Интервью

Каролик Андрей

Спецвыпуск Xakep, номер #045, стр. 045-018-7

Кстати, что касается Windows. Правда ли, что на решениях Microsoft можно построить защищенную от взлома систему?

О: Нет. Обман, пропаганда Билли Гейтса :). Конечно же, можно, в рамках определенного технического задания и сметы. В целом, выбор платформы при построении защищенной системы – далеко не решающий фактор. Более того, обычно он не входит в компетенцию специалиста в области безопасности. То есть ты защищаешь систему на основе каких-то продуктов, а не выбираешь, из чего бы такого "защищенного по умолчанию" ее построить. Я с группой товарищей (3APA3ой и Pig Killer) давно собираюсь организовать конкурс по взлому веб-сервера на основе "непатченного" W2K+IIS 5.0 или W2K3+IIS 6.0, в образовательных целях :).

Что надо сделать для защиты Windows-системы?

О: Для большинства ситуаций достаточно прочитать, осмыслить и выполнить рекомендации, опубликованные на сервере Microsoft (www.microsoft.com/technet/security/default.mspx). Домашнему пользователю вполне хватит рекомендаций типа "Три шага для защиты вашего компьютера" (www.microsoft.com/Rus/Security/Protect/Default.mspx), хотя я бы дополнительно посоветовал либо отказаться от IE, либо выполнить в нем Lockdown зоны безопасности My Computer. Естественно, не стоит слепо следовать любым, даже самым лучшим рекомендациям.

Правда ли, что фаерволы и другие самостоятельные средства защиты скоро исчезнут, а им на смену придут защищенные ОС, маршрутизаторы и т.д., то есть средства защиты станут неотъемлемой частью IT-инфраструктуры?

МК: "Смешно ли это? Ответа нету" (С) Кирпичи. Нельзя забывать о том, что помимо функциональных возможностей существуют вопросы простоты внедрения, администрирования, построения отказоустойчивых дизайнов, необходимость разделения полномочий и т.п. Пример: за серверы отвечает департамент автоматизации, за межсетевые экраны – департамент информационной безопасности. Вопросы: кто будет отвечать за функционирование программных межсетевых экранов, работающих непосредственно на серверах и как построить регламент взаимодействия? Или другой пример: мы знаем, что наши серверы в центре обработки данных не должны обслуживать протокол FTP. У этой задачи два варианта решения. Настраиваем фильтры (межсетевые экраны) на каждом сервере. И сразу всплывает парочка недостатков. Первый из них – фильтрация будет жрать ресурсы сервера, нужные нам для других задач. Второй – изменение политик безопасности будет требовать перенастройки множества серверов, желательно быстро. Установка перед этими серверами межсетевого экрана позволяет поднять производительность и снизить расходы на администрирование. Поэтому особой веры в то, что защищенные операционные системы заменят специализированные средства обеспечения безопасности, нет. А вот интеграцию специализированных средств безопасности непосредственно в сетевую инфраструктуру надо признать свершившейся. Именно это позволяет максимально эффективно реализовать механизмы контроля доступа сразу на границе сети, а также обеспечить построение различных зон безопасности и эффективную защиту центров обработки данных.