- Вступ
- можливості продукту
- варіанти застосування
- Автоматизовані банківські системи з клієнтським додатком під Windows
- Автоматизовані банківські системи з веб-інтерфейсом
- висновки
Інформаційні ресурси банків схильні безлічі загроз, а необхідний рівень їх захисту досить великий. Захист кредитно-фінансових систем, в першу чергу, будується на вимогах регуляторів, але банківська сфера цілком схильна до ризиків реального світу (від помилок виконавців до цілеспрямованих і технічно витончених атак).
Wallix AdminBastion - рішення для контролю дій, які виконуються під обліковими записами привілейованих користувачів, надає можливості для проведення розслідувань і попередження цілого ряду ризиків.
1. Введення
2. Можливості продукту
3. Варіанти застосування
3.1. Автоматизовані банківські системи з клієнтським додатком під Windows
3.2. Автоматизовані банківські системи з веб-інтерфейсом
4. Висновки
Вступ
Дана стаття відкриває цикл публікацій про застосування Wallix AdminBastion замовниками з різних галузей для контролю дій привілейованих користувачів.
Банківський сектор завжди викликав найбільший інтерес у зловмисників, тому до захисту банківських автоматизованих систем завжди пред'являлися суворі вимоги як з боку регуляторів, так і службами інформаційної безпеки самих банків. Існуючий стандарт Банку Росії по забезпеченню інформаційної безпеки організацій банківської системи регламентує застосування широкого переліку захисних механізмів і організаційних заходів - розподіл ролей користувачів, управління доступом, реєстрацію подій, антивірусний захист, фільтрацію мережевого трафіку, криптографічний захист і багато інших. При цьому класичні засоби захисту забезпечують високий рівень безпеки, але, найчастіше, спрямовані на відображення атак ззовні. Поряд з цим захист від привілейованих користувачів увага приділяється набагато менше. Ризики ж, пов'язані з активністю технічно підготовлених і постійно працюють з банківськими ІС привілейованими користувачами існують і їх число помітно.
У 2013 році був опублікований аналітичний огляд Банку Росії по інцидентах, пов'язаних з порушенням вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів. У ньому, зокрема, на частку внутрішнього порушника припадає 73,9% всіх порушень, і ця цифра вище, ніж в аналогічному огляді за 2012 рік. Захисті ж внутрішніх ІС в компаніях часто приділяють недостатньо сил і засобів, про що свідчать, наприклад, недавно опубліковані «Лабораторією Касперського» дослідження, пов'язані з вдалими атаками на банківські системи.
В цілому, на частку банків припадає майже 10% всіх витоків конфіденційної інформації, зафіксованих аналітиками. За кількістю інцидентів це нижче, ніж в сферах освіти і медицини, але, з огляду на важливість інформації, що захищається і високі вимоги і до захисту, цей відсоток високий.
Застосування будь-яких методів захисту має на увазі розмежування доступу до ресурсів, що захищаються, приховування інформації про внутрішній устрій ІС, ешелонування засобів захисту. При захисті від внутрішнього порушника, в першу чергу, важлива правильність розмежування доступу і обмеження повноважень. Також при розслідуванні інцидентів мають велике значення якість і глибина покриття автоматизованої системи за допомогою засобів журналирования і реєстрації подій. Свій спосіб вирішення цих завдань пропонує компанія WALLIX, розробник засоби управління і контролю дій привілейованих користувачів Wallix AdminBastion.
можливості продукту
Всі функції Wallix AdminBastion вже розглянуті в одному з наших попередніх оглядів , Тому в даній статті ми зосередимося тільки на ті можливості, які можуть бути ефективно використані при захисті автоматизованої банківської системи.
Під привілейованими обліковими записами в Wallix AdminBastion це користувачі, які отримують доступ до віддалених робочих місцях інших співробітників зі своїх стаціонарних.
В автоматизованих банківських системах Wallix AdminBastion може використовуватися як для контролю системних адміністраторів, які виробляють настройку та обслуговування серверів, мережевого обладнання та додатків, так і для контролю співробітників, які здійснюють роботу з банківськими системами через веб-інтерфейс або підключаючись до віддаленого термінального сервера. Ще одним стандартним сценарієм використання є забезпечення контрольованого доступу зовнішніх виконавців (наприклад, фахівців виробників ПЗ або інтеграторів) до захищається інформаційних ресурсів.
В даних сценаріях продукт працює в режимі прикладного шлюзу відповідних протоколів, без установки агентів на захищаються сервера і без необхідності внесення значних змін в налаштування операційних систем.
Функціональні можливості Wallix AdminBastion поділяються на дві основні категорії - управління доступом і контроль дій. Для управління доступом необхідно налаштувати облікові записи користувачів і захищаються сервера і служби. Для авторизації користувачів - в інтерфейсі управління продукту необхідно створити облікові записи або використовувати режим інтеграції з Active Directory, який використовується в більшості банків. Захищаються сервера і служби задаються за їхніми адресами та використовуваним протоколом. Основний механізм управління доступом - це можливість зв'язку призначених для користувача облікових записів і захищаються серверів між собою. При цьому допустимі групові настройки доступу і завдання політик безпеки.
Малюнок 1. Налаштування інтеграції Wallix AdminBastion з Active Directory
Контроль здійснюється для всіх призначених для користувача сеансів. Wallix AdminBastion записує всі дії, веде докладні журнали набираються користувачем команд і повертаються результатів, здійснює відеозапис сеансу і максимально детально документує кожен крок користувача в захищуваному сервісі. Wallix AdminBastion не володіє функціями з управління доступом всередині захищаються серверів і сервісів, однак його докладний документування всіх дій і можливість оперативного контролю в режимі реального часу з боку офіцера з інформаційної безпеки, дозволяють проводити всі необхідні заходи по виявленню і запобіганню витоків, а також щодо подальшого розслідування інцидентів.
Малюнок 2. Перегляд сеансу роботи користувача в Wallix AdminBastion
При використанні Wallix AdminBastion мається на увазі, що для контрольованих користувачів в рамках мережевої інфраструктури налаштований повну заборону на доступ до банківських систем безпосередньо. Замість цього користувачі підключаються до Wallix AdminBastion, вибирають потрібну для роботи службу і цільову систему, і підключаються до неї за допомогою спеціально створюваних профілів. Користувач може звертатися до строго окресленого кола служб, доступ до яких може бути додатково обмежений за часом або швидко відкликаний при необхідності. При цьому вибір сервісу для підключення виконано в зручному для користувача інтерфейсі, а підключення проводиться простим натисканням на одне з посилань.
Малюнок 3. Вибір сервісу для підключення в інтерфейсі Wallix AdminBastion
Wallix AdminBastion рекомендується використовувати як додатковий засіб контролю, не прив'язані до певних банківським програмним продуктам і прикладного програмного забезпечення. При цьому також слід приділяти велику увагу розмежуванню доступу всередині використовуваного банківського ПЗ.
варіанти застосування
Клієнтська частина автоматизованої банківської системи або іншого прикладного банківського програмного забезпечення найчастіше виконана у вигляді додатку для Windows або має веб-інтерфейс.
Автоматизовані банківські системи з клієнтським додатком під Windows
Для початку розглянемо, як захищати і контролювати Windows-додатки за допомогою Wallix AdminBastion. Для їх захисту необхідно розгортання термінального сервера і запуск банківської програми безпосередньо на ньому. У більшості банків така система вже використовується, так як застосування термінального доступу дозволяє знизити загрози, пов'язані з пристроями, що підключаються (на термінальному сервері можна заборонити віддалене підключення будь-яких зовнішніх пристроїв з термінального клієнта) і шкідливим програмним забезпеченням. Крім того, використання термінального сервера знижує витрати з обслуговування систем, так як немає необхідності проводити обслуговування та оновлення на безлічі робочих станцій, а всі дії проводяться тільки на одному сервері.
Малюнок 4. Приклад зовнішнього вигляду банківського програмного забезпечення у вигляді додатку для Windows
У Wallix AdminBastion додається захищається сервер з налаштуванням доступу по протоколу RDP. Сервера призначаються користувачі, які працюють з банківським програмним забезпеченням, і на цьому основна настройка завершується - подальше обмеження доступу має бути виконано за допомогою вбудованих механізмів захисту автоматизованої банківської системи.
Малюнок 5. Налаштований для захисту термінальний сервер в Wallix AdminBastion
Для робочих місць співробітників доведеться перенастроювати підключення. Доступний один з двох варіантів - навчити співробітників отримувати доступ через авторизацію в веб-інтерфейсі Wallix AdminBastion з подальшим доступом до термінального сервера, або винести ярлик до термінального доступу через Wallix AdminBastion з необхідністю проходити авторизацію до підключення. Обидва сценарії не вимагають серйозної зміни бізнес-процесу і не позначаться на швидкості роботи співробітників.
При сеансу Wallix AdminBastion повідомить користувачів про те, що їх сеанс роботи записується і потім вони зможуть продовжити роботу в звичному оточенні. При цьому всі дії привілейованих користувачів можна відстежити по записах журналів або в режимі реального часу підключитися до спостереження за робочим сеансом будь-якого користувача.
В рамках версії 4.2 в AdminBastion буде доступний режим обов'язкового або рекомендованого підтвердження з'єднань, що дозволить для особливо критичних систем вимагати явного підтвердження доступу від одного або декількох відповідальних співробітників.
Завершення сеанси можливо переглянути через веб-інтерфейс, для сеансів протоколу RDP зберігається відео-потік, а для текстових протоколів - текстовий журнал сеансу. При необхідності, зберігаються дані можуть бути захищені кодуванням, також можна зберігати архів на зовнішньому сховищі, наприклад - дисковому масиві з підтримкою протоколів CIFS або NFS.
При перегляді завершених сеансів адміністратору доступні всі можливості по ознайомленню - аналізуються відеозапису сеансів, обробляється потік клавіатурного введення, для значущих змін на екрані виділяються знімки екрану під час роботи, по можливості виводяться оптично розпізнані тексти, що відображаються на екранах і вводяться користувачем (в тому числі, для можливості пошуку за ключовими словами).
В рамках системи прав користувачів Wallix AdminBastion доступний профіль «Аудитор», що дозволяє при необхідності видати доступ до архіву сеансів для розбору інцидентів або регулярного аналізу, без можливості вносити зміни в налаштування системи або можливості з'єднатися з захищеними системами.
Автоматизовані банківські системи з веб-інтерфейсом
Банківські системи з веб-інтерфейсом захищаються за допомогою Wallix AdminBastion ще простіше, оскільки не вимагають додаткової підготовки інфраструктури, як у випадку з термінальним сервером.
Малюнок 6. Приклад зовнішнього вигляду банківського додатка з веб-інтерфейсом
Для захисту веб-сервісів за допомогою Wallix AdminBastion до них забороняється прямий доступ. В адміністративному інтерфейсі Wallix AdminBastion додається захищається сервер з HTTP або HTTPS інтерфейсом, вибирається необхідний метод авторизації на сервері (підтримується більшість механізмів авторизації, включаючи Basic-авторизацію і веб-форми для введення логіна і пароля), додаються ідентифікатори, відкривається доступ необхідним користувачам. На цьому базова настройка завершена.
Малюнок 7. Спроба прямого доступу до сервера, закрита Basic-авторизацією і успішний вхід в веб-інтерфейс за допомогою Wallix AdminBastion
Як і у випадку з термінальним сервером, користувачі повинні здійснювати вхід через Wallix AdminBastion. Робота з веб-інтерфейсом, контрольована Wallix AdminBastion, не відрізняється від роботи без захисних механізмів. Про наявність Wallix AdminBastion нагадує тільки невелика панель у верхній частині екрану, призначена для управління сеансами і можливістю зробити коректне відключення від системи.
Офіцер безпеки в адміністративному інтерфейсі Wallix AdminBastion може отримати список поточних і завершених сеансів роботи і для завершених сеансів переглянути всі виконані дії - GET і POST запити із зазначенням URL сторінки, до якої здійснювався запит. Моніторинг роботи в веб-інтерфейсі не надає всього багатства можливостей моніторингу RDP-сеансу - немає відеозапису роботи користувача, скріншотів роботи і розпізнавання введеного тексту, але для аналізу дій в веб-інтерфейсі відображається досить.
Малюнок 8. Перегляд історії сеансу користувача в веб-інтерфейсі в Wallix AdminBastion
висновки
Wallix AdminBastion - це функціональний і нескладний у налагодженні та експлуатації продукт для забезпечення контролю дій привілейованих користувачів на рівні захищаються серверів і сервісів, що підходить для захисту широкого кола інформаційних і автоматизованих систем. В інфраструктурі засобів захисту банківських систем даний продукт може істотно знизити ризики витоку інформації і виникнення інцидентів, викликаних внутрішніми і зовнішніми користувачами. Сильна сторона продукту - моніторинг і запис всіх дій привілейованих користувачів, можливість оперативного контролю за роботою співробітників в режимі реального часу і надання всієї необхідної інформації для виявлення і запобігання витоків. Wallix AdminBastion також справляється із завданням базового розмежування доступу, але в цій області він повинен використовуватися спільно з вбудованими механізмами захисту автоматизованих банківських систем.
Крім перерахованих переваг Wallix AdminBastion, він також може використовуватися в інших областях - контроль ІТ-адміністраторів і адміністраторів мережевої інфраструктури, стеження за раціональністю використання робочого часу співробітників, спрощення отримання доступу до різних сервісів за допомогою єдиної точки входу і так далі. Wallix AdminBastion може зайняти гідне місце в будь-якій системі захисту, і особливо - в банківській сфері. У наступних статтях я планую продовжити знайомити читачів з продуктом Wallix AdminBastion, його можливостями і варіантами застосувань в різних інформаційних системах.