фінансова газета
# 1, 12 січня 2009 р
Владислав Єршов, провідний системний аналітик, Відкриті Технології
Останнім часом на бізнес роблять серйозний вплив інформаційні технології, тому компанії приділяють особливу увагу питанням безпеки - будь то антивірус, встановлений після чергової вірусної епідемії, або система менеджменту інформаційної безпеки , Створена відповідно до стандарту ISO 27001. Однак, якщо розглянути вже реалізовані підходи до забезпечення безпеки, очевидно, що найбільш вразливим місцем залишаються бізнес-додатки. Причому з часом їх уразливість лише зростає, як зростає і пов'язані з цим збитки для бізнесу. Відповідь на питання, як захистити бізнес-додатки і відповідно бізнес, дан в пропонованій статті.
Говорячи про інформаційну безпеку, необхідно розглядати її як комплексну і безперервно керовану систему. Про проблеми безпеки говориться в таких стандартах, як серія ISO 2700x, різні національні та галузеві стандарти (стандарт Банку Росії з інформаційної безпеки, стандарт безпеки платіжних систем PCI DSS). Крім того, існують рекомендації щодо безпечної розробки додатків. До безпеки бізнес-додатків мають відношення і антивірусний засіб, і міжмережевий екран, і процедури менеджменту інформаційної безпеки. Але є і специфічні особливості забезпечення безпеки бізнес-додатків, про які піде мова далі.
Фахівці з інформаційної безпеки вважають, що бізнес-додатки (промислові або власні розробки) не можна вважати захищеними. Це визначається в першу чергу людським фактором: помилки при розробці, при налаштуванні, при експлуатації. Якщо до терміну «помилка» додати «навмисна», то ми отримаємо уразливості (не тільки і не-декларовані можливості), експлуатація яких може привести до витоку конфіденційної інформації, шахрайства (шляхом внесення змін до оброблювану інформацію), переривання бізнес-процесів в результаті повного або часткового знищення інформації.
Недостатньо захищеними є не тільки додатки, що дозволяють реалізувати бізнес-логіку і інтерфейс взаємодії з користувачем, але і СУБД, а також компоненти інтеграції.
традиційний підхід
Традиційно при захисті додатків застосовуються типові методи:
- використання вбудованих засобів забезпечення інформаційної безпеки;
- застосування сканерів захищеності для пошуку вразливостей або помилок конфігурації;
- установка оновлень;
- використання спеціалізованих накладених засобів.
Однак, незважаючи на очевидну користь і необхідність даних методів, вони все ж не забезпечують належний рівень захисту, а в деяких випадках можуть вплинути на продуктивність і надійність роботи бізнес-додатки.
Певний рівень захисту підтримують традиційні засоби забезпечення мережевої безпеки (міжмережеві екрани, засоби виявлення і запобігання атак), захисту робочих станцій і серверів (HIPS). Але важливо розуміти, що подібні засоби мають інше призначення і не здатні повноцінно захистити додатки. У будь-якому випадку потрібно забезпечити доступ до веб-інтерфейсу (до певного порту), з додатком повинні працювати користувачі, що володіють певним набором повноважень і т.д.
Що стосується повноважень, то часто під "захистом додатків" маються на увазі системи класу IAM (Identity and Access Management). Подібні системи можна уподібнити міжмережевий екран, який дозволяє доступ, наприклад, тільки на 80 порт до веб-додатку. Це дійсно необхідний елемент захисту. Але при цьому міжмережевий екран не здатний виявити атаки на рівні додатку або зареєструвати підозрілі дії користувача в додатку. Аналогічно і системи класу IAM є важливим елементом системи інформаційної безпеки, але виконують лише обмежену частину функцій. Крім того, виникає питання про адекватність виданих користувачеві повноважень і про використання ним легальних і необхідних для роботи повноважень в неслужбових цілях.
Отже, традиційні засоби забезпечення інформаційної безпеки важливі, але недостатні.
Основні їх обмеження пов'язані з неможливістю контролю подій на рівні додатку. Дану проблему давно намагаються вирішити західні фахівці в цій галузі, а в даний час вона актуальна і в Росії.
сучасний підхід
В першу чергу важливо визначити основні напрямки захисту бізнес-додатків, які можна поділити на захист від зовнішніх і від внутрішніх загроз. У частині захисту від внутрішніх загроз основні завдання вирішуються за рахунок контролю подій в бізнес-додатку і його компонентах. Щодо зовнішніх загроз потрібно забезпечити захист додатків від специфічних атак прикладного рівня. У ряді випадків завдання можуть об'єднуватися.
Веб-додатки. Для клієнта важливі позиція банку на ринку, його імідж, офіс, привітні і професійні співробітники і ... веб-сайт. Веб-сайт банку - це:
- інформаційне джерело для клієнта і засіб зворотного зв'язку;
- засіб дистанційного обслуговування (СДО).
Необхідно розуміти, що обидва аспекти однаково значущі. Різними будуть тільки ризики. Якщо для інформаційного джерела потрібно забезпечити доступність і цілісність інформації, то для СДО - ще і її конфіденційність. Веб-сайт, доступний з недовірених середовища Інтернет, вразливий апріорі.
Щоб більш детально розглянути наявні ризики, потрібно відповісти на ряд питань. Наприклад, чи буде завдано шкоди бізнесу, якщо:
- потенційний клієнт отримає недостовірну інформацію стосовно послуг і вибере інший банк;
- клієнт не зможе отримати доступ до веб-сайту банку (до СДО);
- зловмисник, скориставшись вразливістю СДО, здійснить переказ грошей з рахунку клієнта;
- зловмисник, скориставшись вразливістю СДО, отримає інформацію про операції клієнта;
- зловмисник, скориставшись вразливістю СДО, отримає інформацію про банківські картки, персональну інформацію клієнтів і т.п.
Навіть з такого узагальненого переліку видно, що збиток може бути завдано колосального, починаючи від втрати клієнтів і закінчуючи судовими позовами, великими фінансовими втратами, санкціями з боку регулюючих організацій.
Веб-додатки вимагають особливого підходу до захисту, і для цієї мети існують спеціалізовані продукти - Web Applications Firewall (WAF). Класичний WAF дозволяє аналізувати трафік до додатка на всіх рівнях мережевої моделі OSI починаючи з третього. При цьому основний акцент робиться на верхні рівні, де проводиться контроль взаємодії користувача з додатком. При налаштуванні WAF здійснюється навчання легальної роботи з додатком (це може бути зроблено в ручному та автоматичному режимах), після чого весь нелегальний трафік блокується. Таким чином, WAF функціонує на основі «білого списку» на відміну від традиційних засобів IPS, що використовують сигнатурний аналіз. WAF забезпечує контроль специфічних для веб-додатків протоколів (HTTP, HTTPS) і різних параметрів:
- cookies;
- параметри запитів;
- повернені значення;
- відповідність RFC;
- відповіді сервера і т. д.
Особливо слід відзначити можливість контролювати і модифікувати не тільки запити, але і відповіді сервера. Таким чином, можна захищати як службову інформацію (наприклад, коди помилок, версію програмного забезпечення), так і бізнес-інформацію, яка не повинна бути доступна ззовні (наприклад, номери банківських карток).
Всі сучасні WAF можуть працювати в режимі кластера (active / active або active / standby), забезпечуючи високу доступність, а ряд продуктів WAF крім функцій захисту виконують і завдання по балансуванню і оптимізації трафіку. Досвід використання подібних продуктів показує, що для кожної конкретної ситуації може бути вибрано оптимальне рішення з представлених на ринку продуктів виходячи з поставлених завдань.
Використання WAF вимагається стандартом безпеки платіжних систем PCI DSS (в якості альтернативи регулярному аналізу програмного коду на предмет інформаційної безпеки) в разі обробки в веб-додатках інформації про банківські картки.
Внутрішні бізнес-додатки. Акценти при захисті бізнес-додатків для внутрішнього використання дещо зміщуються. Середовище функціонування вже стає довіреною (по крайней мере, в порівнянні з Інтернетом), і ймовірність появи хакерів явно нижче (хоча таке і не виключено). Основна особливість внутрішніх банківських додатків з точки зору інформаційної безпеки полягає в тому, що в них обробляється критична бізнес-інформація, до якої за службовим обов'язком може мати доступ безліч співробітників. Вже згадувані засоби розмежування доступу дозволяють навести деякий порядок і обмежити права користувачів, але це не панацея. Наприклад, залишається можливість наступних подій:
- легальний користувач здійснює грошовий переказ з рахунку, за яким довгий час не було операцій;
- легальний користувач переглядає операції по рахунках певних клієнтів (можливо, VIP-клієнтів);
- легальний користувач змінює інформацію про умови кредиту, виданого клієнту, і т.д.
Отже, говорячи про внутрішні бізнес-додатках, в першу чергу потрібно побоюватися шахрайства.
Основний спосіб вирішення проблеми - реєстрація подій доступу користувачів на рівні даних і аналіз цих подій. Штатні засоби додатків по реєстрації подій дозволяють вирішити проблему лише частково. Крім того, виникає питання про довіру до технічного персоналу, оскільки навіть зареєстровані факти легко змінити, маючи доступ до їх сховища. Таким чином, система реєстрації та аналізу подій повинна бути максимально незалежна.
Продуктів, що дозволяють контролювати дії користувачів, небагато. Основними вимогами до рішень по виявленню шахрайства є:
- робота в режимі мережевого сніффер для повного і незалежного контролю взаємодії користувачів з додатком;
- можливість аналізу різних поширених прикладних протоколів (HTTP (S), SQL * Net, Swift, TN3270, TN5250, MQ Series, MSMQ і ін.) і протоколів власної розробки;
- розбір трафіку взаємодії користувачів з додатком і виявлення цікавлять подій (аутентифікація, доступ до певних розділів додатка, перегляд рахунків, переказ грошей та ін.);
- формування бізнес-правил, що визначають можливі шахрайські дії (доступ до великої кількості рахунків протягом дня, зміна певних даних, доступ в неробочий час і ін.);
- надійне зберігання зареєстрованих подій і контроль за їх нелегальним зміною в сховище;
- аналіз історичних даних для розслідування інцидентів;
- автоматизація розслідування інцидентів;
- можливість 'перегляду сеансів роботи користувачів аж до відновлення інтерфейсу користувача для ряду протоколів (наприклад, HTTP (S), TN5250).
Рішення, що володіє подібним функціоналом, є відмінним інструментом для автоматизації діяльності щодо забезпечення економічної безпеки організації (включаючи внутрішній контроль та боротьбу з шахрайством).
Інтеграційні платформи. З розвитком IT часто доводиться вирішувати питання інтеграції різних додатків всередині організації, а також забезпечувати взаємодію з зовнішніми організаціями. Це особливо актуально для великих банків, що розвиваються за рахунок злиттів і поглинань.
В цьому випадку інтеграція на рівні IT може здійснюватися шляхом переходу на єдину банківську систему, що часто дуже дорого і складно. Найчастіше здійснюється інтеграція існуючих додатків. В даний час великого поширення набула ідеологія сервісно-орієнтованої архітектури (SOA), коли для інтеграції використовуються відкриті і стандартизовані протоколи на базі XML. Інтеграція може відбуватися також з використанням інших технологій.
При інтеграції додатків крім подолання технічних складнощів необхідно вирішувати і питання інформаційної безпеки. Основні ризики пов'язані з внесенням невірно сформованих або завідомо неправдивих даних, відправкою повідомлень від неавторизованого джерела, реалізацією різних специфічних атак (наприклад, XML Flood або XPath injection).
Для вирішення завдання щодо забезпечення безпеки при інтеграції додатків можуть бути використані спеціалізовані продукти класу XML Gateway. Дані продукти забезпечують захист від атак прикладного рівня, специфічних для використовуваних при інтеграції протоколів (за аналогією з WAF для протоколу HTTP), контроль цілісності переданих повідомлень, інтеграцію з зовнішніми системами управління доступом.
Бази даних. Системи управління базами даних є стандартом де-факто для зберігання інформації, використовуваної додатками. При цьому з СУБД здійснюється робота по різних каналах з використанням:
- клієнт-серверних додатків;
- багатоланкових додатків;
- інструментарію для розробки програмного забезпечення або адміністрування СУБД;
- локальних засобів управління сервісами СУБД.
Користувачі можуть обчислюватися сотнями і тисячами людей, а цінність інформації - мільйонами доларів. При цьому дані, що зберігаються в СУБД, можуть бути несанкціоновано переглянуті, знищені і модифіковані шляхом як помилкових дій, так і зловмисних. У разі дій зловмисників можуть бути використані уразливості як СУБД, так і взаємодіючих з нею додатків.
Для вирішення завдання захисту СУБД необхідно:
- здійснювати моніторинг взаємодії з СУБД;
- контролювати доступ до найбільш критичним даними, виконання операцій над структурою бази даних і адміністративних завдань;
- виявляти атаки в мережевому трафіку, спрямовані на СУБД;
- при необхідності блокувати недозволені взаємодії.
Даний функціонал реалізується за допомогою продуктів класу Database Activity Monitors (DAM), які функціонують в режимі сніффер. Крім того, DAM часто містять сканери вразливостей СУБД для комплексної оцінки захищеності.
Ризики при автоматизації бізнесу за рахунок бізнес-додатків часто неприйнятно високі через виникаючих загроз. З'являється також все більше вимог з боку законодавства і різних стандартів, що стосуються забезпечення безпеки даних і контролю доступу до них. Актуальність проблеми підтверджують і найбільші аналітичні агентства (наприклад, Gartner розглядає це питання в своєму матеріалі Hype Cycle For Data and Application Security). Ho в даний час існують продукти, здатні забезпечити безпечне використання бізнес-додатків:
- Web Application Firewall (F5 Networks BIG-IP Application Security Manager, Imperva SecureSphere Web Application Firewall);
- продукти для контролю дій користувачів і виявлення шахрайства (Intellinx);
- XML Gateway (IBM DataPower XML Security Gateway XS40, Imperva SecureSphere Web Application Firewall);
- Database Activity Monitors (Imperva SecureSphere Database Monitoring / Security Gateway).
Подібні засоби забезпечують виявлення порушень в режимі реального часу, а також дозволяють розслідувати інциденти інформаційної безпеки. Всі класи коштів забезпечують захист даних і додатків, тому часто в одному продукті можна зустріти широкий набір функціональних можливостей (наприклад, WAF і DAM або WAF і XML Gateway). З даного конструктора можна побудувати міцну стіну, використовуючи накопичений досвід і знання та забезпечити тим самим захист бізнесу.