19 декабря, 2017, BIS Journal №4(27)/2017

Никак иначе


Михеев Дмитрий

технический директор ("АйТи БАСТИОН")

О практике контроля администраторов

Говоря о примерах применения средств контроля администраторов в банковских организациях, стоит помнить, что банк это сложная распределенная информационная система. Система, которая строилась не в один день, выполняет массу задач, многие из которых требуют как соблюдения значительных требований в части информационной безопасности, так и соблюдения серьезных обязательств по качеству и надежности сервисов.

МАСШТАБ И РИСКИ


Довольно часто выполнение этих задач связано со сложностями масштаба - размер внутренней инфраструктуры, необходимость присутствия во множестве географических расположений и соблюдение положений регулирующих документов накладывают существенные особенности при эксплуатации. На практике это приводит, с одной стороны, к достаточно жесткой централизации предоставляемых услуг, с другой стороны - к высоким требованиям SLA для обеспечения непрерывного функционирования систем связи, вычислительных средств и пользовательских рабочих мест.

Банки эксплуатируют много специализированного ПО, содержат значительные объемы аппаратных ресурсов и выстраивают жесткие практики эксплуатации в рамках ограниченных бюджетов. На практике это приводит к необходимости обслуживать собственные ресурсы ограниченным штатом персонала, привлекать для обслуживания специализированных средств внешних специалистов - из интеграторов, сервисных служб поддержки оборудования, производителей специально адаптированного ПО. В конечном счете, это неизбежно приводит к необходимости допускать внешних исполнителей с административными правами через периметры безопасности - как внутренних, так и юридически внешних.

Эта ситуация не уникальна и так происходит во многих областях, но в банковской сфере риски порой достигают уровней, с которыми нельзя мириться. Необходимость выполнять требования SLA ограничивается рисками нарушений, которые могут непосредственно нарушить функционирование бизнеса, привести к нарушениям требований регулирующих документов, с достаточно серьезными последствиями.
 
МОГУТ ПОМОЧЬ
 
Системы контроля действий администраторов могут помочь упорядочить сложившуюся практику предоставления доступа, поэтому такие решения интересны как ответственным за безопасность, так и ответственным за эксплуатацию. По нашему опыту, наиболее значительные результаты могут быть достигнуты при совместном проекте, где от внедренной системы контроля выигрывают и отдел ИБ, и ИТ службы.
 
ПРО ДВУХ ЗАЙЦЕВ
 
Например, в одном из пилотных проектов, инициированном со стороны службы ИБ, уже на этапе аудита и начального запуска удалось перестроить порядок и инфраструктуру узла внешнего доступа таким образом, что вместо нескольких исторически сложившихся вариантов удаленного входа остался только один, что безусловно облегчило нагрузку в части безопасности. Но и ИТ отдел оказался в выигрыше. Мало того, что об одном из старых доступов было практически неизвестно (он не фигурировал в документах и представлял собой потенциальную дыру в зоне ответственности службы ИТ), так получилось применить ту же систему и для записи действий собственных специалистов при обслуживании систем, с отказами которых приходилось регулярно сталкиваться. Имея на руках документальный журнал работы администраторов, удалось защитить собственных исполнителей от обвинений в ошибках администрирования, приводящих к отказам и нарушениям SLA.
 
НИКАК ИНАЧЕ
 
Система контроля администраторов предоставляет информацию, которую сложно получить другими способами. Практически все современные протоколы удаленного управления закрыты криптографически, что не позволяет фиксировать происходящее в рамках сессий с необходимой тщательностью пассивными средствами. Очень часто на защищаемых информационных объектах мы ограничены в допустимых средствах безопасности, т.к. их или нельзя установить совсем (например, на маршрутизатор), или применение таких средств повлечет заметную деградацию производительности целевой системы, что неприемлемо. Подробное журналирование со стороны серверов также часто не применяется, т.к. добавляет нагрузки на систему и требует серьезных усилий по обработке потока событий и выделения из него необходимых.
 
ИСТОЧНИК СОБЫТИЙ
 
Система контроля действий администраторов выдает события, непосредственно связанные с активностью людей и выполнения ими изменений в настройках. Это исключительно удобно, т.к. это позволяет фиксировать эти действия с необходимыми подробностями на случай будущих расследований, а также анализировать действия в момент их выполнения. В том числе и с теми или иными вариантами автоматизированного противодействия нежелательным действиям. Даже если просто фиксировать действия администраторов в масштабе информационной системы банка, это является весьма удобным источником событий, который можно использовать как непосредственно, так и подключить в общую систему анализа событий.
 
ИНТЕРЕСНЫЙ ПРОЕКТ
 
В нашей практике есть интересный проект, который начался со стороны ИТ службы, с одного очень компактного узла доступа - по результатам внешнего аудита потребовалось усилить контроль за доступом к системе, содержащей персональные данные.  Очень быстро, еще на первом этапе знакомства, этот проект вырос до нескольких узлов доступа в разных городах – для обеспечения доступа к оборудованию в ЦОДах для дежурных смен. Узлы контроля удалось интегрировать с SIEM системой и завести на централизованный мониторинг банка, с выработкой необходимых регламентов и диспетчеризацией заявок как на ИТ подразделения, так и с выходом на реагирование по линии ИБ.
 
Нельзя сказать, что системы контроля действий администраторов – это “серебряная пуля”. Но практика показывает, что задачи для них есть и они приносят пользу, конкретную и измеримую, не требуя при этом устраивать революционных изменений как в техническом плане, так и со стороны регламентов и процедур применения.