Айсберг угроз для ИС. Подводная часть.

Информационные технологии для менеджмента № 3, март 2010

Источники ущерба от вмешательства в ИС

В современном мире информационные технологии являются неотъемлемой частью большинства бизнес процессов. Практически все используют средства автоматизации внутри предприятия. Многие также используют различные электронные методы взаимодействия со своими клиентами и партнерами. Например, порталы самообслуживания, системы автоматизации размещения и отслеживания заказов, системы электронных платежей. Вмешательство в работу таких информационных систем компаний может нанести им серьезный вред, и этот вред выражается в финансовых потерях. Это подтверждает и рынок - информационная безопасность чуть ли не единственная отрасль ИТ, продемонстрировавшая рост в этом году.

Потери от вмешательства в ИС

Как же использовать средства, выделенные на информационную безопасность, максимально эффективно? Последние исследования показывают, что многие компании неправильно оценивают угрозы. До недавнего времени наиболее востребованными продуктами на рынке являлись различного рода файрволы и антивирусы. Иными словами системы, обеспечивающие защиту от внешнего вмешательства. Однако сегодня можно сказать, что больший ущерб от вмешательства в работу информационных систем наносят не внешние злоумышленники, а сотрудники и партнеры компании. Несмотря на то, что количество инцидентов с участием инсайдеров меньше, чем с участием внешних источников, аналитики отмечают, что ущерб от таких инцидентов, как правило, значительно больше. Традиционно наибольшие потери от такого рода вмешательства несут финансовые организации - у них большое количество сотрудников, имеющих доступ к "чувствительной" информации, недобросовестное использование которой может нанести вред не только самому предприятию, но и его клиентам. Что интересно, в 75 % случаев информация о факте вмешательства поступает извне, а не от службы ИТ безопасности компании. В такой ситуации, даже если убытки сложно оценить с финансовой стороны, репутации компании будет нанесен ощутимый ущерб. Некоторые финансовые структуры, например, такие как страховые компании, имеют развитые партнерские сети, и, соответственно, подвергаются еще большему риску.

Анализ легитимности действий

Как можно бороться с подобными угрозами? Очевидно, что традиционные методы разделения сети на сегменты с разным уровнем доверия в данном случае не работают. Пользователи являются легитимными, выполняют разрешенные действия, тем не менее, наносят вред. Здесь требуется иной подход.

Одним из методов поиска злоумышленников является анализ логов с различных устройств и приложений, участвующих в транзакции, и сопоставление их с шаблоном, ведь, именно последовательность легитимных по отдельности действий приводит к нарушению информационной безопасности. Например, в некоем банке существует система клиент-банк. Без сомнения, сервер приложений данной системы имеет доступ к базе данных со счетами клиентов. В таком случае "правильный" шаблон может включать следующие события с различных систем: "вход клиента" (полученное с веб-сервера), "перевод денег" (полученное с сервера приложений), "доступ к базе данных" (полученное с сервера баз данных). В случае если одно из событий в данной цепочке отсутствует, можно предположить, что имело место вмешательство в работу системы. В частности, если были получены события с сервера приложений и с сервера баз данных, но не получено событие о подключении клиента с веб-сервера, возможно, кто-то из сотрудников банка воспользовался своими правами доступа для совершения транзакции от лица клиента. Данная ситуация требует расследования.

SIEM - системы управления событиями и информационной безопасностью

Анализ легитимности по типу того, который приведен выше, невозможно выполнить человеческими ресурсами, поэтому в последнее время активно развиваются SIEM (Security Information and Event Management) системы. Эти системы способны подключаться к большому количеству источников событий, будь то сетевое оборудование, файрвол или бизнес приложение, собирать и анализировать тысячи событий в секунду и в случае нарушения безопасности уведомлять соответствующий персонал. Уведомлять практически в реальном времени, ведь предотвратить инцидент всегда легче и дешевле, чем ликвидировать его последствия. Лидеры SIEM рынка так же предоставляют механизмы отслеживания и эскалации инцидентов.

Также немаловажными в данной ситуации являются надежная передача и хранение логов. Ведь стандартные протоколы отправки сообщений о происходящих в системе событиях, такие как syslog и SNMP, не обеспечивают гарантированную доставку сообщения до сервера. Не говоря уже о способности определить, было ли изменено сообщение в процессе передачи по сети.

SIEM системы лишены данного недостатка - они используют коннекторы, которые устанавливаются в непосредственной близости к наблюдаемой системе и выполняют буферизацию событий на случай обрыва в глобальной вычислительной сети (WAN), а также обеспечивают целостность информации при передаче по сети.

Следует отметить, что ряд существующих отраслевых стандартов безопасности также направлен на уменьшение рисков, связанных с внутренними угрозами. В частности, стандарт безопасности данных в карточных платежных системах (Payment Card Industry Data Security Standard, PCI DSS) в разделе 10 ссылается на необходимость фиксации и отслеживания всех обращений к сетевым ресурсам и данным о платежных картах. SIEM-системы позволяют обеспечить выполнение требований раздела 10 стандарта PCI DSS.

Права доступа "под колпаком" SIEM

SIEM систему можно использовать не только для удовлетворения требований раздела 10. Она также может отслеживать доступ к устройствам и системам под групповыми или стандартными учетными записями, отслеживать соответствие реальных прав доступа пользователей политикам безопасности. И, в случае подключения к системам контроля физического доступа, сопоставлять перемещение сотрудника по зданию с точкой его подключения к корпоративной сети, тем самым, помогая выявлять случаи передачи паролей между сотрудниками.

SIEM-системы - инструмент уменьшения убытков

Конечно же, автоматизированная система не решает всех проблем. И она не освобождает службу информационной безопасности от разработки политик и процедур. Однако, она может существенно повысить эффективность работы в части выявления нелегитимного их использования. Многие крупные финансовые учреждения, такие как международные банки, уже осознали необходимость использования SIEM систем и внедряют их на корпоративном уровне.

Прошедший год характеризовался спадом практически во всех секторах экономики. В такой ситуации многие компании сфокусировались не на развитии, а на оптимизации и сохранении достигнутого. Одним из направлений оптимизации традиционно является сокращение убытков, и здесь системы класса SIEM являются важными инструментами.

Максим Туманов  

http://it4m.wordpress.com