Системный администратор: друг или враг?
Первой линией защиты почти каждой организации обычно является системный администратор. Это человек, который ежедневно активно взаимодействует с сетью компании и, следовательно, хорошо знает ее. Так что логично предположить, что этот человек первым заметит какие-либо признаки возможного компромисса, не так ли? К сожалению, это часто не так. Можно только догадываться, связано ли это с отсутствием ИТ-подготовки, самодовольством или ленью.
У нескольких сетей компаний, с которыми я работал, та же история. Все они были скомпрометированы эксплойтами, которые некоторое время были в дикой природе. Другими словами, патч для эксплойта был выпущен и доступен. Почему тогда сисадмин не вышел и не скачал потом не установил этот патч? Неужели это не может быть невежество? Системный администратор — это знающий человек, обладающий специальными знаниями. Если они могут успешно администрировать большую локальную сеть, состоящую из сотен пользователей и дюжины серверов, в чем тогда проблема?
Я слишком занят!
Одна из возможных проблем заключается в том, что администратор просто слишком занят. Хотя, я уверен, они признают, что проще просто зайти на сайт поставщика и получить патч, чем перестраивать всю машину. Это особенно актуально, если это один из ваших критически важных серверов. Это также вызывает вопрос: регулярно ли системный администратор проверяет, что резервные копии действительно работают? Если случится худшее, и вы будете скомпрометированы, действительно ли ваша резервная копия имеет то, что должна иметь? Нет ничего хуже, чем обнаружить, что ваш план резервного копирования на самом деле не работает. Скорее настоятельно, я думаю, вам нужно будет проверить целостность ваших носителей для восстановления. По моему опыту, очень немногие администраторы действительно проверяют свои резервные копии. Неприемлемое упущение, но тем не менее реальность.
Ключевая тема, которую я здесь развиваю, заключается в том, что большая ответственность лежит на плечах администратора. Однако слишком часто по разным причинам не хватает администратора. Что вы тогда делаете, чтобы исправить эту ситуацию? Для меня это было бы легким решением. Как насчет того, чтобы включить подотчетность в должностную инструкцию системного администратора, когда он будет работать с вами? Для меня это было бы самым простым решением, так как это наложило бы ответственность на администратора. Мало того, вы также держите молоток над их головами, если они не выполняют свои обязанности должным образом. В конце концов, это уже не детский сад, и у всех нас есть обязанности, которые нужно выполнять с ожидаемым уровнем профессионализма.
Неужели админ виноват?
Таким образом, у нас есть проблема в том, что системный администратор снова и снова оказывается виноватым. Не только по вине, но и по вопросу, настолько важному для их работы, что это действительно уму непостижимо. Почему они не скачали тот патч производителя! Любой может рассуждать о проблеме, однако желательно, чтобы кто-то также дал возможное решение. Имея это в виду, я бы следил за тем, чтобы мои передовые люди действительно выполняли свою работу должным образом. В конце концов, исправление операционной системы, на которой вы работаете, во многом является работой системного администратора.
После того, как подходящий кандидат на вашу вакантную должность системного администратора найден, вам необходимо просмотреть список его обязанностей. Это то, что нужно записать на бумаге, чтобы потом не было места недоразумениям. В это описание работы включено то, что они будут ежедневно проверять сайт поставщика на наличие любых исправлений или другой информации об операционной системе. То же самое должно быть включено для любых других сторонних приложений, которые им необходимо будет поддерживать. Все сказано и сделано, это отличная политика, и, кроме того, она есть во многих компаниях. Так почему же тогда мы продолжаем видеть у этих же компаний проблемы со старыми эксплойтами? Человеческая природа такая, какая она есть, закрадывается лень, и сайт вендора уже не проверяется. Это или коробка пересобрана, и системный администратор возвращает ее в сеть без патчей, так как они установят их за секунду или две.
Если бы у меня был пятак…
Я не знаю, сколько раз я слышал это, когда ответственного администратора опрашивали постфактум во время расследования инцидента. « Боже, это было в сети всего минуту или две!» Никто на самом деле не ожидает, что системный администратор будет гуру безопасности, но необходимо соблюдать определенные основные правила. Одним из них является хранение всех этих исправлений на компакт-диске, чтобы восстановленная машина могла быть исправлена в автономном режиме. Это похоже на то, как администратор ежедневно проверяет наличие недавно выпущенных системных исправлений. В конце концов, это просто хороший бизнес.
Итак, чтобы завершить все вышеперечисленное, что нужно сделать, чтобы системный администратор всегда был в курсе исправлений? Проще говоря, у меня был бы лист, на котором системный администратор должен был бы расписаться. Подпись этого человека будет свидетельствовать о том, что он каждый день проверял сайт поставщика на наличие исправлений. Не только это, я бы лично попросил их ежедневно проверять списки рассылки. Это помогло бы дать им ситуационную осведомленность, поскольку это влияет на них и их сеть. Имея это в виду, если системный администратор действительно подписался на этом листе, а компания скомпрометирована из-за старого эксплойта, тогда ответ прост. Ты уволен!
Многие из вас, системных администраторов, могут найти это довольно суровым. Реальность такова, что ответственность за системное администрирование практически отсутствует. Если не был предпринят шаг, заключающийся в том, чтобы новый сетевой администратор подписал должностную инструкцию, существует очень мало известных карательных мер, которые может предпринять руководство. Во многих компаниях по-прежнему будет считаться увольнением за то, что они забыли или просто пренебрегли патчами для серверов компании. Сегодня есть много хороших админов, но намного большему числу нужно проявлять большую активность в своих обязанностях. Одним из наиболее важных является обновление программного обеспечения с помощью исправлений.