Давно миновали времена когда наличие пароля на компьютере считалось надежной защитой информации. Халатность пользователей, современные системы перехвата и подбора паролей, а также методы социальной инженерии позволяющие обманом выманить у сотрудника заветную комбинацию символов привели к тому, что серьезно думающие о своей безопасности организации стали активно использовать в своей работе двухфакторную идентификацию.
Суть данного метода заключается в том, что пользователь для получения доступа к информационным системам не только должен что-то знать (т.е. знать пароль) но и что-то иметь (т.е. обладать некоторым физическим ключевым носителем). Очевидно что этот метод существенно повышает уровень защиты, т.к. теперь для несанкционированного доступа к информации злоумышленнику необходимо завладеть двумя элементами одновременно, т.е. выяснить пароль и получить в свое распоряжение ключ, что согласитесь намного сложнее.
На первый взгляд все выглядит очень надежно и хорошо. Но на практике и этот метод продемонстрировал целый ряд серьезных недостатков. И связаны эти недостатки в первую очередь с недостаточным вниманием сотрудников организации к выполнению элементарных правил безопасности.
Приведу пару примеров. В одной торговой фирме произошла крупная кража денег через систему Дистанционного Банковского Обслуживания (ДБО). Технически кража состояла в том, что в один «прекрасный» день с компьютера главного бухгалтера была подготовлено и отправлено платежное поручение на очень крупную сумму на некоторую подставную фирму. После чего эти деньги были быстро разбиты на массу мелких платежей , многократно перекинуты по различным счетам в различных банках и в итоге обналичены через банкоматы разбросанные по свей территории России. Когда компания начала расследование обстоятельств данной кражи выяснилось, что в момент проведения платежа главного бухгалтера не было в офисе, она находилась на обеде вместе со своими коллегами из бухгалтерии. При этом для доступа к системе ДБО в компании использовалось двухфакторная идентификация, т.е. у бухгалтера был ключевой носитель (токен), без предъявления которого и введения соответствующего пароля не возможно было провести не один платеж. Но проблема заключалась в том, что по сложившейся привычке главный бухгалтер утром включая компьютер, и подключаясь к системе ДБО с предъявлением ключа и пароля, в течении всего дня больше его не отключала, даже покидая свое рабочее место. Более того покидая свое рабочее место, она даже не блокировала свой компьютер. В итоге злоумышленнику, которого кстати так и не нашли, осталось только дождаться момента когда кабинет бухгалтерии останется пустым, что также бывало не редко, т.к. бухгалтера вместе ходили на обед и перекуры, спокойно зайти в него и через открытый и готовый к работе компьютер главного бухгалтера провести нужный ему платеж.
Так грубая халатность главного бухгалтера привела к серьезным финансовым потерям. Но можно ли было их избежать? Да, за счет дополнительного расширения факторов идентификации. Возглавляемая мной компания Avanpost принимала участие в проекте по повышению уровня информационной безопасности (ИБ), инициированного в данной организации после данного инцидента. Нами было разработано решение, интегрирующее систему управления ключевыми носителями (PKI) с системой физического доступа в помещения (СКУД). В итоге удалось реализовать схему, при которой главный бухгалтер не могла выйти из своего кабинета до тех пор пока ключевой носитель с доступом к системе ДБО подключен к компьютеру. Ее карточка на выход просто не открывала дверь.
Дальнейшее использование физического местоположения сотрудника как фактора для предоставления доступа к ИТ системам получило в одном из банков. Здесь интеграция с системой СКУД позволяла отследить действительно ли сотрудник который сейчас пытается получить доступ к ИТ ресурсам с компьютера находящегося в конкретном кабинете входил в офис и проследовал до данного помещения. Или же кто-то предъявляет ключ сотрудника который не входил в офис, и это явный признак инцидента ИБ.
Причиной данного проекта также стал реальный кейс, когда руководитель инвестиционного отдела одного из крупных Российских банков стал жертвой спланированной акции по конкурентной разведке. Банк вел переговоры по инвестированию в один крупный проект. Сделка сулила очень серьезную прибыль и все работы по ее подготовке велись в строжайшем секрете и выполнялись лично руководителем инвестиционного отдела. При этом не за долго до этого на работу в инвестиционный отдел была принята новая сотрудница на позицию стажера. Через некоторое время между молодой и весьма привлекательной сотрудницей и ее руководителем завязались романтические отношения. Параллельно с работой девушка заканчивала институт, и писала диплом, темой которого как раз была «Методика оценки инвестиционных проектов». Вполне естественно что она обратилась за помощью к своему молодому человеку, чтобы он помог ей с некоторыми исходными данными из реальных проектов. Поскольку в банке была развернута серьезная система борьбы с утечками информации (DLP), то скопировать какую либо информацию для того, чтобы передать ее своей девушке руководитель не мог. Тогда было решено, что они смогут совместно изучать материалы на рабочем компьютере. Первые несколько раз данные занятия проводились совместно, но потом возникли обстоятельства когда руководитель не мог задерживаться после работы и пару раз он просто оставлял своей возлюбленной свой токен и пароль, а сам уезжал по своим делам. В скором времени девушка сообщила, что у нее в другом городе серьезно заболела мама и взяв отпуск за свой счет она была вынуждена срочно уехать. А еще через пару недель крупнейший инвестиционный проект был перехвачен конкурирующим банком, причем судя по проработанности их предложения, они обладали всеми исходными данными которые содержались в строжайшем секрете.
По итогам проведенного внутреннего расследования были выяснены все описанные мной выше события. Девушку стажера найти так и не удалось, т.к. вся ее история оказалось хорошо спланированной и подготовленной легендой, а вот молодой и перспективный руководитель полностью разрушил свою будущую карьеру, не говоря уже о финансовых потерях банка который упустил очень крупный контракт на который серьезно рассчитывал.
А ведь этой ситуации можно было бы избежать, будь в качестве одного из факторов идентификации введено физическое местоположение сотрудника.
Вообще проблема передачи своих ключевых носителей коллегам носит достаточно частый характер. И только интеграция со СКУД в этом вопросе тоже не является панацеей. Ведь нерадивый сотрудник может передать коллеге не только ключ от компьютера но и карточку для входа в офис, например для того, чтобы обмануть системы учета рабочего времени и изобразить что он находиться на работе, в то время когда он отправился по каким либо личным делам. В такие моменты никто даже не задумывается, что дружелюбный коллега, любезно согласившийся помочь и запустить твой компьютер во время твоего отсутствия, может еще и совершить какие либо недружественные действия в адрес компании, от твоего имени. А отвечать за это потом придется тебе.
В связи с этим особое внимание приобретает вопрос НЕОТДЕЛИМОСТИ ключевого носителя от его владельца. Здесь существует целый ряд современных факторов идентификации.
Биометрическая идентификация
Очевидно что если вместо пароля или вместе с паролем для доступа к компьютеру необходимо предоставить отпечаток пальца, ладони или радужной оболочки глаза, то шанса попросить коллегу зайти на твой компьютер в твое отсутствие практически не остается. Да и перехватить или подобрать такой пароль практически не возможно.
Однако необходимость установки специальных и весьма не дешевых биометрических считывателей ограничивает массовое распространение данного подхода. Хотя с каждым годом биометрические технологии становятся все более совершенными и массовыми, и я уверен что скоро наличие биометрической идентификации будет зашито в большинстве ИТ устройств, как это уже сделано в последней модели IPhone.
Технология одноразовых паролей OTP (One Time Password)
Идея одноразовых паролей по своей сути очень не плоха. Начавшись со скретч-карт на которых был записан целый перечень паролей и продолжившись устройствами генерирующими эти пароли по мере надобности эти технологии быстро дошли до рассылки таких паролей по SMS или их генерации непосредственно на мобильном телефоне. Затраты компании при этом минимальны, а пароль генерируется на том устройстве, которое относиться к самым необходимым и приватным устройствам для современного человека и вряд ли будет передано кому либо из коллег. Хотя конечно нельзя исключать возможности получения одноразового пароля на свой телефон и пересылки его коллеги через SMS.
Для предотвращения такой ситуации появились варианты серьезно ограничивающие желание сотрудников передавать свои ключевые носители кому-либо. Самым действенным из них стало создание так называемой Универсальной карты сотрудника.
Универсальная карта сотрудника
Это карта в рамках которой объединены три элемента, а именно доступ в офис (СКУД) доступ к ИТ системам, а также платежное банковское приложение, на которое сотрудник получает зарплату. Т.е. это банковская карта на которой еще есть и корпоративные опции. Уверенно можно говорить, что карту на которой находятся живые деньги сотрудник вряд ли легко отдаст кому либо. Да и следить за тем, чтобы она случайно не потерялась будет гораздо внимательнее.
Система управления элементами аутентификации
Как мы рассмотрели введение дополнительных элементов идентификации повышает уровень Информационной безопасности. Однако для их адекватного функционирования в рамках крупной компании с сотнями или даже тысячами сотрудников необходимо иметь и серьезную централизованную систему управления ключевыми носителями. Ранее верхом технического совершенства считалось наличие в организации системы учета ключевых носителей PKI. Однако обилие современных факторов идентификации и сложные механизмы их взаимодействия требуют совершенно иного подхода.
Современная система управления идентификаций с одной стороны должна позволять заказчику поддерживать одновременную работу любого выбранного им набора факторов идентификации, а с другой стороны иметь интеграцию c системами класса IDM (Identity management) управляющими учетными записями пользователей.
Эта интеграция создает дополнительные и очень полезные возможности, связанные с тем что системы IDM в обязательном порядке интегрируются с кадровыми системами организации и оперативно получают из них информацию о всех кадровых событиях: приеме, переводе, увольнении сотрудников, а также о больничных и отпусках. А эта информация в свою очередь может быть весьма полезна и для систем управления ключевыми носителями и позволяет реализовывать целый ряд очень важных и удобных сценариев деятельности.
Приведем пару примеров:
Как только в кадровой системе организации будет проведен приказ об увольнении сотрудника, можно создать автоматическое правило мгновенно блокировать его ключевые носители и доступы в информационные системы.
Можно создать политики безопасности, по которым на время отпуска или болезни сотрудника будут ограничены или полностью приостановлены его права доступа в наиболее критичные информационные системы.
И все эти сценарии будут реализовываться в автоматическом режиме, не требуя ручного труда ИТ и ИБ администраторов.
Особенно приятно, что на Российском рынке уже представлены промышленные системы объединяющие в себе все описанные выше удобства для управления доступом, и ПК Avanpost является одним из них.
В качестве заключения:
Надеюсь данная статья и приведенные в ней примеры убедили Вас в том, что выбор параметров идентификации является весьма важным моментом для обеспечения реальной информационной безопасности любой организации. И далеко не всегда двухфакторная идентификация является универсальной защитой от любого злоумышленника.
В современных условиях имеет смысл говорить об N-факторной аутентификации где число N и содержание факторов определяет сама компания исходя из критичности обрабатываемой информации и своих финансовых возможностей.
Андрей Конусов, генеральный директор компании Аванпост
Sec.ru
Роли у данных категорий сотрудников разные, но все они, безусловно, должны быть так или иначе вовлечены в процесс. Так, например, HR-специалисты и специалисты классической службы безопасности должны еще на этапе собеседования и просмотра резюме задумываться о потенциальном кандидате с точки зрения рисков, обращать пристальное внимание на людей, переходящих от конкурирующих компаний, анализировать доступную информацию о кандидате на базе его активности в социальных сетях и т.п.
В последние пару месяцев дискуссии на тему импортозамещения серьезно обострились. Санкции, антисанкции и прочие политические игры потихонечку докатились и до ИТ- и ИБ-отрасли. Причем основной акцент в обсуждении проблемы импортозамещения делается на программном обеспечении. И ведь действительно, что делать бизнесу, если в какой-то момент случится коллапс на уровне западного ПО? Вдруг внезапно отключатся все базы данных или, того хуже, – перестанет запускаться операционная система? Апокалипсис, не иначе. Откровенно говоря, о таком исходе даже думать не хочется. Но нужно.