Сисадмин и путь меча

Вопрос: Что должен знать системный администратор, чтобы стать техническим директором?

На вопрос отвечает аналатик компании "Доктор Веб"

ВЯЧЕСЛАВ МЕДВЕДЕВ, аналитик компании «Доктор Веб»

Системный администратор – профессия легендарная и даже мифическая. Герой эпических историй и анекдотов. Человек, который может починить в офисе все, что его касается по должностной инструкции (а при необходимости и то, что его не касается). В большинстве компаний сисадмин – единственный человек, разбирающийся в современных технологиях. Но во многих случаях должность сисадмина – вершина карьерного роста, ведь эти замечательные ребята крайне редко становятся техническими директорами компаний. Более того, зачастую техническими директорами и даже начальниками ИТ-отделов назначаются люди, ничего не понимающие в настройке и установке «железа» и программ. Почему же так происходит?

Главное для любой организации – выполнение ее задач. Все, что препятствует выполнению задач или замедляет его, должно быть исключено. Это означает, что любые бизнес-процедуры и действия сотрудников компании, ее клиентов и партнеров должны выполняться максимально удобно для них и не менее быстро.

Естественно, это не полный список требований к бизнес-процедурам – интересующихся вопросом можно отослать, например, к стандартам семейства ITIL.

С позиции вышеперечисленных требований, как вирусы, так и антивирусы – зло. Первые воруют, рушат и отвлекают от работы. Вторые не дают возможности вирусам проникнуть в сеть, но сами тормозят работу системы. Поэтому задача системного администратора сделать так, чтобы и вирусов не было, и система не тормозила.

Как правило, задача решается «в лоб». По рекомендациям устанавливается антивирус, который «не тормозит». Но «не тормозит» и «ловит все вирусы» – две большие разницы. Проще говоря, антивирусные базы – набор сигнатур, процедур обнаружения вредоносных файлов¹, методов распаковки различных типов архивов. Поиск вируса в таком случае – перебор этих методов и сигнатур. Высокая скорость проверки не всегда свидетельствует о высоком качестве поиска². Естественно, производители ведущих антивирусов, осознавая проблему, оптимизируют алгоритмы обнаружения⁴, но если размер базы различается в разы, то это должно наводить на некие размышления.

Поэтому прежде чем устанавливать антивирус, нужно задуматься о возможных путях проникновения вирусов в компанию. В идеале для этого нужно провести аудит всех бизнес-процессов компании, а также проанализировать на значимость все ИТ-угрозы, но в рамках этой статьи упростим задачу. Наиболее типичными путями проникновения вирусов в систему служат Интернет, почтовая переписка, уязвимости используемого программного обеспечения и сменные носители. Из опыта моих выступлений на различных конференциях и семинарах следует, что для многих значимость каждого из этих каналов является тайной.

Как показывает практика опросов, в большинстве случаев самыми опасными для компании каналами проникновения называют почту и Интернет. Соответственно на защиту этих путей проникновения и отводятся наибольшие средства. Тем более что задача решается в большинстве случаев исключительно техническими средствами – установкой антивирусных систем контроля трафика.

На самом деле основная часть вирусов (а точнее троянцев) попадает в сеть посредством самих сотрудников – на их сменных носителях. Таким образом, в первую очередь нужно настроить систему доступа. Каждый сотрудник должен иметь доступ только к той информации, которая ему нужна. Должно быть ограничено использование USB-накопителей до минимального уровня (а для большинства сотрудников их использование вовсе должно быть запрещено).

Эти правила подлежат реализации без всяких возражений, но… Все та же практика показывает, что в большинстве компаний малого и среднего бизнеса все имеют доступ ко всему. Воистину, пока гром не грянет…⁵ И причиной наведения порядка в этой сфере служат,? как правило, не вирусные инциденты, а проблемы с сотрудниками или бизнесом в целом.

И вот тут мы возвращаемся к началу статьи. Кто должен заниматься ограничением доступа? Системный администратор – это технический специалист, который знает, что сделать, чтобы ограничить или расширить права. Но он не знает, кому и какие права полагаются. Этим должны заниматься специалисты отдела информационной безопасности (офицеры безопасности) вместе с менеджером по качеству⁶.

Но в большинстве компаний ни отделов информационной безопасности, ни отделов качества нет – в силу непонимания необходимости или отсутствия средств. Дополнительную интригу вносит требование о назначении ответственного лица, предъявляемое законом о защите персональных данных. Как правило, ответственным лицом назначают или юриста, или сисадмина. В нагрузку к своим должностным обязанностям админ получает фактически обязанность описания бизнес-процессов. Можно, конечно, выполнить эту задачу формально – оформить все требуемые Федеральным законом № 152-ФЗ бумаги и забыть об этой обязанности. Но от описания до оптимизации – один шаг.

Провести аудит компании (а именно это требуется для описания бизнес-процессов) и не предложить их оптимизировать (а предложить все равно придется, так как наверняка найдутся лишние персональные данные)? Остаться техническим специалистом, значимым сотрудником компании, но всего лишь исполнителем поставленных задач, или стать человеком, влияющим на выбор пути компании? Каков должен быть путь воина? Путь меча, который направляется рукой, или путь руки, которая решает, куда направить меч?

Вернемся к антивирусной защите. Предположим, мы выбрали и установили на все рабочие станции продукт, который и ограничивает доступ, куда не нужно кому не полагается, и запрещает сменные носители, контролирует входящий и исходящий трафик. Все настроили, вирусов нет⁷. Что имеем в итоге? Жалобы на загрузку систем и жалобы на отсутствие доступа к любимым сайтам (с любимыми вирусами). Со вторым разбираемся быстро, предъявив список вирусов, получаемых конкретными пользователями с конкретных серверов. С первым, однако, сложнее. Особенно когда на машинах работают ресурсоемкие приложения типа кадовских систем. Но нужен ли на машине антивирус, если пути проникновения вирусов на нее перекрыты (и особенно если это машина с 256 Мб памяти, что на просторах нашей и не только нашей страны встречается нередко)?

Данный вариант вполне реален. Проверку почтового и интернет-трафика можно осуществлять на соответствующих серверах⁸. Поступление вирусов через пользователей перекрывается разумными запретами на USB-носители и ненужный доступ. Остаются, конечно, инсайдеры и хакеры, но борьба с ними – это отдельная тема, не заканчивающаяся установкой файервола на всех рабочих станциях.

Естественно, совсем убирать антивирусную проверку нельзя (поскольку всегда есть вероятность пропуска принципиально новых вирусов, неизвестных антивирусам), но ее можно выполнять периодически – по расписанию антивирусным сканером. Мало кто знает, что проверка сканером проводится на гораздо большую глубину, чем проверка фоновым файловым монитором.

Минус? Естественно есть. Стоимость закупки возрастет. Но возрастут и возможности по защите. Серверные продукты имеют больше возможностей по фильтрации, чем продукты для рабочих станций (особенно реализованные для платформы Unix – в силу куда меньших ограничений, накладываемых продуктами, работающими на ней).

Можно еще ускорить работу? Можно. Ввести политики и ограничить скачивание файлов по типам. Вынести проверку на спам с почтового сервера на почтовый прокси. Спам сейчас занимает порядка 80 процентов в почтовом трафике и, не допуская этот мутный поток на почтовый сервер, мы значительно ускоряем доставку сообщений (что особенно хорошо сказывается на почтовых серверах MS Exchange). Однако выносить проверку на вирусы с самого почтового сервера не стоит – вероятность распространения вирусов через внутреннюю переписку исключать нельзя.

Но все эти меры можно принимать только с учетом их влияния на дела своей компании. Нужно сопоставлять не только скорость работы и стоимость (не забывая складывать стоимость закупки и стоимость сопровождения) решения, но и значимость внедряемых решений для компании. Нужно соотносить цену и необходимость устранения угроз. Говорить на языке финансов. Нельзя прийти в кабинет генерального директора и положить ему на стол два документа: список функционала предполагаемого к закупке ПО и «железа» и их стоимость. Документ должен быть один, и он должен описывать, насколько выгодна для компании закупка, какие есть варианты, и почему должен быть выбран тот, на котором остановился админ.

Таким образом, для того, чтобы вырасти из системного администратора и подняться на следующую ступень, нужно не только отлично знать технику и ориентироваться в имеющихся на рынке альтернативах уже используемого ПО. Нужно смотреть на любой выбор не только с точки зрения выполнения процедуры, но, и это главное, с точки зрения бизнеса, значимости любого выполняемого действия для компании в целом.

1. Один из распространенных мифов об антивирусах гласит, что антивирусы ловят вирусы по сигнатурам, что уже с начала XXI века далеко не так. В частности, по сигнатурам не ловятся полиморфные (изменяющие свое тело при каждом запуске) вирусы. Нет смысла ловить по сигнатурам вирусы, производимые вирусными конструкторами, и т. д. 
2. В связи с этим бессмысленны тесты на скорость запуска приложений или проверки на скорость сканирования чистого набора файлов. Замеры скорости нужно нормировать на число вирусов, которое может поймать данный антивирус, или, поскольку данное число никому не известно, на количество записей.
3. Поскольку одной процедурой можно поймать десятки тысяч вирусов.
4. В частности, в версии 7.0 антивирусного ядра Dr.Web появились технологии, гарантирующие сохранение скорости проверки при росте базы.
5. 12345 – именно такой пароль был установлен на почтовом ящике президента Сирии, взломанном накануне специалистами из Anonymous.
6. Первые стремятся запретить все, а вторые противодействуют им, так как их задачей является создание условий, при которых работа сотрудников наиболее комфортна и им не приходится затрачивать большие усилия на получение нужной информации.
7. В их отсутствии убеждаемся с помощью широко известного Dr.Web CureIt!
8. Не забывая закрыть доступ пользователям к внешним почтовым серверам напрямую – минуя почтовый сервер (или почтовый шлюз) компании.

В статье описан фронт работ целой команды из системного интегратора. На месте автора я не стал бы так уверенно утверждать, что если водрузить все эти задачи на одного человека, не освобожденного от текучки, то он с ними вообще справится. Особенно когда речь идет о расчете рисков, анализе бизнес-процессов и так далее. Это работа по плечу целой группе аудиторов, но никак не технарю-одиночке. Описанное в статье возможно в компании типа: "я, Марья-Иванна и директор", но вот беда, в таких "компаниях" должность IT-директора, как правило, не предусмотрена.

Поддерживаю, еще в дополнение ко всему статья напичкана скрытой рекламой антивируса DrWeb. Не очень красиво со стороны автора. :(

Точнее примеры даны на более знакомом мне продукте. Было бы не очень хорошо, если бы я писал на примере менее знакомых :-) На самом деле статья не для рекламы. Я достаточно много выступаю перед айтишниками - в том числе весьма квалифицированными, построившими хорошие сети. И вижу, что они отлично умеют поставить/настроить/сопровождать. Но они редро понимаю зачем они должны использовать тот или иной компонент антивируса, что им это даст. Упрекать их за это невозможно. Тут проблема начинается уже с института. На первых двух курсах как правило ничего интересного не дают, а на последних, где профильные специальности - все уже работают. Плюс получив хорошую работу многие начинаю свысока поглядывать на подобные рассказы. Типа пришли из вендара и агитируют - им по должности положено. Да положено. Но мы и проблемы тоже видим. Ну не учат например у нас айтишников зачем их работа нужна. Как нужно общаться с начальством на языке начальства (бизнеса)... Сумбурно, виноват, но действительно наболело. Ведь проблемы связанные с тем же Сarberp ползут из этого - незнания как объяснить бизнесу/людям что делать. Грамотно распорядиться имеющимся антивирусом. Грамотно выбрать необходимые компоненты.

То есть для того чтобы стать IT-директором, главное -- это уметь выбрать компоненты антивируса. Интересно... Автор явно путает работу администратора безопасности, IT-менеджера, системного архитектора и собственно системного администратора. Точнее не путает, а оправдать ситуацию, когда по недомыслию или из жадности все взваливают на одного человека.

Нет естественно. ИТ-директору не обязательно знать компоненты. речь не об этом. Другой вопрос, что в малых компаниях, да и в среднем бизнесе обычно нет возможности содержать всех вышеперечисленных специалистов. Обычно там мастер на все руки. И это достаточно часто хороший профессионал, отлично умеющий держать сеть в порядке. Но также обычно он не может объяснить генеральному зачем ему то или иное решение - они говорят на разных языках. И в результате имеем тенденцию - над сисадмином назначают начальника из менеджеров, речь которого понятна руководству. И в результате рождаются ПРОЕКТЫ. Странные и эпохальные. Смотрим, что рекламируется в обучении - или курсы как установить и настроить или МБА. Все. Я до сих пор не видел ни одного курса, который бы пытался объяснить, как объяснять пользователю зачем нужно то или иное. Не впаривать (таких курсов валом). А именно объяснять с точки зрения бизнеса Это наша беда, что нами правят мифы вместо знаний. Как это изменить - я не знаю

Да не должен системный администратор никому ничего объяснять. Не-дол-жен. И точка. Возьмите любой популярный шаблон должностной инструкции -- нет там никаких ликбезов. Он технарь, узконаправленный специалист. Если компанию устраивает "мастер на все руки" -- значит бизнесу больше ничего и не надо. Мало того, если такой "многорукий шива" вместо исполнения своих прямых обязанностей вроде заведения учетных записей и перенастройки АТС начнет писать какие-то "обоснования", то его можно смело увольнять за несоблюдение должностной инструкции. Я понимаю, что вам нужно продать свой антивирус. Но это не значит, что сисадмин должен что-то кому-то обосновывать. Ему за это просто не платят. От него этого и не ждут. Максимум, что он должен знать - телефон надежного системного интегратора, предлагающего проверенные решения. Есть, конечно, таланты, которые могут многое. Но системный администратор, умеющий писать экономическое обоснования - это редкий штучный товар, который в маленькой компании никогда не будет оценен по достоинству. Ну не предусмотрена в тарифных сетках маленьких компаний должность "технического директора". Назвать должность сисадмина можно как угодно, только суть (и зарплата!) от этого не изменятся. Мало того, в небольших компаниях нет необходимого уровня экспертизы, чтобы проанализировать эту сисадминскую "писанину". В итоге решения принимается по принципу: "купим, если недорого". И это - правильно! Потому что бизнес все деньги должен тратить на рекламу, захват рынков, выпуск продукции, выплату заработной платы и т.д. и т.п. а все остальные траты на потом, если бюджет позволяет. Если бюджет не позволяет -- есть бесплатные решения, они неплохо работают. Но опять же, редко когда один-единственный человек сможет потянуть весь объем дополнительной работы. "Многорукий шива" никогда не заменит целый отдел IT и тем более, системный интегратор.

Я все понимаю и не возражаю ничуть. Но, а кто это должен делать? Мы как вендор не можем продавать напрямую - иначе утащим от партнеров всех клиентов, партнеры не могут охватить все организации и компании. Не могут - и мало их на такую страну и тем более в большинстве своем они не имеют достаточного количества тех специалистов (это не их вина, просто и не найти тех специалистов на все, что они продают и не окупится это во многих регионах). Люди, принимающие решения, в массе своей уверены в том, что стоит поставить самый дешевый антивирус - и проблемы будет закрыта навечно. Давайте отвлечемся от нашего естественного желания продавать больше - это есть и глупо это отрицать. Но кроме этого есть и необходимость обеспечения безопасности. Кто кроме админов за это может отвечать?

>>> Кто кроме админов за это может отвечать? Вообще-то существует такая должность: "Администратор по безопасности". Сейчас их еще называют "Офицер по безопасности", смешивая понятия the officer (чиновник, служащий) и русское "офицер". Если компания не доросла до такой должности, значит, ее вполне устраивают "стандартная" ситуация, в том числе и дешевый антивирус. Ну не нуждаются в большинстве своем российские компании в серьезных мерах безопасности. Труд в России дешевый. Даже если вирус убьет все до последнего байта, работодатель просто выгонит офисных работников на сверхурочные работы без оплаты и решит свои проблемы.

И совершенно непонятно, при чем здесь знание антивируса и карьера технического директора. Вот теория графов для планирования IT-процессов, иногда пригождается. А быть экспертом в продуктах Drweb чтобы стать техническим директором -- звучит весьма странно.

Как уже говорилось - я даю примеры из собственного опыта. Поэтому знание антивируса - это просто пример. И нигде не говорилось, что нужно знать только продукты dr.web (если нужно написать рекламную статью, то я их написал много - и там четко пишется, что речь про антивирусы Dr.Web. Это тоже нужная работа). Речь в этом посте лишь о том, что для того, чтобы вырасти над позицией сисадмина нужно быть не просто хорошим технарем

Комментарии могут оставлять только зарегистрированные пользователи