С помощью системы контроля доступа привилегированных пользователей СКДПУ, разработанной российской компанией «АйТи Бастион», возможно реализовать систему защиты объектов критической информационной инфраструктуры (КИИ) и при этом выполнить ряд требований ФСТЭК России, в частности Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ. В статье рассматривается применение СКДПУ для защиты объектов КИИ, функционирующих в транспортной сфере.
- Введение
- Выявление причин сбоев или инцидентов безопасности на АСУ ТП
- Контроль выполнения работ подрядчиков ИТ-услуг
- Контроль операторов АСУ ТП/ИС
- Выводы
Введение
Цифровые технологии постепенно проникают во все сферы российского бизнеса, и транспортная отрасль не исключение. Современные автоматизированные комплексные решения для диспетчеризации транспорта, мониторинга, управления, коммерческими дорогами и переправами способны качественно и быстро решать многие задачи, предупреждать возникновение чрезвычайных ситуаций. Учитывая, что транспорт — это жизненно важная отрасль экономики, вопрос информационной безопасности стоит здесь крайне остро. Кроме того, в соответствии с Федеральным законом № 187 от 26.07.2017 «О безопасности критической информационной инфраструктуры» (далее — 187-ФЗ) информационные системы (ИС), автоматизированные системы управления (АСУ), информационно-телекоммуникационные сети (ИТКС), функционирующие в сфере транспорта, являются объектами критической инфраструктуры (КИИ).
Атаки в отношении транспортных компаний могут парализовать их работу, создавая огромные неудобства для пассажиров и приводя к немалым убыткам. В худшем случае атаки могут привести к жертвам и разрушениям. Например, 28 сентября 2017 года в аэропортах шести стран произошел сбой системы, из-за чего прошла массовая отмена авиарейсов.
Не так давно в статье «Выполнение требований ФСТЭК России в части защиты объектов КИИ на примере использования системы СКДПУ» мы рассказывали, как с помощью системы контроля доступа привилегированных пользователей СКДПУ, разработанной российской компанией «АйТи Бастион», реализовать систему защиты объектов КИИ. В данной статье мы сфокусируем внимание на защите с помощью СКДПУ объектов КИИ, функционирующих в транспортной сфере. Рассмотрим несколько кейсов.
Выявление причин сбоев или инцидентов безопасности на АСУ ТП
АСУ ТП в транспортной отрасли — это, несомненно, критически важный объект с точки зрения информационной безопасности. АСУ ТП управляют железнодорожным транспортом, полетами, иными важными технологическими процессами, обеспечивающими деятельность транспортной отрасли. Неправильные настройки, запрещенные команды и иные несанкционированные действия могут привести к самым непредсказуемым последствиям. Как разобраться, кто и что сделал и что привело к сбоям в работе?
Чтобы отследить действия администраторов АСУ ТП и не нарушить функционирование АСУ, необходимо вести аудит их действий в режиме реального времени.
СКДПУ может параллельно работе АСУ производить мониторинг действий администраторов и вести видеофиксацию происходящего. При возникновении необходимости расследования инцидента возможно просмотреть запись сессии администрирования в интерфейсе программы управления. В этом случае можно быстро определить, кто именно и какие модули АСУ ТП затрагивал. Это позволяет оперативно локализовать проблему и установить противоречие в конфигурации, которое могло возникнуть из-за неправильной последовательности действий.
СКДПУ также может в режиме реального времени обнаружить запрещенные команды в рамках привилегированного сеанса и отправить соответствующее уведомление администратору безопасности. У администратора СКДПУ существует возможность разорвать сессию.
Рисунок 1. Мониторинг сессии в режиме реального времени в СКДПУ
В СКДПУ также есть функционал распознавания команд графического интерфейса для анализа протоколов RDP и VNC в режиме реального времени, а также запись действий администратора в командной строке в видеофайл.
Рисунок 2. Просмотр видеозаписи сессии в СКДПУ
Все это существенно упрощает выявление причин сбоев или инцидентов безопасности в АСУ ТП транспортной отрасли, а также помогает разобраться в случае допущенных ошибок в конфигурации системы.
Контроль выполнения работ подрядчиков ИТ-услуг
Как правило, программное обеспечение АСУ ТП и ИС транспортной отрасли специфическое и пишется на заказ для конкретных нужд. В большинстве случаев сопровождение программного обеспечения и техническую поддержку осуществляют вендор или системный интегратор. Для обновления или конфигурации системы техническим специалистам подрядчика требуется удаленный доступ и расширенные привилегии (административные права). Ключевой проблемой в данном случае является бесконтрольность внешних ИТ-специалистов. Несмотря на NDA (Non-disclosure agreement), которые исполнители обычно подписывают перед выполнением работ, риски утечек информации и другие риски ИБ, присущие обычной схеме организации администрирования силами штатных сотрудников, также присутствуют.
Во многих системах существуют shared accounts — встроенные учетные записи, такие как administrator, root. Для сопровождения систем подрядчикам необходим пароль от данных учетных записей для выполнения привилегированных функций на серверах информационных систем. По статистике, пароль от таких учетных записей не меняется — администратор может просто забыть это сделать, а в иных случаях это бывает технически невозможно сделать. Использование СКДПУ позволяет выполнить аутентификацию подрядчиков без раскрытия паролей от общих учетных записей. ИТ-специалист при выполнении работ авторизуется собственным паролем, заданным на шлюзе СКДПУ, а пароли от реальных систем ему могут быть неизвестны и недоступны. Это позволяет, кроме защиты от утечки или смены паролей, персонализировать доступ к служебным учетным записям — всегда будет понятно, кто именно и для чего их использовал.
Рисунок 3. Политика замены паролей в СКДПУ
В СКДПУ при помощи функции записи действий в видеофайл можно оценить результат работ в системе, которые выполнил подрядчик.
При помощи функции «Временные ограничения» можно создать расписание работы подрядчиков в целевой системе, например, с 9.00 до 18.00. Таким образом, если ИТ-специалист захочет войти в систему после рабочего времени, когда администратор безопасности уже ушел с работы и не может реагировать на несанкционированные действия подрядчиков в системе, СКДПУ откажет в доступе к целевому объекту.
Контроль операторов АСУ ТП/ИС
В ИС и АСУ ТП СКДПУ может использоваться как для контроля системных администраторов, производящих настройку и обслуживание серверов, сетевого оборудования и приложений, так и для контроля сотрудников, осуществляющих бизнес-задачи в ИС и АСУ ТП через веб-интерфейс или подключаясь к удаленному терминальному серверу. Рассмотрим вариант с RDP.
В большинстве компаний системы терминального доступа уже используется, так как применение терминального доступа позволяет снизить угрозы, связанные с подключаемыми устройствами и вредоносными программами. Кроме того, использование терминального сервера снижает расходы по обслуживанию систем, так как нет необходимости производить обслуживание и обновление на множестве рабочих станций, а все действия производятся только на одном сервере.
Рисунок 4. Подключение к защищаемому серверу по протоколу RDP из консоли пользователя СКДПУ
В СКДПУ добавляется сервер ИС или АСУ с настройкой доступа по протоколу RDP. Серверу назначаются операторы, которые работают с ИС/АСУ. При подключении к удаленному серверу по RDP отображается окно авторизации и выбора сеанса для подключения.
Рисунок 5. Окно авторизации пользователей в СКДПУ
При начале сеанса СКДПУ уведомит пользователей о том, что их сеанс работы записывается и затем они смогут продолжить работу в привычном окружении.
Рисунок 6. Предупреждение о записи RDP-сеанса в СКДПУ
Если пользователь соглашается с данной информацией, производится доступ к контролируемому серверу, а действия удаленного администратора записываются.
Завершенные сеансы возможно просмотреть через веб-интерфейс СКДПУ, для сеансов протокола RDP сохраняется видеопоток, а для текстовых протоколов — текстовый журнал сеанса. СКДПУ также поддерживает режим согласования доступа, когда исполнитель попадает в сессию администрирования только после явного подтверждения данного входа от одного или нескольких ответственных лиц (режим «Кворум»).
Выводы
СКДПУ — это функциональный продукт для обеспечения контроля действий привилегированных пользователей. На объектах КИИ СКДПУ может существенно снизить риски утечки информации и возникновения инцидентов, вызванных внутренними и внешними пользователями.
Мониторинг и запись всех действий привилегированных пользователей, возможность оперативного контроля за работой сотрудников в режиме реального времени и предоставление всей необходимой информации для обнаружения и предотвращения утечек. Администраторы ИБ в случае инцидента могут восстановить ход событий, разбирать конфликтные ситуации, а также контролировать качество работы внешних исполнителей.
СКДПУ может также служить инструментом поиска сложных ошибок в конфигурации систем и справляется с задачей управления доступа операторов к ИС и АСУ ТП.