Безопасность карточного бизнеса : бизнес-энциклопедия
Шрифт:
Довольно хорошее описание возможностей решений класса SIEM можно прочитать на сайте компании Gartner [92] , который с завидной регулярностью обновляет не только описания систем ввиду их постоянного процесса улучшения (не только SIEM [93] ), но и свой рейтинг, приводя сравнения решений различных вендоров в виде наглядных «магических квадрантов» [94] (рис. 3.5).
92
www.gartner.com
93
Квадрантом с лидерами по шкале «Полнота видения», т. е. по количеству поддерживаемых систем для быстрого подключения (слева направо) и общим функциональным способностям (снизу вверх) является верхний правый квадрант, соответственно, чем продукт выше и правее, тем его рейтинг выше.
94
Полную версию данного документа можно посмотреть по адресу http:// www.gartner.com/ it/content/1380400/1380414/june_30_security_information_mnicolett.pdf, но всегда лучше проверить актуальную версию.
К сожалению, относительно систем контроля защищенности (сканеров) такого отчета нет, по крайней мере такого, который учитывал бы все самые «сканирующие» решения. Например, довольно часто забываются российские разработки, которые порой намного превосходят по функционалу зарубежные аналоги, но не настолько популярны за пределами СНГ. Поэтому здесь необходимо отталкиваться от тех задач, которые планируется решать, и самостоятельно анализировать возможности решений от различных вендоров.
Если же оценивать все вышесказанное с точки зрения именно специалиста, на которого возлагается обязанность заниматься вопросами обеспечения реальной защищенности ИС [95] , то как минимум необходимо будет провести работы по подключению всех требуемых источников событий к системе класса SIEM и настроить сканеры безопасности соответствующим образом на серверы и рабочие станции. Работа колоссальная, если в компании большое количество серверов, которые не стандартизированы, большое количество сотрудников, часто находящихся на территориально распределенных объектах. Но если преодолеть трудные первые этапы, результаты будут видны сразу — например, будет видно, что неправомерно используется учетная запись Administrator корневого домена, администраторы сами себе на время раздают особые права, чтобы какую-то информацию «слить» на флешку и т. д. В зависимости от настроек аудита на «источник событий», а также уровня детализации (например, уровни логирования Emergencies и Debug для сетевых устройств, т. е. минимальный и максимальный уровни) при использовании системы возможны следующие варианты анализа и выявления событий:
95
ИС — информационная система
• все попытки изменения конфигураций на маршрутизаторах и других сетевых устройствах с указанием, кто, когда и что изменил. Отслеживание атаки с полной предысторией ее начала и распространения по корпоративной сети или инфраструктуре глобальной сети;
• отслеживание попыток соединений с внутреннего оборудования в неразрешенные политикой безопасности места и статистическая информация о разрешенных соединениях между внутренними и внешними хостами — аномалии, повышенная активность разных хостов и др.;
• попытки доступа к собственно ресурсам серверов, учет доступа к серверам с административными правами;
• анализ запуска на сервере несанкционированных программ, подмена файлов (например, апгрейд) и изменение файлов. Удаление критичных файлов;
• мониторинг запуска и остановки служб. Мониторинг запущенных сервисов и приложений, информация о падении или остановке сервиса;
• связь попыток доступа с возможным использованием уязвимостей (exploits) внутренней инфраструктуры;
• мониторинг доступа к базе данных и анализ подключений — кто подключался и какие способы подключения использовались (например, SSH и telnet);
• кто работал с базой данных с администраторскими правами и что сделал;
• и многое другое.
Во всем мире, как специалисты по безопасности, так и те, кому они противостоят, используют множество самых разных вариаций софта, которые автоматизируют многие процессы по обнаружению и/или реализации уязвимостей в различном ПО. Одним из самых распространенных типов реализаций можно без преувеличения назвать Meterpreter, входящий в состав MSF (Metasploit Framework) [96] , который обновляется регулярно и позволяет автоматизировать взломы по известным багам и не закрытым уязвимостям в ПО, причем механизмы эксплуатации так называемых 0day уязвимостей [97] в нем также присутствуют, т. е. специальные инструменты (эксплойты, или exploit), которые реализуют взлом через те уязвимости, которые не закрыты на момент выхода данного эксплойта. Так, например, можно через, скажем, Nmap (мультиплатформенный бесплатный сетевой сканер) просканировать некий пул адресов, подсетей или же конкретный сервер, примерно определить, что на нем есть и какая операционная система используется, а дальше применять эксплойты под уже известные уязвимости. Что уж говорить про версию Metasploit Pro, в которую добавлен WEB 2.0 интерфейс.
96
www.metasploit.com
97
Уязвимости нулевого дня.
По понятным причинам никаких конкретных скриптов по использованию данного продукта особо не найдешь, даже долгое время проведя в поисковиках, поскольку даже на сайтах, посвященных безопасности, или хакерских форумах ими не любят делиться.
Пожалуй, самый распространенный способ списать деньги со счета клиента — это воспользоваться компьютером того же клиента, точнее того сотрудника, который может такие операции проводить. Схема атаки довольно стандартная и про нее не раз было сказано в Интернете. Бэкдор [98] на компьютер жертвы, USB_over_Network share [99] , Remote control toolkit [100] , кейлоггер [101] — все что нужно для проведения такой операции. Злоумышленник со своего компьютера запускает приложение клиент-банка, вводит пароль, полученный с помощью кейлоггера, при этом компьютер жертвы используется как шлюз, а при помощи USB_over_Network share злоумышленник имеет доступ к ключу жертвы, чтобы подписывать им платежки. Конечно, в каждом конкретном случае схема может меняться в зависимости от банка, к примеру, но суть одна — получить доступ к компьютеру жертвы, установить канал к ключу и получить пароль, на этом все — можно переводить деньги.
98
Бэкдор, backdoor (от англ. back door, черный ход) — программа или набор программ, которые устанавливает взломщик (хакер) на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор: в GNU/Linux — Bash, в Microsoft Windows NT — cmd).
99
Различные программы, или утилиты, позволяющие использовать устройство, подключенное в USB-порт удаленного компьютера, как будто оно подключено в USB-порт вашего локального ПК.
100
Различные утилиты для удаленного управления компьютером по сети. При наличии бэкдора использовать не обязательно, но иногда более удобно.
101
Кейлогер, кейлоггер, keylogger (англ. key — клавиша и logger — регистрирующее устройство) — это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.
Помимо ПО для взлома, полезно иметь еще некий набор средств для проведения расследований инцидентов информационной безопасности — так называемые forensic tool’s [102] и специальные программы. Ими активно пользуются все, кто имеет хоть какое-то отношение к безопасности, поскольку нужно не только найти нарушителя информационной безопасности, но еще и доказать, что это именно он сделал это и именно в такое-то время. В данном случае лучшим помощником является Интернет, а точнее — google.com, поскольку где-то 90–95 % всего forensic-софта делается не у нас, а значит, и искать нужно по зарубежным форумам и специализированным сайтам. Или же на конкретных ресурсах, где можно найти, например, отлично работающую утилиту USB History, из названия которой понятно, что она вытаскивает из недр реестра Windows, обрабатывает и сводит в один вид информацию о том, какие USB-устройства и когда были подключены в последний раз [103] .
102
«Компьютерный сборщик судебных улик», иными словами программно-аппаратные средства для сбора информации, скрытой глубоко в операционной системе, с целью получения доказательств о каком-либо неправомерном использовании компьютера.
103
Скачать данную утилиту можно по адресуКроме того, можно найти и комплексное решение, в которое вошли многие признанные утилиты в области расследований инцидентов нарушения ИБ, — например, WinTaylor .
Одним из основополагающих принципов построения центра ИБ является уход от «бумажной безопасности», когда отсутствует контроль настроек ИТ-систем, т. е. политики реализованы только в виде регламентирующих документов, а как они реализованы на практике, никто не знает, и когда отсутствует процесс управления защищенностью, ведь новые уязвимости появляются ежедневно и никто в компании не знает, какие есть бреши в их системе. Если быть точнее, то не уход, а переключение осознания того, что если «так написано, значит, оно так и есть», на «если так написано, то надо проверить, исполняется ли». Конечно, сотрудники службы информационной безопасности могут быть в отличных отношениях с админами и полностью им доверять, но это не означает, что нужно отменять принцип «четырех глаз» и делать, как кому-либо удобнее, нежели чем безопаснее. Все мы понимаем, что необходимо искать некий компромисс между безопасностью и производительностью, поскольку это прямо противоположные понятия, но только в том случае, когда мы настраиваем аудит каких-либо объектов, поскольку это напрямую будет способствовать увеличению затрат серверных ресурсов.
Поэтому нужно четко понимать, какие именно действия или, проще говоря, события мы хотим увидеть.
Использование обеих систем (SIEM и сканер безопасности) в связке позволяет контролировать то, что происходит в сетях, на рабочих станциях, серверах, в базах данных, и оперативно реагировать, если произошло нарушение установленных регламентов и политик или имела место иная внештатная ситуация. Кроме того, две системы позволяют лучше оценить то, каковы могут быть потенциальные последствия вновь обнаруженных уязвимостей.
О самом процессе производства банковских карт и его этапах написано немало [104] . Этот раздел в книге хотелось бы посвятить жизненному циклу карточного продукта с момента его рождения и доставки банку-эмитенту с соблюдением мер безопасности.
Когда мы говорим о производстве продукта, то следует понимать, что карточный продукт, или продукция, не может быть выпущена на обычной фабрике. И не только потому, что требуется специализированное оборудование, обученный персонал и технологии для ее производства, но и необходимо еще одно важное условие — это должна быть территория с высоким уровнем безопасности.
104
Например, см.: Платежные карты: бизнес-энциклопедия. М.: Маркет ДС, 2008.