Основные принципы защиты рабочих станций сотрудников банка
В зависимости от того, в каких технических условиях проходит работа сотрудников, которые имеют доступ к информации о клиентах и их картах, способы защиты персональных рабочих компьютеров могут и должны быть различными.
К техническим условиям мы относим в первую очередь способы защиты периметра информационной системы (набор инструментов, поставщик решений, внутренние регламенты). При этом высокий статус вендоров решений по безопасности может создавать впечатление, что все надежно защищено, но на практике ситуация выглядит иначе. Часто любой из сотрудников банка имеет физическую возможность войти на любой компьютер под своей учетной записью. Поскольку не все сотрудники хранят свои служебные документы на сетевых дисках, где им положено быть, или хотя бы в своем профиле, а на локальных дисках в общедоступных папках, то к этим документам потенциально имеют доступ все сотрудники. Конечно, можно просто запретить сотрудникам внутренним приказом хранить документы на локальных дисках и уповать на их добросовестность. Но как быть, если в открытом виде хранятся не только документы, а еще и файлы конфигураций или файл «мои пароли. txt»? Чем это грозит? Как это учитывать, если доступ к очень важным системам дается по связке «логин + пароль» с привязкой к статическому IP-адресу? Опять издавать приказы и надеяться, что их будут строго выполнять?Подходы к решению задачи защиты рабочих станций могут быть разными, но большинство специалистов-практиков склоняются к стандартным способам технической реализации. Например, посредством такой утилиты Windows, как «Объект групповой политики» (GPO — Group Policy Object), можно принудительно закрыть другим сотрудникам возможность входа на компьютеры сотрудников, которые работают с данными клиентов. При этом надо учитывать, что USB-токены не являются панацеей (как в данном случае, так и в случае использования их при проведении платежей).
Возможность туннелировать трафик USB на компьютер злоумышленника остается всегда, пока сам токен включен в компьютер, и не секрет, что многие специалисты просто оставляют ключ в USB-порту на весь рабочий день.Следующая важная мера — программное обеспечение, не используемое на компьютере, должно быть удалено или отключено, таким образом будет закрыто множество уязвимых мест[83].
Многое из того, что следовало бы сделать, чтобы максимально (полностью не получится никогда) обезопасить рабочие станции сотрудников, можно придумать и самому, для этого всего лишь необходимо исходить из принципа «минимальных привилегий» пользователя для организации доступа, а также здравого смысла во время технической реализации. Использовать настройки поумолчанию не рекомендуется никогда, и это не зависит от того, к чему применяется данное утверждение. Если есть техническая возможность поменять в конфигурационных файлах порты — сделайте это (например, на продакшн-серверах SSH перемещается с 22-го порта на 2002, если он не занят), если сотрудники поддержки могут дойти до компьютера пользователя, например, работают в одном офисе — на компьютере пользователя можно как минимум включить встроенный файрвол на блокировку всех входящих соединений без исключения. Почему без исключений? Да просто потому, что техническая возможность ICMP-туннеля[84] на компьютер жертвы, т.е. сотрудника, также есть, поэтому, не закрыв пресловутый пинг[85] из-за возможности мониторить, включен ли компьютер (или еще хуже — сервер), может обернуться открытым шеллом[86] с возможностью полного управления с компьютера злоумышленника. Что уж говорить про другие незакрытые возможности удаленного воздействия. Можно также использовать уже проверенные временем и постоянно дорабатываемые международные Best practice, которые всегда можно найти на сайте CIS (www.cisemrityorg), причем не только для Windows всех мастей, но и сетевого оборудования, веб-серверов, UNIX, Apple, Check-Point, Oracle и многое другое, даже для прикладного ПО, например Firefox или Opera.
Поскольку все приведенные на сайте рекомендации достаточно хорошо и полно описаны, думается, нет смысла их дублировать.Подытоживая, основные принципы можно описать следующим образом:
•сегментация — все компьютеры сотрудников процессинга в отдельной подсети (еще лучше, если за отдельным файрволом);
•GPO — отдельные, более жесткие настройки ПК, контролируемые через групповые политики, особенно это касается политики паролей к учетным записям;
•антивирусное программное обеспечение;
•все установленное ПО, как на компьютере пользователя, так и на сервере, должно нести функциональную нагрузку, а если что-то не востребовано для выполнения конкретных служебных задач — смело удаляем;
•IP-фильтрация всего трафика. Это, конечно, не очень серьезная защита, но некоторую сложность для потенциальных злоумышленников все-таки составит;
•своевременные обновления. Думаю, не лишним будет сказать, что если до официального выхода патча какой-либо уязвимости о ней могут знать единицы, то после выхода патча — все знают, а значит, воспользоваться брешью в безопасности ОС или ПО могут попробовать многие;
•и последнее по счету, но не по важности — регулярное испытание на проникновение (пен-тест) и аудит как хостов внутри сети, так и периметра.
О последнем пункте расскажем чуть подробнее.
Пен-тест — это «испытание на проникновение», другими словами, когда мы ничего не знаем в том хосте, который начинаем сканировать, и пытаемся получить информацию о версии операционной системы, открытых портах, службах на этих портах и т.д., получив такую информацию, мы получаем в свои руки огромное количество потенциальных лазеек, использовав которые можем получить привилегированные права к системе. Дабы обезопасить себя от реальных проникновений, лучше определить уязвимые места самому, чем это сделает кто-то за нас.
Под аудитом же мы понимаем как сбор статистической информации о том, что есть в нашей сети, так и мониторинг того, что происходит сейчас или произошло в прошлом, другими словами, сбор и анализ логов с различных источников, их нормализация, агрегация и в итоге корреляция по заданным правилам. За пен-тест и аудит в части сбора статистики отвечают различные сканеры безопасности, хороших из них, на взгляд авторов, не больше пяти, а полнофункциональных вообще один.
За сбор логов и их дальнейшую обработку отвечает другой класс систем, так называемые SIEM-решения (Security Information and Event Management).