|
|
Обозрение
ИТ-инфраструктура предприятия 2007Обозрение подготовлено
Основная сложность борьбы с инсайдерами заключается в том, что они являются легальными пользователями корпоративной информационной системы. Как обезопасить себя и при этом не стать шпионом за собственными сотрудниками? Разумным компромиссом может стать использование аппаратной аутентификации на основе токенов в виде USB-ключей или смарт-карт.
Согласно многочисленным исследованиям, внутренние угрозы в последнее время стали превалировать над внешними. Так, например, по данным InfoWatch уже в прошлом году их соотношение составило 56,5% против 43,5%. При этом самой серьезной внутренней угрозой большинством аналитиков признаются инсайдеры. И даже, не смотря на то, что часть ИТ-сообщества считает тему инсайдеров искусственно раскрученной заинтересованными компаниями, факт остаётся фактом: ежегодное исследование Института компьютерной безопасности (CSI — Computer Security Institute) впервые за всю историю присвоило инсайдерским атакам первое место среди самых распространенных ИТ-угроз. По данным отчёта CSI с ними столкнулось 59% опрошенных компаний. Таким образом, инсайдеры обогнали традиционного лидера этого списка — вредоносное программное обеспечение.
По статистике, три четверти случаев утечки или потери конфиденциальных данных связаны с «человеческим фактором» — умышленными или случайными действиями сотрудников компании. При этом 50% приходится на ошибку сотрудников, а ещё 25% — на целенаправленную работу по организации несанкционированной передачи данных заинтересованной стороне. По данным IT Policy Compliance Group, 20% компаний за прошедший 2006 год зафиксировали 22 и более таких инцидентов. Как правило, речь идёт об уничтожении или краже финансовой, клиентской информации или данных о сотрудниках.
Утечка данных серьёзно влияет на бизнес компаний: в среднем в результате каждого обнародованного происшествия они теряют 8% прибыли за счёт оттока клиентов, озабоченных безопасностью приватной информации. Хотя оценить репутационные риски намного труднее, отрицать их факт было бы, по меньшей мере, недальновидно.
Основная сложность борьбы с инсайдерами заключается в том, что они являются легальными пользователями корпоративной информационной системы и обладают подчас весьма серьезными полномочиями, а также правами доступа к конфиденциальным данным. Инсайдеры ежедневно работают с коммерческой информацией, и узнать, а уж тем более, доказать, что она используется сотрудниками не только для выполнения служебных обязанностей, очень и очень сложно.
Кроме того, инсайдеры, работая в данной сфере, отлично знают, как можно использовать доступные корпоративные ресурсы для извлечения личной выгоды. В большинстве случаев речь идет о продаже конфиденциальной информации (документы, представляющие собой коммерческую тайну, персональные данные о сотрудниках и клиентах — всё то, что называлось «инсайдерской информацией» ещё до популяризации этого термина в ИТ-индустрии) заинтересованным лицам. Однако в некоторых случаях инсайдеры могут нанести вполне видимый прямой ущерб самостоятельно. Так, например, сотрудник одного днепропетровского банка, пользуясь своим служебным положением, получил доступ к счетам клиентов и незаметно перевел на счета подставных лиц больше 45 тысяч долларов. Другой наглядный пример деятельности инсайдеров — мошенничество с акциями «Татнефти». Инженер-программист «Акционерного капитала» (компании-реестродержателя акций «Татнефти»), пользуясь доступом к базе данных и коду программы по осуществлению электронных операций с ценными бумагами, смог похитить 110 тыс. акций.
Как обезопасить себя и при этом не стать шпионом за собственными сотрудниками? Решение этой проблемы — это, прежде всего, вопрос контроля, важнейшим приоритетом в котором является разграничение доступа к информационным ресурсам.
В среднестатистической организации на сегодняшний день используются иногда более десятка различных информационных ресурсов — бухгалтерская система, внутренний корпоративный сайт, почтовый сервер, файловый сервер, CRM-система и т.п. В идеале каждый из этих ресурсов «должен» требовать авторизации пользователя при попытке доступа. Понятно, что качественный, стойкий ко взлому пароль существенно отличается от распространенных «admin», «user» и «1,2,3…9». А это значит, что держать в голове придётся до 10 сложных паролей. При этом нужно пытаться не запутаться в них и не уступить соблазну всё же записать весь арсенал паролей на какой-нибудь стикер.
Разумным компромиссом между безопасностью и удобством является использование аппаратной аутентификации на основе токенов в виде USB-ключей или смарт-карт. Они могут применяться для хранения многосимвольных сложных паролей, персональных данных пользователя, цифровых сертификатов и ключевой информации (например, при использовании сервисов, основанных на ЭЦП). Благодаря своей многофункциональности токены снимают множество вопросов, связанных с корпоративной информационной безопасностью, но, правда и то, что при этом порождают новые. Важнейшим из них является вопрос контроля над выдачей и использованием аппаратных аутентификаторов.
Даже для 50-100 сотрудников отследить вручную имеющиеся права доступа у каждого пользователя весьма проблематично. А между тем, это придётся делать каждый раз при вводе в эксплуатацию нового информационного ресурса (например, корпоративного портала или его раздела), переподчинении сотрудника, его повышении, увольнении и т.д. С точки зрения управляемости и прозрачности информационной инфраструктуры наличие нескольких администраторов (каждый для отдельного ресурса) не только не облегчит ситуацию, но, напротив, может обернуться дополнительными сложностями и накладками. При этом ситуаций, в которых сотрудник может получить больше привилегий, чем предполагает его позиция, великое множество.
При крупномасштабных организационных изменениях в компании, высокой «текучке» кадров, распределенной филиальной структуре, да и просто при большом числе сотрудников — риск ошибки администратора, распределяющего права доступа, очень высок. Если добавить к этому ещё и отсутствие системы мониторинга действий пользователей и отслеживания попыток превышения полномочий, то стоит признать — создана благодатная почва для безнаказанной деятельности сотрудников, решивших улучшить своё материальное положение за счет компании-работодателя, но без её ведома.
Для эффективной профилактики несанкционированной деятельности сотрудников необходимо создать максимально удобную, управляемую и масштабируемую систему для централизованного управления жизненным циклом смарт-карт, USB-ключей и используемых с ними приложений безопасности.
Единая система управления обеспечит 100-процентное соответствие современным требованиям бизнеса и в то же время упростит процесс развертывания, эксплуатации и обслуживания различных типов токенов и смарт-карт. Подобным связующим звеном между пользователями, средствами аутентификации и политикой безопасности, закрепленной в организационных правилах, являются системы класса Token Management System (TMS).
Настроенная в строгом соответствии с корпоративными политиками безопасности, TMS автоматизирует большинство типовых операций, связанных с управлением доступом пользователей к корпоративным ресурсам (выпуск токена, персонализация, добавление/отзыв прав доступа, замена/временная выдача нового токена, отзыв токена). При появлении нового сотрудника, при его переводе в другой отдел или филиал в TMS будут автоматически произведены обновления цифровых сертификатов и паролей, что обеспечит своевременное предоставление всех необходимых для работы прав. При этом доступ пользователя к информации, просмотр, копирование или модификацию которой не предполагает его новый статус — будет строго запрещен.
TMS имеет весьма широкий спектр применения, включающий организацию безопасного доступа к локальной сети, VPN-сети, защищенным веб-сайтам, обеспечение аутентификации по одноразовым паролям (One Time Password — OTP), защиты электронной почты, шифрования данных и т. д. Стоит отметить, что в архитектурном плане наиболее удачным вариантом является система управления жизненным циклом токенов, базирующаяся на службе каталогов Microsoft Active Directory (по этому пути пошли разработчики eToken TMS). Это позволяет администраторам одновременно управлять корпоративным парком компьютеров и устройствами eToken, обеспечивая прямую связь между TMS и политикой информационной безопасности организации.
Система управления жизненным циклом ключей и смарт-карт существенно повышает управляемость ИТ-инфраструктурой и, что самое важное, снижает влияние на неё человеческого фактора. Удобный и гибкий инструмент позволяет избежать ошибок администратора при распределении прав доступа к информационным ресурсам предприятия. Таким образом, снижается риск нарушений политики безопасности, которые могут привести к утечке конфиденциальной информации.
TMS позволяет не только автоматизировать выдачу сотрудникам полностью подготовленных к работе токенов, настроенных в соответствии с правилами компании. Можно также организовать доступ ко всем необходимым информационным ресурсам и решить массу других задач. В их числе — безопасное разблокирование PIN-кода самим сотрудником по телефону (в режиме запрос-ответ) или на специальном веб-сайте в режиме самообслуживания. С помощью TMS можно оперативно заменить утраченный, повреждённый или забытый токен. Причем, наиболее прогрессивные системы TMS в позволяют использовать технологию, получившую название «виртуальный токен».
Представим ситуацию когда легальный пользователь системы по каким-то причинам не может подключить свой токен (например, забыв его или находясь в командировке) и тем самым доказать свои права на доступ. В таком случае он может использовать опцию «виртуальный токен» для временной замены аппаратного устройства. Для этой цели пользователь должен связаться с администратором TMS, который «выпишет» ему «виртуальный токен». Его пользователь сможет загрузить на веб-сайте TMS и пройти процедуру аутентификации, как если бы при этом использовался USB-ключ или смарт-карта.
Использование TMS обеспечивает надёжный отзыв всех предоставленных прав доступа при увольнении сотрудника, причём даже при отсутствии самого ключа. В некоторых случаях необходима быстрая реакция администратора на те или иные события. Например, при увольнении сотрудника важно в сжатые сроки ограничить (или запретить) возможность доступа к корпоративной информационной системе.
Между тем зачастую это действие не реализуется вовсе, либо реализуется с опозданием. При этом уволенный сотрудник или тот, кому он передаст свой ключ, может получить несанкционированный доступ к конфиденциальной информации. И это тем более вероятно, что при увольнении бывшие сотрудники достаточно часто стараются унести с собой какие-либо данные в надежде продать их или использовать на новой работе.
Если же в информационной системе предприятия развернута система управления аппаратными аутентификаторами, администратор может отозвать сертификат сотрудника сразу после получения сообщения из отдела кадров о его увольнении. При этом токен пользователя становится бесполезным — получить доступ к информационным ресурсам с его помощью невозможно.
Современные системы управления устройствами безопасности в масштабах предприятия, как правило, также предоставляют широкие возможности по инвентаризации самих устройств и даже аудиту действия пользователей: подсоединил токен, сменил PIN-код и т.п.
Описание функционала встроенной системы аудита TMS заслуживает отдельного внимания. Благодаря этой опции администратор безопасности располагает удобным инструментом для анализа информации и возможности формировать наглядные отчёты. В ряде случаев именно они могут стать источником важных сведений о подозрительных действиях легитимных пользователей ИТ — инфраструктуры. Кстати, в мировой практике известно немало случаев, когда инсайдеры выявлялись именно благодаря поведенческому анализу.
Еще одним преимуществом систем рассматриваемого класса является усиление контроля над действиями самих системных администраторов. Это очень важно, поскольку, обладая немалыми полномочиями, эти сотрудники ИТ-служб очень часто становятся наиболее опасными инсайдерами.
Усиление контроля достигается двумя способами. Во-первых, уровень доступа к самой системе управления регулируется с помощью ролей. Это позволяет гибко настроить права различных сотрудников ИТ департамента. Во-вторых, система управления аппаратными аутентификаторами ведет подробный лог действий самих администраторов. Это позволяет выявить случаи соучастия представителей ИТ-служб в инцидентах, связанных с несанкционированным увеличением уровня доступа для сотрудников с более низкими привилегиями.
Резюмируя, необходимо отметить, что при современном уровне развития различных ИТ-угроз, в частности, связанных с несанкционированной деятельностью штатных сотрудников, игнорировать вопросы ИБ — значит подвергать собственный бизнес неоправданному риску.
Насколько бы ни был демократичен топ-менеджмент, насколько ни была бы сильна уверенность в преданности команды своей работе — в любой организации всегда найдётся не лояльный сотрудник. По самым различным соображениям: из чувства обиды или ради материальных выгод — в итоге он может стать тем самым пресловутым инсайдером. Избежать этих метаморфоз достаточно сложно, тогда как защититься от них можно и нужно, в частности, благодаря единой автоматизированной и полностью настраиваемой системе управления средствами доступа.
TMS отвечает требованиям безопасности и удобна в эксплуатации. Это повышает эффективность управления средствами аутентификации при упрощении этого процесса, выводя администрирование на качественно новый уровень. Решения такого класса позволяют отойти от сложных, запутанных схем распределения прав легитимных пользователей и, что самое главное, на практике, а не в теории, реализовать принятую в компании политику ИБ. А это не только повышает надежность защиты, но и уменьшает затраты на управление информационной системой.
Ника Комарова
Михаил Башлыков, руководитель направления информационной безопасности компании «Крок»:
Для того чтобы обеспечить полноценный контроль доступа к информационным ресурсам, необходимо решить следующие задачи: идентификацию, аутентификацию, авторизацию и регистрацию событий безопасности. Так как система управления доступом чрезмерно сложна, ее нерезультативно обеспечивать одним продуктом. Задачу идентификации пользователя эффективней решать с использованием продуктов нескольких производителей, например, следующие комплексы:
1) IBM Tivoli Identity Manager и IBM Tivoli Identity Federation Manager (для web-сервисов)
2) Oracle Identity Federation и Oracle Identity Manager
3) Sun Identity Manager Sun Java System Federation Manager
Управление учётными записями важно дополнять решением по идентификации пользователей в промежуточных запросах, например, запросы web-сервисов, которые идут не непосредственно от программы пользователя, а через несколько серверов приложений в многозвенной архитектуре. Для этого применяются продукты, в названии которых присутствует слово Federation. При их помощи из содержания web-сервиса возможно идентифицировать пользователя, от имени которого производится запрос, а не учётную запись, используемую сервером приложений при формировании HTTP запроса, который содержит XML запрос к web-сервису.
Опыт компании «Крок» показывает, что задачу аутентификации пользователей также надежнее решать с использованием продукции нескольких производителя. Так как необходимо поддерживать все протоколы и схемы аутентификации, используемые в уже существующей системе, не меняя её, и не влияя на доступность функций. Например, возможен вариант с использованием следующих комплексов:
1) IBM Tivoli Access Manager IBM (for e-Business, for Integration, for Operation System)
2) Oracle Access Manager
3) Sun Access Manager
Решение задачи аутентификации сложнее осуществить технически, потому что поддержка всего спектра протоколов доступа и схем аутентификации просто невозможна, да и не во все системы возможно встроить Plug-ins. Наш опыт показывает, что даже для систем c web-интерфейсом не удастся решить задачу централизованной аутентификацией в 80% случаев. Поэтому необходимы дополнительные методы аутентификации, такие как доступ к консоли компьютера с использованием микропроцессорной карты и токена, использование биометрии.
Решение задачи разграничение доступа на прикладном уровне связано с пониманием прикладной логики системы. Кроме этого, такая система должна быть открыта для подключения внешнего механизма управления доступом, что не всегда предусматривается во всех системах. Особо хочется отметить web-сервисы. Совершенно не достаточно ограничивать доступ к web-сервису, опираясь на идентификацию клиента и сервера на уровне HTTP. Необходимо «заглянуть» внутрь XML, передаваемого в запросе к web-сервису. Именно это возможно сделать с использованием IBM DataPower, который может работать как XML Firewall. Это особенно важно при авторизации запросов от портала, доступного для внешних пользователей к внутренним web-сервисам.
Регистрация событий — также важный компонент защиты информации. Управлять доступом эффективно тогда, когда есть обратная связь — контроль за использованием доступа. С этой целью применяют системы сбора и анализа событий безопасности. «Крок» успешно реализует проекты по внедрению TSOM. Например, в проекте по созданию системы обеспечения безопасности информации корпоративного портала РАО "ЕЭС России" специалисты компании «Крок» применили комплексную систему аутентификации, которая включает и VPN, и FireWall, и WebSEAL (компонент Tivoli Access Manager) и eToken, и RSA KEON. Система получилась комплексная и для понимания её работы понадобилась система сбора событий информационной безопасности, таких как вход администратора, смена паролем, попытки нарушения защиты системы.