Михаил Башлыков
Окончил в 2001 году Институт криптографии, связи и информатики, факультет прикладной математики. С 2006 года возглавляет направление информационной безопасности в компании КРОК.
Отвечает за его развитие, набор и обучение профессиональных инженеров и менеджеров для реализации проектов, взаимодействие с ключевыми производителями, а также за управление основными проектами компании по ИБ для крупнейших заказчиков КРОК.
На вопросы Anti-Malware.ru любезно согласился ответить Михаил Башлыков, руководитель направления информационной безопасности в компании КРОК. Это интервью продолжает цикл публикаций "Индустрия в лицах".
Как вы считаете, насколько актуален для бизнеса вопрос контроля привилегированных пользователей в корпоративной сети?
Данный вопрос всегда был и остается одним из приоритетных. Контролировать сотрудников с правами привилегированных пользователей довольно сложно. В особенности, если решение каких-то задач выносится на аутсорсинг. При этом работу нужно вести на всех уровня инфраструктуры: начиная от сетевого, инфраструктурного, прикладного до уровня бизнес-систем.
На ваш взгляд, с чем могут быть связаны основные риски? Расскажите в общих чертах как именно с ними бороться.
Риски могут быть связаны с увольнением или заменой администратора, поскольку неизвестно будут ли все системы работать нормально после этого. Накладывать ограничения для такого рода специалистов довольно сложно, но в тоже время все прекрасно понимают, что ущерб они могут нанести колоссальный. Для защиты каждого технического уровня на рынке существует ряд решений, в функции которых входит разрыв сессии администратора, запись его действий и блокировка прямого доступа администратора, если он выполняется в обход системы контроля. Это можно привести в пример как способ борьбы с ошибками или неправомерными действиями персонала.
Что является наиболее приоритетной задачей для бизнеса: ограничение действий (управления) или мониторинг?
Для бизнеса приоритетны и задачи мониторинга, и задачи управления и снижения риска при ошибках администраторов. Например, в случае критичных ошибок в работе фермы, заказчику важно одновременно и предотвратить их, и отследить реальную ответственность администратора на случай, если он попытаться переложить ее на хакеров.
Задача мониторинга возлагается на отделы безопасности. В их зону ответственности входит разделение доступа и контроль сотрудников, работающих на аутсорсинге: внешнего персонала, help desk или консультантов.
Какие продукты могут быть использованы?
Для каждого типа задач есть отдельный класс решений. Как правило, организации выбирают их исходя из критичности рисков информационной безопасности. В настоящий момент, бизнес все более в этом заинтересован системах управления привилегированным доступом, так как такой доступ предоставляется не только администраторам. Проблема разделения полномочий и контроля привилегий в бизнес-системах становится очень критична. Например, пользователь, имеющий определенные права в SAP, может нанести серьезный урон: организовать утечку или повредить целостность информации.
Какие конкретно продукты, позволяют обезопасить компанию от действий администраторов и других пользователей?
Набор технических средств достаточно широк. В него входят решения различных производителей. Для контроля сетевого доступа используются продукты CyberArk. Xceedium, для контроля администраторов, управляющих серверными инфраструктурами, дополнительно к вышеуказанным решениям применяется ObservIT. Решение Imperva позволяет отслеживать действия администраторов баз данных. За привилегированный доступ к бизнес-системам отвечают Whitebox, Intellinx, а к файловым ресурсам, порталам - на выбор: Varonis или Whitebox. Задачи управления привилегированными пользователями в определенных случаях могут быть решены системами управления и мониторинга. При этом в состав некоторых таких систем включена функция «segregation of duties» (Прим. «разделение обязанностей»). В западных стандартах это прописано в правилах работы с бизнес-системами. Но данная парадигма может быть применена на каждом их технических уровней.
Как вы считаете, насколько сегодня совершенны продукты, позволяющие контролировать и предотвращать неправомерные действия привилегированных пользователей? Можно ли рассчитывать на то, что их применение позволит закрыть эти уязвимости?
Будем говорить откровенно: от администраторов, особенно очень умных администраторов, очень сложно защититься. В данном случае задача стоит в наведении порядка. Можно, например, информировать администратора при обращении к серверу о том, что все его действия записываются. В результате человек начинает подходить ко всему, что он делает, более ответственно.
Второй момент, когда для доступа к серверу требуется дополнительное согласование, т.е. администратор запрашивает определенный вид доступа, который должен одобрить руководитель. Это требует времени, но за счет многоэтапности согласования улучшается управление инфраструктурой и повышается безопасность. Ведь как показывает практика, порядка 70% простоев, происходящих в компании, происходит из-за ошибок администраторов (неправильно спланировали свою работу, неправильно проверили, протестировали некую систему).
Топ-менеджеров относят к привилегированным пользователям?
Они являются привилегированными с точки зрения своего положения в компании и того, что они могут получать определенного рода информацию и хранить эту информацию у себя на носителях. Но, как правило, топ-менеджеры не совершают никаких действий по настройке инфраструктуры, а используют уже готовые материалы. В первую очередь, парадигма управления привилегированными пользователями касается администраторов, управляющих инфраструктурой.
Насколько велико количество привилегированных учетных записей в российских компаниях?
Очень велико, и это становится настоящей головной болью. В некоторых случаях количество привилегированных учетных записей доходит до численности персонала компании. К таким записям можно отнести системные учетные записи, которые требуются для работы тех или иных систем или их взаимодействия. Как показывает практика расследования инцидентов, злоумышленники пользуются некой служебной учетной записью, которую очень сложно отследить. Данные учетные записи, как правило, никем не контролируются, а пароли никогда не меняются.
Что представляют собой такие служебные учетные записи, для чего они создаются?
Например, есть база данных Oracle. Для того чтобы она работала в операционной системе, необходимо запустить ее под определенной учетной записью, с соответствующими правами доступа. Ее параметры прописываются в конфигурационных файлах, и тот, кто ее создал, может воспользоваться этим не по назначению. Естественно, никому в голову не придет залезть в систему Oracle и вручную поменять этот пароль. Так же происходит с приложениями в различных шинах, когда они обмениваются между собой информацией, т.к. они должны работать в операционной системе с некими привилегиями. Как правило, привилегии очень важные, на уровне администратора сервера, может быть, даже администратора домена и т.д. Также существуют учетные записи, которыми пользуются, допустим, help desk в своей работе. Локальные администраторы обладают привилегиям не менее высокими, чем у администраторов сервера.
Тогда получается, что вся компания может иметь привилегированные права?
Иногда так случается, что практически каждый пользователь может иметь избыточные привилегии, например, на собственной рабочей станции или на группе рабочих станций. И поэтому одна из концепций, поддерживаемая международными стандартами, подразумевает качественное и количественное снижение числа привилегированных пользователей на всех уровнях.
Как компании принимают решения о построении систем контроля привилегированных пользователей?
Во многих компаниях уже сформировано понимание, что необходимо создавать системы защиты информации и контроля привилегированных пользователей, однако не всегда такие системы внедряют. Часто просто закрывают глаза на риски. Это касается систем управления, где не всегда согласуются изменения в системе. Подобного рода подход существует в небольших компаниях, или тех, у которых невысок уровень зрелости с точки зрения информационной безопасности. И наоборот, более взвешенно подходят к решению проблемы организации, тщательно анализирующие риски и имеющие сформированную политику безопасности.
Получается, что компании вынуждены доверять своему «админу», имеющему полный доступ к системам?
Это присуще как раз тем компаниям, о которых я говорил выше, и тем, где работает один администратор. А если администраторов пять, да еще работают внештатные сотрудники или подрядчики? Появляется полная бесконтрольность действий. В таком случае компания начинает хотя бы задумываться о вопросах контроля и управления.
Можете ли вы привести примеры своих проектов, в которых внедряли системы контроля привилегированных пользователей?
В одной достаточно крупной телекоммуникационной компании мы внедрили систему контроля и мониторинга привилегированных пользователей и обслуживания их базовых станций. Управление некой сессией происходит в самой системе, она предотвращает прямой доступ к некоторым приложениям и записывает все те действия, которые администратор может совершить. Плюс в настоящий момент мы разрабатываем механизм блокирования тех или иных действий, которые потенциально могут нанести урон.
Подобные проекты мы реализуем и в банках. В соответствии с требованиями стандартов и регуляторов, в том числе PCI DSS, контроль привилегированных пользователей, работающих с процессинговыми системами, является одним из самых насущных. В одной финансовой организации на уровне инфраструктуры мы начали использовать решение, контролирующее действия администраторов и получение доступа к функциям управления и заведения заявок.
Какие проблемы бывают с внедрением этих продуктов? Может быть, какое-то сопротивление ИТ-отдела или непонимание, зачем это вообще нужно?
Особого сопротивления мы не наблюдаем. На самом деле администраторам это не очень нужно, но руководители групп или отделов прекрасно понимают, зачем следует внедрять системы контроля. Иногда возникают сложности: при реализации системы формальная ответственность ИТ-руководителя, как это ни парадоксально звучит, увеличивается. И во многих организациях, там, где дополнительная ответственность не нужна, это может вызвать некоторое недовольство. Поэтому в таких случаях использование топ-менеджментом административных ресурсов становится очень важным.
Каким образом контролируются действия пользователей в BYOD?
Мы может обеспечить контроль привилегированных пользователей и на мобильных устройствах. По большому счету, не важно, с какого компьютера человек получит доступ, если он работает в режиме терминальной или полутерминальной сессии. Парадигма контроля привилегированных пользователей подразумевает, что есть гарантированное разделение доступа к паролю администратора. Предполагается, что пароль, с помощью которого происходит доступ с мобильного устройства, отличается от того пароля, который сохранен в реальной системе. Поэтому, даже если мобильное устройство заражено трояном или другим вирусом, пароль будет применяться разово и только для подключения к конкретному узлу. И самое главное - в подобного рода системах используется дополнительный фактор аутентификации при доступе администраторов. Очень часто бывает так, что целевые системы иногда даже не поддерживают работу нескольких администраторов, т.е. все они работают под одним логином или, а разделение прав доступов в самих системах очень плохо развито. И подобного рода системы могут вводить дополнительную аутентификацию. Для того чтобы получить супер-пароль (человек его не знает, пароль хранится в памяти отдельной платы), пользователь должен предъявить smart-карту, т.е. фактически обеспечить двухфакторную аутентификацию в приложении, которое эту двухфакторную аутентификацию не поддерживает.
Как вы видите дальнейшее развитие рынка систем контроля привилегированных пользователей?
Как уже было сказано, актуальна проблема большого количества учетных записей. Пока еще не появились технологии, которые позволяют ее эффективно решить, и многие компании попросту закрывают на нее глаза. Видимо, решение этой проблемы станет следующим этапом развития систем контроля привилегированных пользователей.
Спасибо за интересное интервью. Желаем вам дальнейших успехов в бизнесе!