Сокращение риска НСД к информационным ресурсам кредитной организации с помощью управления доступом и учетными данными
В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Сокращение риска НСД к информационным ресурсам кредитной организации с помощью управления доступом и учетными данными
Деятельность современного банка во многом сводится к управлению финансовой информацией, которая создается, хранится, изменяется и контролируется со все более нарастающим участием информационных систем. Однако новые технологии при всей их неоспоримой полезности приносят и новые риски, каким, например, является несанкционированный доступ (НСД) к информационным системам и информации.
Алексей Баранов
руководитель компании "Индид"
руководитель компании "Индид"
НСД и несанкционированные действия
Основная часть рисков при использовании информационных систем для кредитной организации возникает вследствие несанкционированных действий с финансовой информацией банка. Данные действия являются в первую очередь следствием получения лицом, проводящим такие операции, несанкционированного доступа к информационным ресурсам и системам.
Несанкционированными действиями чаще всего являются проведение законченных банковских операциий, а также хищение информации или изменение ее в нужную злоумышленнику сторону.
Исследование посвящено анализу НСД и роли систем централизованного управления учетными данными и доступом (IAM) в его минимизации.
Хотя речь идет в первую очередь о рисках, связанных с преднамеренными действиями, не стоит упускать из виду и непреднамеренные ошибки в работе сотрудников. Такие действия также могут привести к несанкционированному изменению информации, а следовательно, причинить ущерб кредитной организации.
Таким образом, необходимо построить систему информационной безопасности банка (СИБ) так, чтобы минимизировать возможность НСД, тем самым сократить вероятность несанкционированных действий как со стороны злоумышленников, так и со стороны сотрудников организации, совершающих непреднамеренные и опасные для ИБ действия.
Таблица 1
| Сценарий угрозы | Защитная мера |
|---|---|
| Лицо использует для несанкционированного доступа и действий права, которыми обладает другое лицо | Недопущение проникновения в информационную систему банка лиц, выдающих себя за правомочных пользователей. Применение мер, препятствующих передаче аутентификаторов от одного пользователя к другому. Быстрый отзыв скомпрометированных аутентификаторов |
| Лицо использует для несанкционированного доступа и действий права, которыми оно не должно обладать. Например, сотрудник уже уволен, но его пароль все еще действует. Или сотрудник переведен в другой отдел, но у него все еще остались права с прежнего рабочего места | Увеличение степени соответствия между тем, что правомочному пользователю разрешено делать в информационной системе банка, и тем, что он реально может там делать в данный момент. Рассогласование между первым и вторым может возникать как в случае изменения позиции сотрудника, так и в случае изменениий в самой инфосфере банка: l Любые изменения в позиции сотрудника, влекущие изменения в его правах, должны как можно быстрее отражаться на его реальных правах в компьютерной системе. l Внедрение новых информационных систем, а также изменение старых могут приводить к необходимости серьезной перестройки прав пользователей, что без должной централизации и контроля ухудшает указанное соответствие. Для достижения этого соответствия у IT-подразделения банка должны быть инструменты, позволяющие изменять права сотрудников быстро и при этом контролируемо. Все это касается и аутентификаторов, выдаваемых пользователю как впервые, так и взамен скомпрометированных |
| Лицо использует для несанкционированного доступа и действий свои настоящие права | Более тонкая настройка прав пользователей. В том числе введение новых прав, изначально не предусмотренных информационной системой (приложением и т.п.). Расширенный аудит и возможность быстрого отзыва прав, то есть минимизация ущерба за счет быстрого выяснения и пресечения несанкционированных действий |
| Несанкционированное действие уже случилось или длится | Расширенный аудит и возможность быстрого отзыва прав, то есть минимизация ущерба за счет быстрого выяснения и пресечения несанкционированных действий |
"Как сократить риск несанкционированного доступа?" – ключевой вопрос в данном исследовании. Для ответа на него мы рассмотрим типовые ситуации, в которых происходит несанкционированный доступ, и защитные меры для его пресечения (табл. 1). Далее мы опишем существующие инструменты, реализующие указанные защитные меры, и дадим анализ роли каждого инструмента в снижении риска и механизма его работы (табл. 2–4).
Таблица 2
| Подходы к аутентификации | Как это снижает риски? |
|---|---|
| Многофакторная аутентификация | Увеличивает для злоумышленника сложность прохождения процедуры аутентификации, так как необходимо провести атаку на разнородные системы аутентификации |
| Сокращение количества аутентификаторов, которые необходимо знать/обладать пользователю. Достигается путем применения SSO | Снижает риск компрометации аутентификаторов. Например, пользователь может запомнить один пароль или следить за сохранностью одной карты доступа. Если паролей много, то пользователь будет просто вынужден куда-то их записать, тем самым увеличивая вероятность их компрометации |
| Упрощение процедуры аутентификации для пользователя. Достигается с помощью SSO | Упрощает для пользователя следование политикам безопасности. Снижает вероятность их нарушения |
| Быстрый отзыв и перевыпуск аутентификаторов в случае компрометации | Быстрое пресечение несанкционированного доступа |
Таблица 3
| Что делает IdM? | Как это снижает риски? |
|---|---|
| Ускорение создания, изменения и удаления учетных записей пользователя, а также изменения прав пользователя | Повышение степени соответствия между реальными правами пользователя и теми, которыми он должен обладать |
| Упрощение создания, изменения и удаления учетных записей пользователя, а также изменения прав пользователя | Возможность более точной настройки прав пользователя. Уменьшение количества IT-сотрудников, имеющих права изменять права пользователей. Возможность сотрудникам, не являющимся IT-специалистами, создавать учетные записи, изменять права пользователей, а также контролировать данный процесс |
| Централизация создания, изменения и удаления учетных записей пользователя, а также изменения прав пользователя | Повышение эффективности контроля за учетными записями, правами пользователей и их изменениями |
| Быстрый отзыв прав пользователя вплоть до удаления его учетной записи | Быстрое пресечение несанкционированного действия |
Таблица4
| Что делает SSO? | Как это снижает риски? |
|---|---|
| Доступ к любой информационной системе проходит через сервер SSO и регистрируется в его журнале. Дополнительная аутентификация критичных действий пользователей в информационных системах | Повышает уровень контроля за действиями пользователей как в реальном времени, так и постфактум |
| Централизация выдачи, отзыва и перевыпуска в случае компрометации аутентификаторов | Быстрое пресечение несанкционированного доступа. Быстрый перевыпуск аутентификаторов |
| Аутентификация проводится один раз | Пользователю достаточно безопасно хранить один аутентификатор. Например, один пароль проще запомнить, чем десять |
| Автоматическое регулярное изменение паролей пользователя в целевых системах | Гарантирует исполнение регламентов ИБ в части регулярного изменения паролей |
| Применение надежных методов шифрования аутентификационной информации, интеграция с PKI | Обеспечивает защищенность хранимой информации. В случае использования PKI доступ гарантируется только обладателю закрытого ключа владельца данных |
| Стандартизация процедуры аутентификации | Возможность поддержания единой корпоративной политики по отношению к аутентификации, например единые требования к сложности пароля или введение единой карты доступа. Пользователь привыкает к единой стандартной процедуре аутентификации, и любые отклонения от нее (например, в случае попытки фишинга со стороны злоумышленника) вызывают у пользователя обоснованные подозрения |
Роль систем централизованного управления доступом пользователей
Для реализации указанных мер противодействия несанкционированному доступу и действиям в арсенале систем класса IAM существуют и используются следующие инструменты:
- современная многофакторная аутентификация пользователя, значительно снижающая вероятность доступа в информационную систему неправомочного лица, а также затрудняющая передачу аутентификаторов другим лицам;
- система по управлению учетными записями пользователей (IdM), упрощающая и ускоряющая выдачу и отзыв прав пользователя, повышающая контроль над ними, а также за счет большей автоматизации позволяющая без ущерба для эффективности более тонкую настройку прав пользователя;
- единая точка доступа (SSO) во все информационные системы, к которым подключен пользователь, консолидирующая контроль действий пользователя, упрощающая процедуры аутентификации для него, а также в целом снижающая возможность компрометации его аутентификаторов;
- введение новых прав, изначально не предусмотренных информационной системой;
- расширенный аудит, повышающий отслеживаемость несанкционированных действий как в реальном времени, так и постфактум. Это достигается за счет централизации контроля действий пользователя, а также более подробного описания этих действий (вплоть до имени IT-администратора, выдавшего права данному сотруднику). То есть осуществляется не только аудит доступа (использования прав), но и аудит выдачи и изменения прав.
Рассмотрим вышеперечисленные инструменты более подробно, отдельно отмечая влияние каждого инструмента и практики на снижение операционных рисков в деятельности финансового института.
Аутентификация
Для доказательства своей личности пользователь применяет один или несколько аутентификаторов (пароль, карта доступа, отпечаток пальца и многое другое). Одним из важных элементов усиления системы аутентификации является так называемая многофакторная аутентификация, позволяющая значительно снизить вероятность прохождения аутентификации лицом, не являющимся настоящим пользователем.
Система управления учетными записями (IdM)
Сотрудник банка может иметь доступ одновременно к нескольким информационным системам банка (приложения, базы данных, Web-сайты и т.д.). IdM позволяет с помощью коннекторов к этим системам автоматически создавать и изменять в них учетные записи из центральной консоли, а также изменять в них права пользователя.
Единая точка доступа (SSO)
Если IdM централизует и автоматизирует управление учетными записями и правами пользователей, то SSO добавляет к этому централизацию доступа пользователей ко всем информационным системам.
Таким образом, доступ пользователей к приложениям проходит не напрямую в конкретное приложение, а через агента SSO. Пользователь аутентифицируется один раз в агенте SSO, после чего агент SSO сам аутентифицирует пользователя в необходимых информационных системах. Причем пользователь знает только свой аутентификатор в агенте SSO (например, пароль), но не знает свои пароли в конкретных информационных системах, к которым он получает доступ через агента SSO.
Расширенный аудит
Инструменты из арсенала IAM, которые мы описали выше, значительно расширяют возможности аудита как действий пользователя, так и изменений его прав. Это в значительной степени упрощает осуществление контроля за соблюдением принципов управления операционными рисками и выявление факторов такого риска в части организации работы информационных систем кредитных организаций.
Многофакторная аутентификация – это одновременное использование аутентификаторов из разных групп:
- то, что пользователь знает (например, пин-код);
- то, чем пользователь владеет (например, карта доступа);
- то, что является неотъемлемой характеристикой пользователя (например, отпечаток пальца);
- то, где пользователь находится (используя, например, данные из СКУД).
В отдельных случаях подробное журналирование действий пользователей компонентами IAM может использоваться не только для целей аудита и предотвращения возможных утечек информации, но и как доказательная база при проведении расследованиий инцидентов в области информационной безопасности.
Заключение
Как видно из детального рассмотрения инструментов и практик IAM, использование этих инструментов и практик в значительной степени снижает возможность НСД и несанкционированных действий при использовании информационных систем, тем самым повышают общий уровень ИБ кредитной организации.
В связи с этим можно сделать вывод о том, что:
- внедряя инструменты и практики IAM, финансовая органи зация добивается значительного сокращения рисков возникновения ущерба от инцидентов ИБ;
- инструменты IAM являются важной частью инфраструктуры, обеспечивающей ИБ современного банка.
Перечисленные нами в обзоре инструменты IAM дополняют и усиливают друг друга, и применение их в комплексе приносит наибольший положительный эффект. Однако практика внедрения и эксплуатации подобных систем показала, что путь
поэтапного внедрения является оптимальным. Также стоит отметить, что реализацию каждого этапа внедрения инструментов IAM следует проводить, имея выработанную стратегию действий, а одной из первых задач является сокращение источников учетных записей пользователей до минимума и аудит всех существующих учетных записей.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2012
