Статьи и публикации

Информационная безопасность корпоративных информационных систем: типовые угрозы

Середа С.А.

Середа С.А.

Руководитель проектов ООО «ЭнергоДата»

В условиях современного ведения бизнеса информационные системы переходят в разряд обязательного обеспечения оперативной деятельности компании. Это справедливо как для транснациональной корпорации с набором из ERP, CRM, СЭД, средств бизнес-аналитики и финансовой консолидации и т.п., так и для малого предприятия с системой автоматизации бухучёта и интернет-магазином. Последствия утечки коммерческой информации, утраты её целостности и (или) доступности в обоих случаях ударят по бизнесу владельца информационной системы. Несомненно, масштаб нанесённого ущерба при этом будет различаться на порядки, но суть при этом останется одной и той же – удар по информационной системе предприятия означает удар по бизнесу этого предприятия. В данном контексте вопросы информационной безопасности компании приобретают особую важность и практически вплотную смыкаются с вопросами безопасности промышленной и экономической.

Перечни и классификация типовых угроз информационной безопасности выполнены достаточно давно и, как правило, стандартизованы. В качестве примеров можно привести Базовую модель угроз безопасности ФСТЭК [1] и Рекомендации в области стандартизации Банка России [2]. Есть также классификации, сформированные ведущими исследователями в данной области [3] или международными организациями, занимающимися расследованием компьютерных преступлений [4].

Нами на базе модели ФСТЭК была разработана обобщённая модель угроз безопасности, адаптированная к специфике корпоративных информационных систем (см. приложение к настоящей статье). На её основе строятся конкретные модели угроз в рамках проектов внедрения бизнес-приложений.

В соответствии с указанной моделью угроза несанкционированного доступа к информационной системе (как наиболее очевидная и прямая) может быть реализована при помощи таких способов как перехват пароля, подбор пароля, компрометация пароля, перехват пользовательской сессии, прямой доступ к базе данных и использование программных уязвимостей. Соответственно, чтобы обеспечить «защиту периметра» информационной системы, необходимо принять меры по предотвращению угрозы несанкционированного доступа, реализуемую перечисленными методами. Это, во-первых, позволит уйти от ситуации, когда экран ввода имени и пароля является «калиткой в отрытом поле», а, во-вторых, даст возможность эффективно использовать средства аудита, анализа и мониторинга защищённости информационных систем, DLP-системы и т.п. Без такой защиты периметра применение практически любых средств защиты информации (за исключением средств шифрования), почти не имеет смысла.

Рассмотрим перечисленные выше способы реализации угрозы несанкционированного доступа немного подробнее.

Компрометация пароля. Компрометация пароля, т.е. утрата его секретности, является в большей степени внутренней угрозой, чем внешней, так как её причиной всегда является неосторожность обладателя пароля (зачастую в нарушение установленных правил и регламентов).

Пароль может быть скомпрометирован, в частности, если будет записан пользователем и оставлен в месте, доступном для третьих лиц (например, в незапертом ящике стола, на столе или мониторе компьютера).

Возможно и намеренное разглашение пароля пользователем, например, при уходе в отпуск или в ситуации, когда сотрудник вне офиса и необходимо срочно исправить или распечатать важный документ.

Существует также вариант компрометации пароля «по определению» – когда правила формирования паролей очевидны, например, соответствуют номеру кабинета, номеру рабочего места пользователя и т.п.

Злоумышленник, не являющийся обладателем пароля, может добиться его компрометации, например, подсмотрев его «из-за плеча» или воспользовавшись скрытой камерой, либо используя методы «социальной инженерии» (скажем, представившись аудитором стойкости паролей из подразделения ИБ).

Технических средств для предотвращения или выявления факта компрометации пароля практически не существует. Административно же можно лишь сократить общее время действия паролей (но оно определяется в днях или неделях, а для несанкционированного доступа достаточно минут или часов) и усилить наказание за несоблюдение мер безопасности при обращении с паролями и за их преднамеренное разглашение.

Подбор пароля. Для подбора пароля часто используются такие методы как исчерпывающий перебор, перебор по словарю, перебор вариантов написания пароля, генерация паролей по известным правилам. Для этого существуют специализированные программы, например, THC-Hydra, Bruter, Medusa, универсальные средства взлома парольной защиты типа Cain & Abel и даже программные библиотеки для создания собственных «взломщиков», например Password Cracking Library.

Подбор пароля может также осуществляться восстановлением по известной хэш-сумме, для чего может использоваться как классический John the Ripper или oclHashcat, так и программы Ophcrack и RainbowCrack, использующие «радужные таблицы».

Применяемые способы противодействия перебору вариантов пароля, – ограничение числа попыток ввода и принудительный контроль устойчивости пароля к угадыванию, – зачастую дают отрицательный результат. В частности, пользователи, набирающие по невнимательности свой пароль не в той клавиатурной раскладке или с зафиксированной клавишей Caps Lock, часто блокируются системой и принуждаются к придумыванию нового пароля. Это, вкупе с требованиями типа «не менее трёх букв в нижнем регистре, не менее одной буквы в верхнем регистре, не менее одной цифры», как правило, приводит к записи «стойкого» пароля в блокноте, в электронной почте, на мобильном устройстве, на обратной стороне клавиатуры или вообще на «стикере», приклеенном к монитору.

Способы борьбы с восстановлением паролей по их хэш-суммам сводятся к использованию более стойких хэш-функций и (или) «соли» (что требует изменения ядра системы и происходит редко, а также требует новых стойких хэш-функций, число которых невелико) и более жёсткому ограничению доступа к файлам с таблицами хэш-сумм, что кардинально ситуацию не меняет.

Перехват пароля. Пароль можно перехватить (похитить), в частности, во время его ввода с клавиатуры, в процессе обработки в оперативной памяти или при передаче по сети на сервер [5].

Перехват вводимого с клавиатуры пароля осуществляется при помощи так называемых «клавиатурных шпионов», которые злоумышленник может тайно установить на компьютер жертвы или встроить в «троянского коня». При попадании на ПК пользователя корпоративной информационной системы «клавиатурный шпион» будет перехватывать все вводимые пользователем логины и пароли, а также, возможно, и другие данные, вводимые пользователем в систему, и, так или иначе, передавать их злоумышленнику.

Перехват пароля при его обработке в оперативной памяти компьютера выполняется при помощи специализированных программ, например NtPassDump или Process Memory Dumper. Аналогичной функциональностью может обладать и «троянский конь», «вирус», «червь» и т.п.

Перехват передаваемого по сети пароля осуществляется при помощи «снифферов» общего назначения или специализированных утилит. При помощи этих программ можно перехватывать и передаваемую с сервера / на сервер конфиденциальную информацию.

Очевидно, что вводимый пользователем пароль может быть достаточно легко перехвачен по крайней мере тремя разными способами, причём применение антивирусных программ и (или) виртуальной клавиатуры не даёт защиты от перехвата пароля в оперативной памяти и при его передаче по сети.

Перехват пользовательской сессии. В отличие от перехвата пароля перехват пользовательской сессии может быть осуществлён только на уровне обмена данными с сервером по сети. Он может быть реализован с использованием как аппаратных (на канальном уровне OSI), так и программных (на сетевом уровне) средств.

Введённые добросовестным пользователем имя и пароль (а также другие необходимые для связи с системой параметры) перехватываются и подставляются в параметры рабочей сессии с корпоративной системой, инициируемой злоумышленником. Сессия добросовестного пользователя в это время блокируется с выдачей сообщения об ошибке соединения, неправильном вводе пароля и т.п. При этом параллельно может осуществляться и сохранение имени пользователя и пароля с их передачей злоумышленнику, т.е. перехват пароля.

Для сокращения риска перехвата пользовательской сессии часто используется шифрование трафика на уровне канала связи и разделение доступа на уровне подсетей, но эти меры неэффективны для крупных территориально распределённых сетей с большим числом пользователей и, тем более, при наличии доступа к этим сетям одновременно у нескольких организаций (например, заказчика и подрядчиков / аутсорсеров).

По нашему мнению, оптимальным решением для противодействия всем четырём перечисленным способам реализации НСД, может быть только переход к беспарольной/строгой аутентификации с шифрованием передаваемых по сети данных на сеансовом уровне.

Переход к строгой аутентификации позволяет отказаться от паролей в корпоративных информационных системах, что автоматически делает неактуальными все существующие и все будущие угрозы информационной безопасности, связанные с использованием паролей.

Шифрование передаваемых данных на сетевом уровне в соответствии с криптографическим протоколами SSL/TLS и (или) стандартом GSS-API обеспечивает достаточно надёжную защиту от перехвата пользовательских сессий и передаваемой информации ограниченного доступа даже при использовании публичных сетей.

Прямой доступ к базе данных. Прямой доступ к базе данных, при наличии у злоумышленника соответствующих специальных знаний, даёт практически неограниченные возможности по ознакомлению с хранимой в ней конфиденциальной информацией, её копированию, модификации, уничтожению или блокированию. Ограничения на доступ к информации и функциям по её обработке, закладываемые в бизнес-роли пользователей корпоративных информационных систем, работают «выше» – на уровне информационной системы, а на уровне системы управления базами данных их практически нет (точнее, они не используются).

При этом для осуществления доступа к базе данных далеко не всегда обязательно наличие системы управления базами данных – существует множество независимых разработок для доступа к базам данных известных производителей или восстановления данных из повреждённых баз, например, OmniView, DBRecovery 2010 Suite и др.

Кроме того, прямой доступ к базе данных возможно осуществить и из корпоративной информационной системы (при наличии полномочий администратора или разработчика), не работая непосредственно с системой управления базами данных.

Для защиты баз данных от прямого доступа к конфиденциальной информации обычно применяются такие средства как парольная и, крайне редко, беспарольная аутентификация, ролевое разделение доступа, а также в отдельных случаях «прозрачное» шифрование базы данных.

К сожалению перечисленные меры не позволяют обеспечить адекватный уровень защиты информации для бизнес-приложений, так как многие информационные системы обращаются к базе данных всегда от имени одного и того же технического пользователя с максимальными правами. Это позволяет упростить и ускорить обмен данными с базой, а также избежать двойного администрирования пользователей и ролей: в прикладной информационной системе и в системе управления базами данных. Но механизмы защиты уровня системы управления базами данных при этом просто не работают, включая даже «прозрачное» шифрование базы данных – при поступлении запроса к базе из корпоративной системы соответствующие данные автоматически расшифровываются и передаются в полном объёме.

По нашему мнению, единственным надёжным решением для противодействия прямому доступу к базе данных в описанных условиях, является шифрование конфиденциальной информации на уровне прикладной информационной системы с использованием ассиметричной криптографии для гарантированной индивидуализации доступа.

Определение объекта шифрования на уровне корпоративной информационной системы позволит обеспечить увязку пользователей, присвоенных им бизнес-ролей и информации, к которой им разрешён доступ, что сейчас невозможно сделать на уровне системы управления базами данных. Одновременно, необходимость обладания закрытым ключом для получения доступа к конфиденциальной информации обеспечит строгий контроль доступа и практическую невозможность его обхода (без физической передачи смарт-карты или USB-токена третьему лицу).

Использование программных уязвимостей. Эксплуатация уязвимостей требует высокой технической квалификации злоумышленника для отыскания необходимых ошибок в коде, а также знания программирования для написания атакующей программы, однако результатом указанных усилий вполне может быть получение не только доступа в информационную систему, но и максимальных полномочий в ней.

Меры по противодействию использованию программных уязвимостей, предпринимаемые разработчиками информационных систем носят (вынужденно) реактивный или стратегический характер и сводятся к устранению выявленных уязвимостей, общему повышению качества программного кода, расширенному тестированию и использованию специализированных программ, анализирующих код на потенциальные уязвимости. По очевидным причинам указанные меры не могут обеспечить оперативную защиту корпоративной информационной системы.

На уровне компаний-пользователей, кроме корректной настройки параметров безопасности и своевременной установки обновлений, применяются, в том числе, сканеры уязвимостей, системы обнаружения и предотвращения атак, системы аудита и мониторинга защищённости и т.п. Указанные средства позволяют предотвращать использование уязвимостей, однако эти средства достаточно дороги, а для получения эффекта требуют внедрения и принятия целого ряда организационных мер, что так же не позволяет обеспечить оперативную защиту.

По нашему мнению, решением, которое может обеспечить оперативную защиту от использования уязвимостей, является применение интегрированных с бизнес-логикой информационной системы средств технической защиты информации на рабочих местах пользователей.

Контроль над основными каналами потенциальной утечки информации (копирование на внешний носитель информации, копирование через системный буфер, копирование экрана) обеспечивает защиту конфиденциальной информации независимо от наличия или отсутствия программных уязвимостей в том или ином бизнес-приложении. Даже при получении доступа к информационной системе с любым уровнем полномочий у злоумышленника не будет возможности скопировать конфиденциальную информацию за её пределы.

Таким образом, типовой набор угроз информационной безопасности корпоративных информационных систем традиционен, а сами угрозы вполне актуальны даже для тяжеловесов рынка ERP-систем (см. приложение).

В то же время, указанным угрозам можно достаточно успешно противодействовать, применяя такие «Low-tech»-решения как средства беспарольной аутентификации, криптографической защиты каналов связи и технической защиты информации. Более того, как представляется, эффективность мер более «высокого» уровня, связанных с аудитом и мониторингом защищённости информационных систем, будет существенно выше при наличии таких средств, чем при их отсутствии.

Примечания:

  1. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) (утв. ФСТЭК РФ 15.02.2008)
  2. «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации» (РС БР ИББС-2.4-2010)
  3. Например, «Современные угрозы информационной безопасности: классификация, причины и способы устранения» Евгения Касперского, «Классификация угроз информационной безопасности» Сергея Вихорева, «Классификация угроз Digital Security» и др.
  4. Например, «Кодификатор компьютерных преступлений Interpol» (перевод Сергея Середы)
  5. Существуют и более экзотические способы, например перехват ПЭМИН.

Источник: http://sapland.ru/articles/stats/inphormatsionnaya-bezopasnosti-korporativnih-inphormatsionnih-sistem-tipovie-ugr.html