Журнал "Системы Безопасности" № 6‘2018

www.secuteck.ru декабрь 2018 – январь 2019 УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 75 dormakaba – системы контроля доступа В чем основные причины возникновения инцидентов в вопросах управления идентификацией? Какие способы минимизации риска компрометации или проведения атаки на системы идентификации вы можете назвать? Дмитрий Бондарь, inRights Типичным ИБ-инцидентом в сфере управле- ния идентификацией является наличие у сотрудников нелегитимных или избыточных полномочий, которые в дальнейшем приве- ли, например, к успешной атаке на инфра- структуру или утечке конфиденциальной информации и т.д. Приведу пример из финансовой сферы, когда избыточный доступ к информацион- ным ресурсам привел к существенным поте- рям для бизнеса. В одном из дополнительных офисов банка компьютер одного из сотруд- ников был атакован вирусом-шифровальщи- ком. Эта вредоносная программа зашифро- вала весь файловый архив отделения, что парализовало его работу на три дня. Избы- точные права привели к тому, что атака шиф- ровальщика оказалась успешной. Такие нару- шения встречаются и в других сферах, напри- мер в одной из компаний медиаиндустрии компрометация учетных данных сотрудника ИТ-отдела привела к тому, что злоумышлен- ники получили доступ к бизнес-критичным системам (системе управления медиатранс- ляцией, сайта и др.). Это создало для компа- нии колоссальные репутационные риски. Другой распространенной причиной воз- никновения инцидентов в сфере IdM являются некогда легитимно предоставлен- ные права, которые впоследствии должны были быть отозваны, но по какой-то причи- не остались неотозванными. К примеру, если подрядчик проводил работы в инфра- структуре компании и на время работ ему были выданы те или иные права доступа, то после истечения срока действия договора этот доступ должен был быть отозван, одна- ко этого сделано не было. Или, например, у уволившегося сотрудника остался доступ к ресурсам сети. Так, в минувшем году в одной из российских госструктур был выявлен ряд учетных запи- сей уволившихся сотрудников, под которы- ми ведется активная работа! Алексей Лукацкий, Сisco Из года в год растет число утечек идентифи- кационных данных по причине хакерских атак. В 2017 г. 59% всех утечек было связано именно с действиями внешних нарушителей. На действия внутренних нарушителей прихо- дилось всего 5% утечек. 10% инцидентов было связано с ошибками пользователей. Еще 7,5% утечек произошло по вине третьих лиц. Самой популярной причиной утечек (21%) стал банальный фишинг, который является причиной чуть ли не 95% всех атак. Стоит получить письмо с вредоносным вложением или ссылкой на вредоносный сайт и, при отсутствии здорового скепсиса в работе с электронной почтой и технических мер контроля, мы сталкиваемся с утечкой дан- ных. Но так бывает не всегда. Например, в случае с кредитным бюро Equifax, детали взлома которого стали известны в августе 2018 г., причиной утечки стала банальная уязвимость, найденная хакерами на внеш- нем портале компании и не устраненная вовремя. Через нее преступники проникли во внутренние базы данных и похитили идентифи- кационные данные 145 млн человек. А в инци- денте с British Airways в сентябре 2018 г. зло- умышленники атаковали не саму компанию, а сайт подрядчика, подменив JavaScript, который подгружался на сайт авиакомпании и затем крал идентификационные данные клиентов, включая и номера кредитных карт. По схожему сценарию была взломана и ком- пания Ticketmaster. Дмитрий Бондарь, inRights Я бы разделил рекомендации по минимиза- ции этих рисков на два основных направле- ния: 1) выстраивание в компании эффективной системы управления доступом; 2) применение специализированных средств ИБ для защиты учетных записей пользовате- лей от хакерских атак, вредоносных про- грамм и т.д. Что касается выстраивания в компании эффективной системы управления доступом, здесь важен комплексный подход. Для авто- матизации управления доступом необходимо использовать решения класса IdM, которые обеспечивают исполнение процессов и регла- ментов по управлению правами доступа сотрудников к информационным ресурсам. Вместе с IdM комплекс мер должен включать в себя создание ролевых моделей доступа к информационным системам предприятия, выстраивание профилей доступа в зависимо- сти от должности. Это длительная, кропотли- вая работа, которая дает потрясающий результат, превышающий первоначальные ожидания от внедрения системы управления идентификацией. Профилирование доступа позволяет сделать бизнес-процессы гораздо более прозрачными, выявить избыточные и, наоборот, недостающие бизнес-функции, обнаружить наличие пробелов в зонах ответ- ственности персонала, регламентировать функциональные обязанности сотрудников, соотнести должностные обязанности персо- нала с правами доступа в информационные системы и т.д. Если проделать эту работу до конца, то избы- точных прав в организации практически не останется. Например, если сотрудник сменит должность в рамках компании, то в случае использования IdM-решения ему будут авто- матически предоставлены права, предусмот- ренные профилем новой должности, и одно- временно отозваны права, соответствующие профилю его предыдущей должности. Все вышеперечисленные меры сведут к мини- муму возможность использования избыточ- ных прав доступа для компрометации или проведения атаки через системы идентифи- кации. Что касается применения специализирован- ных средств защиты учетных записей, здесь можно посоветовать применение строгой аутентификации, когда для входа пользова- телей в информационные системы использу- ется не пароль, а, например, smart-карта. Если целевые системы не позволяют использо- вать строгую аутентификацию, то можно использовать промежуточный вариант: вход на рабочую станцию осуществляется с примене- нием строгой аутентификации, вход в целевые системы – автоматически системой SSO, на основании паролей, которые автоматически генерируются системой IdM по сложным пра- вилам и которые сами сотрудники не знают. В целом внедрение второго фактора аутенти- фикации позволит защитить данные от ком- прометации, а заодно практически целиком закрыть риски неотозванных привилегий для подрядчиков или уволенных сотрудников. Кроме того, хорошей мерой является конт- роль и профилирование точек подключения сотрудника для использования данных. Как правило, базовый анализ геолокации удален- ного доступа позволяет выявить существен- ную часть действий злоумышленника. Алексей Лукацкий, Сisco Достаточно соблюдать простые правила: раз- граничение доступа и сегментация сети, опе- ративное устранение уязвимостей, реализа- ция принципа минимума привилегий и конт- роль привилегированных пользователей, повышение осведомленности персонала в области ИБ, постоянный мониторинг изме- нений в системе и отсутствие доверия к кому и чему бы то ни было.