Контроль действий пользователей - необходимость или паранойя?

Алексей Сова
ведущий специалист департамента маркетинга компании "Информзащита"

В январе 2008 г. крупнейший банк Франции Societe Generale объявил, что из-за действий своего трейдера Жерома Кервьеля, несанкционированно открывавшего позиции, он понес убытки в 4,9 миллиардов долларов. После скандала с Кервьелем Societe Generale был оштрафован на четыре миллиона евро за недостатки в системе внутреннего управления, которые позволили трейдеру совершать незаконные операции.

Осенью того же года российский банк "Ренессанс Капитал" пострадал из-за неправомерных действий своего сотрудника. Трейдер банка в обход правил внутреннего контроля заключал рискованные сделки для клиентов по согласованию с ними. Объем незаконно открытых трейдером позиций достигал 130-140 миллионов долларов США, а убытки банка составили, по разным оценкам, от 10 до 50 миллионов долларов.

По заверениям экономистов, выход из кризиса не за горами. Так это или нет, покажет время. Но, несмотря на ощутимую рецессию в экономике, массовые сокращения почти не коснулись бюджетов на информационную безопасность (ИБ). Вызвано это несколькими причинами. С одной стороны, усилилось влияние государственных регуляторов: для ряда компаний - необходимость соответствовать требованиям стандарта PCI DSS, практически для всех - требованиям закона о персональных данных, на выполнение которых осталось меньше года.

С другой стороны, для конкурентных секторов экономики особенно остро встали вопросы устойчивости и защищенности бизнеса, оказания клиентам качественных услуг и обеспечения их безопасности. В этих условиях важно правильно расставить приоритеты и получить максимальную отдачу от вложений в ИБ.

Современные системы ИБ реализуют принцип defense-in-depth, или "многоэшелонированной" защиты. Они включают подсистемы сетевой безопасности, антивирусные подсистемы, подсистемы строгой аутентификации, подсистемы резервного копирования, мониторинга и др. Правильно установленные и настроенные средства защиты информации позволяют достаточно надежно защититься от атак злоумышленников или вирусных эпидемий.

Однако, как показывает общемировая статистика, около 80% всех инцидентов безопасности происходит по вине внутренних пользователей. При этом наибольшую опасность могут представлять злоумышленники с высокими полномочиями доступа администраторов сетей, операционных систем, приложений, баз данных и другие категории привилегированных пользователей. Проведенные компанией Orthus исследования показали, что чем выше у сотрудника привилегии по доступу к данным, тем больше у него соблазна использовать служебное положение в личных целях.

Решения по контролю действий пользователей

Разумеется, проблема внутренних нарушителей возникла не сегодня. Просто раньше, на фоне разгула хакеров и пандемий компьютерных вирусов, собственные сотрудники выглядели не столь угрожающе. Теперь же все чаще от их действий, некомпетентных или преднамеренных, исходит реальная угроза безопасности компании. Этим и объясняется рост интереса к решениям по контролю действий пользователей. Продукты в этой сфере И Б можно разделить на несколько основных категорий по аналогии с физическим контролем пользователей:

• "Видеонаблюдение". Программное обеспечение, контролирующее повседневную деятельность пользователей на предмет соответствия  заданным политикам безопасности.
• "Системы контроля доступа в помещение". Решения, позволяющие разграничить доступ   субъектов   к  защищаемым информационным, программным и аппаратным ресурсам, идентификацию и аутентификацию, контроль  аппаратной конфигурации, внешних носителей и программной среды.
• "Сейфы". Программные комплексы,  обеспечивающие защиту    конфиденциальных данных от несанкционированного использования и распространения, контроль и протоколирование всех операций с документами  независимо от их местоположения.
• "Проходная". Системы однократной аутентификации
• пользователей. Позволяют, авторизовавшись один раз, получить защищенный доступ ко всем требуемым приложениям и ресурсам.
• "Датчики дыма". Программные и программно-аппаратные комплексы сбора, обработки и управления событиями безопасности.  Позволяют снизить риски информационной безопасности за-за своевременного выявления инцидентов ИБ.

Все системы, разумеется, оборудованы встроенной "сигнализацией" - средствами немедленного оповещения при выявлении критичных событий.

Рассмотрим каждую из категорий на примере решений от известных вендоров. Это такие продукты, как Compliance Insight Manager от компании IBM Tivoli (входит в состав комплекса Security and Information Event Management), Security Studio производства "НИП Информзащита", Information Rights Management компании Oracle, SecureLogin Single Sign-On от компании ActivIdentity и ArcSight ESM (Enterprise Security Manager) -флагманский продукт компании ArcSight.

IBM Tivoli Compliance Insight Manager

С помощью этого продукта осуществляется мониторинг рабочих операций пользователей на предмет их соответствия корпоративным политикам по соблюдению нормативных требований и автоматически выводятся предупреждения, когда нарушаются политики безопасности, либо информация и технологические активы подвергаются риску несанкционированного доступа и деструктивных действий.

При разработке политик доступа администратор безопасности может абстрагироваться от технических аспектов и оперировать на уровне бизнес-правил. Например:

• сотрудники отдела кадров должны иметь доступ к базе данных учета кадров в рабочие часы и только со своих рабочих станций;
• уведомить о нарушении политики доступа в случае, если администратор базы данных получил доступ к финансовой информации.

IBM Tivoli Compliance Insight Manager осуществляет корреляцию множества разрозненных событий безопасности от различных источников: прикладного программного обеспечения, операционных систем, СУБД, приложений, сетевых устройств, средств безопасности (антивирусов и межсетевых экранов), затем преобразует значительные объемы информации о событиях безопасности к удобному для восприятия стандартному формату согласно методологии W7 ("Who, did What, When, Where, Where from, Where to and on What" - "Кто сделал, Что, Когда, Где, Откуда, Куда и на Чем"), понятному администратору безопасности, аудитору или руководителю организации, которым не нужна детальная информация о всех аспектах и источниках полученных данных.

Security Studio

Контролирует состояние и предотвращает несанкционированный доступ к ресурсам рабочих станций и серверов, тем самым обеспечивая безопасность конфиденциальных данных при обработке документов, содержащих коммерческую тайну и персональные данные.

Контроль обращений к защищаемой информации, управляемое использование внешних носителей, ограничение действий пользователей в совокупности с возможностью детального разбора инцидентов позволяют создать эффективную систему противодействия внутренним нарушителям и их выявления.

Основные механизмы обеспечения информационной безопасности, реализованные в комплексе:

• управление правами доступа и контроль доступа субъектов к защищаемым информационным, программным и аппаратным ресурсам;
• управление доступом к конфиденциальной информации, основанное на неиерархических метках конфиденциальности;
• идентификация и аутентификация пользователей с использованием электронных идентификаторов;
• регистрация и учет событий, связанных с информационной безопасностью;
• мониторинг состояния автоматизированной информационной системы;
• аудит действий пользователей, в том числе администраторов;
• контроль аппаратной конфигурации;
• контроль целостности данных и замкнутая программная среда;
• гарантированное затирание остаточной информации;
• временная блокировка работы компьютеров при выявлении нарушений.

Information Rights Management (IRM)

Реализует концепцию Information centric security, когда защита содержимого документа и контроль доступа "привязываются" к самому защищаемому документу. Oracle IRM защищает и отслеживает любую критичную информацию независимо от того, где она сохранена или используется, - на рабочих станциях, ноутбуках, мобильных беспроводных устройствах и в других хранилищах, внутри и вне межсетевого экрана. Используемый процесс кодирования защищаемого документа называется "запечатыванием", потому что он реально выполняет три функции:

• упаковывание информации слоем кодирования таким образом, что, несмотря на количество сделанных копий и на то, где они хранятся, они бесполезны без соответствующих данных для раскодирования;
• встраивание набора ссылок (URL links) в кодируемый документ, так что каждая копия ссылается на Oracle IRM-сервер, на котором информация была "запечатана";
• использование цифровой подписи, поэтому любая попытка подделки документов будет определена и предотвращена.

Обеспечивается возможность детального контроля операций, выполняемых с защищаемой информацией (копирование, пересылка, печать содержимого, PrintScre-еп и т.д.), и протоколирование факта доступа и использования защищаемой информации (кто, когда и как?). При необходимости можно централизованно изменить или даже аннулировать доступ конкретных пользователей или групп в случае ошибочной или намеренной попытки распространения конфиденциальной информации.

SecureLogin Single Sign-On

Как и другие продукты класса SSO, SecureLogin Single Sign-On использует модель централизованного хранения учетных данных в едином каталоге и технологию подстановки паролей. После успешной аутентификации пользователя идентификационные данные передаются на локальную рабочую станцию, где они расшифровываются и используются для автоматического входа в различные приложения. При этом конечный пользователь может не знать текущий пароль для доступа к приложению (для ряда прикладных систем сложный для запоминания пароль может быть сгенерирован автоматически). Все, что необходимо пользователю, -это знать учетные данные для входа в систему (например, пароль для аутентификации в Active Directory) или иметь отчуждаемый носитель (например, USB-ключ) и помнить его PIN-код.

К очевидным преимуществам SecureLogin SSO можно отнести надежное управление идентификационными данными на основе единой корпоративной политики, возможность использования строгой аутентификации (смарт-карта, USB-ключ или биометрия), быстрый, простой и защищенный доступ к приложениям, исключая сложности, вызванные блокировкой учетной записи из-за нескольких попыток введения неправильного пароля, окончанием его срока действия и т.п. При этом не только существенно сокращается время, затрачиваемое пользователем на управление данными аутентификации и вход в корпоративные системы, но и многократно снижаются расходы на техническую поддержку. А ведь, по мнению большинства ведущих аналитиков, на восстановление данных аутентификации расходуется до 40% бюджета подразделения техподдержки!

ArcSight ESM

В любой крупной организации эксплуатируется обширный парк сетевых устройств. Каждое из них постоянно информирует о том, что происходит в подконтрольном ему участке, и количество ежедневно генерируемых событий может исчисляться сотнями тысяч и даже миллионами. Разобраться в этом потоке данных и своевременно выявить инциденты безопасности в ручном режиме нереально, даже имея обширный штат системных администраторов и офицеров безопасности. Решением проблемы являются системы сбора, обработки и хранения событий информационной безопасности, обрабатывающие информацию в режиме реального времени и связывающие все используемые в сети системы и средства защиты в единый управляемый комплекс. На сегодняшний день наиболее эффективной и качественной, на наш взгляд, является система ArcSight ESM. Она способна обрабатывать колоссальные объемы данных, обладает мощным механизмом корреляции и визуализации, а также широким спектром отчетности, в том числе на соответствие требованиям стандартов PCI DSS, SOX, ISO 27001 и др. Помимо базовых функций централизованного сбора, обработки и хранения событий ИБ ArcSight ESM обеспечивает идентификацию и локализацию угрозы информационной безопасности в реальном времени и позволяет проследить вектор атаки.

Это позволяет снизить риски информационной безопасности за счет адекватного и оперативного обнаружения критичных событий и инцидентов и тем самым повысить устойчивость бизнес-процессов компании в целом.

Подведем итоги

Сегодня компании прекрасно понимают, насколько высока степень риска репута-ционного и материального ущерба от действий внутренних злоумышленников, и растущий интерес к системам контроля пользователей тому подтверждение. Необходимо только понимать, что эффективность подобных решений (как и для любого элемента системы информационной безопасности) напрямую зависит не только от качества программного продукта, но и от правильности его внедрения. В противном случае ресурсы будут потрачены впустую и - что еще опаснее - возникнет ложное чувство защищенности. Данные продукты не относятся к категории "коробочных" и в обязательном порядке требуют привлечения компетентных специалистов на всех этапах реализации проекта - обследование, проектирование, внедрение, настройка и ввод в боевую эксплуатацию.