Семоникс ИТ-консалтинг

Согласно исследованиям, проведенным компанией Garnter Dataquest компании малого и среднего бизнеса, обеспечивающие информационную безопасность своими силами, с вероятностью 40 процентов подвергнутся успешной хакерской атаке, более того,  половина из пострадавших компаний так и не узнают о том, что они были атакованы.

Почему? Потому что информационная безопасность слишком дорого стоит и требует слишком много времени, поэтому большинство небольших компаний (до 100 человек) не могут обеспечить у себя должный уровень информационной безопасности.

Квалифицированных специалистов сложно найти и их зарплаты непомерно высоки для малого и среднего бизнеса. В результат, забота об информационной безопасности обычно ложится на директора (как будто у него других дел нет), на сотрудника “соображающего” в компьютерах или на дорогостоящего консультанта, который периодически занимается всеми аспектами безопасности, такими как:

• защита от вирусов, червей и шпионского ПО распространяемого по электронной почте;
• проверка всех ноутбуков и удаленных компьютеров для того чтобы только авторизованные пользователи могли получать удаленный доступ к вашей сети;
• обеспечение безопасной связи между офисами;
• защита информации хранимой внутри сети от несанкционированного доступа.

Из-за того, что новые угрозы появляются постоянно вышеприведенные задачи могут занимать очень много времени. Нельзя просто установить антивирус и забыть про него. Нужно постоянно следить за тем, чтобы базы сигнатур обновлялись. Нужно устанавливать обновления, исправляющие уязвимости в операционных системах, базах данных, приложениях и другом ПО на всех ваших серверах, персональных компьютера и ноутбуках. Нужно обновлять ПО и настройки на межсетевых экранах (МЭ). И это далеко не полный список всех необходимых мероприятий. Защита бизнеса требует постоянного внимания и действий, а времени на это обычно не хватает.

Многие недооценивают важность информационной безопасности. Подумайте о проблемах, которые могут возникнуть если сеть (локальная и подключение к Интернет) будет недоступна в результате вирусной атаки.  Подумайте о потенциальном ущербе вашей репутации в результате утечки конфиденциальных данных клиентов (особенно, если вы работаете в области здравоохранения или страхования).

На сегодняшний день типы угроз безопасности не зависят от размера компании, поэтому малые и средние компании вынуждены решать те же задачи, что и крупные, стой лишь разницей что ресурсы, необходимые для их решения, отсутствуют.  Выход есть! Можно воспользоваться помощью провайдеров услуг безопасности (MSSP).  Кто это такие? Это компании, которые предоставляют набор сервисов для поддержания информационной безопасности.

• Аудит информационной безопасности и разработка политики информационной безопасности;
• Установка оборудования для реализации политики безопасности. Разработка сетевой инфраструктуры, настройка фаерволов, маршрутизаторов и VPN;
• Абонентское обслуживание, включающее в себя обеспечение безопасного удаленного доступа, сетевой безопасности, антивирусную защиту, обнаружение вторжений, защиту от спама, резервное копирование и фильтрацию web-контента;
• Мониторинг журналов регистрации событий, реагирование на нештатные ситуации;
• Автоматическое обновление ПО, обслуживание ОС, установка обновлений безопасности, контроль обновления антивируса.

Преимущества аутсорсинга

Работа с аутсорсинговой компанией позволяет небольшим компаниям достичь более высокого уровня безопасности, чем работая своими силами. Примите во внимание следующее:

• Сфокусируйтесь на своем бизнесе. Аутсорсинг позволяет вашему персоналу заниматься непосредственно работой, вместо того чтобы решать проблемы с информационными технологиями. Из-за того, что большинство небольших компаний не имеют ресурсов для управления IT или используют сотрудников “по-совместительству”  страдают продажи, работа с клиентами и предоставление других услуг.
• Снижение затрат. Передача информационной безопасности на аутсорсинг дает вам доступ к технологиям и методикам защиты, используемых в больших компаниях,  по приемлемой цене. Расходы ниже, чем при найме специалиста по безопасности.
• Возможность круглосуточной поддержки. Если ваши штатные сотрудники обычно доступны только в рабочее время, то в остальное время вы уязвимы. Во многих случаях аутсрорсер предлагает круглосуточную поддержку. Также аутсорсер предоставляет вам доступ к экспертам по информационной безопасности без необходимости нести затраты на найм, обучение и удержание у себя таких специалистов.

Подумайте, возможно это как раз то, что вам нужно?

(c) Semonix

В мире чуть более 1.5 миллиарда пользователей компьютеров, почти все из них используют Интернет.

С 1995 года число пользователей Интернет увеличилось в почти в 100 раз.

Все мировые центры обработки данных ежегодно потребляют столько электроэнергии, сколько Швеция.

Чем больше информации обрабатывается, тем больше требуется дискового пространства. К счастью, производители жестких дисков не стоят на месте: объем жестких дисков постоянно увеличивается, а стоимость одного гигабайта - снижается.

В 2007 году Hitachi выпустила первый диск объемом в 1 терабайт, стоимостью в районе 880 долларов. Таким образом цена хранения одного гигабайта данных составила 88 центов. Для сравнения: в 1998 году один гигабайт стоил 228 долларов.

Сейчас, существуют прогнозы, что к 2014 году появятся жесткие диски размером 1 петабайт приблизительной стоимостью $750.

Петебайт это - 1000 гигабайт.  Но лучше перейти от абстрактных чисел к реальным примерам:

• 1 петабайт - 13 лет видео в формате HD-TV
• 1.5 петабайта - 10 миллиардов фотографий на сайте vkontakte.ru
• 20 петабайт - объем данных ежедневно обрабатываемый Google или суммарный объем всех жестких дисков, выпущенных в 1995 году
• 50 петабайт - все тексты, когда-либо написанные человечеством с начала истории по сегодняшний день, переведенные на все языки мира

Зачем люди выбирают аутсорсинг? Причин более чем достаточно, однако сегодня хочется написать только об одной - контроль затрат.

В кризис многие компании сокращают количество сотрудников, но никто обычно не отказывается от IT- поддержки. Некоторые, даже сокращают должность IT-директора, оставляя только аутсорсинговую компанию.

Конечно, сокращения у существующих клиентов расстраивают, хотя и доказывают необходимость поддержки.

Простой пример того как можно сэкономить.  Обычная компания с количеством сотрудников от 50 до 70 может иметь в штате двух системных администраторов: старшего системного администратора (менеджера по ИТ) и инженера. Менеджер отвечает за инфраструктуру, а инженер решает проблемы пользователей, занимается ремонтом компьютеров и оргтехники, прокладывает кабели и меняет картриджи. В такой компании передача функций старшего системного администратора на аутсорсинг будет стоить приблизительно в 20 тысяч рублей в месяц. Учитывая, что  содержание ИТ-менеджера в штате может обходиться компании в сумму от  40 до 60 тысяч рублей ежемесячно (с учетом налогов), то такое решение экономит компании 420 тысяч рублей в год!
Пример простой, но он показывает как именно можно сэкономить используя ИТ-аутсорсинг.

(с) Semonix

Группа Mozilla выпустила последнюю версию браузера Firefox, в которой появилось больше возможностей для контроля пользователем своей приватности.

Появился режим Private Browsing , который полностью отключает кэширование содержимого посещаемых сайтов и сохранение cookeis.  Впервые этот режим появился в бета-версии, выпущенной в декабре 2008.  Важно понимать, что Private Browsing предназначен не для защиты пользователя от перехвата данных или предоставления анонимного доступа к сайтам. Работа в этом режиме гарантирует, что никакие данные, позволяющие отследить вашу активность в Интернет, не будут сохранены.

Ранее, схожие возможности уже появились в браузерах Google Chrome и Apple Safari, что вызвало в Интернет споры, по поводу того, что Private Browsing предназначен в основном для любителей посещать порно-сайты.

Однако, по словам представителей Mozilla Foundation, сценарии использования данной опции гораздо шире. Например, поиск информации касающейся каких-то заболеваний, поиск вакансий с рабочего компьютера и просто использование общедоступных компьютеров (библиотеки, гостиницы, выставки).
Также добавлена возможность Forget This Site, которая позволяет удалить всю информацию связанную с посещением какого-либо сайта.

Кроме этого в новой версии улучшены механизмы защиты от фишинга и вредоносного ПО.

(c) Semonix

Найден мертвым директор индийской компании LxLabs. Предположительно он совершил самоубийство, после того как в результате использования zero-day эксплоита были уничтожены данные более чем 100.000 сайтов под управлением продукта HyperVM компании LxLabs.

Сильно пугаться не надо. HyperVM это не технология виртуализации, такая как VirtualBox, Xen, VmWare или Hyper-V, а всего лишь набор скриптов для управления вышеупомянутыми виртуальными машинами.

Часть уязвимостей были обнаружены давно и достаточно тривиальны. Например:

• пароли “pass” и “admin” для административных аккаунтов;
• привязка сессии к IP адресу пользователя (привет тем, кто за NAT);
• возможность проведения DoS атаки многократными подключениями к порту 7776;
• SQL-инъекции.

Остальное - в том же духе.

Подробности  - milw0rm

Спросите у своего хостинг-провайдера, что  у него используются для управления виртуальными серверами?

(c) Semonix

Другими словами:

• Нельзя сэкономить на  использовании устаревших платформ, операционных систем и приложений только потому что “обновления могут привести к сбоям”.
• Не получится сэкономить, если откладывать установку ключевых обновлений из-за того, что “возникнет простой, который негативно скажется на бизнесе”
• Не приносит экономии и продолжение эксплуатации взломанных систем для предоставления сервисов, вместо проведения анализа причин взлома
• Не получится сэкономить если вручную пытаться обнаружить и удалить компоненты вредоносного ПО и rootkit`ов вместо того, чтобы переустановить систему с нуля, установить обновления и правильно сконфигурировать ее, чтобы в будущем избежать взлома.
• Не будет  дешевле, если  дожидаться  пока важная информация будет украдена, и тем самым, злоумышленники докажут серьезность своих намерений.

Безопасность не предназначена для зарабатывания денег, она предназначена для уменьшения или предотвращения потерь. Всегда сложно оправдать траты на информационную безопасность, но вот несколько хороших аргументов:

• Экономию всегда видно, когда системные администраторы заменяются аутсорсерами, которые обычно предлагают услуги по более низкой цене
• Легко увидеть прибыль от постоянной доступности важной, приносящей прибыль системы или, наоборот, легко показать финансовые потери от простоя такой системы.

Это хорошие аргументы, однако, они игнорируют одну важную вещь: система должна быть правильно построена с самого начала и должна правильно эксплуатироваться, иначе в один прекрасный день деятельность злоумышленников может привести к катастрофическим результатам, примерно как в Китае в 2008 году:

”

Власти Китая признают, что причиной гибели большого числа школьников во время землетрясения в провинции Сычуань 12 мая, было низкое качество постройки некоторых школьных зданий, сообщил в четверг журналистам глава Национального экспертного комитета по причинам землетрясения в провинции Сычуань Ма Цзунцзинь.

Землетрясение магнитудой 8 произошло в Сычуани 12 мая в 14.28 по местному времени (10.28 мск). Жертвами природной катастрофы, по последним данным, стали 69 тысяч 226 человек, до сих пор неизвестна судьба 18 тысяч пропавших без вести. Ущерб от этого землетрясения превысил триллион юаней (почти 150 миллиардов долларов). Власти КНР не исключают, что число жертв мощнейшего за последние 30 лет землетрясения в Китае с большой вероятностью возрастет до 87 тысяч человек.

“Обрушение школьных зданий во время землетрясения 12 мая произошло из-за того, что многие школьные классы были построены очень быстро, без строго соблюдения установленных за последние годы в Китае норм строительства”, - подчеркнул китайский эксперт.

Целиком: http://www.rian.ru/world/20080904/150976901.html

“

Информационная безопасность -   проблема использования ИТ в целом, а не просто “безопасность”. Чем быстрее владельцы ресурсов осознают это и будут нести ответственность за безопасность их систем, тем больше шанс, что действия злоумышленников и просто технические сбои не приведут к катастрофическим последствиям.

Дешевое ИТ очень дорого, намного дороже чем правильное инвестирование в ИТ!

Многие недооценивают бэкапы, это факт. В компаниях покрупнее обычно есть выделенный сервер (жесткие диски сейчас дешевы) или ленточный накопитель (для совсем больших объемов).

Ну а что же происходит в небольших компаниях? Рассмотрим классический случай:10 -30 компьютеров и сервер все-в-одном (файловый, контроллер домена, прокси). Где же находятся важные для компании данные и какие меры по их защите приняты? Вариантов несколько:

1. Данные хранятся на компьютерах сотрудников или на “сервере”, который, по сути, является обычным компьютером, но без монитора. Бэкапа нет, вообще. Как говорится в старинной английской пословице: No backup - no recovery. Еще можно добавить - no business.
2. На сервере есть RAID. Данные надежно защищены от выхода из строя одного или нескольких (в зависимости от конфигурации массива) физического диска. Однако, существует несколько причин по которым данные на логическом диске могут быть утеряны. К тому же резервирование жестких дисков не защищает от преднамеренного или случайного удаление данных сотрудниками, вирусами или программами.
3. Бэкап с помощью архиватора, архив хранится на том же компьютере где и данные. Часто - на одном и том же логическом диске, т. е. получаем пункт 2. Если на разных дисках одного и того же сервера - возможность удаления данных, случайно или преднамеренно (пользователем или злоумышленником)

Как же организовать хранение данных ?

Все данные должны храниться на сервере. Сервер должен быть достаточно надежным, два блока питания. Если бюджет не позволяет купить нормальный сервер, то позаботьтесь о наличии запасных частей (блок питания, жесткий диск) и плане восстановления в случае более серьезной аварии.

RAID-5 или RAID-1 - обязательно, в зависимости от объема данных.

Как организовать надежное решение для резервного копирования?

1) Выделенный сервер. Можно взять любой, даже самый старый компьютер. Важно, чтобы доступ к этому компьютеру был ограничен, как физически, так и по сети. На нем будут хранится важные данные всей организации, потому никаких сервисов по сети доступно быть не должно. В идеале - все входящие соединения должны быть запрещены, за исключением ssh/vnc/rdp. Если физически сервер не установить в безопасное место, то дисковый раздел на котором хранятся резервные копии лучше зашифровать. Сейчас многие операционные системы имеют функции прозрачного шифрования дисков, также существуют сторонние программы (TrueCrypt).

2) Схема резервного копирования. Главное, чтобы независимо от того на каком этапе находится цикл резервного копирования у вас была возможность восстановить любые данные утерянные в любой день предыдущих двух недель. Это в среднем, кто-то захочет иметь в запасе месяц, кто-то два. Делается это очень просто: создается два так называемых набора данных. Первый набор содержит резервные копии данных сделанные с 1-го по 14-е число месяца, а второй с 15-го по 31-е. Каждый набор инкрементальный или дифференциальный, т. е. по первому набору можно восстановить любые изменения произошедшие в первую половину месяца, а по второму - во вторую. Задания резервного копирования выполняются по расписанию. 1-го и 15-го перезаписываются первый и второй наборы, соответственно. Т. к. перезаписывается только один набор, мы постоянно имеем копию данных минимум за две недели.

3) Проверка бэкапа. Важно чтобы резервные копии действительно содержали данные, поэтому процесс резервного копирования надо проверять. Простейший способ - следить за тем, чтобы на сервере всегда было место для сохранения файлов, за размером файлов резервных копий (файл нулевого размера - повод для беспокойства) и запускать автоматические процедуры восстановления.

Есть в Интернете такой сайт - The Daily WTF?!. WTF означает What’s the F**k или по-русски “Какого х**?” На сайте выкладываются дурацкие, смешные и не очень истории из мира информационных технологий.

Мы откроем у себя на сайте неофициальный филиал WTF`а и будем публиковать здесь то, что по нашему мнению является смешным, безграмотным, неправильным и безответственным применительно к поддержке ИТ-систем, пользователей и оборудования, ситуации с которыми пришлось встретиться в процессе обслуживания и консультирования. Все из жизни. Сегодня будут фокусы “приходящих” системных администраторов в разных компаниях.

• на некоторых компьютерах под управлением Windows локальная группа Administrators содержит группу Domain Users;
• DNS сервер настроен так, что для разрешения адресов в локальной сети ему приходится обращаться к корневым DNS-серверам. Естественно, ничего не работает;
• 95% процентов паролей, используемых для входа в систему и доступа к почтовым ящикам (на хостинге) совпадают с именем пользователя, остальные 5% - имя пользователя + цифра, либо пять цифр (учетная запись администратора домена имела пароль совпадающий с почтовым индексом организации);
• контроллер домена, он же файловый сервер. HP ProLiant ML350, два блока питания, 6 дисков. RAID-5 + hot spare, при этом массив degraded, потому что в течении года два диска вышло из строя. Мониторинга нет, посмотреть самим лень. Бэкапа тоже нет.
• вирусный зоопарк на компьютерах, спам-боты отсылают письма сплошным потоком, в результате периодически пропадает доступ к почтовому северу и веб-сайтам. Ежемесячно переплачивали около 800 долларов за этот паразитный трафик.
• Фаервол, на Windows + Kerio. Kerio без лицензии поэтому периодически (раз в три дня) блокирует трафик и чего-то там требует. Девушка-секретарь обучена процедуре перезагрузке сервера и запуску фаервола.

Часть 1

Что такое аутсорсинг, уже, наверное известно каждому. Аутсорсинг - передача определенных функций внутри компании внешнему поставщику. Здесь речь пойдет о передаче на аутсорсинг управления ИТ (информационно технологическими) ресурсами. Или, если говорить о небольших компаниях - функций системного администратора.

Каковы основные задачи системного администратора?

Данный круг задач одинаков для всех компаний. Получается, независимо от размеров вашей компании системный администратор должен иметь опыт в следующих областях:

• прокладка сетей, создание СКС, иначе ваша серверная или коммутационный шкаф может доставить вам не мало проблем (прежде всего с масштабируемостью и поддержкой), а то и появится в рубрике “Ужастики” на сайте nag.ru
• сетевые протоколы и взаимодействие, протоколы маршрутизации;
• методы организации технической поддержки, рекомендуемые способы решения типовых задач и стандартные приемы;
• информационная безопасность. антивирусная защита, контроль доступа внутри компании и ограничение доступа из вне. здесь надо сказать отдельно. информационная безопасность настолько объемная область, что грамотных специалистов, имеющих знания, а главное опыт обеспечения безопасности - практически не встретишь. Зачастую приходящего админстратора не хватает даже на то, чтобы сделать пользователей сотрудникам, вот и подключаются к сетевым ресурсам под одним и тем же аккаунтом, а при заражении одного из компьютеров вирусом уничтожается вся информация компании. Такие случаи не редки, а это вообще детсадовский пример;
• и многое другое.

Что происходит в реальности?

Хорошему специалисту интересно работать в большой компании, или компании профильным направлением бизнеса которой является ИТ, потому что это прежде всего высокие зарплаты, возможности профессионального и карьерного роста.

А что же делать системному администратору в небольшой торговой, строительной, производственной или компании сферы услуг? Задачи - стандартные, методы их решения тоже. Профессиональный рост - врядли возможен, карьерный - скорее всего нет. Платить за хороших, опытных системных администраторов (с профильным образованием, знанием методик и подходов, имеющих широкий кругозор) никто и не хочет, да это и не нужно. Почему? Работа системного администратора делится на две основных составляющих: проекты и текучка. Проекты - деятельность про модернизации существующей инфраструктуры, развертывание новых элементов, анализ и решение проблем с производительностью. Текучка - ежедневные задачи: обработка запросов пользователей, проверка резервных копий, установка обновлений. Как нетрудно догадаться, в компании из 10 - 50 человек - проектов нет. Есть только текучка, т. е. много одинаковых и не очень сложных задач. Грубо говоря, вам не нужен администратор - кандидат наук, а нужен администратор - слесарь 6-го разряда. Таких очень мало. Прежде всего, из-за невысоких зарплат и работы состоящий на 99 процентов из рутины. Какому нормальному администратору будет интересна такая работа?

Есть еще одна проблема в поиске квалифицированных администраторов в маленькие компании: на взгляд неспециалиста поддержка малой сети - не сложная задача. В последнее время, информационные технологии стали достаточно продвинутыми для того, чтобы человек хоть раз соединивший два компьютера в сеть и настроивший сетевой доступ к файлам на компьютере мог считать себя системным администратором и экстраполировать свой опыт на поддержку целой сети.

К тому же, конечному пользователю не всегда видно как устроена сеть внутри, до тех пор пока не произойдет какое нибудь ЧП. Неожиданно вдруг оказывается, что бэкапа нет или он месячной давности, что единственный способ связаться со службой поддержки вашего сайта это ICQ, что половина из ваших серверов - виртуальные и т. п. В результате вы безвозвратно теряете данные или на решение проблемы уходит не 30 минут, а несколько дней.

Получается, что руководители малых и средних компаний на рынке труда могут выбирать только из наименее квалифицированных и опытных сотрудников.

Именно здесь, в дело вступает аутсорсер, именно у него могут работать квалифицированные специалисты, которым интересно решать сложные задачи от нескольких клиентов. Именно с аутсорсером может быть четко определено взаимодействие, прописаны сроки отклика (в отличие от приходящего системного администратора).

Об аутсорсинге часто говорят, как о способе сэкономить на обслуживании, это не так. Сэкономить - сложно, а вот получить нормальный сервис - можно. Приходящий администратор стоит от 5 до 15 тысяч рублей, в зависимости от режима работы и размера вашей сети. Примерно столько же будет стоить договор с аутсорсером.

Как не ошибиться в выборе аутсорсера — читайте во второй части.