|
|
Обзор подготовлен
Практически каждая крупная компания имеет в составе своей корпоративной системы приложение, которое не было куплено и внедрено неизменным. Однако широко применяемые в настоящее время к таким приложениям меры обеспечения информационной безопасности частенько оказываются недостаточными.
Даже крупные западные компании, открывая представительство в нашей стране, внедряют финансовые системы российской разработки ввиду особенностей российского учета, финансовой и налоговой отчетности.
Нельзя сказать, что службы информационной безопасности игнорировали проблемы защищенности заказных бизнес-приложений, однако они подходят к средствам защиты таких приложений со своей привычной инфраструктурной стороны. Проверяется, в первую очередь, насколько трудно получить доступ к приложению извне, насколько приемлемыми являются правила разграничения доступа к данным приложениям, как часто меняются пользовательские пароли и так далее. Безусловно, сама платформа, на которой разработано приложение и СУБД, лежащая в ее основе, проверяется на наличие известных уязвимостей. Конечно, проверяется вся инфраструктура, которой пользуются пользователи приложения – компьютеры, сетевое оборудование и т.д. Бизнес-приложение после таких процедур считается защищенным. Так ли это?
В определенной модели угроз, конечно, оно защищено. Если считать угрозой хакера, получившего доступ к информационной системе, или халатного пользователя, а также вирус - задача ставится просто и решается достаточно просто технологическими мерами. Однако достаточно ли только такой модели угроз для полной защищенности приложений? Интуитивно кажется, что не достаточно, но тем не менее, такая модель кочует из компании в компанию и активно продвигается интеграторами и производителями традиционных средств защиты. Почему?
С одной стороны, такой подход позволяет службе информационной безопасности абстрагироваться от сути самого приложения. Действительно, какая разница, что делает приложение? Совершенно одинаково при таком подходе можно защитить корпоративный портал, банковскую систему и CAD/CAM – систему. При нынешних ресурсах, выделяемых на информационную безопасность по остаточному принципу, этого вполне достаточно. Однако, нельзя не признать, что полноту такой модели угроз нельзя считать достаточной.
Чтобы не теоретизировать бесконечно, приведем следующий пример из трудовых будней современных офицеров службы информационной безопасности. Расследуется экономическое преступление – систематическое хищение готовой продукции с территории завода. Товар воруется десятками тонн на сотни миллионов рублей, при этом не выносится с территории ночью через черный ход, а вывозится вагонами через ворота.
Из-за несовершенства мер ИБ с территории завода исчезли десятки тонн продукции на сотни миллионов рублей
Система отгрузки товара автоматизирована, пропуска на вывоз автоматически печатаются в контрольном пункте при распечатке накладных и путевых документов в бухгалтерии. Однако при сравнении пропусков, оказывается, что в ERP-системе завода, разработанной на базе крупнейшего производителя таких систем, некоторые накладные не зарегистрированы. Как такое может быть – ведь принцип ERP- системы как раз в том, что данные, однажды попав в нее, не могут быть удалены никаким образом даже с максимальными правами?
Все оказалось довольно просто. Разработчик для отладки системы распределенной печати создал тестовую программу, которая позволяла настраивать конкретные принтеры и печатать на них в целях тестирования всевозможные формы документов. По окончании отладки система не была уничтожена, и доступ к принтерам в обход ERP-системы остался, чем и воспользовались злоумышленники, завербовав в свою преступную группу одного из администраторов системы. Ущерб от деятельности группы за несколько месяцев, исчисляемый десятками миллионов долларов, превысил ущерб от инцидентов всех хакеров, вирусов, спама и инсайдеров за всю историю компании.
Кого винить в баснословных убытках? Разработчиков, которым задача ставилась, прежде всего, на функционал и производительность системы, а требования по безопасности ограничивались длиной используемого пароля? Производителей платформы, не предоставивших заказчикам и разработчикам инструментов по контролю за разработанным на платформе приложениям? Службе информационной безопасности, проморгавшей дыру в программном обеспечении?
Разработка безопасных бизнес- приложений – отдельная тема. Посмотрите, какую долю занимают часы по безопасному программированию в подготовке программистов бизнес-языков. Почитайте ТЗ на разработку и поищите там слова «безопасность» - это будет или шифрование или разграничение доступа. Получается, что ни бизнес-заказчик, ни исполнитель не ставит безопасность в качестве первого приоритета. Никогда службы информационной безопасности не бывают приглашены на совещания по проектированию бизнес-приложений, это вне их компетенции.
Однако время вспять не повернешь и не скажешь руководству, требующему защитить данные и приложение: «Раньше надо было думать!». Приходится думать о том, как защищать уже созданные с игнорированием правил безопасности бизнес-приложения. И в первую очередь – расширять модель угроз с сегодняшней «хакеры + пользователи», добавляя и администраторов, и разработчиков приложения. Вы не сможете сказать «А это за пределами нашей модели угроз» хозяевам завода, где похитили товар.
Очевидно, при расширении модели придется перейти от защиты инфраструктуры к защите информации и бизнес-процессов. Для этого придется строить непривычные для сегодняшнего дня модели угроз, применять непривычные инструменты и потреблять непривычные услуги. Кроме того, придется разбираться в бизнесе своей компании и понимать, что приложение, собственно, делает. Только так можно понять, какие процессы легитимные, а какие – нет.
Как только вы сможете это понять, вы поймете, какие инструменты вам нужны. На рынке можно найти решения по мониторингу активности в приложениях, часто причисляемые к семейству anti-fraud решений, сканеры исходного кода приложений, системы корреляции событий и другие решения. Поскольку это решения для защиты бизнес-приложений, они не работают сами собой, как антивирус или антиспам. Помимо традиционных для индустрии признаков запрещенных транзакций, корреляций или опасного кода, который будет находиться автоматически, вам понадобится настройка таких систем конкретно под вашу архитектуру и бизнес-процессы. Большинство традиционных интеграторов способны только развернуть и настроить традиционные средства безопасности и стараются не вникать в детали вашего бизнеса, поэтому нужно искать специализированные команды по конкретным приложениям или средствам безопасности.
Тема не надумана, примеров реальных потерь компаниями денег (а не данных) по причине плохо сделанных бизнес-приложений - сотни. Угрозы становятся комплексными. Даже внешний злоумышленник, получивший доступ к вашей системе, может воспользоваться бизнес-уязвимостью приложения, особенно если он это приложение раньше разрабатывал или администрировал. На вашей машине, случаем, не стоит противоугонная система с возможностью блокировки двигателя SMS-кой? А вы уверены, что вход для отладки SMS-шлюза уже закрыт? И что уволенный вчера без выходного пособия программист этой компании не может одной SMS-кой заблокировать все машины?
Решение этой проблемы есть. Она не в отсутствии инструментов и специалистов – есть и стандарты, и методики, и модели угроз, есть команды аналитиков и инструменты. Она в головах защитников информации, которые всю свою жизнь защищали инфраструктуру, а не информацию. Просто надо смотреть на защищаемую информационную систему не как на набор компьютеров, серверов, сетевого оборудования, кучу софта и каналов связи, а как на живую модель бизнеса вашей компании.
Рустэм Хайретдинов