Как признают очень многие специалисты, проблеме безопасности ERP-систем, да и других бизнес-приложений (CRM/SCM, банковских, биллинговых, BI и многих других), не уделяется должного внимания. Однако именно там содержится практически вся информация о компании, и ее потеря может привести к весьма серьезным последствиям. И всевозможные киберпреступники все чаще обращают внимание на эту информацию. Примеров, иллюстрирующих это, можно привести немало, хотя бы из числа тех, что попали в прессу. Таким образом преступники похищают реквизиты банковских карт, информацию о сотрудниках, партнерах и заказчиках, всяческие ноу-хау и многое другое, ведь в системах автоматизации бизнеса хранится, что называется, все, а иногда и то, что нужно. Можно с успехом заметать следы всякого рода злоупотреблений, примеров чему также немало.
Так произошло по историческим причинам. Если ПК, серверы, элементы сетевой инфраструктуры используют практически все, то ERP, особенно «тяжелые» вроде SAP R/3 или Oracle E-Businnes Suite, применяют уже немногие. И инструменты автоматизации бизнеса не рассчитаны изначально на работу в такой агрессивной среде, как публичный Интернет. Безопасность никогда не была для них конкурентным преимуществом, приоритетными всегда оставались функциональные возможности. Считается, что раз они находятся внутри корпоративной сети, которая защищена, то никаких дополнительных мер принимать не стоит. Тем более что потенциальные заказчики обычно не вникают в проблемы безопасности и просто не включают соответствующие требования уже на стадии технического задания. А раз за это не платят, то зачем тратить на это свои ресурсы? В результате специалистов, которые бы занимались целенаправленным поиском уязвимостей в ERP‑системах, крайне мало.
Но это лишь иллюзия. Специфика бизнес-приложений такова, что они хранят всю информацию компании, и доступ к ним имеют все сотрудники. А как показывают результаты исследования IT Policy Compliance Group, большая часть утечек информации происходит через инсайдеров, имеющих вполне легитимные права доступа. И в кризис эта проблема усугубилась — об этом говорит существенный рост доли умышленных утечек. Не стоит забывать, что и внешние злоумышленники могут действовать изнутри с помощью троянских программ или скрытых средств удаленного управления. Свою роль играет, кроме того, несовершенство бизнес-процессов компании, которые автоматизирует та или иная система.
Хотя, надо отметить, сдвиги все же происходят. Прежде всего, в сегменте ПО для обслуживания клиентов, особенно если речь идет о разных дистанционных его формах, в том числе и через Интернет. Однако на основную массу ПО эти перемены влияния не оказывают.
Взлом. Как это делается
Существует несколько уровней, через которые проникают в систему. Их как минимум пять, и на каждом можно получить полный контроль — по крайней мере, над ERP‑системой. Такова уж их специфика. Используются бреши в корпоративной сети, в серверной ОС, серверах СУБД, серверах приложений, наконец, в клиентском модуле. И на каждом из этих уровней существует масса уязвимостей.
Всему виной беспечность
В целом ряде случаев утечки происходят вследствие беспечности. Особенно часто это случается с беспроводным сетевым оборудованием, у которого даже не меняются заводские пароли. Естественно, этим пользуются злоумышленники. Результаты получаются просто ошеломляющие, как в случае взлома кассовой системы (это, конечно, не ERP, но тоже прикладная система) в торговой сети TJX, который привел к компрометации почти 100 млн банковских карт в США и Канаде. Ранее та же группировка точно таким же способом украла реквизиты нескольких десятков тысяч кредитных карт в одной из ресторанных сетей.
Но этим возможные способы проникновения не исчерпываются. На сетевом уровне существует целый ряд других уязвимых мест и недоработок. Это, к примеру, передача паролей в открытом виде или с использованием слабых алгоритмов шифрования. Известно, что алгоритм WEP для тех же беспроводных сетей взламывается за считанные минуты. Появились способы расшифровки паролей и для WPA, так что полностью безопасным можно считать только WPA2.
Много потенциальных проблем создают стандартные учетные записи. Стандартные пароли существуют и в СУБД, и в самой ERP‑системе. И их не всегда оперативно меняют. Для успешного проникновения, к примеру, можно применить вход с правами стандартного пользователя backup с точно таким же паролем, который очень нечасто меняют. Причем права этого пользователя позволяют получить полный доступ к базам данных Oracle, включая чтение и изменение. И хорошо, если такое проникновение было осуществлено в ходе аудита, а не реального взлома. Сильно облегчают «работу» взломщика пустые или простые пароли на клиентских рабочих местах.
Ошибки в ПО — подарок для злоумышленника
Имеются дыры и в протоколах аутентификации многих систем автоматизации бизнеса, в том числе используемых в некоторых продуктах SAP. Крайне уязвима процедура идентификации, если хеш-пароль генерируется на клиентском ПК, а такие встречаются в некоторых бизнес‑системах. Еще в 2007 году стали известны очень многие уязвимости протокола RFC, который широко используется в продуктах SAP. Они позволяют удаленно выполнять некоторые команды, в том числе и без процедуры авторизации. У Oracle источником проблем является процесс listener, «прослушивающий» все обращения к таблицам. В нем также обнаружено большое количество уязвимостей.
Очень много «дыр» на уровне операционных систем, и ими также можно воспользоваться. Они есть во всех системах, вопрос лишь в квалификации взломщика. Это, как уже было сказано, усугубляется использованием «слабых» или пустых паролей, которые легко подобрать. Порой важные данные хранятся в так называемых общих каталогах. Иногда в таких каталогах находятся исполняемые модули ERP‑систем и используемые ими базы данных, что позволяет при желании извлечь оттуда всю необходимую информацию.
Получить доступ к операционной системе можно и с помощью уязвимости Web-приложений. Например, Oracle Portal позволяет запускать JAVA-приложения, с помощью которых можно получить нужные привилегии. Огромное количество уязвимостей связано с межсайтовым скриптингом (cross-site scripting), с использованием элементов ActiveX, файлами cookies. Их использование также позволяет получить доступ к атакуемой системе или данные для аутентификации.
Часто приложения уязвимы из‑за того, что разработчики применяют технологии, которые просто не предусматривают никаких механизмов разграничения доступа. Это, к примеру, СУБД на плоских файлах. Да и возможности более развитых СУБД, где есть разграничение доступа, часто или не используются, или используются не в полной мере. И действительно, любой аудитор может рассказать, что доступ к тем или иным таблицам имеют сотрудники, которым они не нужны. К чему это может привести? Хорошим примером служит инцидент, произошедший в лихтенштейнском банке LGT Treuhand в 2008 году, где один из служащих продал информацию о вкладчиках германским спецслужбам (см. История двух инсайдеров // Intelligent Enterprise, № 19/2008). Ему достаточно было сделать простое копирование этой информации.
Также часто приходится сталкиваться с тем, что не закрывается доступ к таблицам с хешами паролей, в том числе привилегированных пользователей. Их расшифровка относительно несложна. Так что злоумышленник, особенно если речь идет об инсайдере, может получить доступ ко всей информации, которая находится в ERP‑системе. О подобном случае рассказал на выставке-конференции Infosecurity Russia 2009 руководитель направления аудита ИБ компании Digital Security Александр Поляков.
Но даже если периметр сети закрыт и приняты все меры по разграничению доступа к данным, то и тогда рано расслабляться. Вот, к примеру, типовой сценарий проникновения в систему, который привел на выставке-конференции Infosecurity Russia 2009 Илья Медведовский, директор компании Digital Security. Этот сценарий использовался в ходе одного из аудитов в области информационной безопасности. Специалист Digital Security подготовил письма, которые были разосланы сотрудникам проверяемой компании — пользователям SAP R/3. В этих письмах методами социальной инженерии заманивали на специальным образом подготовленную страничку в Интернете. При этом вероятность успеха довольно высока. Если в компании проводятся мероприятия по повышению осведомленности сотрудников о всяческих угрозах, то атака по данному сценарию будет успешной в 3—4% случаев. А если не проводятся, то данный показатель достигает уже 50%. А на этой самой страничке загружался ActiveX-компонент, содержащий эксплоит, который задействовал одну из уязвимостей, открывающую кому угодно удаленный доступ к клиентскому приложению SAP GUI. Дальше была получена информация обо всех модулях ERP‑системы, проверено наличие стандартных учетных записей и паролей. При этом стандартные пароли использовались в трех из десяти систем. Был получен контроль над системой при помощи одной из транзакций, затем над ОС, а потом и над СУБД. А уже оттуда открылся путь ко всем бизнес-данным и паролям пользователей, хранящихся в SAP R/3. При этом использовались исключительно известные уязвимости систем SAP, без использования всяческого рода продвинутых средств для атак. И этим перечень атак с использованием ActiveX компонент не исчерпывается. С их помощью можно делать буквально все, что угодно, прочитав любые данные. Особенно в комбинации с применением «дыр» RFC-протокола.
Также очень проста технология атаки на SAP GUI с использованием уязвимостей механизмов печати, где соответствующий порт практически полностью открыт. Уже было отмечено несколько инцидентов, где похитители воспользовались этой дырой в защите. Положение усугубляется тем, что SAP R/3 GUI не имеет механизма автоматического обновления. Учитывая, что с ней работают практически все сотрудники, процедура ручного апдейта данного приложения станет для ИТ‑службы форменным кошмаром. И проводиться, скорее всего, не будет, что вполне естественно. Да и обновления к нему выходят крайне редко. К тому же политика SAP такова, что обновления для «устаревших» версий вообще не выпускаются.
При этом есть немало уязвимостей, позволяющих повышать права доступа. И такие способы хорошо известны. Таким образом, используя стандартную учетную запись, злоумышленник может легко проникнуть в систему.
Вот пример успешного проникновения, о котором рассказал Александр Поляков. Оно было произведено в ходе одного из аудитов на систему, не работающую с реальными данными, а являющуюся неким связующим звеном. Но она имела соединение по RFC-протоколу с HR‑системой. В результате удалось вызвать одну из транзакций, которая хранила аутентификационные данные для подключения к HR‑системе, с полными привилегиями. Ну а дальше злоумышленник, если бы это был он, смог бы получить доступ ко всей информации этой компании. Точно так же, с помощью подбора пароля к стандартным учетным записям, удалось получить доступ к системе Oracle Business Intelligence. Она не была привилегированной, но позволяла получать доступ к некоторым PL/SQL процедурам. И с помощью задействования уязвимости SQL injection удалось получить доступ к выполнению JAVA процедур, и как следствие — к операционной системе.
Есть уязвимости и в самих приложениях. Так, у SAP R/3 оказалось, по состоянию на 1 июля 2009 года, 14 известных уязвимостей. Для сравнения, у Oracle E-Businnes Suite на ту же дату выявлено 110 уязвимостей. С другой стороны, механизмы работы SAP R/3 чрезвычайно сложны и требуют использовать большое количество специалистов, на что бизнес-руководство не готово идти, особенно в кризис. У систем автоматизации бизнеса других вендоров, в том числе и российских, ситуация примерно такая же. В чем‑то даже хуже, поскольку нет сложных механизмов межпользовательского взаимодействия. Отличаются лишь сами уязвимости и технологии их использования. Их перечень и возможные сценарии атак регулярно публикуются на специализированных сайтах, например, Black Hat Technical Security Conference. Есть и специализированная литература. Это, в частности, книга Александра Полякова «Безопасность Oracle глазами аудитора. Нападение и защита», а также интернет-ресурс исследовательской лаборатории компании Digital Security (dsecrg.ru).
Как не допустить взлома или утечки
Прежде всего, практически у всех основных поставщиков бизнес-ПО есть руководства по безопасности. И их использование позволяет закрывать большинство отмеченных выше уязвимостей. Особенно хорошо проработан SAP Security Guide. Вместе с тем, стоит понимать, что применение этих настроек закрывает далеко не все дыры в защите, особенно связанные с уязвимостями. Однако уже замена паролей по умолчанию для технологических учетных записей заметно осложнит жизнь потенциальным злоумышленникам. Равно как своевременное изъятие из системы данных информации о логинах и паролях уволенных сотрудников, регулярное обновление антивирусных средств, правильная настройка межсетевых экранов и других средств защиты периметра сети. С паролями для пользователей все, к сожалению, сложнее. Слишком простые легко подобрать, а сложные трудно запомнить, в результате чего их будут просто приклеивать на видном месте, и они снова могут стать легкой добычей. Применение же всяческого рода ключей требует затрат. На них могут и не пойти, особенно в нынешних непростых условиях. Однако этот способ, пожалуй, все же оптимальный.
То же относится и к установке обновлений и всяческого рода программных «заплаток». Однако и тут нужна осторожность. Например, установка обновлений к СУБД Oracle очень часто чревата сбросом многих паролей к принятым по умолчанию, так что, закрывая одну «дыру», мы открываем несколько новых. Ну или придется заново проводить всю работу по их замене, а это процесс трудоемкий и требующий перезапуска приложения. Так что данная процедура не может быть проведена когда угодно. Еще одна рекомендация — тщательнее выбирать ПО. Например, использование ActiveX компонент, через которые производятся многие атаки, возможно только в Microsoft Windows Internet Explorer, а в других браузерах они просто не работают. Также известно, что HP-UX, в силу меньшей распространенности, менее подвержена целому ряду технологий взлома, чем Microsoft Windows Server, Linux (точнее, RHEL и SLES), Sun Solaris или IBM AIX. Однако стоит иметь в виду, что и это не всегда возможно, так как может помешать нормальной работе других систем или даже привести к несовместимости с ними. Может и просто не оказаться нужных специалистов. Естественно, это неприемлемо для бизнес-пользователей.
Другой способ избежать многих проблем — использование механизмов разграничения прав пользователей. Эти меры действительно снимают очень много каналов для потенциальных утечек и сильно осложняют жизнь злоумышленникам, причем как внутренним, так и внешним. Но при этом их внедрение — процесс длительный, и к тому же во многом болезненный, часто требующий довольно серьезной перестройки бизнес-процессов. Одному из таких проектов посвящен отдельный материал в настоящем номере. Но все же лучший способ защиты сложной инфраструктуры — проведение регулярных аудитов. Он одинаково хорошо подходит для практически любых КИС, будь то ERP‑система, банковская АБС или что‑либо еще. Причем на всех этапах, начиная с проектирования.
Защита бизнес-приложений — процесс многогранный
Михаил Башлыков,
руководитель направления информационной безопасности компании КРОКЗащита прикладных систем в рамках современных ИТ-инфраструктур требует комплексного подхода, который предполагает налаживание внутренних организационных процессов обеспечения информационной безопасности (ИБ) и внедрение технических механизмов защиты на основе всестороннего анализа угроз и рисков в отношении данных, хранящихся и обрабатываемых в подобных системах.
Если остановиться только на технических механизмах защиты, то, в дополнение к традиционным средствам (межсетевые экраны, антивирусы и другие базовые элементы обеспечения ИБ), необходимо применять специализированные средства, ориентированные на анализ настроек и логики работы прикладных систем с точки зрения возможных нарушений информационной безопасности. Важными механизмами защиты при этом выступают средства, способные, например, автоматизировать процесс оценки соответствия настроек прикладных систем (ERP, СУБД и пр.) лучшим рекомендациям по их защите и внутренним политикам безопасности, а также анализировать логику взаимодействия между компонентами прикладных систем на основе анализа сетевого трафика на прикладном уровне. В первом случае рекомендуется пользоваться специализированными средствами (например, Symantec Control Compliance Suite, Positive Technologies MaxPatrol), позволяющими выполнять проверки системы безопасности организации на предмет соответствия самым современным требованиям и стандартам безопасности, включая возможности упорядочивать процесс настройки, проводить аудиторские проверки на наличие слабых и уязвимых мест. Во втором случае имеет смысл использовать специализированные средства анализа сетевого трафика, способные выделять и анализировать прикладные данные в сетевом потоке, передаваемом между компонентами прикладных систем. К таким средствам, в зависимости от механизмов контроля, относятся, например, Imperva SecureSphere Web Application Firewall и Imperva SecureSphere Database Firewall, Intellinx, IBM Data Power.
Влезть в шкуру хакера
Денис Батранков,
эксперт-консультант по ИТ-безопасности IBM в России и СНГОчень грамотно написанная статья, на основе которой можно оценить подходы к проверке защищенности приложений в своей организации. Поскольку методов проникновения и кражи информации имеется несколько, то и защита должна состоять из нескольких методов, то есть быть эшелонированной. В тех компаниях, где информация, хранимая в системах, представляет ценность и требуется сохранять ее от утечки, стоит использовать все методы защиты.
Как же найти эти каналы утечки? Лучше всего посмотреть на свою систему с точки зрения хакера. Для этого достаточно заказать подобную проверку у специализированных групп специалистов, которые предоставляют такую услугу. Она так и называется: «тест на проникновение». В ходе такой проверки выявляются и упущенные администраторами пароли по умолчанию, и неверные настройки доступа для пользователей. Также тестеры всегда проверяют наличие уязвимостей в операционных системах и у используемых приложений, а также, что самое важное, в головах пользователей, которые постоянно норовят эксплуатировать систему небезопасным образом. Тест лучше всего делать как внешний, так и внутренний.
Другой, особенно важный прием в таких системах — принцип «доверяй, но проверяй». Во многих случаях администраторы системы полностью неподконтрольны владельцу бизнеса и могут легко влиять на данные, которыми оперирует бизнес в своих целях. Как контролировать деятельность администраторов, ничего не понимая в технологиях?
Здесь хорошим подспорьем будет заказ удаленного управления безопасностью, где сторонней компанией круглосуточно контролируется безопасность. В частности, у нее же хранятся журналы безопасности, которые администраторы сети уже не могут подправить. На стороннюю компанию администратор не может повлиять, а при попытке это сделать сразу же будет оповещен сам владелец бизнеса. Существует и специализированное ПО для контроля администраторов.
Проблема защиты данных стоит остро
Александр Козлов,
руководитель отдела решений по информационной безопасности компании «ФОРС – Центр разработки»К решению задачи по обеспечению информационной безопасности необходимо подходить комплексно. Это предполагает разработку целостной концепции информационной защиты предприятия, учитывающей специфику бизнес-процессов, корпоративной политики безопасности и применяемых технологий. Согласно требованиям Федерального закона «О персональных данных» предприятия должны использовать сертифицированные средства защиты информации. И если сейчас существует большой выбор таких средств для использования на уровне рабочих станций, локальной сети и каналов связи, то проблема защиты данных на уровне бизнес-приложений, СУБД и электронных документов стоит достаточно остро. Во избежание трудностей, связанных с сертификацией самих бизнес-приложений, защиту данных в них лучше осуществлять уже сертифицированными наложенными средствами. Такие решения, например, предлагает Oracle. Все они сертифицированы на соответствие требованиям безопасности информации для защиты автоматизированных систем как на уровне бизнес-приложений (ERP, CRM, АБС и т. д.), так и на уровне СУБД и электронных документов.