ИТ-портал компании «Инфосистемы Джет»

Контроль контролирующих, или Расширение возможностей DLP-систем

Контроль контролирующих, или Расширение возможностей DLP-систем

Если ваши сервисы работают без сбоев, можете смело их продавать. Эту несложную аксиому понимают владельцы любого бизнеса, вне зависимости от его масштаба или сферы деятельности. Поэтому они стремятся использовать лучшие практики, помогающие построить надежный и отказоустойчивый процесс эксплуатации сервисов. Технические специалисты же, которые его обеспечивают, находятся на особом счету. Они досконально знают архитектуру сети и особенности ИТ-инфраструктуры компании. «Приходи тихо, говори четко, уходи быстро» – лозунги, подобные этому, можно часто услышать как напутствие перед звонком или визитом к ним. По всему видно, что работы у ИТ-администраторов невпроворот. Или это обманчивое впечатление?

ИТ-администратор – друг или инсайдер?

Ясности в этом вопросе не добавляет и то обстоятельство, что за последние несколько лет некоторые крупные игроки рынка вывели свою ИТ-службу в отдельную компанию или привлекли внешних подрядчиков для эксплуатации части инфраструктуры или сервисов. В этом случае техподдержка чаще всего становится обезличенной: вы не знаете в лицо тех специалистов, которые выполняют администрирование от имени аутсорсингового провайдера. Поэтому ИТ-администратор зачастую представляет собой «черную кошку в темной комнате».

Вдобавок они в силу своих должностных обязанностей и по причине сложно организованной инфраструктуры имеют почти неограниченные, а главное, слабо контролируемые возможности управления системами и доступа к критичным данным. Потенциально ИТ-администраторы являются технически подготовленными инсайдерами.

В результате приоритет задачи по контролю службы ИТ-эксплуатации в компаниях сильно возрастает. Масла в огонь подливает и растущее число внешних аудитов, которые сегодня проводятся во всех отраслях. С одной стороны, в стандартах явно присутствуют требования по мониторингу действий администраторов, и их нужно выполнять. С другой – аудиторы нередко требуют доступ ко всей корпоративной сети, а не к «гостевой» ее части, а затем могут бесконтрольно, не уведомляя компанию, передать конфиденциальные документы во внешний мир по различным каналам связи, даже на адреса публичной веб-почты. Подобные инциденты также нужно уметь пресекать.

Рис. 1. ТОП 5 самых распространенных злоупотреблений ИТ-специалистов на Западе

По данным компании Ponemon Institute LLC за 2011 год, на обнаружение действий внутренних злоумышленников уходит в среднем 1,5 месяца. Чаще всего компенсировать последствия инцидента через такое время уже невозможно.

Рис. 2. Среднее время обнаружения атак различных типов, в днях

Проблемы на местах

Какие же задачи, связанные с необходимостью контроля ИТ-администраторов, могут возникать в ходе повседневной работы компании? Рассмотрим наиболее актуальные из них.

Самая распространенная

Компания-заказчик пользуется услугами нескольких аутсорсинговых компаний. Одни отвечают за программное обеспечение, другие поддерживают в работоспособном состоянии инфраструктуру. При этом доступ к серверам с правами администраторов имеют представители каждой компании. В результате при возникновении каких-либо неполадок вне зависимости от пострадавшей системы бывает трудно разобраться, кто именно допустил ошибку и была ли она вообще. Также высок риск удаления администратором журналов событий для сокрытия нежелательных действий.

В данной ситуации задача состоит в том, чтобы предоставить инструмент, который:

  1. будет журналировать все действия, которые производит администратор;
  2. не даст возможности замести следы, так как будет хранить историю событий в недоступном для аутсорсеров месте;
  3. позволит строить отчеты активности администраторов.

Самая интересная для службы ИБ

Допустим, компания использует программу лояльности. Принципом ее работы является накопление бонусных баллов на специальный карточный счет покупателя: после каждой покупки на карту зачисляется определенный процент от общей суммы покупки.

ИТ-инфраструктура компании, включающая в себя и систему, обеспечивающую работу бонусной программы, находится на внешнем аутсорсинге. ИТ-администраторы, обслуживающие базы данных программы лояльности, имеют полный и бесконтрольный доступ к бонусным счетам. Пользуясь этим, они могут переводить на свои карты неограниченное количество баллов. Запретить им редактировать бонусные счета нельзя, т.к. такая возможность предоставлена им в рамках должностных инструкций для ручного пересчета и зачисления баллов на случай технических неполадок и сбоев в бонусной программе.

Задача – предоставить инструмент, который в случае подозрения на инцидент даст возможность точно определить, был ли факт корректировки бонусного счета плановой работой или он является результатом мошенничества.

ЧУЖОЙ СРЕДИ СВОИХ

Многим известна скандальная история, произошедшая с французским банком Societe General. По вине его сотрудника, рядового трейдера Жерома Кервьеля, банк лишился 5 млрд евро. В 2008 году в подобной ситуации оказался «Ренессанс Капитал». Как сообщает газета «Ведомости», один из трейдеров «Ренессанса» Антон Стенин открыл позиции на несколько десятков миллионов долларов и заключал рискованные сделки в обход правил внутреннего контроля. Знакомый с топ-менеджерами банка инвестбанкир утверждает, что убыток составил 50 млн долларов, пишет издание.
Другой пример из разряда «у всех на слуху»: бывший системный администратор муниципалитета Сан-Франциско Терри Чайлдс был признан виновным в захвате городской сети FiberWAN. Чайлдса, проработавшего в муниципалитете пять лет, собирались уволить, ему был сделан выговор. В ответ он перекрыл доступ в сеть, наделив себя администраторскими полномочиями и заблокировав аккаунты своих коллег. В случае попытки восстановить права администратора Чайдлс запрограммировал несколько сетевых устройств на уничтожение важных данных. Отметим, что сеть обошлась Сан-Франциско в несколько миллионов долларов. Она содержит сотни тысяч конфиденциальных документов, включая платежные ведомости и переписку служащих.

Самая аутсорсинговая

Компания выполняет определенные обязательства по уровню сервиса (SLA) перед заказчиками. В частности, идея одного из требований SLA может быть сформулирована следующим образом: «Отсутствие перебоев в работе услуги продолжительностью более…».

Структура компании распределенная. Критичные серверы находятся на обслуживании как у собственной службы ИТ, так и у аутсорсинговых компаний. В случае неверных действий системного администратора, обслуживающего подобный сервер, могут нарушиться бизнес-процессы. Как следствие, нарушится заключенный SLA и последуют штрафы. Задача – предоставить инструмент для расследования подобных инцидентов. Система контроля должна позволять точно установить того, кто совершил действия, вызвавшие сбой.

Порешаем? Или подумаем?

Пару лет назад на рынке безопасности решения для контроля ИТ-администраторов отсутствовали как класс. Сейчас мы видим, что и в США, и в Европе появились системы с необходимым функционалом. Они востребованы крупными западными компаниями, поскольку обеспечивают мониторинг подключений и действий, которые выполняют ИТ-специалисты, поставщики услуг (аутсорсеры), а также владельцы учетных записей с расширенными привилегиями. Практика показывает, что большей популярностью пользуются системы, при внедрении которых не нужно устанавливать агентов на администрируемых устройствах или рабочих станциях. Это позволяет выполнить быстрое развертывание технического решения и записывать производимые действия в текстовом формате (для сеансов командной строки – SSH, Telnet) и в формате Flash Video (для графических сеансов Windows Terminal Server (RDP) и VNC). Часть компаний российского рынка проявляет интерес к комплексному решению, в рамках которого можно реализовать двухфакторную аутентификацию.

На рис. 3 представлена схема внедрения одного из решений по контролю администраторов – Wallix Admin Bastion. Оно представляет собой шлюз, через который удаленные администраторы осуществляют доступ к серверам и другим устройствам сети. Особенностью решения является необходимость настройки брандмауэра таким образом, чтобы исключить прямой доступ к удаленным устройствам. Сотрудники, внешние поставщики услуг, аудиторы, администраторы обращаются к серверам и другим устройствам сети не напрямую, а через указанный шлюз, который контролирует доступ различных аккаунтов к ним, а также производит подробную запись всех осуществляемых операций.

Рис. 3. Схема внедрения Wallix Admin Bastion

Более высокого уровня безопасности и контроля удаленных сеансов можно достичь, применяя решение с использованием терминального сервера (ТС). ТС устанавливается внутри защищенного периметра ИТ-инфраструктуры и используется для доступа к серверам приложений (см. рис. 4). При этом все команды, передаваемые удаленным пользователем, выполняются на самом ТС, а пользователю передается только изображение виртуального рабочего стола. На терминальный сервер устанавливается специализированное ПО, позволяющее гибко настраивать права доступа к серверам и приложениям, делать снимки экрана, производить запись всех выполняемых операций, мониторинг сетевой активности и доступа к файлам, а также осуществлять другие меры контроля с последующим формированием подробных отчетов. Примером такого ПО служит Spector 360. В сочетании с DLP- и SIEM-системами такое решение позволяет контролировать работу не только ИТ-администраторов, но и других пользователей, дополнительно предоставляя широкие возможности защиты инфраструктуры от утечек конфиденциальной информации и работы с возможными инцидентами ИБ.

Рис. 4. Решение с использованием терминального сервера

около 10 проектов по внедрению подобных систем контроля, в 2012-м ожидается двукратный рост их числа. Крупнейшие компании отмечают, что вероятность наступления рисков, связанных с действиями ИТ-администраторов, высока, а последствия печальны, причем как в финансовом, так и в юридическом плане – для ответственных за безопасность лиц. Думаю, что в конце 2012 года мы увидим результаты нескольких крупных проектов, скорее всего, в телекоме и в банковском секторе.
Результатом внедрения такого решения является возможность анализа всех вводимых команд в реальном времени. Каждый пользователь авторизуется в системе с помощью своих учетных данных. Для аутентификации могут быть использованы сертификаты X509. При обнаружении запрещенных команд система отправляет предупреждение или прерывает подключение. Также можно получать уведомления о подключениях к устройствам, определенным как критичные с точки зрения размещаемой на них информации или их роли в бизнес-процессах компании .


Почему же такая понятная и важная для бизнеса тема буксует на нашем рынке? По каким причинам за пилотными проектами пока не следуют контракты? Дело, на наш взгляд, в нежелании что-либо менять в устоявшейся организации работы службы эксплуатации, особенно когда это касается повышения прозрачности работы администраторов. В Великобритании, Германии и Франции в 2011 году зафиксирован рост спроса на системы, позволяющие компаниям обеспечивать контроль как собственных администраторов, так и аутсорсеров. Компании в Европе, предоставляющие ИТ-услуги, активно используют информацию об этих проектах в продвижении своих сервисов, вставляют ее в SLA, регулярно предоставляют своим клиентам отчеты о действиях администраторов. Такие действия обеспечивают им конкурентное преимущество и повышают лояльность клиентов. Наш рынок пока не дорос до подобных «фигур высшего пилотажа».

Некоторые крупные российские компании используют описанные технологии для наведения порядка и сокращения времени на расследование инцидентов, связанных с действиями ИТ-администраторов (как собственных, так и внешних). Проводниками на этом сложном пути выступают представители службы ИБ. Заручившись поддержкой руководства, они далеко не с первого раза, но все же убеждают ИТ-подразделение внедрить решение по контролю действий администраторов. Заметим, что ИТ-шники быстро понимают, какую пользу способна принести такая система. С ее помощью они могут за короткое время определить, что «проблема не на нашей стороне, вот подтверждение» или «мы нашли, какие действия привели к инциденту и уже с ним разбираемся, а не ищем, как раньше, кто и что именно сделал неверно». Описанный подход обеспечивает успех дальнейшей реализации проекта, поскольку позволяет решить как бизнес-задачи, так и задачи служб информационной безопасности и эксплуатации ИТ.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: