Кто боится админа?

«Для нашей компании ЦОД – основной бизнес, и репутация крайне важна. Поэтому со стороны компании проводится тщательная проверка сотрудников»

Андрей Захаров, директор по инновациям и продуктам компании Linxdatacenter

1. Прежде всего следует разделить угрозы в этой сфере на внешние, внутренние у провайдера и внутренние у клиента. Взломы, незаконные проникновения, подозрительные инциденты – такие эпизоды внешнего проникновения периодически случаются, когда у клиента отсутствует многоуровневая защита. Клиенты обращались к нам в таких случаях с запросами истории логов в рамках внутреннего расследования, когда требовалось определить источник инцидента и выработать механизмы защиты для предотвращения повторения.

Что касается доступа администраторов провайдера к данным клиента, это решается на этапе переговоров и заключения контракта на услуги коммерческого ЦОД, где устанавливаются зоны и степени ответственности. Для нашей компании ЦОД – основной бизнес, и репутация крайне важна. Поэтому со стороны компании проводится тщательная проверка сотрудников. Для поступления на работу требуются рекомендации, солидный опыт и проверка компетенций на нескольких этапах собеседования. После принятия на работу сотрудники проходят испытательный срок и гранулярно получают доступ к различным системам.

Мы были одни из первых на рынке, у кого появилась должность инженера по безопасности и облачным сервисам. Сейчас такая практика распространяется все шире, т.к. исключает конфликт между уровнем функциональности систем и их защитой, включая виртуальные среды.

С 2017 года облачные платформы вошли в сертификацию по стандарту ISO 27001, который обеспечивает процессы управления рисками и контроля информационной безопасности. Отмечу, что, когда заказчик осуществляет управление ИТ-инфраструктурой самостоятельно, облачные сервисы позволяют минимизировать умышленные инсайдерские действия со стороны штатных сотрудников клиента.

Чтобы обеспечить независимый контроль, клиенты заказывают регулярное обновление патчей по согласованному графику, настройку правил межсетевых экранов, резервное копирование данных. Последнее обстоятельство гарантирует защиту от информационного шантажа недобросовестным системным администратором, имеющим единоличный доступ к данным компании.

2. Получение допусков – серьезно выстроенный процесс. Люди с низкой квалификацией пройти его не в состоянии. Поэтому если мы говорим о сбоях и утечках, то это в первую очередь причины технического характера и внешние угрозы. Внутри компании создаются такие условия труда для администраторов провайдера, при которых предпринимать умышленные действия совершенно невыгодно.

3. Внешние угрозы минимизируются техническими средствами: использованием многоуровневых средств защиты, регулярным проведением сканирований и penetration-тестов. Внутренние – укреплением инфраструктуры для повышения прозрачности: двойная аутентификация, индивидуальные учетные записи, сбор и анализ логов и т.д. Сотрудник должен четко понимать, что он неизбежно «наследит» при совершении манипуляций, само осознание этого уже заставляет задуматься о последствиях.

Серьезный аспект – кадровая политика и предоставление комфортных условий всем сотрудникам компании, имеющим доступ к критически важным участкам периметра безопасности ЦОД. В этом плане сам работодатель должен являться примером: Linxdatacenter работает по европейским стандартам, с абсолютно легальным и прозрачным подходом, что задает правильный стиль работы наших специалистов.

«Как противостоять действиям админа? Перед увольнением админа смените пароли к системе самостоятельно. Основное правило – разделение ответственности»

Андрей Волков, детективное агентство «Волков и Партнеры»

От админов зависит работа в интернете, а большая часть предпринимателей плохо разбираются в информационных технологиях. У админов есть доступ ко всем секретам фирмы, и они часто становятся мишенью в конкурентной борьбе, так как в руках админа находятся не только базы данных, но и вся структура бизнеса, включая интеллектуальную собственность.

Если возник конфликт работодателя с админом, то это может привести к финансовым потерям. Например, перед увольнением такой сотрудник может отключить сайт и таким образом полностью парализовать деятельность всей фирмы. Разозленный админ может поменять пароли и удалить все базы данных клиентов. Имея доступ к письмам клиентов, базам данных, админ с предпринимательской жилкой при желании может увести весь бизнес или сделать такой же параллельно. Некомпетентный админ также может нанести значительный вред организации.

В нашей компании был случай смены админа, т.к. мы посчитали, что он не слишком хорошо продвигал сайт в интернете. Мы взяли перспективного молодого админа, который пообещал нам вывести сайт в ТОП-3 за три месяца. Сначала наш сайт вообще исчез из всех поисковиков, но новый админ нас успокоил, сказав, что так и должно быть, но это длилось все три месяца, и мы вернулись к старому админу, который быстро все настроил, и сайт вернулся на свои позиции.

Как противостоять действиям админа? Перед увольнением админа смените пароли к системе самостоятельно. Основное правило – разделение ответственности. Контроль должен быть распределен между двумя сотрудниками. Один и тот же человек не должен иметь полномочия по реализации ключевых задач и их контролю. При приеме на работу нужно проверять не только судимости, но и составлять психологический портрет нового сотрудника, так как в его руках находится весь бизнес.

«Более половины инфраструктурных утечек происходит из-за ошибок в конфигурациях. Хитрый параметр или пропущенная команда могут стать роковой ошибкой для всей системы»

Алексей Гришин, руководитель ИТ-отдела компании «Аладдин Р.Д.»

2. Многие игроки рынка ИБ сходятся во мнении, что халатность и недостаточность компетенций – более популярные причины утечек, чем умышленные атаки на ИТ-инфраструктуру. Более половины инфраструктурных утечек происходит из-за ошибок в конфигурациях. Это обусловлено необходимостью создания быстрых решений и постоянным внедрением функций и компонентов. Хитрый параметр или пропущенная команда в конфигурационном файле могут стать роковой ошибкой для всей системы, а мест, где даже опытный администратор может допустить такую ошибку, много. Компании, проводящие тесты на проникновения, знают о слабых точках, как и хакеры, поэтому атакуют в первую очередь в них, сохраняя втайне свои наработки и найденные уязвимости для эксплуатации.

3. Существует три подхода по минимизации рисков человеческого фактора. Создание в компании идеологии управления изменениями – подразумевает решение проблемы на административно-управленческом уровне. При этом регламентируются все решения и пути их принятия, четко разделяются роли, обязанности и полномочия сотрудников. Порядок действий при ЧП доводится до автоматизма, регулярно проводятся семинары и мастер-классы по повышению компьютерной грамотности сотрудников.

Второй подход – формирование базы данных по управлению настройками устройств – CMDB. Все конфигурации и взаимосвязи конфигураций должны быть отражены в этой базе. База должна поддерживать отслеживание изменений и возможность их отката.

Третий вариант – создание систем мониторинга с возможностью автоматического восстановления сбоев. Если эта система и не поможет, то по крайней мере она проинформирует вовремя и сохранит лог для разбора и ликвидации последствий. А если она «умна» достаточно, то сможет даже детектировать злоумышленника.

«Минимизировать риски человеческого фактора в современной, сложной в управлении ИТ-инфраструктуре можно только с помощью комплекса мер»

Иван Колегов, менеджер по продукту компании «Код безопасности»

В их числе как обучение и повышение квалификации ИТ-персонала, так и применение средств дополнительного контроля привилегированных пользователей и мониторинга событий в инфраструктуре. Эти требования в первую очередь затрагивают виртуальную инфраструктуру как наиболее сложную и динамично развивающуюся. Обеспечивать контроль и разграничение доступа в виртуальных инфраструктурах помогает разработанный компанией «Код безопасности» продукт vGate, а новая функциональная возможность сбора и корреляции событий позволяет осуществлять полноценный мониторинг безопасности виртуальной инфраструктуры.

«Меня не удивляет, что действий внешних злоумышленников опасается только 38% компаний. Виртуальная инфраструктура, как правило, находится либо внутри собственной ИТ-системы»

Максим Лисовский, руководитель направления информационной безопасности ООО «МигКредит»

К сожалению, очень редко после приобретения и внедрения систем виртуализации ответственные специалисты уделяют достаточное внимание параметрам информационной безопасности. Если эти параметры и настраиваются, то это делается по инициативе ИТ-специалистов самостоятельно, исходя из собственного опыта, понимания «как должно быть» и без привлечения безопасников.

Мне приходилось проводить аудит по информационной безопасности одной небольшой компании, работающей в сфере B2B. Они создали свою виртуальную инфраструктуру, закупили дорогой блейдовый сервер в кластере, но без особых изысков настроили все «по умолчанию». Компания небольшая, никаких инцидентов в связи с этим, к счастью, не было, однако при желании их вполне можно было создать.

Если бы так поступили в крупной компании из финансового, ретейлового или сырьевого сектора, которые часто являются объектом целенаправленных кибератак, то последствия такой настройки могли бы быть гораздо печальнее. Можно было бы получить и отказ оборудования, и внутренний DDos, не говоря уже о потере конфиденциальности обрабатываемой информации.

Поэтому одним из важнейших элементов обеспечения безопасности виртуальных сред является привлечение еще на этапе проектирования такой инфраструктуры компетентных специалистов информационной безопасности. Совместно с ними необходимо разработать (адаптировать) частную модель угроз, политики, регламенты и процедуры доступа (имеется в виду как аутентификация на гипервизоре, так и физический доступ в помещения), резервного копирования и восстановления, сегментации и межсетевого экранирования сети в зависимости от категорий обрабатываемых данных, аудита и т.д.

После разработки этих организационных мер можно переходить уже и к настройке параметров информационной безопасности, а также подбору технических средств защиты. При выборе технических средств защиты рекомендую отдавать приоритет именно специализированным средствам, разработанным с учетом специфики виртуальных сред. Такие средства, как правило, наиболее оптимально расходуют ресурсы и позволяют минимизировать потерю производительности от их работы самой виртуальной инфраструктуры.

Если говорить о результатах опроса, то меня не удивляет, что действий внешних злоумышленников опасается только 38% компаний. Виртуальная инфраструктура, как правило, находится либо внутри собственной ИТ-системы компании, либо это некий центр обработки данных, с которым заключен договор. Поэтому очевидно, что внешним хакерам надо сначала пройти внешний периметр, который закрыт системами предотвращения вторжений и файрволами. То есть нарушителю сначала надо приложить немало усилий, чтобы проникнуть внутрь.

Целенаправленные атаки в таком случае будут достаточно дороги. Они могут осуществляться, когда речь идет об атаке, например, на крупную финансовую структуру, но в этом случае их целью будет получение доступа к счетам, персональным данным, а это часто происходит с помощью компрометации учетных записей и рабочих мест бухгалтеров, финансистов, привилегированных пользователей и напрямую не направлено на виртуальную инфраструктуру. Но в любом случае надо признать, что полностью устранить риски человеческого фактора никогда не удастся.

Одни из возможных и достаточно универсальных путей – повышение зрелости обеспечивающих бизнес-процессов и разумная минимизация прав доступа. Первое – это здравый регламент. Человек должен знать свою зону ответственности, какие действия предпринимать в том или ином случае. Второе – разделение прав доступа. Например, как на уровне пользователей, которые используют систему с точки зрения бизнеса, так и сотрудников, использующих систему в качестве администраторов и работников техподдержки. У них должны быть четко распределены роли. Не должно быть концентрации, скажем, у администратора таких функций, как одновременно конфигурация системы, добавление пользователей и возможности совершения бизнес-операций.

Не стоит также забывать про такой важный инструмент контроля, как аудит. Каждое важное как с точки зрения информационной безопасности, так и с точки зрения ИТ и бизнеса событие должно протоколироваться, а уведомления должны отправляться ответственным специалистам.

«Эффективная защита конфиденциальных данных – это вовсе не люди, а выполнение комплекса мер, которые позволяют снизить влияние человеческого фактора и при этом оставить контроль над ИБ»

Вячеслав Логушев, руководитель департамента комплексной поддержки ИТ-инфраструктуры компании X-Com

1. Это тот случай, когда сапожник должен иметь сапоги. Мы стараемся предвосхищать события и защищаться заранее, что настоятельно рекомендуем делать и нашим клиентам. Но мы – интегратор и имеем собственных ИТ- и ИБ-специалистов, которые обладают достаточной квалификацией, чтобы построить эффективную защиту ИС компании. У нас действуют политика информационной безопасности и ряд внутренних регламентов, разграничивающих доступ к определенным типам наиболее критичных данных. Техническую сторону защиты данных обеспечивает многоуровневая система ИБ, включающая также DLP-решение.

2. К инцидентам ИБ обычно приводит сочетание множества причин. Нельзя преуменьшать значение человеческого фактора, особенно в ситуациях, когда квалификация обслуживающего ИБ-системы персонала вызывает нарекания. Но эффективная защита конфиденциальных данных – это вовсе не люди, а выполнение комплекса мер, которые позволяют снизить влияние человеческого фактора и при этом оставить контроль над ИБ за человеком. Поэтому технические меры защиты данных должны непременно дополняться административными, что возможно лишь при работе ИТ-директора в тесной связке с другими топ-менеджерами компании.

Однако в практике многих российских компаний малого и среднего бизнеса политики, регламентирующие правила хранения различных категорий данных и доступа к ним, далеко не всегда формализованы, а должный контроль за их исполнением зачастую отсутствует. Поэтому не удивительно, что часто имеется ситуация, когда, во-первых, контроль возложен на одного человека, а во-вторых, отсутствуют аналитика и протоколирование событий в ИС и событий ИБ. В такой ситуации как недостаточность квалификации, так и умысел могут быть равнозначно опасны. А степень их опасности, как правило, зависит от специфики бизнеса.

«Чтобы "не бояться админа", необходимо очень серьезно отнестись к задаче резервного копирования»

Дмитрий Молчанов, СТОКВЕЛЛ

1. Стоимость таких решений и их настройка в разы меньше стоят, чем простой компании в случае недоступности инфраструктуры или потери данных. Это решения от компаний Veem, Acronis, Symantec. Резервирование необходимо осуществить не только на уровне инфраструктуры, но и на уровне данных, причем должен существовать описанный план восстановления, который будет понятен не только ИТ-специалистам, а в некоторых случаях он может быть реализован и автономно, через провайдера или стороннюю ИТ-компанию.

Для надежности и автономности решения можно привлечь для реализации резервного копирования стороннюю ИТ-компанию, а оценку и контроль возложить на штат своих ИТ-специалистов. Это повысит в целом защищенность вашей компании от различного рода сбоей и потери данных, неважно произошли ли они случайно или преднамеренно.

У нас таких ситуаций не было. Чаще всего с ними сталкиваемся, когда к нам приходят компании на обслуживание после сбоев или «пропавших» админов.

2. Чаще второе – низкая квалификация и надежда на авось.

«Как безопасно можно мигрировать в виртуальную или облачную инфраструктуру? Применить средства криптографической защиты для шиф-рования виртуальных жестких дисков»

Михаил Рожнов, технический директор компании TESSIS (ЗАО «СиС»)

Вопросы безопасности виртуальных и облачных сред сейчас являются ключевыми при решении о миграции физических машин. Как было отмечено в опросе, модель угроз особое внимание уделяет внутреннему нарушителю – администраторам сред виртуализации и сервис-провайдерам, имеющим максимальный уровень привилегий в системе.

Виртуальная машина – это набор файлов, представляющих собой виртуальные жесткие диски с данными, файл конфигурации системы и набор снимков (snapshots) машин в разные моменты времени. При подключении к виртуальным жестким дискам или снимкам системы атакующий может получить конфиденциальную информацию, хранимую и обрабатываемую в виртуальной инфраструктуре. При наличии максимального уровня привилегий в системе администраторы имеют полный доступ к этим данным, который может быть получен как намеренно, так и случайно.

Пример намеренного действия: администратор просто скопировал виртуальный жесткий диск, непреднамеренного: сервис-провайдер проводит технические работы по замене системы хранений данных. При этом пользователю неизвестно, что происходит с исходными данными.

Также практика показывает, что при некоторых программных ошибках (уязвимостях) в среде виртуализации уже внешний атакующий может получить доступ к виртуальным жестким дискам, а следовательно, к данным.

Возникает вопрос: каким образом можно безопасно мигрировать в виртуальную или облачную инфраструктуру? Решение – применение средств криптографической защиты для шифрования виртуальных жестких дисков (системных, дисков с данными, файлов подкачки). При этом также не стоит забывать о защите ключей шифрования. Категорически недопустимо хранить ключи шифрования в среде виртуализации.

Таким образом, корректной моделью защиты данных в виртуальной или облачной инфраструктуре будет следующая: хранилище ключевой информации располагается в контролируемом периметре и управляется только специалистами по информационной безопасности, в виртуальной машине устанавливается некий агент-драйвер, который будет перехватывать все запросы ввода-вывода к виртуальному жесткому диску и прозрачно шифровать или расшифровывать данные.

Данная модель позволит защитить данные при несанкционированном доступе к ним со стороны как внутренних, так и внешних нарушителей по причине отсутствия доступа к ключам шифрования. Аналогичный механизм защиты будет применяться как к снимкам виртуальной машины, так и резервным копиям.

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

Copyright © Системный администратор