Вас не должно удивлять то, что администрирование брандмауэра - это очень важная работа, которой должно уделяться маскимум времени. В небольших организациях на эту должность могут взять человека не на полную ставку, но эти обязанности должны иметь приоритет над другими. В затраты на брандмауэр должны входить затраты на администрирование брандмауэра; администрирование никогда не должно быть эпизодическим.
4.3.1 Опыт в системном администрировании
Как уже говорилось в предыдущих разделах, постоянно происходит большое число проникновений в системы через Интернет, что делает необходимым наличие в организации высококвалифицированных администраторов, работающих полный рабочий день. Но есть признаки того, что эта необходимость понимается далеко не всеми; многие организации плохо администрируют свои системы, и они не являются безопасными и защищенными от атак. Много системных администраторов работает на полставки в лучшем случае, и не производят обновления систем при появлении исправлений ошибок.
Квалификация администратора брандмауэра - критический фактор для этой должности, так как брандмауэр будет эффективен настолько, насколько эффективно его администрируют. Если брандмауэр плохо администрируется, он может стать небезопасным и через него могут быть осуществлены проникновения, в то время как в организации будет сохраняться иллюзия, что сеть защищена. В политике безопасности брандмауэра должно быть явно указано на необходимость серьезного отношения к администрированию брандмауэра. Руководство должно показать, что его заботит это - и нанаять специалиста на полную ставку, найти деньги на приобретение брандмауэра и его сопровождение, а также на другие необходимые ресурсы.
4.3.2 Администрирование систем в сети
Брандмауэр не должен служить оправданием для плохого администрирования внутренних систем. Фактически дело обстоит наоборот: если будет осуществлено проникновение в брандмауэр, сеть, которая плохо администрировалась станет открытой для большого числа атак и в ней потенциально возможны большие разрушения. Брандмауэр никоим образом не делает ненужным хорошее системное администрирование.
В то же самое время брандмауэр может позволить сети производить "предупредительное" администрирование, а не устранение последствий инцидентов. Так как брандмауэр обеспечивает барьер, сети могут тратить больше времени на системное администрирование и меньше времени на реагирование на инциденты и устранение их последствий. Рекомендуется, чтобы организации:
Стандартизировали версии операционных систем и программ, чтобы можно было централизованно вносить обновления в них.
Разработали программу для быстрой установки во всей сети исправлений и новых программ
Использовали средства, помогающие осуществлять централизованно администрирование систем, если это поможет обеспечить большую безопасность.
Производили периодические сканирования и проверки систем для обнаружения явных уязвимых мест и ошибок в конфигурации
Имели гарантии того, что системные администраторы легко могут при необходимости обмениваться информацией друг с другом для доведения информации о проблемах с безопасностью, новых исправлениях
4.3.3 Как связаться с группами по борьбе с компьютерными преступлениями
Важным моментом при администрировании брандмауэра и всей сети в целом является установление связей со специальными группами по борьбе с компьютерными преступлениями для получения у них помощи. NIST рекомендует, чтобы организации создавали свои небольшие группы по улаживанию происшествий с компьютерной безопасностью, которые проводили бы расследование подозрительных событий и устранение последствий атак, и которые позволяли бы организации быть постоянно в курсе новых угроз и уязвимых мест. Из-за изменчивой природы угроз и рисков Интернете важно, чтобы сотрудники, администрирующие брандмауэр, входили в состав этих групп. Администраторы брандмауэра должны знать о всех новых уязвимых местах в продуктах, которые они используют, и уметь использовать заранее описанные технологии их устранения при обнаружении действий злоумышленника. [Cur92], [Garf92] и [RFC1244] содержат информацию о том, как создать такую группу и связаться с другими группами. NIST имеет ряд публикаций, предназначенных специально для создания таких групп [NIST91b].
Посмотрите Приложение для получения дополнительной информации о том, как связаться с группами по борьбе с компьютерными преступлениями и Форумом групп по борьбе с компьютерными преступлениями (Forum of Incident Response and Security Teams - FIRST).