Посторонним вход воспрещен: как обезопасить корпоративные данные?


Кто поспорит с тем, что доступ сотрудников к информации предприятия должен быть не только удобным, но и безопасным? На первый взгляд это кажется очевидным. Однако практика показывает, что в российских компаниях о второй составляющей часто забывают. О том, как защититься от кражи корпоративных данных и что такое управление доступом к информационным ресурсам предприятия, читайте далее.

Много лет ИТ- и ИБ-подразделения большинства крупных и средних российских компаний искали ответ на вопрос, как, предоставляя доступ сотрудников к информационным ресурсам компании, максимально защититься от охотников за секретными корпоративными сведениями. Но, несмотря на титанические усилия, пока проблема не только далека от разрешения, но и сама траектория развития рынка ИБ в последние годы, как ни странно, все дальше уводит предприятия от возможности найти ответ на этот ключевой вопрос.

Причин тому несколько. С одной стороны, бизнес-процессы объективно усложненяются, уровень их автоматизации повышается. В современных организациях увеличиваются объемы информации, обрабатываемой в электронном виде, информационные системы становятся сложнее, растет число приложений и информационных ресурсов, которые нужны пользователю для выполнения своих обязанностей. Кроме того, стремительно развиваются мобильные и облачные технологии и расширяются зоны их применения в бизнесе. С другой стороны, эти изменения происходят на фоне значительного роста количества и уровня компьютерных преступлений, а также все более активного использования бизнесом приемов конкурентной разведки, многие из которых заимствованы из арсенала злоумышленников.

Как же реагирует на эти изменения отрасль ИБ? Можно выделить три направления таких изменений. Первое – это, конечно, появление встроенных механизмов защиты данных и аутентификации пользователей практически в любом прикладном ПО и во всех строительных блоках ИТ-инфраструктуры. Несомненно, это позитивный процесс. Но такие механизмы — лишь инструменты, которым надо как-то пользоваться.

Компании не остаются в стороне от этих изменений. Наиболее заметными и универсальными трендами являются попытки внедрять все более жесткие требования к стойкости паролей и использовать ролевые модели доступа и формализованные корпоративные политики ИБ. Эти изменения также не могут не радовать. Однако, как показывает практика, этим изменениям активно сопротивляются пользователи, которые просто не могут держать в памяти постоянно меняющиеся и ничего не выражающие длинные последовательности букв и цифр. Да и отделы ИБ просто не в состоянии вручную перенастраивать механизмы доступа прикладных и инфраструктурных элементов ИС при каждом изменении статуса пользователя: приеме на работу, изменении должности, увольнении, включении в те или иные временные рабочие группы, пребывании в командировках и отпусках, оформлении больничных и др.

Чтобы смягчить эту проблему, был разработан ряд технологий и специализированных ИБ-продуктов, которые со временем сформировали в три класса ИБ-решений: IDM, PKI, SSO.

Системы класса IDM (Identity management) автоматизируют создание учетных записей пользователей в ИС организации на основе ролевых моделей доступа, а впоследствии контролируют соответствие реальной ситуации с доступом и заданной эталонной модели.

Системы класса PKI (Public Key Infrastructure) обеспечивают двухфакторную аутентификацию пользователей, при которой для доступа к ИТ-приложениям пользователь должен не только знать пароль, но и предъявить некоторый физический ключ (токен, смарт-карту).

Системы класса SSO (Single Sign-On) дают пользователю, прошедшему аутентификацию с использованием единого идентификатора (ключевого носителя или пароля), удобный доступ сразу к большому числу информационных систем (в идеале, ко всем ИТ-ресурсам, необходимым для выполнения должностных обязанностей).

Казалось бы, все прекрасно: изменения позитивны и гармонизированы. Но серьезные проблемы существуют. Чтобы выявить их корни и увидеть решения, надо разобраться, насколько эти системы актуальны для предприятий, в каких случаях они действительно способны снизить риск совершения компьютерных преступлений против предприятия. Для этого нужно несколько глубже разобраться в принципах работы систем IDM, PKI и SSO.

Системы класса IDM (Identity management)

Основная функция любой системы этого типа состоит в том, чтобы в режиме реального времени анализировать данные о движении персонала (прием, увольнение, переводы, отпуска и т. д.) и незамедлительно производить соответствующие корректировки прав доступа. Поэтому необходима интеграция систем IDM с кадровой системой организации. Важно подчеркнуть, что корректировка прав доступа – это реальное изменение учетных записей в конечных системах, которое становится возможным из-за того, что IDM-система при внедрении стыкуется со всеми ИТ-ресурсами с помощью соответствующих коннекторов.

Посмотрим, как это работает, скажем, в случае приема нового сотрудника в отдел продаж. Как только приказ проведен менеджером по персоналу в своей кадровой системе, IDM сразу подхватывает эту информацию и автоматически или после подтверждения руководителем отдела продаж (в зависимости от настроек) создает учетные записи нового сотрудника в нужных ему ИТ-системах – в полном соответствии с его ролью. Больше не нужно ждать, пока служебная записка соберет все визы и поступит из отдела персонала в отдел ИТ, а там дождется, когда же до нее дойдут руки у перегруженных работой системных администраторов.

Примерно то же происходит при увольнении сотрудника: как только приказ об увольнении будет проведен в кадрах, IDM-система мгновенно заблокирует или ограничит (в зависимости от политик безопасности) доступ данного сотрудника к ИТ-системам. Кстати, хорошая IDM-система автоматизирует и процесс согласования заявок на предоставление или изменение прав доступа. Соответственно, в компании появляются четко описанные и автоматизированные процедуры, позволяющие запросить, подтвердить и предоставить те или иные права доступа. Кроме того, с внедрением IDM в организации появляется единая база всех прав доступа ко всем ИТ-системам и единая консоль управления правами доступа, что очень серьезно разгружает администраторов ИТ-систем.

Отметим, что IDM-система автоматически решает одну из очень актуальных проблем в сфере управления доступом, а именно наличие «мертвых душ» (учетных записей, оставшихся не удаленными или не заблокированными после ухода сотрудника из компании в различных системах, или избыточных прав доступа у давно работающих сотрудников). Избыточный же доступ возникает вследствие того, что у сотрудников постепенно накапливается шлейф старых, уже не нужных ему в работе, но не заблокированных доступов. Очевидно, что наличие избыточного доступа или активных аккаунтов уволенных сотрудников не сулит организации ничего хорошего.

Также IDM-система автоматически проводит аудит всех заведенных учетных записей и позволяет выявлять и исправлять найденные отклонения в правах доступа. Иными словами, если кто-то из администраторов по ошибке или по злому умыслу произведет какие-либо несанкционированные изменения с правами доступа сотрудников в какой-либо из ИТ-систем, IDM это обнаружит, разошлет соответствующие уведомления и предоставит удобный интерфейс для устранения ошибок или занесения их в исключения (если данное изменение будет санкционированно). Таким образом, IDM-система минимизирует риск злоупотреблений и махинаций со стороны системных администраторов, которые, не будь IDM, имели бы полный простор действий, что является одним из самых уязвимых мест всей системы информационной безопасности организации.

Системы класса PKI (Public Key Infrastructure)

В свое время концепция двухфакторной аутентификации стала настоящим прорывом, позволившим повысить безопасность доступа к ИТ-приложениям. До этого единственной преградой на пути злоумышленника, пытающегося получить несанкционированный доступ к ИТ-системе, был пароль. Но, как всем хорошо известно, его могут украсть, подсмотреть, подобрать или узнать у самого пользователя с помощью обмана. Да и сами пользователи совершают немало глупостей с паролями, значительно облегчая жизнь злоумышленникам. Классические примеры: пароль, записанный на бумажке, прилепленной к монитору, или выбор в качестве паролей простых и логически подбираемых комбинаций, скажем, дня своего рождения или последовательности типа «12345».

Двухфакторная аутентификация предусматривает защиту от таких ситуаций: без предъявления физического ключа, который невозможно подделать, украденный пароль не даст возможности войти в ИС. Такая комбинация значительно повышает надежность системы управления доступом, ведь завладеть ключом и узнать его ПИН-код куда сложнее, чем решить любую из этих задач в отдельности.

Системы класса SSO (Single Sign-On)

Идеология SSO позволяет найти приемлемый баланс между удобством работы пользователей и требованиями безопасности. Классические каноны безопасности гласят, что для безопасной работы с несколькими информационными системами, необходимо не только использовать в них разные пароли, но и как можно чаще менять их. При этом пароли должны еще и соответствовать требованиям по сложности: количество символов, сочетание букв и цифр, разные языки и регистры и т. д.

Однако такие правила достаточно просто лишь написать и утвердить, но добиться, чтобы их неукоснительно соблюдали сотрудники, практически невозможно. Пользователь просто не в состоянии запомнить множество разных и сложных паролей, да еще и регулярно меняющихся. Итог хорошо известен: чаще всего для всех систем используется один и тот же простой пароль, который никогда не меняется. Более того, тот же пароль используется и для личных ИТ-ресурсов: внешних почтовых ящиков, аккаунтов в социальных сетях и т. д. Естественно, для профессионала перехват и подбор такого пароля резко упрощается, что создает серьезные риски для безопасности корпоративной информации.

Суть метода SSO состоит в том, что сложные пароли создаются и меняются автоматически сервером распространения паролей, пользователь же при входе на компьютер лишь предъявляет свой ключевой носитель и ПИН-код, после чего пользователь получает доступ к разрешенным для него приложениям, а указанный сервер сам подставляет в них актуальные в настоящий момент стойкие пароли. Это очень удобно, ведь пользователю достаточно иметь ключ и помнить единственный ПИН-код от него. А если злоумышленник попробует получить доступ к системам напрямую (перебором или взломом), его ждет неприятный сюрприз: система SSO способна создавать очень сложные и длинные пароли и обновлять их хоть каждую минуту.

Управление доступом в системе самообороны предприятия

Три вышеописанные системы актуальны для организации по двум причинам. С одной стороны, они позволяют автоматизировать множество рутинных операций ИТ-службы, которые при выполнении в ручном режиме занимают массу времени, порождают задержки и ошибки, что ведет к прямым финансовым потерям для организации. С другой стороны, беспорядок в вопросах доступа к ИТ-системам создает риски информационной безопасности.

Бесспорно, система управления доступом – это фундамент системы ИБ для любой организации. На практике же мы чаще всего сталкиваемся с совершенно иной ситуацией. Компании тратят огромные суммы на внедрение различных, часто очень сложных систем информационной безопасности и при этом совершенно не уделяют должного внимания организации доступа к ИТ-ресурсам, считая это задачей лишь ИТ-подразделения. Потом, при разбирательствах причин реально произошедших компьютерных преступлений, выясняется, что злоумышленник и не пытался найти брешь в какой-либо из них. Вместо этого он легко и непринужденно обошел сразу все системы защиты, воспользовавшись доступом легитимного пользователя, имевшего законное право войти в информационную систему и работать с нужной злоумышленнику информацией. Не учитывать эту возможность – все равно, что оборудовать свой дом самыми современными средствами защиты, устанавливать сигнализацию, железные двери и решетки на окнах. А ключи оставлять под половичком – так удобнее. Подходи, бери ключи и заходи.

Бардак в вопросах управления доступом

Основной объем совершаемых сегодня компьютерных преступлений можно условно разделить на три большие группы. К первой группе относятся преступления, совершаемые за счет вредоносных компьютерных программ, внедряемых в инфраструктуру компании и управляемых удаленно. Ко второй группе — случаи взлома систем извне методом хакерских атак. К третьей — действия завербованного или специально внедренного злоумышленника-инсайдера, получающего доступ к защищенным информационным ресурсам компании под видом легитимного пользователя, имеющего доступ к данным системам.

В настоящее время первый вариант остается самым массовым способом совершения киберпреступлений. По данным Group IB (компании, специализирующейся на вопросах расследования компьютерных преступлений), более 70 % таких преступлений совершаются именно за счет использования вредоносного ПО, внедренного в сети организации. Однако период бесконтрольного внедрения такого ПО на корпоративные компьютеры закончился, т. к. в настоящее время практически не осталось компаний, не применяющих профессиональные антивирусы, способные реагировать не только на известные вирусы, но и на любые программы с подозрительным поведением. Да и уязвимости в различных программных продуктах, являющиеся второй типичной лазейкой, анализируются и оперативно закрываются производителями этого ПО. С большой долей уверенности можно сказать, что компании, использующие лицензионное антивирусное и прикладное ПО и регулярно обновляющие его, уже имеют основания чувствовать себя достаточно защищенными от угроз первого типа.

Периметр организации также неплохо защищен. В этих условиях наиболее уязвимым элементом системы становятся пользователи, а самой большой угрозой – пресловутый человеческий фактор. При этом в системе ИБ пользователя необходимо рассматривать не только как владельца компьютера, через который может быть открыт доступ для вредоносного ПО в сеть компании, но и как должностное лицо, от имени которого можно получить доступ к информации, хранящейся в информационной системе. Как уже говорилось, в простейшем случае достаточно узнать логин и пароль сотрудника – и простор для творчества злоумышленника не ограничен. Пожалуй, именно третий сценарий компьютерного преступления является наиболее опасным.

http://safe.cnews.ru/reviews/index.shtml?2013/05/30/530483

Обновлено: 11.03.2015