В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Основная часть рисков при использовании информационных систем для кредитной организации возникает вследствие несанкционированных действий с финансовой информацией банка. Данные действия являются в первую очередь следствием получения лицом, проводящим такие операции, несанкционированного доступа к информационным ресурсам и системам.
Несанкционированными действиями чаще всего являются проведение законченных банковских операциий, а также хищение информации или изменение ее в нужную злоумышленнику сторону.
Хотя речь идет в первую очередь о рисках, связанных с преднамеренными действиями, не стоит упускать из виду и непреднамеренные ошибки в работе сотрудников. Такие действия также могут привести к несанкционированному изменению информации, а следовательно, причинить ущерб кредитной организации.
Таким образом, необходимо построить систему информационной безопасности банка (СИБ) так, чтобы минимизировать возможность НСД, тем самым сократить вероятность несанкционированных действий как со стороны злоумышленников, так и со стороны сотрудников организации, совершающих непреднамеренные и опасные для ИБ действия.
Сценарий угрозы | Защитная мера |
---|---|
Лицо использует для несанкционированного доступа и действий права, которыми обладает другое лицо | Недопущение проникновения в информационную систему банка лиц, выдающих себя за правомочных пользователей. Применение мер, препятствующих передаче аутентификаторов от одного пользователя к другому. Быстрый отзыв скомпрометированных аутентификаторов |
Лицо использует для несанкционированного доступа и действий права, которыми оно не должно обладать. Например, сотрудник уже уволен, но его пароль все еще действует. Или сотрудник переведен в другой отдел, но у него все еще остались права с прежнего рабочего места | Увеличение степени соответствия между тем, что правомочному пользователю разрешено делать в информационной системе банка, и тем, что он реально может там делать в данный момент. Рассогласование между первым и вторым может возникать как в случае изменения позиции сотрудника, так и в случае изменениий в самой инфосфере банка: l Любые изменения в позиции сотрудника, влекущие изменения в его правах, должны как можно быстрее отражаться на его реальных правах в компьютерной системе. l Внедрение новых информационных систем, а также изменение старых могут приводить к необходимости серьезной перестройки прав пользователей, что без должной централизации и контроля ухудшает указанное соответствие. Для достижения этого соответствия у IT-подразделения банка должны быть инструменты, позволяющие изменять права сотрудников быстро и при этом контролируемо. Все это касается и аутентификаторов, выдаваемых пользователю как впервые, так и взамен скомпрометированных |
Лицо использует для несанкционированного доступа и действий свои настоящие права | Более тонкая настройка прав пользователей. В том числе введение новых прав, изначально не предусмотренных информационной системой (приложением и т.п.). Расширенный аудит и возможность быстрого отзыва прав, то есть минимизация ущерба за счет быстрого выяснения и пресечения несанкционированных действий |
Несанкционированное действие уже случилось или длится | Расширенный аудит и возможность быстрого отзыва прав, то есть минимизация ущерба за счет быстрого выяснения и пресечения несанкционированных действий |
"Как сократить риск несанкционированного доступа?" – ключевой вопрос в данном исследовании. Для ответа на него мы рассмотрим типовые ситуации, в которых происходит несанкционированный доступ, и защитные меры для его пресечения (табл. 1). Далее мы опишем существующие инструменты, реализующие указанные защитные меры, и дадим анализ роли каждого инструмента в снижении риска и механизма его работы (табл. 2–4).
Подходы к аутентификации | Как это снижает риски? |
---|---|
Многофакторная аутентификация | Увеличивает для злоумышленника сложность прохождения процедуры аутентификации, так как необходимо провести атаку на разнородные системы аутентификации |
Сокращение количества аутентификаторов, которые необходимо знать/обладать пользователю. Достигается путем применения SSO | Снижает риск компрометации аутентификаторов. Например, пользователь может запомнить один пароль или следить за сохранностью одной карты доступа. Если паролей много, то пользователь будет просто вынужден куда-то их записать, тем самым увеличивая вероятность их компрометации |
Упрощение процедуры аутентификации для пользователя. Достигается с помощью SSO | Упрощает для пользователя следование политикам безопасности. Снижает вероятность их нарушения |
Быстрый отзыв и перевыпуск аутентификаторов в случае компрометации | Быстрое пресечение несанкционированного доступа |
Что делает IdM? | Как это снижает риски? |
---|---|
Ускорение создания, изменения и удаления учетных записей пользователя, а также изменения прав пользователя | Повышение степени соответствия между реальными правами пользователя и теми, которыми он должен обладать |
Упрощение создания, изменения и удаления учетных записей пользователя, а также изменения прав пользователя | Возможность более точной настройки прав пользователя. Уменьшение количества IT-сотрудников, имеющих права изменять права пользователей. Возможность сотрудникам, не являющимся IT-специалистами, создавать учетные записи, изменять права пользователей, а также контролировать данный процесс |
Централизация создания, изменения и удаления учетных записей пользователя, а также изменения прав пользователя | Повышение эффективности контроля за учетными записями, правами пользователей и их изменениями |
Быстрый отзыв прав пользователя вплоть до удаления его учетной записи | Быстрое пресечение несанкционированного действия |
Что делает SSO? | Как это снижает риски? |
---|---|
Доступ к любой информационной системе проходит через сервер SSO и регистрируется в его журнале. Дополнительная аутентификация критичных действий пользователей в информационных системах | Повышает уровень контроля за действиями пользователей как в реальном времени, так и постфактум |
Централизация выдачи, отзыва и перевыпуска в случае компрометации аутентификаторов | Быстрое пресечение несанкционированного доступа. Быстрый перевыпуск аутентификаторов |
Аутентификация проводится один раз | Пользователю достаточно безопасно хранить один аутентификатор. Например, один пароль проще запомнить, чем десять |
Автоматическое регулярное изменение паролей пользователя в целевых системах | Гарантирует исполнение регламентов ИБ в части регулярного изменения паролей |
Применение надежных методов шифрования аутентификационной информации, интеграция с PKI | Обеспечивает защищенность хранимой информации. В случае использования PKI доступ гарантируется только обладателю закрытого ключа владельца данных |
Стандартизация процедуры аутентификации | Возможность поддержания единой корпоративной политики по отношению к аутентификации, например единые требования к сложности пароля или введение единой карты доступа. Пользователь привыкает к единой стандартной процедуре аутентификации, и любые отклонения от нее (например, в случае попытки фишинга со стороны злоумышленника) вызывают у пользователя обоснованные подозрения |
Для реализации указанных мер противодействия несанкционированному доступу и действиям в арсенале систем класса IAM существуют и используются следующие инструменты:
Рассмотрим вышеперечисленные инструменты более подробно, отдельно отмечая влияние каждого инструмента и практики на снижение операционных рисков в деятельности финансового института.
Для доказательства своей личности пользователь применяет один или несколько аутентификаторов (пароль, карта доступа, отпечаток пальца и многое другое). Одним из важных элементов усиления системы аутентификации является так называемая многофакторная аутентификация, позволяющая значительно снизить вероятность прохождения аутентификации лицом, не являющимся настоящим пользователем.
Сотрудник банка может иметь доступ одновременно к нескольким информационным системам банка (приложения, базы данных, Web-сайты и т.д.). IdM позволяет с помощью коннекторов к этим системам автоматически создавать и изменять в них учетные записи из центральной консоли, а также изменять в них права пользователя.
Если IdM централизует и автоматизирует управление учетными записями и правами пользователей, то SSO добавляет к этому централизацию доступа пользователей ко всем информационным системам.
Таким образом, доступ пользователей к приложениям проходит не напрямую в конкретное приложение, а через агента SSO. Пользователь аутентифицируется один раз в агенте SSO, после чего агент SSO сам аутентифицирует пользователя в необходимых информационных системах. Причем пользователь знает только свой аутентификатор в агенте SSO (например, пароль), но не знает свои пароли в конкретных информационных системах, к которым он получает доступ через агента SSO.
Инструменты из арсенала IAM, которые мы описали выше, значительно расширяют возможности аудита как действий пользователя, так и изменений его прав. Это в значительной степени упрощает осуществление контроля за соблюдением принципов управления операционными рисками и выявление факторов такого риска в части организации работы информационных систем кредитных организаций.
Многофакторная аутентификация – это одновременное использование аутентификаторов из разных групп:
В отдельных случаях подробное журналирование действий пользователей компонентами IAM может использоваться не только для целей аудита и предотвращения возможных утечек информации, но и как доказательная база при проведении расследованиий инцидентов в области информационной безопасности.
Заключение
Как видно из детального рассмотрения инструментов и практик IAM, использование этих инструментов и практик в значительной степени снижает возможность НСД и несанкционированных действий при использовании информационных систем, тем самым повышают общий уровень ИБ кредитной организации.
В связи с этим можно сделать вывод о том, что:
Перечисленные нами в обзоре инструменты IAM дополняют и усиливают друг друга, и применение их в комплексе приносит наибольший положительный эффект. Однако практика внедрения и эксплуатации подобных систем показала, что путь
поэтапного внедрения является оптимальным. Также стоит отметить, что реализацию каждого этапа внедрения инструментов IAM следует проводить, имея выработанную стратегию действий, а одной из первых задач является сокращение источников учетных записей пользователей до минимума и аудит всех существующих учетных записей.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2012