Основные мифы безопасности бизнес-приложений

Илья Медведовский
К.т.н., директор Digital Security

Александр Поляков
Руководитель направления аудита ИБ, руководитель исследовательского центра DSecRG, QSA-аудитор Digital Security

Миф 1. Безопасность бизнес-приложений - проблема производителя

Взгляд с точки зрения бизнеса

Одно из главных заблуждений, которое активно насаждается интеграторами, состоит в том, что безопасность бизнес-приложений - это, прежде всего, проблема разработчика - и пусть он сам и устраняет недостатки. Причем, когда речь идет об информационной системе в целом, состоящей из различных операционных систем, баз данных, приложений и т.п., такого заблуждения нет. Видимо, потому, что там много разных производителей и всем претензии не предъявишь. Кроме того, все понимают, что информационная система -это крайне сложное устройство, которое требует регулярного анализа защищенности и безопасность которого зависит от совокупности различных факторов. В случае же одной из систем управления предприятием или ключевого бизнес-приложения, когда производитель один, у бизнеса может возникнуть опасная иллюзия, что безопасность - это проблема производителя. С точки зрения бизнеса утверждение по меньшей мере крайне наивно и очень опасно, прежде всего именно для бизнеса. С каких пор производитель несет ответственность за инциденты в области безопасности? Он продает лицензию на продукт и при этом не несет вообще никакой ответственности за любой ущерб, который может возникнуть при использовании клиентом его продукта. Соответственно вся многолетняя практика развития отрасли разработки программного обеспечения говорит о том, что для производителя вопросы безопасности его продукта имеют второстепенное, если не третьестепенное, значение (на первом плане всегда только функционал), особенно если речь идет о внутренних приложениях. В любом случае следует четко понимать, что безопасность приложения -это проблема бизнеса, никоим образом не имеющая отношения к производителю.

Взгляд с технической точки зрения

Проблемы безопасности делятся на программные, архитектурные ошибки, ошибки в конфигурации и проблемы человеческого фактора. Если уязвимости, относящиеся к первому и отчасти ко второму классу, имеют прямое отношение к производителю, то ошибки в конфигурации и человеческий фактор - это те области, в которых наиболее часто возникают проблемы, приводящие к компрометации всей системы. В ходе работ по анализу защищенности бизнес-приложений очень часто приходится встречать системы, которые имеют последние обновления безопасности, но, тем не менее, доступ к ним оказывается возможным вследствие специфичных настроек безопасности или использования простых и, самое главное, при этом универсальных паролей.

Даже говоря о программных уязвимостях, надо понимать, что проблема выпуска обновлений - это проблема производителя, а проблема своевременной установки обновлений -задача администратора; и решается она только правильной политикой установки обновлений, включающей в себя тестирование, согласование с руководством, возможность отката и прочие важные нюансы. Архитектурные уязвимости также могут быть виной как разработчиков (например, атака SMB relay в Windows), так и администраторов, к примеру, отсутствие разделения пользовательских и серверных сетей ERP-системы.

Миф 2. Бизнес-приложение является внутренним -значит, у нас не может быть проблем в сети Интернет

Взгляд с точки зрения бизнеса

Второй стойкий миф особенно присущ внутренним корпоративным системам класса ERP. Почему-то бизнес наивно полагает, что раз к ERP-системе не осуществляется доступ из сети Интернет, то ей и не угрожают действия внешнего злоумышленника. Это опять же крайне наивный взгляд, так как бизнес уже давно вышел за рамки внутренней среды. Множеству приложений приходится постоянно интегрироваться через общедоступные сети как с удаленными офисами, так и с другими компаниями, расположенными в разных частях мира. В то же время они также должны иметь постоянный доступ к ресурсам компании - это очевидное требование эпохи глобализации современного бизнеса.

В результате сегодня все разработчики систем класса ERP так или иначе предоставляют доступ к ERP-системе из сети Интернет.

Но даже если система не имеет связей с внешним миром, не стоит забывать, что сегодня самым простым способом проникновения в корпоративную сеть является использование человеческого фактора (отправка пользователю письма с целью заманить его на злонамеренный сайт для последующей установки у него троянской программы).

Взгляд с технической точки зрения

Злоумышленники уже давно не пытаются проникнуть в сеть компании напрямую через пограничные маршрутизаторы. Гораздо проще атаковать пользователей, которые меньше защищены. В ходе анализа защищенности клиентских компонентов бизнес-приложений различных производителей, таких как SAP, Oracle и других менее известных, были обнаружены уязвимости, позволяющие получить доступ к компьютерам сотрудников через сеть Интернет. Сегодня существуют специально разработанные сценарии таких атак, напрямую направленных (например, на SAP ERP), основанных на комбинации социальной инженерии и уязвимостей SAP.

Другой популярный способ проникновения во внутреннюю сеть компании - использование уязвимостей в публичных Web-сервисах, которые предоставляются клиентам (SRM- и CRM-системы). В этих приложениях присутствуют уязвимости, позволяющие любому злоумышленнику не только получить административный доступ к самой системе или к документам клиентов, но и проникнуть внутрь компании из сети Интернет.

Миф 3. Бизнес-приложения плохо изучены - значит, нам ничего не грозит

Взгляд с точки зрения бизнеса

С точки зрения разработчика, безопасность не влияет на продажи продукта и только увеличивает срок его разработки и конечную стоимость. С точки зрения потребителя, - не понимая угроз, исходящих от бизнес-приложения, потребитель тем самым не стимулирует разработчика совершенствовать механизмы безопасности.

В результате получается простой бизнес-вывод: безопасность бизнес-приложений, по определению, на несколько порядков ниже, чем безопасность типовых ОС.

Взгляд с технической точки зрения

В популярных продуктах, таких как операционные системы Windows, офисные продукты, антивирусы, дистрибутивы которых общедоступны, ежемесячно находятся новые уязвимости, и существует масса информации о специфичных настройках безопасности и возможностях их обхода. И хотя в этих продуктах и присутствует множество уязвимостей, тем не менее, они постепенно становятся более защищенными во многом благодаря работе исследователей безопасности и... взломщиков, которые также постоянно анализируют безопасность данных систем.

В случае бизнес-приложений мы имеем дело с прямо противоположной ситуацией, когда системы в большинстве своем закрыты, а проверкой их безопасности в лучшем случае занимается сам производитель (что само по себе редкость для российских компаний-разработчиков) или квалифицированный администратор. С одной стороны, это дает некую иллюзию защищенности, так как злоумышленник не знает, как именно работают эти "закрытые системы" и как их “взломать”. Но это мнение ошибочно, так как подход "Security through obscurity" (безопасность, основанная на скрытии механизмов защиты) в корне не верен, и примеров тому множество.

При анализе защищенности различных специфичных бизнес-приложений, работающих как в банковской, так и в топливно-энергетической и в ри-тейл-сферах, нами обнаруживались тривиальные и при этом крайне опасные бреши в архитектуре безопасности. Подобные уязвимости редко встречаются в публично доступных системах, которые постоянно подвергаются всестороннему анализу.

Миф 4. Безопасность ERP -это матрица SOD. У нас есть SOD - и нет проблем с безопасностью

Взгляд с точки зрения бизнеса

Пожалуй, самый типичный и крайне опасный миф, которому подвержены именно представители бизнеса, состоит в том, что между понятием безопасности ERP и наличием продуманной матрицы SOD ставится знак равенства. То есть бизнес наивно полагает, что для обеспечения безопасности ERP-системы достаточно пригласить консультанта, который разработает и внедрит матрицу SOD, - и таким чудесным образом вся ERP-система сразу станет безопасной. Бизнесу такое заблуждение простительно, техническим специалистам - нет. Разве установка правильных прав пользователей на контроллере домена является панацеей для безопасности информационной системы в целом? Очевидно, нет. Бизнес должен очень четко понимать, что матрица SOD - это не более чем один из многих важных элементов обеспечения безопасности ERP-системы. В противном случае ERP-система с матрицей SOD будет напоминать дорогие стальные ворота с современной системой контроля доступа и видеонаблюдения, установленные в чистом поле.

Взгляд с технической точки зрения

Говоря об уязвимостях бизнес-приложений, необходимо рассматривать различные уровни, на которых эти приложения работают:

• сетевой уровень;
• уровень операционной  системы;
• уровень СУБД;
• уровень самого бизнес-приложения или ERP-системы;
• уровень дополнительных компонентов и Web-приложений;
• уровень клиентских компонентов ERP-системы.

Недостатки хотя бы на одном из данных уровней могут привести к полной компрометации системы даже в случае идеально настроенных остальных. На сетевом уровне уязвимостью может являться отсутствие шифрования данных при передаче, на уровне ОС - отсутствие последних обновлений безопасности, на уровне СУБД -стандартные пароли и прочее. Таким образом, рассматривая безопасность бизнес-приложений, нужно рассматривать систему в комплексе.

Проблемы и парадоксы

Основная глобальная проблема, связанная с безопасностью бизнес-приложений, - тотальное недооценка как производителями, так и потребителями вопросов, связанных с информационной безопасностью. При этом именно бизнес-приложения являются основой всего бизнеса компании. И здесь самый большой парадокс состоит в том, что эта основа является априори абсолютно небезопасной, требующей к себе самого пристального внимания… и не получающей этого внимания. С нашей точки зрения, на следующем витке эволюции средств обеспечения информационной безопасности основное внимание будет уделено именно вопросам безопасности бизнес-приложений, которые под давлением бизнеса сейчас постепенно начинают выходить на первый план.