Консалтинг и автоматизация в области управления
эффективностью банковского бизнеса

Журнал ВРМ World

Интернет-безопасность. Исходные рекомендации для ведения защищенного электронного бизнеса

Наиболее часто встречающиеся дефекты защиты, отмеченные компаниями, работающими в области электронного бизнеса:

  • общие проблемы в брандмауэрах, операционных системах, сетях и стандартных приложениях;
  • неопознанные машины или приложения в сети;
  • использование старых версий программного обеспечения на машинах сети;
  • неполная информация обо всех точках входа в сеть из внешней среды;
  • неполное изъятие прав доступа при увольнении сотрудников, наличие идентификаторов пользователей, используемых по умолчанию, неверно обслуживаемые права доступа;
  • неоправданно открытые порты в брандмауэрах;
  • необоснованный общий доступ к файловым системам;
  • недостаточные требования к идентификации пользователя, собирающегося изменить регистрационные записи пользователей;
  • присутствие ненужных сервисов или приложений на машинах, требующих высокой степени защиты;
  • использование слабозащищенных установочных параметров, присваиваемых по умолчанию, при инсталляции приложений, ввиду чего становятся известны идентификаторы и пароли пользователей, установленные по умолчанию;
  • отсутствие защиты от взаимодействия внутреннего и внешнего трафика сети;
  • отсутствие проверок после внесения изменений в среду (например - после инсталляции новых приложений или машин);
  • отсутствие контроля за вносимыми изменениями;
  • отсутствие информации о внутренних угрозах безопасности;
  • отсутствие информации о слабых местах различных методик аутентификации при организации мощной защиты.

Аутентификация

Аутентификация относится к средствам опознания любого входящего в систему или пытающегося воспользоваться системой. Она подразумевает некий способ идентификации входящего с помощью какой-либо формы описания имеющихся у него параметров доступа. Сегодня существует масса различных способов идентификации - PKI (Public Key Infrastructure, инфраструктура открытых ключей), маркеры доступа, биометрические устройства (например, сканеры отпечатков пальцев), пары идентификатор пользователя/пароль, однако в данном документе предполагается рассмотреть именно последнюю группу. Несмотря на то, что PKI представляет собой механизм, наиболее часто применяемый в крупном электронном бизнесе, тем не менее, основные проблемы защиты лежат именно в плоскости неудачной реализации механизмов идентификаторно-парольной защиты.


Выявленные проблемные области:


  • Отсутствие или некорректная реализация средств защиты на подавляющем большинстве сайтов, так как они:
    • Имеют слабо защищенные схемы доступа:
      • Рекомендации:
        • Не использовать общие идентификаторы электронной почты в качестве пользовательских.
        • Минимизировать число пользовательских идентификаторов для одного пользователя для доступа к разным системам, необходимым ему в работе. Это уменьшает объем списков всех имен и паролей пользователей.
    • Используют слишком грубые методы выявления атак в средствах выявления попыток несанкционированного доступа.
      • Рекомендации:
        • Уменьшить вероятность получения хакерами доступа к базам данных.
        • Убедиться, что все системы регистрируют как удачные, так и неудачные попытки несанкционированного доступа. В большинстве случаев возможность такой регистрации существует в приложениях и операционных системах, но почему-то бывает неактивизирована.
        • Применить к выявлению попыток несанкционированного доступа аналитическую функциональность, автоматически блокирующую возможность доступа для пользовательских идентификаторов, пароли которых были несколько раз неверно введены.
    • Не вводят или не применяют никаких рекомендаций по форматам паролей:
      • Рекомендации:
        • Минимизировать число идентификаторов пользователей и паролей для выполнения только необходимых в работе операций.
        • Убедиться, что не существует идентификаторов, не имеющих пароля.
        • Убедиться, что существуют и могут автоматически применяться рекомендации относительно идентификаторов и паролей, описывающих, в частности, минимальную длину пароля, его формат (какие символы могут быть в его составе), сроки действия и обновления, уникальность паролей, недопустимость введения в качестве пароля "настоящих" слов и др.
    • Многие правила, являющиеся гарантом строгости проверок прав доступа, неприменимы для пользователей-посетителей сайтов электронной коммерции.
      • Рекомендации:
        • Информировать посетителей сайта об опасностях, создаваемых неудачно сформулированными именами пользователей и паролями.
        • Убедиться, что даже в случае такой слабой защиты клиентских идентификаторов и паролей, уязвимые данные не станут доступны хакерам.
    • Отсутствует разделение функциональных обязанностей между системными администраторами, разработчиками политики безопасности, администраторами безопасности и контролирующими подразделениями.
      • Рекомендации:
        • Реализовать аутентификационный механизм, гарантирующий невозможность изменения политики безопасности системными администраторами.

Информационная безопасность

Под информационной безопасностью понимается обеспечение защиты информации о клиентах на время ее передачи по Интернет. Информация должна быть защищена не только в месте хранения (например, на винчестерах компьютеров, средствах резервного копирования и печатных формах), но и при пересылке по Интернет.


Выявленные проблемные области:

  • Использование механизмов аутентификации, при которых происходит идентификация пользователя в начале транзакции, но не гарантируется последующая защита данных.
    • Рекомендации:
      • Использовать средства шифрования для защиты информации после первичной аутентификации (ITSF рекомендует использовать только те средства шифрования, в которых решена проблема антивирусной защиты).
  • Возможность получения доступа к данным в обход процессов аутентификации при кэшировании web-страниц на внешних серверах (например, ISP или ASP).
    • Рекомендации:
      • Убедиться, что в незащищенной области не кэшируются никакие конфиденциальные данные.

Выявление событий, важных с точки зрения безопасности



Эта задача заключается в использовании протоколов и других механизмов контроля для сбора информации о доступе в систему и к приложениям, типах доступа (для обновления или "только на чтение"), событиях сети, попытках вторжения, вирусах и др.


Выявленные проблемные области:

  • Недостаток информации об имеющихся инструментах контроля и их эффективном использовании.
    • Рекомендации:
      • Немедленно определить и активизировать имеющихся в приложениях и операционных системах механизмов протоколирования везде, где это необходимо.
      • Обязательно протоколировать "необходимый минимум" событий, а именно:
        • Активизировать базовые журналы безопасности.
        • Активизировать протоколирование событий сети.
        • Протоколировать случаи неуспешной аутентификации.
        • Протоколировать нарушения доступа.
        • Протоколировать попытки имплантации вирусов или другого "недружественного" кода.
        • Протоколировать любые нестандартные действия/события. Это подразумевает, что сотрудники отдела технической поддержки, анализирующие журналы на предмет таких действий/событий, обязательно должны быть в курсе всех бизнес-инициатив. Например, большие скачки в трафике могут быть как свидетельством атаки, так и признаком очень успешной маркетинговой кампании, раз в десять поднявшей посещаемость.
      • Убедиться, что журналы контроля хранятся достаточное с точки зрения требований безопасности время. Желательно, чтобы они позволяли проводить расследование как минимум в течение 14 дней после любой атаки.
      • Убедиться, что журналы не перезаписывают собственную информацию, теряя при этом какие-либо данные.
      • Ввести в действие документирование либо автоматизированную систему, определяющую назначение каждого журнала. При этом должны отслеживаться следующие параметры:
        • Было ли это событие внутренним или внешним для организации?
        • Было ли это действительно аномальное событие или "ложное позитивное" событие (ответ на этот вопрос зависит от многих факторов - от информированности IT-подразделения о различных бизнес-инициативах до особенностей аналитических приложений и изучения журналов).
        • Кроме того, необходимо:
          • Обеспечить механизм сложной ("интеллектуальной") фильтрации множества журналов.
          • Обеспечить механизм обслуживания аномально больших объемов журнальных данных, исключающий потерю данных. Иначе хакеры могут просто послать избыток данных, чтобы вызвать разрушение более ранней информации в журналах при попытке системы запротоколировать все следы прохождения этих данных.
      • Убедиться в целостности журнальных данных, чтобы исключить возможность редактирования журналов хакером для удаления важных записей и сокрытия следов своего вмешательства.
      • Убедиться, что хранящиеся журналы могут быть переданы правоохранительным органам при необходимости расследования атаки.
      • Убедиться, что имеется возможность определять новые формы атак на основании информации, получаемой из внешних источников - поставщиков решений, CERT (Computer Emergency Rresponse Team, группы компьютерной "скорой помощи" - организации, следящей за угрозами безопасности сетевых компьютеров, в том числе - в Интернет) и т.д.

Защита внешних границ (защита "по периметру")

Защита внешних границ означает некоторое отделение компьютерных систем организации от внешнего мира. Это может подразумевать какой-то общий доступ к определенной информации для клиентов, партнеров, поставщиков и т.д., с одновременной защитой от них критических данных.


Выявленные проблемные области:

  • Решение этой проблемы обычно очевидно для всех компаний, но часто оно просто неудачно реализовано.
    • Рекомендации:
      • Реализовать брандмауэры.
        • Корректно выполнить настройку и конфигурирование брандмауэра.
      • Реализовать экранирующие маршрутизаторы для обеспечения соответствия политике безопасности входящего и исходящего трафика.
        • На данном этапе важно, чтобы экранирующие маршрутизаторы выявляли и задерживали исходящий трафик, пытающийся фальсифицировать IP-адреса.
      • Реализовать решения VPN (Virtual Private Networks, виртуальных частных сетей) для обеспечения конфиденциальности данных, поступающих через брандмауэр в общедоступную область.
        • Отметьте, что необходимо убедиться, что эти VPN не являются средством доступа хакеров непосредственно во внутреннюю среду. Это может произойти, если хакер воспользуется плохо защищенной средой одного из бизнес-партнеров, чтобы попасть в среду данного предприятия.
      • Убедиться, что выявлены все пути электронного соединения предприятия с внешним миром - все модемы, выделенные линии и брандмауэры.
      • Убедиться, что реализованные механизмы защиты действительно являются средством, благодаря которому контролирующие службы могут сверять соответствие работы системы политике безопасности компании и выявлять новые проблемы.
      • Убедиться, что "гостевые" сети, используемые для различных бизнес-целей, например, для сетевых совещаний, лекций и т.д., вносящие "ненадежные" системы в пределы внешних границ безопасности организации, также защищены и изолированы от остальных систем предприятия. Партнерский доступ также должен организовываться через "гостевую" сеть.

Выявление вторжений

Выявление вторжений представляет собой возможность определения попыток доступа в системы и сети в форме, нарушающей политику безопасности компании.


Выявленные проблемные области:

  • В большинстве организаций не производится базовая классификация и распознавание незаконно вторгающихся.
    • Рекомендации:
      • Организациям необходимы средства распознавания и различения как минимум следующих видов вторжений:
        • Внутренние/внешние попытки вторжения.
        • Человеческие/автоматизированные атаки.
        • Несанкционированные хосты, подсоединяющиеся к сети изнутри организации либо извне.
        • Несанкционированное программное обеспечение, загружаемое в системы.
        • Все точки доступа в корпоративную сеть.

Злонамеренный контент

Под злонамеренным контентом подразумеваются любые типы программ, которые вводятся в среду с целью причинения вреда или хищения информации. Сюда относятся вирусы, троянские кони, средства хакинга и сетевые анализаторы пакетов.


Выявленные проблемные области:

  • Организации не обеспечивают соответствующее обслуживание для всех без исключения типов злонамеренного кода, включая и тот, что разработан специально для нанесения повреждений данным и для их хищения.
    • Рекомендации:
      • Реализовать не только антивирусные решения, но и полнофункциональные средства выявления и защиты от всех видов злонамеренного кода.
  • Организации неэффективно используют имеющиеся в их распоряжении механизмы.
    • Рекомендации:
    • Убедиться, что пользователи извещены о том, насколько просто при посещении сайта может быть осуществлено автоматическое хищение данных.
    • Убедиться, что все пользователи извещены о правилах безопасной работы и соблюдают их - не открывают непроверенные средствами безопасности приложения к письмам, не посещают сомнительные сайты и т.д.
    • Установить эффективное решение для защиты. Систематически обновлять версии, чтобы выявлялись все новые формы злонамеренного кода.

Контроль доступа

Контроль доступа заключается в регулировании доступа к критическим корпоративным данным. Контроль доступа обеспечивает основанный на политике безопасности надзор за тем, кто имеет доступ к определенным системам, что он может делать с их помощью и когда и откуда предоставляется этот доступ.


Выявленные проблемные области:

  • Большинство организаций не знают о средствах контроля доступа, как имеющихся в их собственных операционных системах и приложениях, так и предлагаемых сторонними поставщиками.
    • Рекомендации:
    • Повысить информированность в области имеющихся технологий путем реализации образовательных программ, семинаров и др.
    • Активизировать правила контроля доступа, минимизирующие число пользователей, которым доступны критические файлы. Протоколировать весь доступ. Ограничить доступ к контексту (разрешать доступ "только на чтение", но не на запись).
    • Выявить инструменты, позволяющие использовать режим предупреждений, разрешающий доступ к файлам и ресурсам, но при этом протоколирующий все попытки его осуществления.

Администрирование

Администрирование заключается в возможности управления всеми правилами безопасности, касающимися аутентификации, контроля доступа, защиты внешних границ и т.д.


Выявленные проблемные области:

  • Обычно каждая система, программное обеспечение коллективного пользования, база данных и приложение в среде обслуживают собственных пользователей/ресурсы - и большая их часть не согласована между системами.
    • Рекомендации:
      • Реализовать методику централизованного администрирования безопасности, обеспечивающую хранение индивидуальной информации о пользователе/ресурсе.
  • Как правило, у компаний отсутствует разделение функциональных обязанностей между системными администраторами, разработчиками политики безопасности, администраторами безопасности и контролирующими подразделениями.
    • Рекомендации:
      • Реализовать механизм аутентификации, исключающий изменение политики безопасности системными администраторами.
  • Компании часто не имеют специально выделенных сотрудников для администрирования безопасности.
    • Рекомендации:
      • Четко определить в рамках компании функциональные обязанности администраторов по безопасности, в том числе такие, как:
        • Ведение семинаров по проблемам безопасности и успешным способам реализации защиты.
        • Обеспечение контроля принятых соглашений по безопасности с помощью целостности решений по защите.
        • Принятие решений о необходимом балансе интересов бизнеса и безопасности, так как, например, может возникнуть необходимость временно отказаться от каких-либо наиболее оптимальных правил безопасности в целях экономии времени и получения преимуществ в конкурентной борьбе.
        • Участие в исходной и последующей оценке организационных рисков.

Отклик на происшествие

Отклик на происшествие заключается в предпринятии организацией каких-либо действий при выявлении текущей внешней атаки и/или выявлении атаки по факту ее совершения. Это сходно с понятием "Чрезвычайный план действий" (Disaster Recovery plan, DR-план), используемым для обслуживания естественных аварий и катастроф - например, таких, как полное уничтожение оборудования при пожаре.


Выявленные проблемные области:

  • Большинство организация просто не имеют такого плана.
    • Рекомендации:
      • Создать "План отклика на происшествия в области безопасности" по аналогии с DR-планом (как в содержании, так и в реализации).
      • Такой план должен содержать следующий минимум:
        • Соответствующее общее извещение в случае необходимости.
        • Классификацию проблем.
        • Создание схем, формирующих приоритеты решения проблем клиентов, партнеров и др. пользователей.
        • "Дерево решений" для экономической оценки (и выбора оптимального пути обработки события - например, необходимости судебного преследования злоумышленника).
        • Привлечение организаций, предоставляющих услуги "компьютерной скорой помощи" (например, CERT).
        • Осуществление анализа происшествия постфактум.

Определение возможных объектов нападения

Этот вид действий подразумевает выявление систем, наиболее уязвимых для атак. Точное определение уязвимых и привлекательных для вторжения систем способствует более правильной расстановке приоритетов в области защиты.


В данном секторе наиболее рискованными и редко принимаемыми во внимание областями являются:

  • Все системы, расположенные на границе сети, т. е. те, которые видны посетителям - маршрутизаторы, брандмауэры и web-серверы.
  • Модемные пулы.
  • Web-сайты.
  • Внутренние незащищенные системы, например - настольные компьютеры.
    • Рекомендации: