Безопасность бизнеса в финансовой отрасли

12 Января 2009 ФГ
Финансовая газета
#1, 12 января 2009 г.
Владислав Ершов, ведущий системный аналитик, Открытые Технологии

В последнее время на бизнес оказывают серьезное влияние информационные технологии, поэтому компании уделяют особое внимание вопросам безопасности — будь то антивирус, установленный после очередной вирусной эпидемии, или система менеджмента информационной безопасности, созданная в соответствии со стандартом ISO 27001. Однако, если рассмотреть уже реализованные подходы к обеспечению безопасности, очевидно, что наиболее уязвимым местом остаются бизнес-приложения. Причем со временем их уязвимость лишь растет, как растет и связанный с этим ущерб для бизнеса. Ответ на вопрос, как защитить бизнес-приложения и соответственно бизнес, дан в предлагаемой статье.

Говоря об информационной безопасности, необходимо рассматривать ее как комплексную и непрерывно управляемую систему. О проблемах безопасности говорится в таких стандартах, как серия ISO 2700x, различные национальные и отраслевые стандарты (стандарт Банка России по информационной безопасности, стандарт безопасности платежных систем PCI DSS). Кроме того, существуют рекомендации по безопасной разработке приложений. К безопасности бизнес-приложений имеют отношение и антивирусное средство, и межсетевой экран, и процедуры менеджмента информационной безопасности. Но имеются и специфические особенности обеспечения безопасности бизнес-приложений, о которых пойдет речь дальше.

Специалисты по информационной безопасности считают, что бизнес-приложения (промышленные или собственные разработки) нельзя считать защищенными. Это определяется в первую очередь человеческим фактором: ошибки при разработке, при настройке, при эксплуатации. Если к термину «ошибка» добавить «умышленная», то мы получим уязвимости (включая не-декларированные возможности), эксплуатация которых может привести к утечке конфиденциальной информации, мошенничеству (путем внесения изменений в обрабатываемую информацию), прерыванию бизнес-процессов в результате полного или частичного уничтожения информации.

Недостаточно защищенными являются не только приложения, позволяющие реализовать бизнес-логику и интерфейс взаимодействия с пользователем, но и СУБД, а также компоненты интеграции.


Традиционный подход

Традиционно при защите приложений применяются типовые методы:

  • использование встроенных средств обеспечения информационной безопасности;
  • применение сканеров защищенности для поиска уязвимостей или ошибок конфигурирования;
  • установка обновлений;
  • использование специализированных наложенных средств.

Однако, несмотря на очевидную пользу и необходимость данных методов, они все же не обеспечивают должный уровень защиты, а в некоторых случаях могут повлиять на производительность и надежность работы бизнес-приложения.

Определенный уровень защиты поддерживают традиционные средства обеспечения сетевой безопасности (межсетевые экраны, средства обнаружения и предотвращения атак), защиты рабочих станций и серверов (HIPS). Но важно понимать, что подобные средства имеют другое предназначение и не способны полноценно защитить приложения. В любом случае требуется обеспечить доступ к веб-интерфейсу (к определенному порту), с приложением должны работать пользователи, обладающие определенным набором полномочий и т.д.

Что касается полномочий, то часто под "защитой приложений" подразумеваются системы класса IAM (Identity and Access Management). Подобные системы можно уподобить межсетевому экрану, который разрешает доступ, например, только на 80 порт к веб-приложению. Это действительно необходимый элемент защиты. Но при этом межсетевой экран не способен обнаружить атаки на уровне приложения или зарегистрировать подозрительные действия пользователя в приложении. Аналогично и системы класса IAM являются важным элементом системы информационной безопасности, но выполняют лишь ограниченную часть функций. Кроме того, возникает вопрос об адекватности выданных пользователю полномочий и об использовании им легальных и необходимых для работы полномочий в неслужебных целях.

Итак, традиционные средства обеспечения информационной безопасности важны, но недостаточны.

Основные их ограничения связаны с невозможностью контроля событий на уровне приложения. Данную проблему давно пытаются решить западные специалисты в этой области, а в настоящее время она актуальна и в России.


Современный подход

В первую очередь важно определить основные направления защиты бизнес-приложений, которые можно подразделить на защиту от внешних и от внутренних угроз. В части защиты от внутренних угроз основные задачи решаются за счет контроля событий в бизнес-приложении и его компонентах. Относительно внешних угроз требуется обеспечить защиту приложений от специфичных атак прикладного уровня. В ряде случаев задачи могут объединяться.

Веб-приложения. Для клиента важны позиция банка на рынке, его имидж, офис, приветливые и профессиональные сотрудники и... веб-сайт. Веб-сайт банка — это:

  • информационный источник для клиента и средство обратной связи;
  • средство дистанционного обслуживания (СДО).

Необходимо понимать, что оба аспекта одинаково значимы. Различными будут только риски. Если для информационного источника нужно обеспечить доступность и целостность информации, то для СДО – еще и ее конфиденциальность. Веб-сайт, доступный из недоверенной среды Интернет, уязвим априори.

Чтобы более подробно рассмотреть имеющиеся риски, нужно ответить на ряд вопросов. Например, будет ли нанесен ущерб бизнесу, если:

  • потенциальный клиент получит недостоверную информацию об услугах и выберет другой банк;
  • клиент не сможет получить доступ к веб-сайту банка (к СДО);
  • злоумышленник, воспользовавшись уязвимостью СДО, осуществит перевод денег со счета клиента;
  • злоумышленник, воспользовавшись уязвимостью СДО, получит информацию об операциях клиента;
  • злоумышленник, воспользовавшись уязвимостью СДО, получит информацию о банковских карточках, персональную информацию клиентов и т.п.

Даже из такого обобщенного перечня видно, что ущерб может быть нанесен колоссальный, начиная от потери клиентов и заканчивая судебными исками, крупными финансовыми потерями, санкциями со стороны регулирующих организаций.

Веб-приложения требуют особого подхода к защите, и для этой цели существуют специализированные продукты — Web Applications Firewall (WAF). Классический WAF позволяет анализировать трафик к приложению на всех уровнях сетевой модели OSI начиная с третьего. При этом основной упор делается на верхние уровни, где проводится контроль взаимодействия пользователя с приложением. При настройке WAF осуществляется обучение легальной работе с приложением (это может быть сделано в ручном и автоматическом режимах), после чего весь нелегальный трафик блокируется. Таким образом, WAF функционирует на основе «белого списка» в отличие от традиционных средств IPS, использующих сигнатурный анализ. WAF обеспечивает контроль специфичных для веб-приложений протоколов (HTTP, HTTPS) и различных параметров:

  • cookies;
  • параметры запросов;
  • возвращаемые значения;
  • соответствие RFC;
  • ответы сервера и т. д.

Особо следует отметить возможность контролировать и модифицировать не только запросы, но и ответы сервера. Таким образом, можно защищать как служебную информацию (например, коды ошибок, версию программного обеспечения), так и бизнес-информацию, которая не должна быть доступна извне (например, номера банковских карточек).

Все современные WAF могут работать в режиме кластера (active/active или active/standby), обеспечивая высокую доступность, а ряд продуктов WAF помимо функций защиты выполняют и задачи по балансировке и оптимизации трафика. Опыт использования подобных продуктов показывает, что для каждой конкретной ситуации может быть выбрано оптимальное решение из представленных на рынке продуктов исходя из поставленных задач.

Использование WAF требуется стандартом безопасности платежных систем PCI DSS (в качестве альтернативы регулярному анализу программного кода на предмет информационной безопасности) в случае обработки в веб-приложениях информации о банковских карточках.

Внутренние бизнес-приложения. Акценты при защите бизнес-приложений для внутреннего использования несколько смещаются. Среда функционирования уже становится доверенной (по крайней мере, по сравнению с Интернетом), и вероятность появления хакеров явно ниже (хотя такое и не исключено). Основная особенность внутренних банковских приложений с точки зрения информационной безопасности заключается в том, что в них обрабатывается критичная бизнес-информация, к которой по долгу службы может иметь доступ множество сотрудников. Уже упоминаемые средства разграничения доступа позволяют навести некоторый порядок и ограничить права пользователей, но это не панацея. Например, остается возможность следующих событий:

  • легальный пользователь осуществляет денежный перевод со счета, по которому долгое время не было операций;
  • легальный пользователь просматривает операции по счетам определенных клиентов (возможно, VIP-клиентов);
  • легальный пользователь изменяет информацию об условиях кредита, выданного клиенту, и т.д.

Итак, говоря о внутренних бизнес-приложениях, в первую очередь нужно опасаться мошенничества.

Основной способ решения проблемы — регистрация событий доступа пользователей на уровне данных и анализ этих событий. Штатные средства приложений по регистрации событий дозволяют решить проблему лишь частично. Кроме того, возникает вопрос о доверии к техническому персоналу, поскольку даже зарегистрированные факты легко изменить, имея доступ к их хранилищу. Таким образом, система регистрации и анализа событий должна быть максимально независима.

Продуктов, позволяющих контролировать действия пользователей, немного. Основными требованиями к решениям по обнаружению мошенничества являются:

  • работа в режиме сетевого сниффера для полного и независимого контроля взаимодействия пользователей с приложением;
  • возможность анализа различных распространенных прикладных протоколов (HTTP(S), SQL*Net, Swift, TN3270, TN5250, MQ Series, MSMQ и др.) и протоколов собственной разработки;
  • разбор трафика взаимодействия пользователей с приложением и выявление интересующих событий (аутентификация, доступ к определенным разделам приложения, просмотр счетов, перевод денег и др.);
  • формирование бизнес-правил, определяющих возможные мошеннические действия (доступ к большому количеству счетов в течение дня, изменение определенных данных, доступ в нерабочее время и др.);
  • надежное хранение зарегистрированных событий и контроль за их нелегальным изменением в хранилище;
  • анализ исторических данных для расследования инцидентов;
  • автоматизация расследования инцидентов;
  • возможность' просмотра сеансов работы пользователей вплоть до восстановления интерфейса пользователя для ряда протоколов (например, HTTP(S), TN5250).

Решение, обладающее подобным функционалом, является отличным инструментом для автоматизации деятельности по обеспечению экономической безопасности организации (включая внутренний контроль и борьбу с мошенничеством).

Интеграционные платформы. С развитием IT зачастую приходится решать вопросы интеграции различных приложений внутри организации, а также обеспечивать взаимодействие с внешними организациями. Это особо актуально для крупных банков, развивающихся за счет слияний и поглощений.

В этом случае интеграция на уровне IT может осуществляться путем перехода на единую банковскую систему, что зачастую слишком дорого и трудоемко. Чаще осуществляется интеграция существующих приложений. В настоящее время большое распространение получила идеология сервисно-ориентированной архитектуры (SOA), когда для интеграции используются открытые и стандартизованные протоколы на базе XML. Интеграция может происходить также с использованием других технологий.

При интеграции приложений помимо преодоления технических сложностей необходимо решать и вопросы информационной безопасности. Основные риски связаны с внесением неверно сформированных или заведомо ложных данных, отправкой сообщений от неавторизованного источника, реализацией различных специфических атак (например, XML Flood или XPath injection).

Для решения задачи по обеспечению безопасности при интеграции приложений могут быть использованы специализированные продукты класса XML Gateway. Данные продукты обеспечивают защиту от атак прикладного уровня, специфичных для используемых при интеграции протоколов (по аналогии с WAF для протокола HTTP), контроль целостности передаваемых сообщений, интеграцию с внешними системами управления доступом.

Базы данных. Системы управления базами данных являются стандартом де-факто для хранения информации, используемой приложениями. При этом с СУБД осуществляется работа по различным каналам с использованием:

  • клиент-серверных приложений;
  • многозвенных приложений;
  • инструментария для разработки программного обеспечения или администрирования СУБД;
  • локальных средств управления сервисами СУБД.

Пользователи могут исчисляться сотнями и тысячами человек, а ценность информации — миллионами долларов. При этом данные, хранящиеся в СУБД, могут быть несанкционированно просмотрены, уничтожены и модифицированы путем как ошибочных действий, так и злонамеренных. В случае действий злоумышленников могут быть использованы уязвимости как СУБД, так и взаимодействующих с ней приложений.

Для решения задачи защиты СУБД необходимо:

  • осуществлять мониторинг взаимодействия с СУБД;
  • контролировать доступ к наиболее критичным данным, выполнение операций над структурой базы данных и административных задач;
  • обнаруживать атаки в сетевом трафике, направленные на СУБД;
  • при необходимости блокировать неразрешенные взаимодействия.

Данный функционал реализуется с помощью продуктов класса Database Activity Monitors (DAM), которые функционируют в режиме сниффера. Кроме того, DAM зачастую содержат сканеры уязвимостей СУБД для комплексной оценки защищенности.

Риски при автоматизации бизнеса за счет бизнес-приложений зачастую неприемлемо высоки из-за возникающих угроз. Появляется также все больше требований со стороны законодательства и различных стандартов, которые касаются обеспечения безопасности данных и контроля доступа к ним. Актуальность проблемы подтверждают и крупнейшие аналитические агентства (например, Gartner рассматривает этот вопрос в своем материале Hype Cycle For Data and Application Security). Ho в настоящее время существуют продукты, способные обеспечить безопасное использование бизнес-приложений:

  • Web Application Firewall (F5 Networks BIG-IP Application Security Manager, Imperva SecureSphere Web Application Firewall);
  • продукты для контроля действий пользователей и обнаружения мошенничества (Intellinx);
  • XML Gateway (IBM DataPower XML Security Gateway XS40, Imperva SecureSphere Web Application Firewall);
  • Database Activity Monitors (Imperva SecureSphere Database Monitoring/ Security Gateway).

Подобные средства обеспечивают обнаружение нарушений в режиме реального времени, а также позволяют расследовать инциденты информационной безопасности. Все классы средств обеспечивают защиту данных и приложений, поэтому зачастую в одном продукте можно встретить широкий набор функциональных возможностей (например, WAF и DAM или WAF и XML Gateway). Из данного конструктора можно построить прочную стену, используя накопленный опыт и знания и обеспечить тем самым защиту бизнеса.




Предыдущая новость:
Безопасность бизнеса в финансовой отрасли
Следующая новость:
От ИТ-инфраструктур требуют гибкости и масштабируемости