Бизнес-приложения как объект защиты системой ИБ

2 Сентября 2008 Connect
Connect
#9, сентябрь 2008 г.
Владислав Ершов,
лидер направления "Безопасность бизнес-приложений", Открытые Технологии.

Риски при автоматизации бизнеса с помощью бизнес-приложений зачастую неприемлемо высоки из-за возникающих угроз. К тому же все больше требований предъявляется со стороны законодательства и различных стандартов, касающихся безопасности данных и контроля доступа к этим данным. Актуальность проблемы подтверждается и крупнейшими аналитическими агентствами (например, Gartner, в отчете Hype Cycle For Data and Application Security).

Для специалистов по информационной безопасности уже очевидно, что бизнес-приложения нельзя считать защищенными. Происходит это в первую очередь в силу человеческого фактора (ошибок при разработке, настройке, эксплуатации) и злонамеренных действий. В результате - утечка конфиденциальной информации, мошенничество, прерывание бизнес-процессов как следствие полного или частичного уничтожения/искажения информации.

Основные ограничения традиционно используемых средств ИБ связаны с невозможностью обеспечить контроль событий на уровне приложения. Этот тезис достаточно давно стал понятен западным специалистам по ИБ, к настоящему моменту такие идеи успели заслужить доверие и в России.


Защита веб-приложений

Для защиты веб-приложений существуют специализированные продукты - Web Applications Firewall (WAF). Классический WAF анализирует трафик, поступающий к приложению, на всех уровнях сетевой модели OSI, начиная с третьего. При этом акцент делается на верхних уровнях, где осуществляется контроль взаимодействия пользователя с приложением. WAF функционирует исходя из "белого списка" (пропускает явно разрешенный трафик на основе изучения работы приложения) в отличие от традиционных средств IPS, использующих сигнатурный анализ. WAF обеспечивает контроль специфичных для веб-приложений протоколов (HTTP, HTTPS) и различных параметров: cookies, параметров запросов, соответствия RFC и т. д.

Стоит отметить возможность контролировать и модифицировать не только запросы, но и ответы сервера. Таким образом, можно скрывать и служебную информацию (например, коды ошибок, версию ПО), и бизнес-информацию, которая не должна быть доступна извне (например, номера банковских карт).

Все современные WAF могут работать в режиме кластера (active/active или active/standby), обеспечивая высокую доступность, а некоторые продукты WAF помимо функций защиты выполняют и задачи по балансировке и оптимизации трафика. Опыт использования подобных продуктов показывает, что для каждой конкретной ситуации может быть выбрано оптимальное решение из представленных на рынке продуктов, исходя из поставленных задач.


Обнаружение злоупотреблений

Злоупотребления при работе с приложениями могут исходить как от сотрудников, так и от клиентов (например, при использовании систем дистанционного обслуживания). Средства разграничения доступа позволят навести некоторый порядок и ограничить права пользователей, но это не панацея.

Основной способ решения такой задачи - регистрация событий доступа пользователей на уровне данных и анализ этих событий на основе бизнес-правил. Штатные средства приложений по регистрации событий позволяют решить проблему лишь частично. К тому же возникает вопрос о доверии к техническому персоналу, ведь даже зарегистрированные факты легко изменить, имея доступ к их хранилищу. Таким образом, система регистрации и анализа событий должна быть максимально независимой.

Решения по обнаружению мошенничества должны отвечать следующим основным требованиям:

  • работа в режиме сетевого сниф-фера для полного и независимого контроля взаимодействия пользователей с приложением;
  • возможность анализа различных распространенных прикладных протоколов (HTTP(S), SQL, Swift, MQ Series, MSMQ и др.);
  • разбор трафика взаимодействия пользователей с приложением и выявление интересующих событий (аутентификация, доступ к определенным разделам приложения, просмотр счетов, перевод денег и др.);
  • формирование бизнес-правил, определяющих возможные мошеннические действия (доступ к большому количеству счетов в течение дня, изменение определенных данных, доступ в нерабочее время и др.);
  • надежное хранение зарегистрированных событий и контроль их нелегального изменения в хранилище;
  • анализ исторических данных для расследования инцидентов;
  • наличие средства автоматизации расследования инцидентов.

Подобные решения являются отличным инструментом автоматизации деятельности по обеспечению экономической безопасности организации (в том числе для внутреннего контроля и борьбы с мошенничеством).


Защита интеграционных платформ

С развитием ИТ зачастую приходится решать вопросы интеграции различных приложений внутри организации, обеспечивать взаимодействие с внешними организациями, что особенно актуально для крупных компаний, развивающихся за счет слияний и поглощений.

В настоящее время широкое распространение получила идеология сервисно-ориентированной архитектуры (SOA), при которой для интеграции используются открытые и стандартизованные протоколы на базе XML.

При интеграции приложений помимо преодоления технических сложностей необходимо решать и вопросы информационной безопасности. Основные риски связаны с возможностью внесения неверно сформированных или заведомо ложных данных, отправки сообщений от неавторизованного источника, а также с реализацией различных специфических атак (например, XML Flood или XPath injection).

Для решения задачи обеспечения безопасности при интеграции приложений могут быть использованы специализированные продукты класса XML Firewall (которые зачастую дополняются функционалом интеграции приложений). Данные продукты обеспечивают защиту от атак прикладного уровня, специфичных для применяемых при интеграции протоколов (по аналогии с WAF для протокола HTTP), контроль целостности передаваемых сообщений, интеграцию с внешними системами управления доступом.


Безопасность баз данных

Системы управления базами данных являются стандартом де-факто для хранения информации, используемой приложениями. Работа с СУБД осуществляется по различным каналам с применением:

  • клиент-серверных приложений;
  • многозвенных приложений;
  • инструментария для разработки ПО или администрирования СУБД;
  • локальных средств управления сервисами СУБД.

Количество пользователей при этом может исчисляться сотнями и тысячами, а ценность информации - миллионными суммами. Данные, хранящиеся в СУБД, могут быть несанкционированно просмотрены, уничтожены и модифицированы путем как ошибочных, так и злонамеренных действий. В случае действий злоумышленников могут быть использованы уязвимости СУБД и взаимодействующих с ней приложений. А легальные пользователи даже не нуждаются в глубоких технических знаниях - у них уже есть доступ!

Для решения задачи защиты СУБД необходимо:

  • осуществлять мониторинг взаимодействия с СУБД;
  • контролировать доступ к наиболее критичным данным, выполнение операций над структурой БД и решение административных задач (создание дампа данных, изменение полномочий доступа, создание пользователей и т. д.);
  • обнаруживать атаки в сетевом трафике, направленные на СУБД;
  • при необходимости блокировать неразрешенные взаимодействия.

Указанный функционал реализуется продуктами класса Database Activity Monitors (DAM), функционирующие в режиме сниффера, а некоторые из них - и в inline-ре-жиме при потребности в функционале блокирования. Кроме того, DAM зачастую содержат сканеры уязвимостей СУБД для комплексной оценки защищенности.


Итоги...

В настоящее время существуют продукты, способные обеспечить безопасное использование бизнес-приложений: Web Application Firewall (такие как F5 Networks BIG-IP Application Security Manager, Imperva SecureSphere Web Application Firewall); продукты для контроля действий пользователей и обнаружения мошенничества (например, Intellinx); XML Firewall (в частности, Imperva SecureSphere Web Application Firewall, IBM DataPower XML Security Gateway XS40, F5 Networks BIG-IP Application Security Manager); Database Activity Monitors (в том числе Imperva SecureSphere Database Monitoring/ Security Gateway).

Подобные средства обеспечивают обнаружение нарушений в режиме реального времени и позволяют расследовать инциденты ИБ. Используя накопленный опыт и знания, из них, как из конструктора, можно построить прочную стену, обеспечив тем самым защиту корпоративных приложений и бизнеса.




Предыдущая новость:
Защита бизнес-приложений
Следующая новость:
Законодательство в сфере защиты персональных данных