Проблемы контроля привилегированных пользователей в кредитно-финансовых организациях и пути их решения

На сегодняшний день информацион­ные системы кредитно-финансовых учреждений стали достаточно слож­ными и многокомпонентными. Создание и вывод на рынок различных банковских продуктов, как правило, требуют разработ­ки новых информационных систем. Эти си­стемы виртуализируются, консолидируют­ся в специальных вычислительных центрах (ЦОДах), а определенные системы мигриру­ют в «Облака». И, если раньше было доста­точно иметь одного-двух администраторов для управления банковскими приложениями, которые успешно обслуживали все информа­ционные системы организации, то сейчас это невозможно ввиду сложности и многообра­зия современных ИТ-систем.

Сегодня на первый план выходят риски, свя­занные с неконтролируемым административ­ным доступом к информационным системам и ИТ-инфраструктуре компаний. По данным ведущих аналитиков, более 70 % нарушений ИБ происходят именно по вине привилегиро­ванных пользователей. Хакеры или злоумыш­ленники также сначала ищут возможность по­высить свои привилегии в системах, а затем, имея хороший контроль над целевой систе­мой, делают несанкционированные действия по краже, изменению, удалению платежной и другой информации в финансовой органи­зации. Обычные пользователи, как правило, контролируются достаточно серьезно — при­меняются средства аутентификации, механиз­мы разделения полномочий, системы регистра­ции событий безопасности и другие решения. Однако вопросы контроля того, что делают так называемые привилегированные пользовате­ли, до сих пор остаются в стороне во многих организациях. А по сути эти пользователи по умолчанию имеют очень высокий уровень до­ступа в систему и к различным конфиденци­альным данным.

Кроме того, для обеспечения работоспособ­ности своих систем большинство кредитно-фи­нансовых организаций предоставляют доступ к своим корпоративным ресурсам внешним специалистам в рамках контрактов по аутсор­сингу или удаленной работе. К тому же коли­чество внутренних администраторов в ряде банков может доходить до нескольких десят­ков. Кроме того, ряд задач ИТ-подразделе­ний компании, например, задачи по настрой­ке специализированного оборудования, часто осуществляются силами вендора. Данный под­ход экономически оправдан, однако он несет дополнительные риски информационной без­опасности. Так, в частности, бывает невозмож­но определить, кто и что делал в системе, так как, например, учетная запись. Суперпользо­вателя (root, Administrator и др.) в системах часто одна, а доступ с её правами необходи­мо обеспечить и вендору, и администратору, и консультанту.

Рассмотрим простой пример — после новых настроек в ПО или применения очередного обновления «боевая» информационная систе­ма банка перестала работать. В данном случае для оперативного восстановления работоспо­собности системы необходимо понять, какие действия администраторов привели к сбою и кто именно допустил ошибку. Хорошо из­вестно, что время простоя платежных и других систем банка является в прямом смысле «зо­лотым». Журналы аудита, как правило, лишь в редких случаях помогают решить указанную проблему, так как протоколирование абсолют­но всех действий в системе обычно не заложено в ПО. Даже если такие уровни журналирования и предусмотрены в ПО, то они не используют­ся, так как их применение приведет к замедле­нию работы системы. Именно поэтому сейчас стали популярны системы контроля привиле­гированных пользователей (PIM, Privileged Identity Management). В настоящее время на российском рынке представлено большое ко­личество систем данного класса. Рассмотрим задачи, которые можно решить с помощью та­ких систем, на примере отечественного реше­ния SafeInspect:

1. Необходимо обеспечить строгую аутенти­фикацию привилегированных пользователей. Здесь существует масса проблем, вызванная тем, что администраторы часто используют специализированные протоколы, которые имеют собственные системы аутентифика­ции. В качестве примера можно привести ис­пользование протокола SSH, который пред­полагает использование ключей SSH для доступа (имя — пароль мы не будем рассма­тривать). А это совершенно отдельная систе­ма, ключи не имеют ничего общего с серти­фикатами x.509, которые часто используются для аутентификации обычных пользователей и клиентов.
2. Необходимо определить и применить по­литику, которая обеспечивает доступ адми­нистраторов в строго определенное время (особенно важно для доступа внешних адми­нистраторов).
3. Крайне необходимо обеспечить правильное разделение полномочий по доступу к инфор­мационным ресурсам. Решение данной задачи осложняется тем, что администраторы имеют крайне «глубокий» доступ в систему и высокие полномочия. Как правило, во многих организа­циях администраторы имеют доступ в рамках своей системы ко всей ИТ-инфраструктуре ор­ганизации и крайне болезненно относятся к ка­ким-либо ограничениям.
4. При работе с учетными записями типа Су­перпользователя (root, Administrator и т. п.) важно обеспечить точный контроль над тем, кто именно и какие действия производил под этим аккаунтом, а это часто невозможно сде­лать штатными средствами.
5. Важно контролировать как пароли/ключи доступа, так и время доступа к разным систе­мам и своевременно их менять или блокиро­вать. В идеале стоит менять пароли или ключи сразу после завершения сеанса доступа.
6. Поскольку администратор может вводом неправильной команды случайно или предна­меренно нарушить работоспособность системы, крайне важно иметь возможность защиты от таких ошибок. Например, эту проблему можно решить путем запрета ввода определенных ко­манд или системой быстрого оповещения, кото­рая будет показывать, что определенные коман­ды вводились в короткий промежуток несколько раз и имеется риск того, что в данном случае производились несанкционированные действия.
7. Кроме того, часто возникает необходимость проанализировать что делалось в системе месяц назад с как можно наибольшей детализацией (как в случае исправления ошибок администри­рования, так и в случае поиска несанкциониро­ванных действий). И тут такие системы являют­ся незаменимыми.
8. Современные протоколы администрирова­ния, даже самые базовые и популярные, слож­ны по своей природе, имеют т. н. субканалы, по которым передаются данные, и они зашифро­ваны. Контроль таких субканалов с точки зре­ния возможной утечки данных также является крайне важной задачей. В данном случае, на­пример, решение SafeInspect позволяет полно­стью расшифровать данные и передать их в си­стему DLP или другую систему безопасности для последующего анализа.
9. Современные стандарты по безопасности, такие как PCI DSS, СТО БР ИББС в ряде слу­чаев требуют наличия средств контроля при­вилегированных пользователей в финансовых организациях.

С учетом вышесказанного можно отметить, что внедрение системы контроля привилегиро­ванных пользователей позволит организации:

• выполнить соответствующие требования стандартов — СТО БР ИББС, PCI DSS, ISO 27001 и др.;
• снизить риск несанкционированного досту­па привилегированных пользователей и утечки конфиденциальной информации;
• существенно снизить риск нарушения ра­ботоспособности и безопасности ИТ-инфра­структуры;
• создать архив записей сессий привилегиро­ванных пользователей для последующего про­ведения служебных расследований.

В настоящей статье были рассмотрены толь­ко основные возможности по применению си­стем контроля привилегированных пользо­вателей. Как мы видим, затрагивается целый пласт проблем ИБ, которые в течение долгих лет не решались в полном объеме. Однако в со­временных условиях эти угрозы уже нельзя иг­норировать, поскольку от безопасности в этой сфере может зависеть работоспособность клю­чевых бизнес-процессов финансовой органи­зации. Использование решения класса SafeIn­spect позволит существенно повысить уровень безопасности кредитно-финансовой организа­ции за счет снижения рисков, связанных с при­вилегированными пользователями.

Виктор Сердюк, генеральный директор АО “ДиалогНаука"
Михаил Романов, директор по развитию бизнеса ООО “Новые технологии безопасности"

BIS JOURNAL | Январь 2017