Но доктор Миллер пытался попасть в Apple, Microsoft или другую компанию, где его энтузиазм и опыт были бы оценены по достоинству. По большей части этого не произошло, по крайней мере так, как он изначально надеялся. Но в итоге он получил работу в Twitter и Uber. Попутно Чарли выдвинул на первый план необходимость в том, чтобы профессиональные искатели ошибок получали возмещение за свои усилия. Он был если не ведущим инициатором, то как минимум очень важной частью этого процесса. Он даже начал кампанию «больше никаких бесплатных патчей». Сегодня почти у каждого крупного разработчика ПО есть платная программа для поиска ошибок, и хорошие искатели ошибок могут найти постоянную, хорошо оплачиваемую, законную работу.
Я спросил доктора Миллера о разочаровании тех дней, когда ему приходилось выполнять работу консультанта, вместо того чтобы найти постоянную работу, соответствующую его опыту и таланту. Он рассказал: «В итоге я стал консультантом-путешественником, а это неплохо для начала карьеры. Это помогает узнать множество компаний, их деятельность и культуру. Мне заплатили за поиск ошибки только один раз, в 2007 году. Это была ошибка, которую я нашел за пределами Pwn2Own. Я быстро обнаружил, что мне нравится выступать на конференциях даже больше, чем получать деньги. Для меня было важнее говорить об этом, делиться с людьми, чем молча зарабатывать».
Если вы посещали какие-либо из его презентаций или конференций, то знаете, что доктор Миллер любит веселить, развлекать и обучать аудиторию. Он сказал мне: «Как только я нахожу где-нибудь пять ошибок, то теряю интерес и двигаюсь дальше». Попутно он обнаружил другие уязвимости безопасности в таких областях, как Near Field Communication (NFC). Он также опубликовал три книги (https://www.amazon.com/Charlie-Miller/e/B0085NZ1PS/), которые охватывают взлом Mac, iOS и фаззинг.
Я закончил свое интервью с доктором Миллером последним вопросом: думает ли он, что автомобили станут достаточно безопасными в ближайшее время? Он ответил: «Автомобили ничем не отличаются от компьютеров, а мы до сих пор не знаем, как их полностью защитить. Автомобили больше похожи на атакуемые сети, поскольку содержат много компьютеров. Дело автомобилей – это особые вопросы физической безопасности. Ставки высоки. Я не могу уберечь вас от столкновений, но могу смягчить удары многими способами. Вы можете возиться с развлекательной системой, но, если мы сделаем все правильно, вам не придется разбираться с тормозами и другими крайне важными системами».
Верный своим ранним скрытным корням в АНБ, он не сказал мне, над чем работает в Uber, но я думаю, что компания и ее пользователи окажутся только в плюсе.
Информация о Чарли Миллере
Более подробную информацию о докторе Чарли Миллере вы можете найти на следующих ресурсах:
• доктор Чарли Миллер в Twitter: https://twitter.com/0xcharlie;
• книги доктора Чарли Миллера: https://www.amazon.com/CharlieMiller/e/B0085NZ1PS/;
• доклад Adventures in Automotive Networks and Control Units: http://illmatics.com/car_hacking.pdf;
• доклад Car Hacking: For Poories: http://illmatics.com/car_hacking_poories.pdf;
• доклад A Survey of Remote Automotive Attack Surfaces: http://illmatics.com/remote%20attack%20surfaces.pdf;
• доклад Remote Exploitation of an Unaltered Passenger Vehicle: http://illmatics.com/Remote%2 °Car%20Hacking.pdf;
• доклад CAN Message Injection: http://illmatics.com/can%2message%20injection.pdf.
37. Политики и стратегия
Я был тем, кто ненавидел политику и стратегию. Мне не нужны были документы. Они лишь замедляют работу. По крайней мере, я так думал.
Спустя десятилетия работы в качестве специалиста по ИБ я, наконец, понял, что без соответствующей политики и рамок ничего никогда не будет сделано. Любой может прекрасно обезопасить небольшое количество компьютеров и устройств. Но вы не сможете защитить больше, чем несколько персональных устройств, и, конечно, компьютеры всей компании, без «правильных» документов. Я изучал стандарты, политику, процедуры, рамки и тех, кто трудится, чтобы правильно определить их. Они действительно настоящие закулисные герои, и без них мы не смогли бы сделать компьютеры значительно более безопасными.
В этой главе я разбиваю документы, касающиеся информационной безопасности, на стандарты, политику, процедуры, рамки и законы.
Примечание. Вы также увидите часто используемые термины «рекомендации» и «практика», но я включил их черты в другие термины, представленные здесь.
Стандарты
Стандарты описаны минимальными нормами, конвенциями, протоколами и требованиями. В мире информационной безопасности стандарты часто передаются в виде утверждений, таких как:
• все критические данные будут зашифрованы во время передачи и хранения;
• минимальные размеры ключа открытого шифра – это 2048 битов для RSA и Diffie-Hellman и 384 бита для ECC;
• пароли должны быть длиной не менее двенадцати символов и содержать не менее двух неалфавитных символов;
• после введения трех неверных паролей в течение пяти минут учетная запись будет заблокирована до тех пор, пока ее не проверит администратор;
• все критические патчи должны быть применены в течение пяти рабочих дней после выпуска вендором;
• все компьютеры должны быть защищены брандмауэром на основе хоста с правилами запрета для входящих подключений.
Стандарт часто представляется в виде политики и далее поддерживается процедурами.
Иногда стандарты становятся правилами, законами или требованиями, которым должно следовать каждое управляемое устройство. В Соединенных Штатах один из крупнейших стандартов, которому должны следовать десятки миллионов компьютеров, – это Базовый уровень конфигурации правительства Соединенных Штатов (https://usgcb.nist.gov/). Стандарты также могут быть разработаны вендором, например базовые показатели Microsoft Security Compliance Manager (https://technet.microsoft.com/en-us/library/cc677002.aspx). Иногда стандарты становятся настолько уважаемыми и надежными, что превращаются в национальные или мировые. Отличный тому пример – почти все, что производит Национальный институт стандартов и технологий (https://www.nist.gov/). И многие компании тратят большое количество денег и ресурсов, пытаясь получить сертификат соответствия стандартам ISO/IEC 27001 (http://www.iso.org/iso/home/standards/managementstandards/iso27001.htm).
Политики
Политика подразумевает принципы принятия решений для достижения намеченных результатов. Часто это могут быть письменные объявления, которые не могут быть легко применены другими средствами. Пример: сотрудники не должны повторно использовать свой пароль в любой другой сети. Хотя компания не может гарантировать, что этого никогда не произойдет, просто написав и сообщив об этом сотрудникам, уменьшается вероятность того, что произойдет нарушение. Кроме того, если нарушение все же будет обнаружено, оно может легко привести к наказанию.
Процедуры
Процедуры – это документированная последовательность шагов, предназначенных для поддержки стандартов и политики, связанных с развертыванием и операциями. Соблюдение процедур обеспечит своевременное и удовлетворительное применение этих ранее заявленных стандартов и политики. Процедуры могут изменяться независимо от политики и стандартов, например если для новой программы требуются другие процедуры.
Фреймворки
Создание стандартов и политики для всего спектра аспектов информационной безопасности с нуля может быть очень сложным. Рамки помогают в этом, демонстрируя обычно поддерживаемые стандарты, политику, форматы и набор инклюзивных тем. Отличный пример рамочной кибербезопасности – NIST’s Cybersecurity Framework (https://www.nist.gov/cyberframework).
Нормативные законы
Стандарты и политика могут быть кодифицированы в правовые нормы и законы. Например, компании, желающие обрабатывать многие распространенные типы кредитных карт, должны следовать стандартам, предусмотренным стандартом безопасности данных Совета по стандартам безопасности индустрии платежных карт (https://www.pcisecuritystandards.org/). Их несоблюдение может привести к приостановке использования кредитных карт или даже юридическим последствиям. Связанные со здравоохранением организации в Соединенных Штатах должны следовать рекомендациям закона о переносимости и подотчетности медицинского страхования (HIPAA). Все компании США должны следовать требованиям закона Сарбейнза-Оксли и так далее.
Глобальные проблемы
А для многонациональных компаний каждая страна может иметь собственный, иногда противоречивый, набор стандартов и политик. Некоторые страны высоко ценят личную жизнь, в то время как другие могут юридически не требовать гарантированной личной жизни. Одна страна может потребовать, чтобы компьютерные системы, популярные в другой стране, использовали меньшие стандарты (например, законы США о криптоэкспорте). Глобальные компании имеют экспоненциально больше вопросов соблюдения, о которых следует беспокоиться.
Поддержка систем
Многие компании сталкиваются с многочисленными, подчас противоречащими друг другу требованиями. Попытка соблюдать единый стандарт может быть очень трудной. По этой причине была создана целая система компаний и инструментов для оказания помощи другим, пытающимся соблюдать один или несколько стандартов или правил. Компании, как правило, имеют отдельные команды и сотрудников, дорогое программное обеспечение и внимание генерального директора. Попытка своевременно соответствовать всем стандартам требует работы специального персонала, всей ИТ-команды и каждого сотрудника, работающего для достижения общих целей соответствия. Соответствие стандартам – это большой бизнес. Последствия несоблюдения могут привести к проблемам, судебным разбирательствам и использованию хакерами известных слабых мест.