БЕЗОПАСНОСТЬ - Ak Kamal · и вновь приходится...

БЕЗОПАСНОСТЬКОРПОРАТИВНЫХ ПРИЛОЖЕНИЙ

2

Безопасность корпоративных приложений

содержание

Введение 3Безопасностькорпоративныхприложений 5Пробелывбезопасности 7рекомендации 11Моменты,которыеупускаютсяизвида 14Заключение 16онас 17

ПереводиподготовкаматериалапроведеныкомпаниейAkKamalSecurity.автороморигинальногоматериалаподназванием“SecuringEnterpriseApplications”являетсякомпанияSecurosis(www.securosis.com).

3


ВВедение

Как аналитическая и исследовательская компания, сфокусированная на информационнойбезопасности,мыобщаемсяскомпаниямиизспискаFortune1000каждуюнеделю.иизнашихбесед становится ясно, что большая часть этих компаний имеют заметные недостатки в ихпрограммахобеспечениябезопасности,вчастности,внутриивокружениикрупныхкорпоративныхприложений, которыеявляютсяосновнойихбизнеса.Этоудивительно,ведь такиеплатформыкакSAPиOracleактивноиспользуютсяужеболее10летиможноожидать,чтозаэтовремявсеаспектыих безопасности более илименее проработаны. Это является неожиданностьюи длясамихкомпаний,которыевсегдадумали,чтоихпроцессыиинструментыдостаточнозащищены.

есть много причин появления пробелов в безопасности. но основными являются две –сосредоточенностьосновныхсредствобеспечениябезопасностиназащитесетейилиплатформиобщаянеосведомленностиопродуктахразработанныхспециальнодлязащитыкорпоративныхприложений.Кпримеру,компаниичастоинвестируютвобщиеинструментыоценки,которыенеобеспечивают углубленного управленияи контроля корпоративныхприложений. В некоторыхслучаях, компании ссылаютсяна сборжурналовдействийвсехприложений спомощьюSIEM,ноиспользуемыеподобнымирешениямиметодысбораданныхнепозволяютсобратьнужнуюинформациюдляадекватнойоценкидействийпользователей.

но есть и дополнительные причины. Поставщики корпоративных приложений предоставляютрекомендации по защите по обеспечению безопасности, но не могут предложить к покупкереальныепродуктыдляееобеспеченияидажередкодаютсоветыобудаленииилиотключениинеиспользуемых компонентов приложений, что могло бы снизить площадь атак. Те, ктообеспечиваютбезопасность,всвоюочередь,малознаютоработеэтихприложенийинемогутсамостоятельноопределитькакаямодельразвертываниябудетэффективной.IT-персоналтакжеобычнонестремитсяделатьлишнююработу,апотомупредпочитаютделатьтолькото,чтоотнихтребуют.наконец,крупныепредприятиязачастуюизбегаютрешенийдляконтролябезопасностикорпоративныхприложенийиз-застраха,чтоэтисистемымогутнарушитьработыприложения,уменьшить производительность или повлиять на удобство использования. Все эти причиныспособствуютпоявлениюпробеловвбезопасностикорпоративныхприложений.

Управлениецепочкамипоставок,взаимоотношениямисклиентами,ресурсамипредприятия,финансовымиоперациями–всеэтовключаютвсебясовременныекорпоративныеприложения.Каждое предприятие зависит от них в организации бизнес-процессов и тратит огромныеденьгинанихиихподдержку.и этикорпоративныеприложениянуждаютсявобеспечениизащитыдлятогочтобызащититьэтиинвестиции,ведьхорошоизвестно,чтоэтиприложенияявляются одной из главных целей атак, как со стороны инсайдеров, так и извне. Компаниимногоинвестируютвэтиприложения,ваппаратныеплатформыисотрудников,которыедолжныбудут обеспечивать их поддержку.и в большинстве реализацийинвестиции в безопасностьданныхпроектовсоставляютлишьмизернуючастьвсегобюджета.Впрочем,длядействительнокрупныхпроектов1-2процентабюджетаэтоогромныесредства,поэтомуоднозначноговоритьотом,чтокомпанииотносятсякбезопасностинесерьезно,нельзя.однако,этиинвестицииневсегдаоптимальны–могутбытьвыбранырешениясограниченнойфункциональностью,без

4


комплексногопониманиядоступныхопций.Вобщем,пришловремявзглянутьнавсеэтопо-новому.

В данном материале мы сфокусируемся на основных аспектах обеспечения безопасностикорпоративных приложений и дадим практические рекомендации по повышению уровня ихзащиты.атакжеобсудимспецификуобеспечениябезопасностиисоответствиятребованиямвотношении крупных корпоративныхприложений, выделимнедостатки в защитеипредложимподходящие решения и специфические инструменты, которые можно и нужно использоватьв этих системах. Материал не претендует на исчерпывающий анализ контроля безопасностикорпоративныхприложений,аявляется,посути,описаниемобщихнедостатковзащитыибазовыхпринциповобеспечениябезопасности.

Рекомендуемые разработчиками средства контроля безопасности оставляют огромные пробелы в защите. Они не только не обеспечивают минимальное покрытие, но и влекут заметные расходы на повышение безопасности сетей, системы антивирусной защиты и антиспама, но эти и многие другие средства обеспечения безопасности используются для обеспечения комплексной защиты и не учитывают некоторые специфические моменты защиты корпоративного приложения. Большая часть разработчиков не имеют достаточных знаний о том, как работают платформы, в которых будут использоваться приложения, где и как будет собираться и анализироваться информация о событиях ИБ. В реальности, большинство разработчиков решений по информационной безопасности упрощают себе работу, концентрируясь на защите сетей и платформ вне приложения. В этом материале мы рассмотрим пробелы в обеспечении безопасности, и дадим специфические рекомендации.

5


БеЗоПасносТьКорПораТиВныхПриложений.ПриМеры

ниже приведены основные варианты обеспечения безопасности корпоративных приложенийнакоторыедолжныобратитьвниманиеспециалистызанимающиесябезопасностьюиследящиеза соблюдением требований.Мыбудемиспользовать эти схемыприобсуждениипробелов всистемах обеспечения безопасности, а также при сравнении того, как обычно организованазащитавкомпанияхитем,чтодолжнобытьдляобеспечениялучшегоконтроля.

Соответствие требованиямсоблюдениестандартов(например,PCI-DSS)исоответствиетребованиямрегуляторовостаютсяоднимизосновныхдрайверовприконтролебезопасностикорпоративныхприложений.Большаячастьэтихтребованийсосредоточенанапроверкебазовыхчастейприложений,апофактунаоценкеихконфигураций.Какправило,преждевсегоконтролируютсяправапривилегированныхпользователей(кчемуонимогутполучитьдоступ),разделениеобязанностей,общиеполитикибезопасности, скорость применения патчей и взаимодействие приложений. Также важнымимоментами являются ведение журнала действий и непрерывный контроль соответствия,позволяющийаудиторампроверитьсистемувлюбоймоментвременипрошедшегосмоментапоследнегоаудита.

Управление изменениями и применение политикКроме внешних требований, в компании могут принять собственные политики безопасностис целью снижения рисков, повышения надежности приложений и уменьшения вероятностимошеннических действий. Эти политики будут регламентировать действия администраторов иснизятриски административного злоупотребленияимеющимисяпривилегиями. Такжеданныйпримервключаетвсебяудалениененужныхмодулей,отслеживаниедействийпривилегированныхпользователей,предупреждение(авозможноиблокирование)обиспользованиинеподходящихэлементовуправления,отключениедоступаIT-администраторамкданнымприложения.Всеэто,естественно,специфичнодлякаждойсистемыигораздосложнее,чемпростооценкаприложенийдлявыполнениятребованийистандартов.Эффективныйконтрольвсегоэтоготребуетсочетанияоценки,безостановочногоконтроляианализажурналовсобытий.

Безопасностьразговорыотомктопредставляетнаибольшуюугрозубезопасности–внешниезлоумышленникиили инсайдеры – не утихают уже 15 лет. но для корпоративных приложений этот вопроснеактуален – здесь обе эти группы представляют одинаковую угрозу. Более того, внешнийзлоумышленниквполнеможетдействоватькакпривилегированныйинсайдер,втомслучае,еслиполучитнеобходимыйуровеньдоступа.Поэтомунеобходимпостоянныйнеусыпныйконтрользапроводящимисяоперациями–инепростоконтроль(отслеживатьмиллионыдействийвреальномвремени,невыделяякакие-тосомнительныемоментыбессмысленно),аанализсопределеннымсводом правил. и конечно, этот контроль должен быть непрерывным. но эта возможность

6


не предлагается в приложении и может быть обеспечена либо сторонними инструментами,например,отпоставщикаплатформы.

Подтверждение транзакцийЧембольше корпоративных приложений становятся доступнымидля внешних пользователей,тем более серьезно стоит проблема мошенничества. Каждый web-сервис сталкивается сразнообразнымиатаками,которыемогутпозволитьзлоумышленникуинициироватьфиктивныетранзакции, получить частичный контроль над поддерживаемой базой данных, что приведетк ошибкам. но в отличие от общих угроз безопасности, эти атаки спланированы так, чтобымошеннические транзакции выглядели как обычный трафик. Как компании отслеживают этуситуацию?некоторыекомпаниииспользуютсобственныемакросыилипроцедурыдляпоискаошибокпостфактум.другиеиспользуютсторонниесредствамониторингаисистемыобнаруженияатак в реальном времени. Эти решения разработаны для того, чтобы выявлять необычныедействияпользователейвприложении,используяметаданные,эвристическийанализиатрибутыпользователя/устройства.

Использование конфиденциальных данныхБольшая часть компаний контролирует использование конфиденциальных данных. Это можетбытьтребованиемрегуляторов,платежныхсистемилибытьопределеновнутреннимиполитикамибезопасности.стандартныйнаборограниченийнадоступкнимвключает:ограничениедоступак личным данным IT-администраторов, ограничение на одновременную выдачу большогоколичестваданных,атакжепопытокполучитьоднотипныеданные,вроденомеровплатежныхкарт.Крометого,имеетсяраспределениеролейпользователей,котороеучитываетпотребностиразныхгрупппользователей,применяякнимдополнительныеограничения,неотменяяобщие.Всеэтосделаносцельювыявлениянестандартногоповедения,информированияонем,атакжеблокировки действий, которые выглядят подозрительными. Подобный контроль может бытьчастью приложения, но чаще всего включен в логику базы данных или представлен в видеотдельногорешениядлямониторинга/маскировкиданныхвкачествеобратногопроксидлябазыданных.

7


ПроБелыВБеЗоПасносТи

Корпоративные приложения, как правило, имеют конкретную бизнес-функцию: управлениецепочками поставок, отношениями с клиентами, эффективностью бизнеса и так далее. онимогут поддерживать тысячи пользователей, быть связанными с другими платформами, но этоспециализированныеприложенияоченьвысокойсложности.ихразработказанимаетмноголетдляразработчиков,аIT-персоналтратиточеньмноговременинато,чтобыпонятьвсенюансыфункционированияприложения,егокомпонентов,настройкии тогокаквыглядят теилииныеоперации.

средства обеспечения безопасности также зачастую бывают специализированными –сосредоточенныминаопределенномвидеанализа.например,средстваобнаружениявредоносныхпрограммприменяютсявопределенныхсценариях,выявляявредоносыприконтролесетевыхпотоков, файлов или журналов отчетов. но очень редко эти инструменты фокусируются наобнаруженииугрозбезопасностинауровнеприложений.они,какправило,используютсяшире,покрываявсюIT-инфраструктуру.ате,чтовсежеобращаютвниманиенауровеньприложений,чащевсегослабопредставляютпринципыиособенностифункцийприложения,особенноеслиречьидетотакихсложныхкомплексныхплатформах,какOraclePeoplesoftсистемSAPERP.

есливыиспользуетекорпоративныеприложенияSAPилиOracle,томожетебытьуверены,чтоввашемраспоряженииестьдостаточноеколичествоинструментовбезопасности.Большаячастьразработчиковпредлагаютвстроенныесредстважурналирования,идентификацииишифрования.нодажеонивомногихслучаяхнемогутзакрытьвсепробелывбезопасности,таккаквосновномориентированынавыявлениеошибокирешениепроблемпроизводительности.

разработчики средств защиты, “на словах” понимают, что такое уровень приложений, ноих компетенция обычно заканчивается на уровне порта сетевой службы. общие события иконфигурациивнеприложенияониещемогутпокрыть,новнутренниенет.давайтеразбиратьсянаконкретныхпримерах:

Понимание использования приложенийсамое главной и наиболее остро ощущаемой является проблема непонимания структурыкорпоративных приложений системами мониторинга. для непрерывного мониторинганеобходимонетолькособиратьнеобходимыеданные,ноипониматьих.иэтосерьезнаяпроблема,ведьточкисбораданных,равнокакиих”язык”заметноотличаетсяотплатформыкплатформе.например, для мониторинга платформы SAP система должна понимать ее операционныекоды (такназываемыеTcodes), которыхболее100тысяч.Во-вторых,должнобытьпониманиеточексбораэтихданных–журналымониторингаприложенияибазыданныхнеобеспечиваютдостаточныйобъеминформации.ВкачестведругогопримераприведемOracle–ееприложенияполагаютсявосновномнапроцедурывнутрибазыданных.инструментымониторингапозволяютвидетьимяпроцедурыинаборпеременныхвзапросепользователя.ноесливынезнаете,чтозапроцедуравыполняется,топонятиянеимеете,чтодействительнопроисходитвданныймомент.

8


ивновьприходитсяконтролироватьсвязьмеждуприложениемибазойданных.Таккакжурналысобытийнедаютполнуюкартинуситуации,нужновыяснять,чтообозначаеттотилиинойкодилипроцедуразапроса.

Традиционныеразработчики систембезопасности заявляющиео глубокойинспекциипакетовиспользуютмеханизмыобучениядлятогочтобыпонятькакимобразомприложениеработает.Многиеиспользуютдляэтогометаданные(втомчисле,пользовательские,приложения,данныеовременисутокигеолокации)собранныевсети,возможновместесчем-товродекодовSAPдлятогочтобыоценитьиспользуемыезапросы.Этизапросысобираютсяианализируютсясцельюсоздать некую модель “нормального” поведения и действий в приложении. но обнаружитьмошенничествоилизлоупотребленияпритакомподходепредельносложно.хотя,данныйподходиэффективенприрасследованииинцидентовидляобщегоконтроля.Крометого,этотподходпозволяетгенерироватьложныеположительныесобытия.Продукты,изначальносозданныедляобеспечения безопасности корпоративных приложенийи баз данных, на самом деле гораздоболее эффективны благодаря лучшему пониманию целевого приложения. разработка такихпродуктов для мониторинга приложений весьма сложна. но только понимание внутреннейструктуры приложения и используемых запросов, позволяет сосредоточить свое вниманиена самых уязвимыхместах, кпримеру, намоментеввода заказа, которыйчасто используетсяинсайдерами для мошенничества. Такой подход позволяет более эффективно и оперативнореагировать на несанкционированные действия, уменьшает необходимый для анализа объемданныхиупрощаетработуслужбыинформационнойбезопасности.

Состав приложенияВэтомисследованиичастоупоминаетсятермин“базыданных”.Базыданныхслужатдляхранения,поискаиуправленияданнымиприложения.Каждоекорпоративнойприложениеопираетсянакакую-либо базу данных. но и сами базы данных представляют собой достаточно сложныеприложения. для обеспечения безопасности корпоративного приложения и выполнениятребованийнеобходиморешитьмногиевопросыпозащитебазданныхиплатформ.

Такжеважнопомнить,чтонебываетготовыхкорпоративныхприложений“изкоробки”.Каждоеприложенияподвергаетсязаметноймодификацииподклиента,причем,зачастую,ненауровненастроекимодулей,анауровнекода.Этиизмененияделаютсяпоразнымпричинамисходяизпотребностейклиентаинеобходимостиобеспечениявзаимодействиясдругимиприложениями.Втожевремя,несмотрянато,чтопривнесенииизмененийвкодиспользуетсястатическийидинамическийанализнаналичиеуязвимостей, самипредставителикомпанийпризнают,чтоэтиизменениявсежеснижаютбезопасностьбазовогоприложения.

Развертывание и настройкаПрактически невозможно встретить два корпоративных приложения, которые развернутыодинаково,имеютаналогичныйфункционаликонфигурацию.Всеприложенияадаптированывсоответствииснаборомтребованийиспецификойдеятельноститойилиинойкомпании.Всеэто заметно усложняет сканирование и поиск уязвимостей. Кроме того, приложения и базыданныхзаметноотличаютсядруготдругаокружением–операционнымисистемами,сетевыми

9


решениями, что также не упрощает задачу. Это оказывает влияние как на принцип сбораинформации,такинаопределениенабораправил.Всепродуктымониторингаспособныоценитьсостояниеинайтинедостаткивприложении,основываясьнаспискеизвестныхуязвимостейипроблем.ноэтотподходработаеттолькосприложением“изкоробки”ифактическиосновываетсятолько на информации о его версии.Понимание реально работающих приложений требуетболее пристального внимания. К примеру, тестовые приложения зачастую имеют бэкдоры,которыезатемэксплуатируютсяатакующими.иинформацияоверсиивданномслучаебудетнедостаточно,ведьуязвимостьможетбытьивкаком-тоизмодулей.Втакомслучаепоможеттолько тщательный анализ программного обеспечения. распределение обязанностей междуприложением, базой данных и IT-администраторами также неможет быть определен путемсканированиесетевогопортаилидажеподключенияLDAP–этотребуетпостоянногоопросаприложенияинакопленияданных.недостаткиконфигурациисети,слишкомпростыепаролиипубличныеаккаунтылегкообнаружитьспомощьюобычныхсканеров,конечноприусловии,чтоониимеютправильныенастройки.носканерынепомогутопределитьправасобственностина данные, настройки доступа кфайлам, работоспособность систем аудита и десятки другихизвестныхпроблем.

сборданныхявляетсявторойважнойпроблемой.Вбольшинствеслучаедляполученияоценкиприложения используется сканер портов, особенно в случаях, где использование агентовнежелательно.Этотспособявляетсядостаточноудобныминетребуетвмешательствавсистему.сканерыприложенийзанимаютсяпоискомспецифическихнастроекприложенийнадискахив базе данных. Такая проверка может проводиться как по инициативе агента на платформеприложения, так и удаленно через подключение защищенное SSL/TLS. Мы называем это“аккредитованноесканирование”,потомукакданныйметодтребуетдоступакфайловойсистемеили базе данных, а иногда и того, и другого. естественно, для того, чтобы получить полнуюоценку, нужно собрать данныеи системыи базы данных.но сканерыобщего назначения влюбомслучаенепозволятвамполучитьболеетретиотобщеймассынеобходимойинформации.Толькоспециализированныесканерыдлякорпоративныхприложенийибазданныхпозволятсобрать70-100процентовнеобходимыхданныхвзависимостиотспособасбораинформациииприменяемыхполитик.

Циклы обновления приложенийеслиувасестьiPhoneилилюбойдругойпродукткомпанииApple,товыполучаетеуведомлениеобобновленииодногоилинесколькихприложенийежедневно.Корпоративныеприложенияобновляютсяневпримерреже,несмотрянато,чтоставкиздесь гораздовыше.достаточнораспространеннаяпрактика,когдаобновлениябезопасностинеустанавливаютсядополугода.аесли этодействительнобольшая системаSAPилиOracle, то зачастуюеенеобновляютдогода.ипроблеманевтом,чтоадминистраторынеигнорируютпроблемуилинепонимают,автом,чтокритическиепатчибезопасностимогутповлиятьнаработоспособностьприложения,что в свою очередь приведет к финансовым потерям. Кроме того, остановка приложениятребуетмаксимальноймобилизациивсех занимающихсяееподдержкой, аработакомпаниинаэтовремяфактическипарализуется.Приэтомвероятностьатакизлоумышленниканестольвероятна.Какрезультат,послеоценкирисковчащевсегопринимаетсярешениеотщательномтестированиипатчабезопасностинарезервнойсистемедотехпор,поканебудетуверенностивтом,чтооннеповлияетнаработоспособностьсистемыивсехподсистем,илишьпослеэтогопринимаетсярешениеопримененииегов“боевой”системе.

10


из-за невозможности быстрого применения обновлений, многие компании ищут обходныепутидляустраненияизвестныхуязвимостей.имногиеизэтихметодовоказываютсядостаточноэффективными,хотяинестольэффективнымикактрадиционныеобновления.Частодляэтогоиспользуютсяблокировки,ограничениедоступавсеть,ручноевмешательствовпроцессыитакдалее. хорошейновостью является то, что некоторые компании ускорилипроцесс внедренияобновлений, используя современные технологии – виртуализацию и облака. некоторыеустанавливаютобновлениелишьнанекоторыесерверы,работающиеврежимебалансировкинагрузки,спостепеннойустановкойобновлениянавсеновыеузлы,носвозможностьюотказаотобновленныхсервероввслучаепроблемсобновлением.другиеиспользуютоблачныесервисыивиртуализациюдля тогочтобыразвернутьдванабора “боевых” серверов –обновленныйинеобновленный,свозможностьюбыстрого“отката”нагарантированоработоспособнуюверсию.но,ксожалению,данныемеханизмыпоканеслишкомраспространены.

События приложений и сбор логовКак уже говорилось ранее, логи баз данных и приложений, как правило, не ориентированына обеспечение безопасности, а предназначены для IT-персонала, которыйпо их показаниямдиагностирует неисправности, выявляет ошибки и проблемы с производительностью. но приэтом в них часто нет информации о многих специфических событиях, в том числе действияхадминистраторов. Кроме того, они зачастую лишены достаточного количества параметровфильтрации, что не позволяет оперативно выявлять необходимые события, которые простотеряютсявогромномпотокеинформации.Вомногихслучаяхинформацияслоговможетбытьсобрана с помощью SIEM, но подобным системам зачастую нехвататет понимания данных особытиях конкретных приложений. но реальной проблемой является производительность –сборлоговприложенияобычноувеличиваетнагрузкунаплатформуна10-20процентов,асборлоговсбазыданныхивовсена20-40процентов,что,каквыпонимаете,недопустимодлямногихкомпаний.

для эффективногомониторинга, оценки и аудита корпоративных приложений, вам, вероятно,придется создать собственные инструменты или использовать сторонние продукты для того,чтобы расширить те возможности, которые у вас имеются. Поставщики платформ знают, какправильнособиратьинформациюсосвоихплатформ,ноготовятсвоирешениядляэкспертовпо работе с их системами. обычные системные администраторы, аудиторы, специалисты поинформационной безопасности и другие IT-администраторы зачастую не имеют достаточнойглубинызнанийдляработысэтимиинструментами.Приэтом,какужеговорилось,поставщикинепредоставляютдостаточнойинформацииосвоихсистемах,атакженерекомендуютсторонниепродукты,которыемоглибыпомочь.

11


реКоМендации

цельюэтогодокументаявляетсянеполноеизучениевсехаспектовбезопасностикорпоративныхприложений, а обзор недостатков в ядре самого приложения. Мы уже указали на основныепробелывбезопасностиинедостаткивреализации,атеперьпришловремярассказатьотом,какихустранить.Мыделимнаширекомендациинадвечасти:основныеэлементытекущейсистемыбезопасности, которые можно использовать более эффективно и возможности безопасности,которыедолжныбытьчастьюсистемы.

Основные элементы программыидентификация и управление доступом. идентификация и авторизация являются первойкритической линией защиты системы безопасности вашего приложения. SAP, Oracle и другиеразработчикикорпоративныхприложенийпредлагаютинструментыидентификациииуправлениядоступом,которыепозволяютразграничитьдоступпользователейвзависимостиотихстатусаи должностных обязанностей. разграничение доступа является очень важной частью системыбезопасности,нопоставщикиобычнообеспечиваютвполнедостаточныевозможностидлягибкойнастройкидоступавнутриплатформы.ноестьплатформы,которыеобслуживающиенесколькоторговых точек, а также те, которыеиспользуютдлядоступанекиеобщиеидентификаторы, втомчислевыданныегосударством,могутбытьвесьмаинтереснызлоумышленникам.апотому,максимумвниманиядолжноуделятьсявведениючеткихправилавторизациивподдерживаемойбазеданных,атакжеконтрольправдоступапользователейвреальномвремени.

ПаролиПарольная защита не очень хорошая для обеспечения безопасности и даже требованиерегулярнойсменыпаролейнедаетдействительнонадежнойзащиты,лишьповышаянеудобствоработы с системой. Фишинг – эффективное средство получить пароли пользователей, чтопозволяетзлоумышленникамполучитьдоступксистеме.Поэтомумырекомендуемиспользоватьдвухфакторную аутентификацию, как минимум для административного доступа. решения длядобавлениявторогофакторааутентификациивполнедоступныидостаточнолегкоинтегрируютсяс приложениями и позволяют заметно повысить безопасность привилегированных учетныхзаписей.

МобильностьЗащита ваших пользователей, использующих ваши компьютеры в вашей сети под защитойвашегофаерволла–этопрошлыйвек.Мобильныеустройства,представляютсобойсовременноеираспространенноерешения, котороеможетобеспечиватьдоступквашемукорпоративномуприложению. Большинство пользователей не собираются ждать, когда ваше специалистыподготовят устройства и определят их политики – они просто покупают его и начинаютиспользовать.именнопоэтомумобильныеустройстванужноизначальносчитатьсущественнымрасширениемдлявашейтрадиционнойэкосистемы.длянихнеобходимотщательнопродуматьмеханизмы идентификации пользователя в сети, сохранив функциональность устройства запределами вашей сети, а также возможность временной приостановки активности устройств.

12


Возможно, стоит задуматься о введении карантина для данных и приложений на устройстве.Видеале, должноиспользоватьсяоблачноерешениепоидентификациинаоснове токенов, атакжеприложениедляконтролямобильногоустройства,должныбытьважнойчастьюстратегиибезопасностикорпоративногоприложения.

Конфигурация и управление уязвимостямиссамогоначаламатериаламыговоримотом,чтооднойизглавныхособенностейкорпоративныхприложенийявляетсясложностьсбораданныхсприложениядляобеспеченияегоадекватногомониторинга.Приэтомвстроенныесредстваконтроля–этоужедветретиуспехаворганизациинадежной защитыкорпоративногоприложения.Этиинструментыпозволяютполучитьвполнедостаточныйобъемданныхсоблюденииполитикбезопасностиидействияхпользователей.да,конечно, этоможетделатьи сканер,новысокавероятность,чтоонбудетпропускать гораздобольше важной информации, нежели специализированные инструменты. В общем, лучшимвариантомбудетиспользоватьтотпродукт,которыйэффективнополучаетданныекакиз,такиизвнеприложения, совместносправильнымиполитикамибезопасности.Кучаразныхполитикбезопасности является четким показателем, что вы используете неправильные инструменты.настоящиесканерыправильнопонимаютструктурукорпоративныхприложений,такихкакSAPилиOracleипозволяютваминтегрироватьполитикивсканер,длядальнейшегоиспользованиявсистеме.

Шифрование данныхБольшая часть корпоративных приложений изначально имеет некоторые возможностишифрования. Причем возможны два варианта: либо приложение включает собственнуюбиблиотекушифрованияисистемууправленияключами,либополагаетсянашифрованиебазыданных.но,какпоказалапрактика,толькошифрованиябазыможетбытьнедостаточно,крометого,работасзашифрованнымивбазеданнымисложнавслучаенеобходимостиихпересчетаи изменения. ну и наконец, шифрование негативно влияет на производительность системы.В результате многие компании либо отказались от шифрования вообще, либо отказались отшифрования временных файлов таблиц с целью повышения производительности. К счастью,есть удобный вариантшифрования, который позволяет минимизировать риски безопасности,ипочтиневлияетнапроизводительность–онработаетнауровеньнижеприложенияибазыданных,шифруяинформациюнепосредственнопередзаписьюнадиск.Этотметодбыстрее,чемшифрованиенауровнеполейвбазеданныхибезопаснеезасчеттого,чтонетребуетвнесенияникаких изменений в само приложения. Этот подход также защищает резервные копии изащищаетотвозможностисчитыванияданныхнепосредственносдискаIT-администраторами.Мырекомендуемрассматриватьразныепродуктыдляшифрованияотразработчиковприложения/базыданных,атакжеобратитьвниманиенапродуктыразработанныетретьейстороной.

Безопасность сетей и межсетевые экраныесливызапускаетекорпоративноеприложение,тоувасскореевсегоужеестьмежсетевыеэкраныи системы обнаружения вторжений. а вполне возможно у вас используются NGFF, WAF илиDLPдлязащитыприложения.Учитывая,чтовыужеинвестировалисредствавэтирешения,нетсомнений,чтовыбудетестаратьсяихиспользоватьидлязащитыкорпоративногоприложения.но, к сожалению,вданномслучае, все этипродуктымалоэффективны,потомучтоони,опять

13


же,непонимаютпринципыработыприложения,ограничиваяськонтролемсетииподключений.Кроме того, корпоративные решения все больше завязываются на облачные сервисы, чтоделаетихещеменееэффективными.Мырекомендуемприсмотретьсякспециальнымрешениямдля мониторинга приложений и шлюзам, которые созданы для максимально эффективноговзаимодействияскорпоративнымиприложениямииумеющимиреагироватьнаспецифическиеатаки, совершаемые на корпоративные приложения. Мы не предлагаем избавляться отсуществующейинфраструктуры,обеспечивающейбезопасностьсетей,алишьговоримотом,чтоестьболееэффективныеспособызащититьвашеприложение.

Сбор логов и журналы аудитаВамнеобходимособиратьлогиидлятогочтобыоцениватьиспользованиесистемы.нобольшаячастьрешенийпростособираютвсеимеющиесяданные,невыделяяважныесобытия,чтонепозволяет выбрать действительно важные с точки зрения информационной безопасностисобытия.Причем,обсуждатьэтосразработчикамиSIEMсложно–выделениеважныхсобытийтребуетпристальноговниманиясихстороныизначительныхдоработок.Мыужеупоминалиотом,чтокорпоративныеприложениязаметноотличаютсяотдругихиихлогинепредназначеныдля обеспечения безопасности и аудита. Поэтому многие пользователи просто отключаютвстроеннуюсистемуведенияжурналовсобытий,используявместонеерегистрациюсобытийвсети. есть несколько причин не идти по этому пути. Во-первых, разработчики корпоративныхприложений,наконец,сталипонимать,чтоиБлогиприложенийнужныбольшечемIT,исталиделатьшаги по повышению информативности и улучшениюфильтрации событий. Во-вторых,использование систем разработки сторонних компаний делает достаточно сложным сбор ифильтрациюбольшогочисласобытийсприложенияибазыданных.нуинаконец,некоторыетипыданныхмогутбытьнеправильнопроанализированыискореллированынестемисобытиями.Конечно,современныерешениядлясбораданныхобладаютвсебольшейпроизводительностью,позволяют работать с “большими данными”, а также научились накапливать информацию онекорректныхдействияхзадолгийсрокдляулучшенияанализа.Пофактупроблемавсежеимеетместобыть,носовременемстановитсяменеекритичнойиеслиувасестьнеобходимостьвсборелогов,тоонавполнеможетбытьудовлетворенасовременнымисредствамиприправильномихприменении.

14


МоМенТы,КоТорыеУПУсКаюТсяиЗВида

Контроль корпоративных приложенийнепрерывный контроль активности корпоративного приложения с пониманием принциповегоработы,являетсяоднимизглавныхпробеловвобеспеченииегобезопасности.Мониторингактивности приложения и базы данных должен, как минимум, обеспечивать захват и записьвсей активности приложения (включая действия администратора) в реальном или близком креальномувремени,дажевтомслучае,когдаприложениеразвернутонанесколькихплатформах,ипредупреждатьи/илиблокироватьдействия,нарушающиеполитики.инструментдляудаленногоконтроля событий приложения, должен обеспечивать сбор данных с разных источников ицентрализованноехранениедляпоследующегоанализа.считайте,чтоэтонекаясмесьSIEMиIDS. она должно иметь возможность правильно понимать события в приложении до уровнятранзакций и уметь проводить анализ событий разными методами (включая эврестическийанализ,исследованиеметаданных,поведениепользователя,атрибуты,черныеибелыеспискикоманд). В идеале платформе должны быть понятны все особенности работы приложенийдля обеспечения максимально эффективного обеспечения безопасности. и важный момент:осуществление не только мониторинга событий, но и возможности блокирования действий.Правильно сконфигурированные белые/черные списки помогут предотвратить использованиеуязвимостейнулевогодняидругоенежелательноеповедение.

API шлюзыБольшие компании зачастую используют некие внутренние приложения, которые для работыс клиентами имеют web-интерфейс. Причем многие из этих приложений были разработаныи запущены еще до появления интернета и, соответственно, не учитывали большую частьключевых моментов безопасности. Благодаря тому, что через web-интерфейс обеспечиваетсяпрактическипрямойдоступквнутреннимресурсам,такиесистемысточкизрениябезопасностипростокатастрофа.Такжевпоследнююпарулетдляорганизациибезопасногодоступаудаленныхпользователей–вчастности,длямобильныхприложений–некоторыекомпаниииспользуютAPI-шлюзы.онипредлагаютабстрактныйуровеньаналогичныйфункциямвнутреннихприложенийдля распространенных современных программных интерфейсов: RESTful API. Такой шлюзпозволяет контролировать версии клиентов, взломанные устройства, а также поддерживатьсоответствиеполитикам,обнаруживатьвозможныеслучаимошенничестваииспользоватьсистемуаутентификации с использованием токенов. если у вас в планах есть обеспечениеподдержкиудаленныхпользователей,мырекомендуемобратитьвниманиеименнона такиешлюзы, анеполагатьсянамежсетевыеэкраныимодельбезопасности,основаннуюнафильтрациитрафика.

Тестирование на проникновениеТестированиенапроникновениенезаменимаявещьдляоценкибезопасностикорпоративногоприложения, так как позволяет взглянуть на систему с другой – атакующей стороны. Толькотест с моделированием реальной атаки позволит найти те бреши в системах безопасностикорпоративногоприложения,которыеостаютсявнезонывниманияразработчиковисотрудниковотдела информационной безопасности. автоматические сканеры не позволяют провестиполноценную оценку безопасности, так как корпоративные приложения содержат огромное

15


количествауникальногокодаи,какследствие,уникальныхуязвимостей.Безусловно,проведениеграмотного тестирования на проникновение стоит немалых денег, но, тем не менее, такоетестирование должно быть регулярным, так как любые обновления приложения и появлениеновых объемов кода может породить новые уязвимости. и даже если оплата качественноготестированиянарегулярнойосновевамнепокарману,имеетсмыслпроводитьхотябырегулярнуюинструментальнуюпроверку.

16


ЗаКлюЧениеПриведенные в этом материале рекомендации по обеспечению безопасности достаточноуниверсальныдлялюбыхсистем.Мыпризываемваспересмотретьсвоюпрограммубезопасностив свете описанных нами замечаний и свежим взглядом оценить ситуацию с безопасностьюкорпоративного приложения. даже обеспечение профилактического контроля и мониторингаврежимереальноговременипозволятв значительноймереповыситьуровеньбезопасности.Мыпонимаем,чтонекоторыеизрекомендацийтребуютзатрат,нотакжепрекраснопонимаемито,чтодополнительныебюджетыполучитьвсегданепросто,апотомустаралисьпредложитьальтернативныевариантыилиавтоматизированныерешения, которыевперспективеокупятсязасчетуменьшениянагрузкинаофицеровиБ.акрометого,этирекомендациивполнеможноиспользовать для корректировки имеющегося бюджета с целью обеспечить более надежнуюзащитуприложенийсменьшимизатратами,отказавшисьотпокупкинесамыхэффективныхиполезныхпродуктовисистем.

17


онас

Компания Ak Kamal Security, основанная в 2006 году, специализируется на разработке,поставках, внедрении и сопровождении средств криптографической защиты информации.Продукция компании, а также наших партнеров, среди которых крупные игроки на рынкеинформационнойбезопасности,покрываетпрактическивесьспектрзадачпообеспечениюбезопасности, стоящих перед бизнесом и другими структурами, для которых критичносохранениеконфиденциальностиданныхиобеспечениебезопасностибизнес-процессов.

одним из важнейших преимуществ компании является географическая близость к нашимклиентам, знание специфики казахстанского рынка и особенностей законодательства всфере информационной безопасности. Кроме того, это позволяет нам быстро реагироватьнавсезапросыклиентовкасающихсянашихразработок–будьтообеспечениетехническойподдержки, или пожелания по улучшению и расширению функционала в соответствии соспецификойихпользованиявкаждомконкретномслучае.

обратившись в Ak Kamal Security, Вы найдете в нашем лице надежного и компетентногопартнера и консультанта по вопросам информационной безопасности. накопленный опыт ипрочныепартнерскиеотношения с ведущимипроизводителями средств защитыинформации,профессиональныйподходкрешениюлюбыхвопросоввэтойсфере,атакжевнимательностькзапросамклиента–гарантиявысокогокачестванашейработы.

КонТаКТыТоо«AkKamalSecurity», г. Алматы, ул. Каблукова, 257Тел: +7 (727) 381-05-26, +7 (727) 222-00-92 Факс: +7 (727) 381-00-39Mail: [email protected]: www.akkamal.kz, www.e-security.kz, www.mysign.kz

БЕЗОПАСНОСТЬ - Ak Kamal · и вновь приходится...

Documents

Transcript of БЕЗОПАСНОСТЬ - Ak Kamal · и вновь приходится...