Алексей Денисов: Контроль за исполнением внутренних правил и политик информационной безопасности


Алексей Денисов, начальник отдела проектирования систем защиты информации АМТ-ГРУП


Существует ли способ обеспечить контроль за исполнением внутренних правил и политик информационной безопасности привилегированными пользователями IТ-систем?

Алексей Денисов, начальник отдела проектирования систем защиты информации АМТ-ГРУП

В последнее время в условиях снижающейся маржи от основной деятельности для кредитных организаций актуальным становится снижение собственных затрат, в том числе на обслуживание информационной инфраструктуры. Как следствие, начинается более широкое использование различных аутсорсинговых, аутстаффинговых технологий и прямых контрактов с производителями оборудования и ПО.

Однако за снижением издержек на поддержку IТ-инфраструктуры желательно не забывать про разумный уровень информационной безопасности. В частности, очень важный момент – обеспечение контроля за действиями собственных и сторонних администраторов информационных систем, сетевого оборудования и т. д.

Одним из таких решений, сбалансированных по соотношению цена-качество, является Balabit Shell ControlBox (SCB) – это оборудование, позволяющее обеспечить контроль за пользователями с привилегированным доступом к серверам и сетевому оборудованию. Такими пользователями могут быть системные администраторы, персонал службы технической поддержки программного обеспечения и оборудования, сотрудники сторонних организаций.

SCB обеспечивает контроль соединений по протоколам SSH, RDP, Citrix ICA, VMWare View, VNC, Telnet и TN3270, инспектируя весь проходящий сетевой трафик на уровне приложений (7 уровень в модели OSI). Все остальные протоколы прозрачно пропускаются системой, не внося каких-либо задержек.

SCB, в частности, способен определить протоколы, туннелированные в SSH, протоколы переадресации портов и записывать передаваемые с их помощью файлы. Записанные файлы SCP и SFTP соединений могут быть извлечены для дальнейшего анализа или переданы сторонним системам для анализа.

Работая по принципу «незаконный посредник» («man in the middle»), SCB способен анализировать трафик, идущий по защищенным протоколам, и перенаправлять его на системы обнаружения вторжений (IDS). Таким образом, трафик, который до сих пор был недоступен для анализа IDS, можно анализировать в режиме реального времени.

Традиционно проверка работы оборудования основывается на созданных им логах. Данный подход, по сути, ошибочен, так как логи интерактивных событий обычно недостаточно детальны, кроме того, нет гарантии, что логи, хранящиеся или отправляемые сервером, не были изменены администратором или злоумышленником.

SCB записывает все сессии в виде аудиторских видеоотчетов, с функцией поиска по ним, что обеспечивает легкий доступ к нужной информации в случае необходимости. Записанные аудиторские отчеты можно просматривать или следить за действиями пользователей в режиме реального времени. Все записи хранятся на SCB или на архивном сервере и доступны через веб-интерфейс.

Все отчеты SCB хранятся в сжатом и зашифрованном виде, имеют временные метки и цифровые подписи, что гарантирует достоверность информации для аудита.

Простота интеграции SCB в уже существующую инфраструктуру обеспечивается большим количеством режимов работы: режим моста, маршрутизатора и бастиона. Для упрощения установки в среде, защищенной брандмауэром, SCB поддерживает трансляцию сетевых адресов как источника, так и назначения (SNAT и DNAT).

Система может быть установлена в режиме отказоустойчивого кластера, в этом случае она состоит из двух единиц SCB (master и slave), которые имеют одинаковую конфигурацию и работают одновременно. Устройства имеют общую файловую подсистему. Получая информацию, master передает ее на устройство slave: любое изменение конфигурации или записанный трафик мгновенно синхронизируется со вторым устройством. Если master выходит из строя, немедленно задействуется slave, что гарантирует доступность защищенных серверов. SCB1000d и более мощные модели снабжены двойным блоком питания.

В ситуациях, когда несколько пользователей используют одну учетную запись для подключения, например, учетную запись root на Linux серверах, персонифицировать пользователей поможет включение дополнительной аутентификации пользователя на SCB. В этом случае SCB проводит собственную аутентификацию пользователя, используя данные из LDAP, RADIUS или собственной базы пользователей.

Чтобы избежать случайных сбоев конфигурации и других ошибок, вызванных человеческим фактором, SCB поддерживает принцип авторизации «4 глаза». Для этого авторизатору отправляется запрос о разрешении администратору доступа к серверу. Авторизатор может контролировать работу администраторов в режиме реального времени, просматривая отображения их рабочих столов. Принцип «4 глаза» применим и в отношении аудиторов – SCB может использовать несколько ключей для шифрования записей мониторинга. В этом случае для проигрывания записей необходим доступ к множеству ключей, которого у отдельно взятого аудитора нет.

Для предотвращения доступа к оборудованию в обход системы SCB имеет собственное хранилище паролей. Администратор не должен знать пароль для доступа к оборудованию, для подключения он проходит аутентификацию на SCB со своей пользовательской учетной записью, и если данной учетной записи назначена политика доступа к серверу, система подставляет пароль для соединения. Возможность интеграции с Lieberman Enterprise Random Password Manager (ERPM) позволяет автоматизировать генерацию, хранение и использование паролей доступа и препятствуя прямому подключению пользователей к серверам.

В зависимости от количества поддерживаемых серверов можно выбрать одну из трех моделей SCB, самая младшая имеет встроенное хранилище на 1TB, что гарантированно позволит хранить отчеты за несколько лет. Для небольших организаций может быть использовано виртуальное устройство для VmWare ESX.

Использование SCB позволит обеспечить контроль за исполнением внутренних правил и политик информационной безопасности привилегированными пользователями, уменьшить трудозатраты при расследовании инцидентов и предоставить персонифицированные доказательства, обеспечить контроль рабочих процессов пользователей, например, в подразделениях с большой текучкой кадров, исключить скрытую или нерегистрируемую активность администраторов.



Дополнительная информация

Rambler's Top100
Яндекс цитирования