Сисадмин и путь меча

Вопрос: Что должен знать системный администратор, чтобы стать техническим директором?

На вопрос отвечает аналатик компании "Доктор Веб"

ВЯЧЕСЛАВ МЕДВЕДЕВ, аналитик компании «Доктор Веб»

Системный администратор – профессия легендарная и даже мифическая. Герой эпических историй и анекдотов. Человек, который может починить в офисе все, что его касается по должностной инструкции (а при необходимости и то, что его не касается). В большинстве компаний сисадмин – единственный человек, разбирающийся в современных технологиях. Но во многих случаях должность сисадмина – вершина карьерного роста, ведь эти замечательные ребята крайне редко становятся техническими директорами компаний. Более того, зачастую техническими директорами и даже начальниками ИТ-отделов назначаются люди, ничего не понимающие в настройке и установке «железа» и программ. Почему же так происходит?

Главное для любой организации – выполнение ее задач. Все, что препятствует выполнению задач или замедляет его, должно быть исключено. Это означает, что любые бизнес-процедуры и действия сотрудников компании, ее клиентов и партнеров должны выполняться максимально удобно для них и не менее быстро.

Естественно, это не полный список требований к бизнес-процедурам – интересующихся вопросом можно отослать, например, к стандартам семейства ITIL.

С позиции вышеперечисленных требований, как вирусы, так и антивирусы – зло. Первые воруют, рушат и отвлекают от работы. Вторые не дают возможности вирусам проникнуть в сеть, но сами тормозят работу системы. Поэтому задача системного администратора сделать так, чтобы и вирусов не было, и система не тормозила.

Как правило, задача решается «в лоб». По рекомендациям устанавливается антивирус, который «не тормозит». Но «не тормозит» и «ловит все вирусы» – две большие разницы. Проще говоря, антивирусные базы – набор сигнатур, процедур обнаружения вредоносных файлов¹, методов распаковки различных типов архивов. Поиск вируса в таком случае – перебор этих методов и сигнатур. Высокая скорость проверки не всегда свидетельствует о высоком качестве поиска². Естественно, производители ведущих антивирусов, осознавая проблему, оптимизируют алгоритмы обнаружения⁴, но если размер базы различается в разы, то это должно наводить на некие размышления.

Поэтому прежде чем устанавливать антивирус, нужно задуматься о возможных путях проникновения вирусов в компанию. В идеале для этого нужно провести аудит всех бизнес-процессов компании, а также проанализировать на значимость все ИТ-угрозы, но в рамках этой статьи упростим задачу. Наиболее типичными путями проникновения вирусов в систему служат Интернет, почтовая переписка, уязвимости используемого программного обеспечения и сменные носители. Из опыта моих выступлений на различных конференциях и семинарах следует, что для многих значимость каждого из этих каналов является тайной.

Как показывает практика опросов, в большинстве случаев самыми опасными для компании каналами проникновения называют почту и Интернет. Соответственно на защиту этих путей проникновения и отводятся наибольшие средства. Тем более что задача решается в большинстве случаев исключительно техническими средствами – установкой антивирусных систем контроля трафика.

На самом деле основная часть вирусов (а точнее троянцев) попадает в сеть посредством самих сотрудников – на их сменных носителях. Таким образом, в первую очередь нужно настроить систему доступа. Каждый сотрудник должен иметь доступ только к той информации, которая ему нужна. Должно быть ограничено использование USB-накопителей до минимального уровня (а для большинства сотрудников их использование вовсе должно быть запрещено).

Эти правила подлежат реализации без всяких возражений, но… Все та же практика показывает, что в большинстве компаний малого и среднего бизнеса все имеют доступ ко всему. Воистину, пока гром не грянет…⁵ И причиной наведения порядка в этой сфере служат,? как правило, не вирусные инциденты, а проблемы с сотрудниками или бизнесом в целом.

И вот тут мы возвращаемся к началу статьи. Кто должен заниматься ограничением доступа? Системный администратор – это технический специалист, который знает, что сделать, чтобы ограничить или расширить права. Но он не знает, кому и какие права полагаются. Этим должны заниматься специалисты отдела информационной безопасности (офицеры безопасности) вместе с менеджером по качеству⁶.

Но в большинстве компаний ни отделов информационной безопасности, ни отделов качества нет – в силу непонимания необходимости или отсутствия средств. Дополнительную интригу вносит требование о назначении ответственного лица, предъявляемое законом о защите персональных данных. Как правило, ответственным лицом назначают или юриста, или сисадмина. В нагрузку к своим должностным обязанностям админ получает фактически обязанность описания бизнес-процессов. Можно, конечно, выполнить эту задачу формально – оформить все требуемые Федеральным законом № 152-ФЗ бумаги и забыть об этой обязанности. Но от описания до оптимизации – один шаг.

Провести аудит компании (а именно это требуется для описания бизнес-процессов) и не предложить их оптимизировать (а предложить все равно придется, так как наверняка найдутся лишние персональные данные)? Остаться техническим специалистом, значимым сотрудником компании, но всего лишь исполнителем поставленных задач, или стать человеком, влияющим на выбор пути компании? Каков должен быть путь воина? Путь меча, который направляется рукой, или путь руки, которая решает, куда направить меч?

Вернемся к антивирусной защите. Предположим, мы выбрали и установили на все рабочие станции продукт, который и ограничивает доступ, куда не нужно кому не полагается, и запрещает сменные носители, контролирует входящий и исходящий трафик. Все настроили, вирусов нет⁷. Что имеем в итоге? Жалобы на загрузку систем и жалобы на отсутствие доступа к любимым сайтам (с любимыми вирусами). Со вторым разбираемся быстро, предъявив список вирусов, получаемых конкретными пользователями с конкретных серверов. С первым, однако, сложнее. Особенно когда на машинах работают ресурсоемкие приложения типа кадовских систем. Но нужен ли на машине антивирус, если пути проникновения вирусов на нее перекрыты (и особенно если это машина с 256 Мб памяти, что на просторах нашей и не только нашей страны встречается нередко)?

Данный вариант вполне реален. Проверку почтового и интернет-трафика можно осуществлять на соответствующих серверах⁸. Поступление вирусов через пользователей перекрывается разумными запретами на USB-носители и ненужный доступ. Остаются, конечно, инсайдеры и хакеры, но борьба с ними – это отдельная тема, не заканчивающаяся установкой файервола на всех рабочих станциях.

Естественно, совсем убирать антивирусную проверку нельзя (поскольку всегда есть вероятность пропуска принципиально новых вирусов, неизвестных антивирусам), но ее можно выполнять периодически – по расписанию антивирусным сканером. Мало кто знает, что проверка сканером проводится на гораздо большую глубину, чем проверка фоновым файловым монитором.

Минус? Естественно есть. Стоимость закупки возрастет. Но возрастут и возможности по защите. Серверные продукты имеют больше возможностей по фильтрации, чем продукты для рабочих станций (особенно реализованные для платформы Unix – в силу куда меньших ограничений, накладываемых продуктами, работающими на ней).

Можно еще ускорить работу? Можно. Ввести политики и ограничить скачивание файлов по типам. Вынести проверку на спам с почтового сервера на почтовый прокси. Спам сейчас занимает порядка 80 процентов в почтовом трафике и, не допуская этот мутный поток на почтовый сервер, мы значительно ускоряем доставку сообщений (что особенно хорошо сказывается на почтовых серверах MS Exchange). Однако выносить проверку на вирусы с самого почтового сервера не стоит – вероятность распространения вирусов через внутреннюю переписку исключать нельзя.

Но все эти меры можно принимать только с учетом их влияния на дела своей компании. Нужно сопоставлять не только скорость работы и стоимость (не забывая складывать стоимость закупки и стоимость сопровождения) решения, но и значимость внедряемых решений для компании. Нужно соотносить цену и необходимость устранения угроз. Говорить на языке финансов. Нельзя прийти в кабинет генерального директора и положить ему на стол два документа: список функционала предполагаемого к закупке ПО и «железа» и их стоимость. Документ должен быть один, и он должен описывать, насколько выгодна для компании закупка, какие есть варианты, и почему должен быть выбран тот, на котором остановился админ.

Таким образом, для того, чтобы вырасти из системного администратора и подняться на следующую ступень, нужно не только отлично знать технику и ориентироваться в имеющихся на рынке альтернативах уже используемого ПО. Нужно смотреть на любой выбор не только с точки зрения выполнения процедуры, но, и это главное, с точки зрения бизнеса, значимости любого выполняемого действия для компании в целом.

1. Один из распространенных мифов об антивирусах гласит, что антивирусы ловят вирусы по сигнатурам, что уже с начала XXI века далеко не так. В частности, по сигнатурам не ловятся полиморфные (изменяющие свое тело при каждом запуске) вирусы. Нет смысла ловить по сигнатурам вирусы, производимые вирусными конструкторами, и т. д. 
2. В связи с этим бессмысленны тесты на скорость запуска приложений или проверки на скорость сканирования чистого набора файлов. Замеры скорости нужно нормировать на число вирусов, которое может поймать данный антивирус, или, поскольку данное число никому не известно, на количество записей.
3. Поскольку одной процедурой можно поймать десятки тысяч вирусов.
4. В частности, в версии 7.0 антивирусного ядра Dr.Web появились технологии, гарантирующие сохранение скорости проверки при росте базы.
5. 12345 – именно такой пароль был установлен на почтовом ящике президента Сирии, взломанном накануне специалистами из Anonymous.
6. Первые стремятся запретить все, а вторые противодействуют им, так как их задачей является создание условий, при которых работа сотрудников наиболее комфортна и им не приходится затрачивать большие усилия на получение нужной информации.
7. В их отсутствии убеждаемся с помощью широко известного Dr.Web CureIt!
8. Не забывая закрыть доступ пользователям к внешним почтовым серверам напрямую – минуя почтовый сервер (или почтовый шлюз) компании.

>> Речь в этом посте лишь о том, что для того, чтобы вырасти над позицией сисадмина нужно быть не просто хорошим технарем. Тут возникает такой вопрос: А так ли уж плохо быть и бесперспективно быть "просто хорошим технарем"? Количество безработных IT-директоров растет с каждым годом, а на хороших технарей всегда будет спрос. Кстати, далеко не все хотят быть начальниками.

Статья хорошая. Спасибо. Дело в том, что есть фирмы, для которых заражение полностью компьютера - не страшная вещь. А в целом, все так и есть.

Комментарии могут оставлять только зарегистрированные пользователи