Контакты
Подписка
МЕНЮ
Контакты
Подписка

Системы контроля привилегированных пользователей

Системы контроля привилегированных пользователей

В рубрику "АСУ ТП" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Системы контроля привилегированных пользователей

Современные автоматизированные системы управления технологическими процессами (АСУ ТП) используются в обслуживании сверхважных объектов стратегических отраслей экономики, а количество угроз и атак киберпреступников увеличивается с каждым днем.
Михаил Романов
Директор по развитию бизнеса компании “НТБ"

В фокусе внимания экспертов по информационной безопасности все чаще оказываются именно промышленные информационные системы (ИС) – аппаратно-программные комплексы, предназначенные для автоматизации производственных процессов промышленных предприятий.

Привилегированные пользователи, обладающие, по сути, неограниченными правами, могут нанести непоправимый ущерб. В силу же специфики работы АСУ ТП скрывать свои злонамеренные действия в течение очень длительного времени грамотному ИТ-специалисту не составит никакого труда.

Практика специалистов по ИБ показывает, что на сегодняшний день защищенность большинства ИС АСУ ТП находится на крайне низком уровне. Они часто не автономны и позволяют обеспечивать удаленный доступ со стороны администратора. И чем современнее оборудование, тем более доступным с точки зрения сетей оно является.

Защищенность систем АСУ ТП сейчас оставляет желать лучшего. Достаточно почитать отчеты или статьи компаний, которые занимаются аудитом таких систем. При обследованиях вскрывается много проблем, которые не позволяют использовать традиционные средства. Например, с одной стороны, уязвимостей в устройствах АСУ ТП не так много (несколько сотен – в сравнении с десятками тысяч для обычных), с другой стороны – протоколы нестандартны, и в линию передачи данных нельзя вносить сильные задержки, что автоматически снимает вопрос использования достаточно большого количества устройств безопасности.

Системы АСУ ТП состоят из нескольких уровней. И каждый уровень управляется администраторами. Часто на сервер управления не позволяется ничего установить (даже антивирус), чтобы не внести какие-либо проблемы в технологический процесс. Соответственно, данные системы, с одной стороны, имеют риск быть атакованными, а с другой – атаки во многих случаях имеют начальную цель получения высоких привилегий в системе. Кроме того, собственно, сами администраторы здесь являются критическими точками возникновения проблем. Их неправильные действия могут привести к аварии. Поэтому контроль за действиями привилегированных пользователей стоит ставить часто даже выше по критичности в сравнении с другими задачами по обеспечению безопасности АСУ ТП.

К счастью, сейчас есть программные решения для управления привилегированными учетными записями. Их задачи – постоянная защита привилегированных учетных данных в сети и достоверный учет их использования. С введением такого ПО сокращаются трудозатраты сотрудников ИT-служб, поскольку появляется возможность оперативно предоставлять пароли пользователям по первому требованию и отпадает необходимость в трудоемком ручном поиске, изменении и учете записей.

Предоставление доступа к серверам управления, а также к системам сбора телеметрии в системах АСУ ТП является крайне важной задачей. Если взять критичную систему, например в банке, то администратор баз данных может исказить или удалить данные. Безусловно, проблема очень серьезная и может привести к остановке работы организации. Но неправильные или злонамеренные действия администратора АСУ ТП могут привести к самой настоящей катастрофе – последствием ошибки на атомной станции или на химическом предприятии может стать выброс вредных веществ. Современные системы достаточно сложны, часто оборудование обслуживают аутсорсерские организации или представители вендора, которых нужно внимательно контролировать. Прибавим сюда то, что в последнее время оборудование стало доступно из Интернета, а на само оборудование каких-либо дополнительных программ или систем безопасности поставить нельзя, поэтому картина вырисовывается достаточно апокалиптичная. Не стоит забывать и о том, что для разработчиков очень часто открываются удаленные каналы, чтобы они, не приезжая на предприятие, тестировали, дорабатывали, обновляли установленные ими системы. По этим каналам они попадают в ИС АСУ ТП с правами администратора и выполняют самые разнообразные действия. На сегодняшний день практически никто данные процессы не контролирует, т.к. на предприятиях отсутствуют персонал и функционал, который бы их отслеживал.


Сегодня 100% привилегированных пользователей – технически грамотные и подготовленные специалисты, обладающие всеми возможностями, чтобы поставить под угрозу существование какой-либо части АСУ ТП или промышленного предприятия в целом. Поэтому контроль действий, которые выполняются на информационных системах АСУ ТП, – важнейшая задача.

Выход один – использование систем контроля привилегированных пользователей. Именно они позволят полностью контролировать выполнение всех правил и политик информационной безопасности привилегированными пользователями, упростят расследование инцидентов, предоставят неопровержимые доказательства, обеспечат полный контроль рабочих процессов пользователей, а также исключат скрытую активность.

Повышение эффективности

Управление и обслуживание компонентов ИС АСУ ТП, выполняемое внешними специалистами, часто осуществляется бесконтрольно. Владельцы систем не понимают, что с ними происходит, – они вне их контроля. Отношения строятся на полном доверии к аутсорсеру, который строит, развивает и эксплуатирует систему. А в случае инцидента совершенно непонятно, как разбираться в произошедшем, кого наказывать и как избежать в дальнейшем повторения ситуации.

Эффективный процесс управления привилегированными учетными записями должен представлять собой непрерывный цикл:

  • Выявление
    Выявление и документальное оформление всех критически важных ИT-ресурсов, а также соответствующих привилегированных учетных записей и взаимосвязей, присутствующих на оборудовании и в ПО.
  • Делегирование
    Предоставление доступа к учетным данным таким образом, чтобы к ИT-ресурсам мог обращаться только уполномоченный персонал, только в строго отведенное время, с обязательным учетом целей доступа и соблюдением принципа наименьших привилегий.
  • Выполнение
    Принудительное применение правил сложности, разнообразия и частоты смены паролей с синхронизацией изменений на всех ИT-ресурсах, за счет чего исключается вероятность нарушения функционирования ИT-инфраструктуры.
  • Аудит, оповещение, отчетность
    Функции аудита, оповещения и отчетности позволяют контролировать, кто, с какой целью и как долго пользуется привилегированным доступом.

Руководство ставится в известность о подозрительной деятельности.

Технологическая составляющая

Технологически задачу управления привилегированными учетными записями и доступом можно разделить на несколько подзадач:

  • централизованное управление административными учетными записями для внешних сотрудников;
  • проверка правильности выдачи административных прав;
  • создание политик доступа для администраторов (типы сеансов, протоколы доступа, время доступа и т.п.);
  • запись всех действий сотрудников сторонних организаций, администраторов, которые по определению имеют административные права; причем важно записывать действия как можно подробнее, простое логирование некорректных действий тут не подойдет;
  • исключение возможности администраторам "замести" следы своих недобросовестных действий;
  • контроль над действиями автоматизированных систем, обеспечивающих привилегированный доступ к другим системам – М2М-соединения.

Как сделать правильный выбор

Выбирая решение, необходимо обратить внимание на выполняемые им задачи. Система по управлению доступом к привилегированным аккаунтам должна:

  • реализовать рабочий процесс персонифицированного доступа к привилегированным учетным записям к конкретным системам, с четким обоснованием необходимости и требуемым количеством согласований;
  • "из коробки" контролировать распространенные протоколы, которые используются для управления информационными системами и оборудованием, и обеспечивать запись всех действий использующих их администраторов;
  • надежно сохранять информацию о привилегированных учетных записях в специализированном хранилище с обеспечением невозможности несанкционированного доступа к ней, искажения и удаления;
  • обеспечивать безопасную, персонифицированную работу с привилегированными учетными записями для администраторов и приложений, работающих от имени суперпользователя (Root) или администратора;
  • в реальном времени контролировать привилегированные сессии с возможностью прерывания в случае необходимости;
  • обеспечивать аудит действий администраторов в удобном формате, чтобы аудитор мог быстро найти интересующие его события и проконтролировать, что происходило в этот момент, например как будто он стоял за спиной администратора и смотрел в монитор;
  • использовать мощные средства поиска при анализе записей привилегированных сессий в процессе расследований;
  • изолировать (проксировать) привилегированные подключения от реальных серверов (исключить возможность прямого подключения);
  • обеспечивать доступность и отказоустойчивость.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2015

Приобрести этот номер или подписаться

Статьи про теме