В 2010 г. в «Абсолют Банке» были полностью завершены работы по построению центра информационной безопасности. При его создании были использованы два решения: SIEM (security information and event management, управление событиями в области информационной безопасности) от ArcSight и сканера безопасности MaxPatrol от компании Positive Technologies.
Целью данного проекта стало создание процессов непрерывного контроля ИТ-инфраструктуры и событий информационной безопасности и, как следствие, снижение экономического ущерба от атак извне вследствие эксплуатации незакрытых уязвимостей внешними злоумышленниками или неправомерных действий внутренних нарушителей, как пользователей, так и администраторов. Кроме того, построение такой системы должно было привести к внедрению механизмов оценки эффективности ключевых показателей как ИТ, так и ИБ.
Техническая реализация контроля защищенности с помощью MaxPatrol сводится к выявлению наиболее часто эксплуатируемых уязвимостей на уровне как системного, так и прикладного ПО. А таких уязвимостей немало в программных средствах, которые используются в банках. Среди них можно, в частности, назвать Web-бразуеры, почтовые программы, офисные приложения Microsoft, средства чтения документов в формате PDF, многие IM‑клиенты, в том числе популярный ICQ, многие видеокодеки, JAVA-приложения и многие другие, в том числе и сами операционные системы. Ситуация еще более усугубляется тем обстоятельством, что наложение программных «заплаток» замедлялось вследствие высоких требований по обеспечению непрерывности в банковском секторе. В результате «черви» 2009 г. могут использовать уязвимости, о которых стало известно в 2006 г.
Все это очень облегчает задачу для потенциального злоумышленника. Или, что бывает гораздо чаще, просто приводит к заражению рабочих станций вредоносным ПО. Кроме того, по данным компании Positive Technologies, до трети российских сайтов заражены компонентами, которые позволяют получить доступ к серверам баз данных. Очень многие пользователи применяют слишком простые пароли. Так, например, как отметил начальник отдела контроля доступа службы информационной безопасности «Абсолют Банка» Александр Юрьев, до 70 % пользователей использовали пароли, которые очень легко подобрать с помощью соответствующего инструментария.
Потенциальные лазейки могут также находиться в результате неправильных настроек сетевого и серверного оборудования. Особенно часто, как отметил Александр Юрьев, приходится иметь дело с тем, что администраторы просто не меняют конфигурацию того или иного устройства, а вследствие этого подолгу не меняются пустые или, во всяком случае, хорошо известные потенциальным злоумышленникам пароли, которые устанавливаются производителями. Часто администраторы оставляют и лазейки в настройках средств защиты периметра сети. Кроме того, ПО многих маршрутизаторов, файерволов и другого оборудования тоже очень часто содержит большое количество всевозможных уязвимостей, хорошо известных злоумышленникам. Далеко не всегда есть уверенность и в том, что надежно защищены продуктивные серверы, которые оперируют реальными данными.
Александр Юрьев так описал возможные результаты проверок контроля защищенности с помощью сканирования MaxPatrol, которое имитирует действия возможного злоумышленника: «Получен полный доступ к рабочей станции старшего инженера. Но этим дело не ограничилось. Удалось получить доступ к магистральным маршрутизаторам, что позволяет полностью перенастраивать всю сетевую инфраструктуру на уровне любого из филиалов. Осуществлено успешное проникновение в технологическую сеть, а значит, контроль любых данных, пересылаемых по ней. Были успешно подобраны пароли к главным маршрутизаторам главного офиса. И, наконец, получен доступ 15‑го уровня к периметровому маршрутизатору Cisco. А эти права аналогичны root в Unix‑системах или администраторским в Windows». Предусмотрен и режим аудита, позволяющий оценить уровень соответствия основным российским и международным стандартам, в том числе СТО БР. Данное решение сертифицировано ФСТЭК. Вместе с тем среди слабых сторон данного решения была отмечена невысокая производительность.
Задачи, которые решает SIEM‑система ArcSight, сводятся к централизованному сбору тех или иных событий с устройств и программных средств и приведению их к единому виду. Это позволяет анализировать их взаимосвязь как в автоматическом, так и в ручном режиме. Средства корреляции событий позволяют быстро выявлять те или иные внештатные ситуации, например, действия вредоносного ПО или DDOS-атаки, и своевременно на них реагировать. Имеются также средства анализа логов устройств и ПО.
Предусмотрена оценка соответствия настроек установленным политикам в области информационной безопасности. Есть и настройки, направленные на то, чтобы система соответствовала наиболее востребованным стандартам в области безопасности, например PCI DSS. При этом можно увидеть, кто именно вносил те или иные изменения в конфигурации, пытался проникнуть в ту или иную подсеть, пытался запускать серверное ПО, подменять файлы, а также отслеживать любые обращения к базам данных. Можно уточнить, соответствует это регламентирующим документам или нет. А сотрудник службы информационной безопасности будет оповещен о любой попытке нарушения заранее заданных правил не только через систему мониторинга, но и по электронной почте или с помощью SMS. Система позволяет хранить все накопленные сведения в течение заданного периода времени — в «Абсолют Банке» это один год.
Внедрение ArcSight позволило решить задачу мониторинга событий не только на уровне системного ПО, но и прикладных программ. Это крайне важно для того, чтобы обеспечить соблюдение требований стандарта PCI DSS. Как отметил Александр Юрьев, именно это обстоятельство и способствовало выбору данного решения. Помимо ArcSight, рассматривались аналогичные системы от Symantec и RSA. Однако решение Symantec было менее гибким в настройках, а RSA обходилось дороже и было сложнее в обслуживании. И этому не смогли помешать такие моменты, как высокие требования к квалификации персонала (необходимо знание Unix‑систем, сетевого оборудования, баз данных) и сложности с получением технической поддержки (в момент проведения работ представительство вендора в России отсутствовало).
Таким образом, внедрение этих систем позволило отойти от концепции «бумажной» безопасности, когда регламенты и политики существуют лишь формально, а их исполнение не контролируется технически. Использование же обеих систем в связке позволяет контролировать то, что происходит в сетях, на рабочих станциях, серверах, в базах данных, и оперативно реагировать, если произошло нарушение установленных регламентов и политик или имела место иная внештатная ситуация. Кроме того, две системы позволяют лучше оценить, каковы могут быть потенциальные последствия вновь обнаруженных уязвимостей.
Основной технической трудностью в ходе реализации данного проекта стало обеспечение транспортировки информации по разветвленной филиальной сети банка. Для этого пришлось в каждом из филиалов выделить специальный сервер под MaxPatrol и ArcSight. Эти серверы и передают информацию в головной офис. Таким же образом реализован сбор логов.
Работы по внедрению ArcSight осуществляли сотрудники самого «Абсолют Банка» совместно с инженерами компании «Энвижн Груп». Для достижения повышения работоспособности и отказоустойчивости решений рекомендуется использование кластера для основных серверов обработки данных, в том числе территориально распределенных. Основная фаза внедрения проводилось в течение 10 месяцев: с ноября 2009 до сентября 2010 г.
Схожим образом реализовано и внедрение MaxPatrol. Существенная разница только в том, что сканирование в демилитаризованной зоне необходимо осуществлять мобильным сканером или расположенным в ней сервером сканирования, и результаты сканирования передаются на сервер консолидации на сменных носителях или через отдельные туннели, в зависимости от выбранного способа сканирования.