Организация независимого аудита административного доступа в критичных автоматизированных системах

Логотип компании
Организация независимого аудита административного доступа в критичных автоматизированных системах
В отчёте  за 2016 год, 77% ИБ-нарушений было допущено штатными сотрудниками компаний. Из них 14% обладали привилегированными административными правами. При этом расследование 48% таких нарушений длилось до нескольких месяцев, 22% — несколько лет...

Значительное число нарушений информационной безопасности происходит по вине персонала, который имеет легальные права в автоматизированных системах (АС). Так, по данным мировой статистики, опубликованным американской телекоммуникационной компанией Verizon Communications в отчёте о расследовании утечки данных за 2016 год, 77% ИБ-нарушений было допущено штатными сотрудниками компаний. Из них 14% обладали привилегированными административными правами в АС. При этом расследование 48% таких нарушений длилось до нескольких месяцев, 22% — несколько лет.

Факты подтверждают данные статистики: администраторы автоматизированных систем, построенных на стандартных ИТ-платформах, могут управлять объектами администрирования единолично и полностью контролировать штатный аудит системного и прикладного уровня. Отсюда — длительные сроки, а зачастую и невозможность проведения расследований нарушений, допущенных административным персоналом.

Снижение ИТ- и ИБ-рисков в процессе администрирования критичных элементов информационной инфраструктуры – важная задача для службы кибербезопасности Сбербанка. Для её решения необходимо повышать культуру и совершенствовать технологии управления объектами администрирования. Один из действенных методов, по мнению специалистов по кибербезопасности Сбербанка, – внедрение системы независимого аудита, которая дает возможность осуществить ретроспективный анализ действий ИТ-персонала на всех этапах развития инцидентов в инфраструктуре АС.

Выбор решения

В процессе централизации управления автоматизированными банковскими системами (АБС), Active Directory и другими объектами ИТ-инфраструктуры в Сбербанке было принято решение о реализации проекта по внедрению системы независимого аудита и управления паролями административного и привилегированного доступа.

На подготовительных этапах реализации проекта были определены основные требования к функциональности системы:

·         поддержка максимально возможного перечня объектов администрирования (ОС, СУБД, коммуникационное оборудование, терминальные и др. прикладные сервисы);

·         возможность установки элементов системы «в разрыв» между персональным компьютером администратора и объектом управления;

·         возможность оперативной выгрузки паролей к привилегированным учётным записям в случае недоступности, сбоя системы независимого аудита;

·         возможность генерации привилегированных технологических и административных паролей и их автоматизированное распространение в ИТ-инфраструктуре; автоматизация процедуры смены паролей — во избежание блокировки учётных записей и нарушения функционирования ИТ-инфраструктуры;

·         хранение паролей в зашифрованном виде в СУБД распространённого типа, предоставление паролей в соответствии с делегированными ролями через защищённый web-портал;

·         отсутствие возможности уничтожения журналов аудита под учётной записью любого администратора;

·         возможность видеозаписи изображения с экрана монитора администратора в момент управления объектом ИТ-инфраструктуры. Обеспечение возможности поиска по видеоархиву (дата, время, пользователь, объекты администрирования). Глубина видеоархива — не менее 180 суток;

·         обеспечение высокой степени доступности, восстановление с использованием традиционных стратегий устранения отказов и сбоев;

·         интеграция с распространёнными системами управления учётными данными и правами доступа, базами данных управления конфигурациями, системами SIEM, системами учёта запросов службы технической поддержки.

Кроме того, схема лицензирования должна предоставлять оптимальную стоимость владения системой независимого аудита с учётом возможности масштабирования решения при развёртывании в сетях крупных предприятий.

Читайте также
Как руководителю развить эмпатию и построить доверительную коммуникацию в коллективе, разбирался IT-World.

По итогам исследования рынка Сбербанк выбрал комплексное решение, включающее:

- систему управления паролями привилегированных пользователей —

Enterprise Random Password Manager;

- систему мониторинга действий пользователей с видеозаписью и ведением логов их действий в момент выполнения административных работ.

Схема размещения выбранного решения в ИТ-инфраструктуре Сбербанка отражена на рис. 1. Система состоит из следующих компонент:

- портал администрирования (WebApp Cluster) — точка входа администраторов систем, web-интерфейс для аутентификации, выбора и запуска инструментов администрирования;

- защищённая среда администрирования (JUMP-Server Сluster) — набор ферм терминальных серверов Windows (JUMP-серверов). На них устанавливается специальный программный модуль для запуска защищённой среды администрирования;

- диспетчер записи сессий администрирования (Session Recording Сluster) агрегирует данные видеозаписей сессий администрирования, полученных с кластера JUMP-серверов, оптимизирует и упаковывает их для хранения в защищённом видеоархиве системы;

- защищённое хранилище системы (DBMS) обеспечивает хранение параметров привилегированных учётных записей и журналов аудита, а также их безопасного предоставления по запросам других компонентов системы;

- защищённый видеоархив (Video Storage Farm) обеспечивает хранение данных видеоаудита сессий администрирования всех контролируемых администраторов;

- АРМ аварийного восстановления — выделенная рабочая станция с минимальным набором установленных программных компонентов системы. При наличии ключа шифрования и мастер-пароля они позволяют восстановить пароли привилегированных учётных записей из резервной копии защищённого хранилища системы;

- Протокол прикладного уровня TDS (Tabular Data Stream) предназначен для передачи данных между сервером базы данных и клиентом;

- ЦОД1, ЦОД2 (центры обработки данных) — все компоненты системы независимого аудита зарезервированы на двух площадках;

- автоматизированное рабочее место — АРМ администратора элементов ИТ-инфраструктуры, действия которого подлежат аудиту.

Организация независимого аудита административного доступа в критичных автоматизированных системах. Рис. 1

Рис.1. Схема размещения компонент системы независимого аудита в ИТ-инфраструктуре

Внедрение решения

При первоначальном развёртывании система независимого аудита предоставляет структурированный перечень каталогов учётных записей, доступных для управления.

Организация независимого аудита административного доступа в критичных автоматизированных системах. Рис. 2

Рис.2. Структурированный перечень каталогов учётных записей, доступный при развёртывании системы независимого аудита

Вместе с тем на успешность внедрения системы в сложной ИТ-инфраструктуре Сбербанка существенно повлияла качественная разработка сценариев для запуска инструментов по управлению. На первоначальном этапе реализации проекта потребовался серьёзный анализ всех процедур, выполняемых администраторами каждого вида объектов ИТ-инфраструктуры.

Поскольку интерфейс системы аудита должен быть максимально удобен для ИТ-персонала, в рамках проекта решили использовать свободно распространяемый язык для автоматизации выполнения задач в Microsoft Windows — AutoIt. С его помощью автоматизированы рутинные действия при запуске интерфейса административных программ:

Читайте также
Командный дух — величина важная, но непостоянная. Как при помощи корпоративов поддерживать результаты в команде, какие сценарии заходят лучше и как усилить HR-бренд с помощью мероприятий, порталу IT-World рассказал Андрей Никонов, CEO компании Riverstart.

- ввод необходимых учётных данных;

- выбор типовых параметров в интерфейсе после запуска приложения.

Особенности запуска административного приложения

Процесс запуска административного приложения, который изображён на рис. 3, происходит в несколько этапов. Администратор, используя доменную персональную учётную запись, обращается к web-интерфейсу системы с запросом на запуск приложения. После успешной аутентификации в домене Microsoft ядро системы возвращает RDP-файл с параметрами. С его помощью проходит подключение к JUMP-серверу. Далее Lancher JUMP-сервера отправляет запрос с параметрами к ядру системы на запуск приложения. В ответе ядро системы возвращает параметры, необходимые для запуска административного приложения к объекту управления, включая учётную запись и пароль. Затем на JUMP-сервере происходит запуск AutoIT-скрипта, автоматизирующего действия администратора: запуск необходимого приложения, ввод в интерфейс данных для подключения к объекту управления.

Организация независимого аудита административного доступа в критичных автоматизированных системах. Рис. 3

Рис.3. Процесс автоматического запуска административного приложения

Преимущества системы

Результатом реализации проекта стало внедрение системы независимого аудита, которая помогает автоматизировать и упростить процессы организации управления объектами администрирования.

Благодаря системе администраторы ОС персональных компьютеров пользователей получили возможность быстрого подключения к объектам администрирования. Теперь, при необходимости, им не нужно каждый раз прописывать сетевые доступы к персональным компьютерам, размещённым в удалённых кампусах. Для доступа к объекту администрирования достаточно подключиться к централизованной системе независимого аудита, где уже существует необходимый администратору типовой профиль доступа. Схема организации административного доступа к персональным компьютерам пользователей отражена на рис. 4.


Организация независимого аудита административного доступа в критичных автоматизированных системах. Рис. 4

Рис. 4. Схема организации доступа к ПК пользователей

Кроме того, система независимого аудита административного доступа позволяет поддержать в актуальном состоянии параметры подключения и учётные данные множества неоднородных, меняющихся объектов управления, упростить управление паролями к привилегированным учётным записям, сгруппировать их, администрировать объекты ИТ-инфраструктуры под одной учётной записью.

Как показано на рис. 5, администратор user001, используя технологическую или персональную учётную запись для входа в систему независимого аудита, может запускать инструменты администрирования от имени различных привилегированных учётных записей в разных доменах.


Организация независимого аудита административного доступа в критичных автоматизированных системах. Рис. 5

Рис. 5. Перечень запускаемых инструментов, доступных учётной записи

Новые риски

Стоит признать, что в случае сбоя в работе системы независимого аудита возникают дополнительные риски потери управления объектами администрирования ИТ-инфраструктуры. Данный риск следует минимизировать комплексом мер по обеспечению отказоустойчивости работы системы аудита на уровне 99,99 %. Важно описать процедуры работы в аварийном режиме и отработать процедуры восстановления системы. Их необходимо регулярно отрабатывать путём имитации различных отказов с последующим восстановлением в установленные сроки.

Пример использования материалов аудита

Представим себе, что из подразделения ИТ в подразделение ИБ Сбербанка через АС Service Manager поступил запрос о необходимости отработки инцидента по удалению файлов БД.

В запросе переданы следующие входные данные для поиска: дата и время инцидента — 14 июня 2016 г., 10:51, имя сервера БД — serv01.

Дежурным администратором системы независимого аудита найдена одна сессия, удовлетворяющая заданным критериям поиска (рис. 6).

Если развернуть детализацию сессии, можно увидеть подключение к serv01.abs.sbrf.ru с помощью Putty, а также используемую персональную учётную запись администратора, выполнившего действия по удалению файлов базы.

Фрагмент видеозаписи экрана администратора показывает ввод команды rm -Rf ppmnt в каталоге oradata01 в 10:52:01 (рис. 7).

Организация независимого аудита административного доступа в критичных автоматизированных системах. Рис. 6

Рис. 6. Консоль управления системы независимого аудита


Организация независимого аудита административного доступа в критичных автоматизированных системах. Рис. 7

Рис. 7. Фрагмент видеозаписи экрана администратора

Выводы

Современный уровень реализации функциональности систем независимого аудита позволяет провести их успешное внедрение даже в такой сложной ИТ-инфраструктуре, как инфраструктура Сбербанка.

Как показывает опыт крупнейшего банка страны, системы подобного класса — эффективный инструмент ретроспективного анализа действий персонала, обладающего административными правами в ИТ-инфраструктуре, а также автоматизации процессов управления паролями привилегированных учётных записей.

Кроме того, внедрение системы независимого аудита — хороший повод провести реинжиниринг процедуры предоставления доступа административного персонала, результатом которой станет снижение ИТ- и ИБ-рисков в процессе администрирования критичных элементов информационной инфраструктуры компании.

Д.О. Мартынов, исполнительный директор – начальник

отдела обеспечения процессов SOC Центра киберзащиты Сбербанка;

А.М. Дьяков, главный инженер отдела обеспечения

процессов SOC Центра киберзащиты Сбербанка

Смотреть все статьи по теме "Информационная безопасность"

Опубликовано 16.04.2017

Похожие статьи