Выяснение риска
Выяснение риска
Из разговора с Марией я не получила много информации. Она говорила лишь о подозрении на риск. Я попросила у нее сетевую схему компьютерного зала и список систем, подозреваемых на риск.
Мария предоставила мне временный офис с телефоном и системой. Она также создала мне в системе учетную запись — на случай, если я захочу здесь писать мой отчет. Это было прекрасно. Я взглянула на сетевую схему. Ого, да здесь тонны серверов баз данных. Меня это не удивило — так бывает после основательной оптимизации. Удивительным было другое: ни одному из этих серверов не был присвоен класс риска. Иначе говоря, ни один из них не был обозначен как критичный, особо критичный или некритичный.
Так как Мария не знала, какие серверы подвергаются большему риску, то я решила определить это сама. Есть два способа получить эту информацию. Вы можете открыть сессию на каждом сервере и осмотреть хранящуюся в них информацию. (Этот способ отнимает много времени при наличии большого количества серверов.) Вы также можете опросить системных администраторов. Я не могла этого сделать, так как их не предполагалось уведомлять об аудите. Оставался первый способ. Теперь я вступала в игру. Ее целью было раскрыть как можно больше информации и рисков прежде, чем меня обнаружат.