инсайдер, который представляет собой злоумышленника, выдающий себя за доверенного сотрудника или недовольный сотрудник, который хочет вывести из строя ИТ-инфраструктуру компании по личным причинам, или не осведомленный сотрудник, который открыл фишинговое письмо и запустил вредоносный файл из вложения или вставил найденную на парковке флешку в корпоративный ноутбук. Защита вашей внутренней сети всегда должна быть не менее важной, чем защита периметра.
Управление рисками
Управление рисками включает в себя процессы, которые используются для определения потенциальных и существующих рисков, которые могут повлиять на организацию, оценку каждого риска и внедрения процессов и процедур для снижения рисков.
Ниже приведены четыре стратегии, используемые для снижения рисков:
Принятие риска: при принятии риска организация признает наличие рисков и не принимает никаких контрмер для снижения или устранения риска. Эта ситуация часто возникает, когда стоимость ущерба от риска не перевешивает затраты на осуществление контрмер и мер безопасности.
Избегание риска: при избегании риска организация идентифицирует любые действия, которые могут создавать риск, и прекращает их, чтобы просто избежать возможности риска.
Передача риска: при наличии риска организация может передать ответственность за управление риском другой организации, например, стороннему поставщику услуг.
Ограничение риска: Ограничение риска обычно представляет собой баланс между принятием и избеганием.
Ниже приведены рекомендации, которые помогут понять, как снизить риск с помощью стратегического подхода:
Определите все уязвимости, которые представляют опасность для организации.
Внедрите технические меры безопасности, чтобы снизить риск использования уязвимостей злоумышленником.
Убедитесь, что технический контроль безопасности не стоит дороже, чем раскрытие или потенциальные финансовые потери, если система будет скомпрометирована.
Следующая диаграмма помогает понять необходимость контроля безопасности:
Когда дело доходит до расчета или измерения вероятности риска, эту концепцию можно разбить на следующие оценки риска:
Количественный риск
Качественный риск
В количественном риске, риск оценивается числовым значением. Например, если в организации есть критически важный сервер приложений, который случайно перестает работать в один прекрасный день, численное значение будет представлять собой финансовые затраты на замену сервера.
Кроме того, ожидаемая продолжительность единичных убытков (Single Loss Expectancy - SLE) может быть рассчитана для одноразового события, в то время как годовая ожидаемая продолжительность убытков (Annual Loss Expectancy - ALE) также может быть рассчитана для общего количества сбоев или инцидентов, произошедших в течение всего года.
Что касается качественного риска, то оценка включает в себя присвоение каждому риску различных уровней риска, таких как критический, высокий, средний и низкий. При этом типе оценки рисков эксперт дает свое мнение о том, какие факторы и риски являются значимыми для организации.
Важным методом, который многие организации используют для выявления уязвимостей и рисков, является проведение теста на проникновение в системы и сети. Тест на проникновение обычно включает в себя работу квалифицированного тестировщика на проникновение (пентестера), который будет имитировать реальные кибератаки на системы и сети компании, которые взаимно и юридически согласованы в правилах взаимодействия.
Цель теста на проникновение состоит в том, чтобы обнаружить все уязвимости на цели и понять, как настоящий хакер сможет скомпрометировать организацию. Если пентестер способен найти эти слабые места в системе безопасности и использовать их, то это может сделать и настоящий хакер со злым умыслом. Организация может использовать эти знания для повышения уровня безопасности своих систем и сетей, чтобы обезопасить себя.
Принцип наименьших привилегий
Чтобы снизить риск внутри компании, существует концепция применения принципа наименьших привилегий к каждому сотруднику или пользователю. Эта концепция означает, что каждому сотруднику должны быть предоставлены только те привилегии, которые ему потребуются для выполнения своих повседневных обязанностей, и не более того. Эта концепция гарантирует, что у пользователя нет привилегий сверх необходимых, так что пользователь не сможет выполнять какие-либо действия в сети или системе, выходящие за рамки его обязанностей.
Другой прием - ротация обязанностей внутри всей организации. Эта концепция заключается в том, что каждый сотрудник чередуется между различными обязанностями в течение определенного периода времени. Например, сотрудник меняет обязанности каждые 4 месяца.
Общей проблемой во многих организациях является то, что один человек обычно выполняет роль и функции на двух или более должностях. Концепция, известная как разделение обязанностей, заключается в том, что человек, который должен вносить изменения в систему, например, изменять конфигурацию брандмауэра, не должен быть тем же лицом, которое одобряет это изменение. Всегда должен быть отдельный человек, который вносит изменение, в то время как другой человек утверждает изменение. Эта концепция предотвращает несанкционированные изменения и контроль системы или сети одним человеком.
Иногда организация может заметить, что сотрудник выполняет неправомерные действия в системах компании. Концепция обязательного отпуска вынуждает подозреваемого сотрудника взять отпуск, и в течение этого времени сотрудник не будет иметь доступа к корпоративной сети. Если неправомерные действия прекратятся во время нахождения подозреваемого сотрудника в отпуске, то становится очевидным, кто выполнял эти действия.