"Бухгалтерия и банки", 2007, N 3

АХИЛЛЕСОВА ПЯТА БАНКОВ

Сегодня деятельность любой кредитно-финансовой организации (КФО) невозможна без автоматизированных банковских систем (АБС). Поэтому можно с уверенностью говорить о том, что практически любая АБС КФО может выступать в качестве объекта информационной атаки. В свою очередь, атака может быть определена как совокупность действий злоумышленника, направленная на нарушение одного из трех свойств информации - конфиденциальности, целостности или доступности. Рассмотрим эти свойства более подробно. Свойство конфиденциальности позволяет не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам. Характерным примером нарушения конфиденциальности информации является кража из системы секретной информации с целью ее дальнейшей перепродажи. Целостность информации подразумевает ее способность не подвергаться изменению или уничтожению в результате несанкционированного доступа. В качестве примера нарушения этого свойства можно привести ситуацию, при которой злоумышленник преднамеренно искажает содержимое одного из электронных документов, хранящихся в системе. И, наконец, доступность информации определяется как ее свойство быть доступной и используемой по запросу со стороны любого уполномоченного пользователя. Так, скажем, злоумышленник нарушает доступность подсистемы интернет-банкинга, если ни один из легальных пользователей не сможет получить доступ к услуге "клиент - банк" через Интернет. Таким образом, в результате нарушения конфиденциальности, целостности или доступности информации нарушаются бизнес-процессы КФО, базирующиеся на информационных ресурсах, которые являлись объектом атаки.

Для реализации информационной атаки нарушителю необходимо активизировать или, другими словами, использовать определенную уязвимость АБС. Под уязвимостью принято понимать слабое место АБС, что дает возможность для успешной реализации атаки. Примерами уязвимостей АБС могут являться: некорректная конфигурация сетевых служб АБС, наличие ПО без установленных модулей обновления, использование нестойких к угадыванию паролей, отсутствие необходимых средств защиты информации и др. Логическая связь уязвимости, атаки и ее возможных последствий показана на рис. 1.

Связь уязвимости, атаки и ее возможных последствий

     
   ————————————————————¬— Ошибки в программном обеспечении системы
   |     Уязвимости    |— Неправильная конфигурация средств защиты
   | автоматизированной|— Отсутствие установленных модулей обновления
   |      системы      |  (Service packs, hotfixes, etc.)
   L—————————T——————————
   

\¦/

     
   ——————————+—————————¬ — Атаки, направленные на несанкционированную
   |   Информационные  |   вставку команд в SQL—запросы
   |атаки, направленные| — Атаки, направленные на переполнение буфера
   |  на использование | — Атаки, направленные на активизацию
   |уязвимостей системы|   уязвимости format string
   L—————————T——————————
   

\¦/

     
   ——————————+—————————¬ — Нарушение работоспособности АБС
   |    Последствия    | — Искажение информации, хранящейся в системе
   |информационных атак| — Кража конфиденциальной информации
   L————————————————————
   

Рис. 1

Ахиллесова пята автоматизированных систем

Уязвимость является основной причиной возникновения информационных атак. Наличие слабых мест в АБС КФО может быть обусловлено самыми различными факторами, начиная с простой халатности сотрудников и заканчивая преднамеренными действиями злоумышленников.

Уязвимости могут присутствовать как в программно-аппаратном, так и в организационно-правовом обеспечении АБС. Основная часть уязвимостей организационно-правового обеспечения обусловлена отсутствием на предприятиях нормативных документов, касающихся вопросов информационной безопасности. Примером уязвимости данного типа является отсутствие в организации утвержденной концепции или политики информационной безопасности, которая определяла бы требования к защите АБС, а также конкретные пути их реализации. Уязвимости программно-аппаратного обеспечения могут присутствовать в программных или аппаратных компонентах рабочих станций пользователей АБС, серверов, а также коммуникационного оборудования и каналов связи АБС.

Уязвимости АБС могут быть внесены как на технологическом, так и на эксплуатационном этапе жизненного цикла АБС. На технологическом этапе нарушителями могут быть инженерно-технические работники, участвующие в процессе проектирования, разработки, установки и настройки программно-аппаратного обеспечения АБС.

Внесение эксплуатационных уязвимостей может иметь место при неправильной настройке и использовании программно-аппаратного обеспечения АБС. В отличие от технологических устранение эксплуатационных уязвимостей требует меньших усилий, поскольку для этого достаточно изменить конфигурацию АБС. Характерными примерами уязвимостей этого типа являются:

- наличие слабых, нестойких к угадыванию паролей доступа к ресурсам АБС. При активизации этой уязвимости нарушитель может получить несанкционированный доступ к АБС путем взлома пароля при помощи метода полного перебора или подбора по словарю;

- наличие в системе незаблокированных встроенных учетных записей пользователей, при помощи которых потенциальный нарушитель может собрать дополнительную информацию, необходимую для проведения атаки. Примерами таких учетных записей являются запись Guest в операционных системах или запись Anonymous в FTP-серверах;

- неправильным образом установленные права доступа пользователей к информационным ресурсам АБС. В случае если в результате ошибки администратора пользователи, работающие с системой, имеют больше прав доступа, чем это необходимо для выполнения их функциональных обязанностей, то это может привести к несанкционированному использованию дополнительных полномочий для проведения атак. Например, если пользователи будут иметь права доступа на чтение содержимого исходных текстов серверных сценариев, выполняемых на стороне web-сервера, то этим может воспользоваться потенциальный нарушитель для изучения алгоритмов работы механизмов защиты web-приложений и поиска в них уязвимых мест;

- наличие в АБС неиспользуемых, но потенциально опасных сетевых служб и программных компонентов. Скажем, большая часть сетевых серверных служб, таких как web-серверы и серверы СУБД, поставляется вместе с примерами программ, которые демонстрируют функциональные возможности этих продуктов. В некоторых случаях эти программы имеют высокий уровень привилегий в системе или содержат уязвимости, использование которых злоумышленником может привести к нарушению информационной безопасности системы. Примерами таких программ являются образцы CGI-модулей, которые поставляются вместе с web-приложениями, а также примеры хранимых процедур в серверах СУБД;

- неправильная конфигурация средств защиты, приводящая к возможности проведения сетевых атак. Так, ошибки в настройке межсетевого экрана могут привести к тому, что злоумышленник сможет передавать через него пакеты данных.

Информационные атаки

Уязвимости могут использоваться злоумышленниками для реализации информационных атак на ресурсы АБС. Согласно разработанной классификации любая атака в общем случае может быть разделена на четыре стадии:

- рекогносцировка. На этом этапе нарушитель осуществляет сбор данных об объекте атаки, на основе которых планируются дальнейшие стадии атаки. Примерами такой информации являются: тип и версия операционной системы (ОС), установленной на узлах АБС, список пользователей, зарегистрированных в системе, сведения об используемом прикладном ПО и др. При этом в качестве объектов атак могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование АБС;

- вторжение в АБС. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех узлов АБС, по отношению к которым совершается атака;

- атакующее воздействие на АБС. Данный этап направлен на достижение нарушителем тех целей, ради которых предпринималась атака. Примерами таких действий могут являться нарушение работоспособности АБС, кража конфиденциальной информации, хранимой в системе, удаление или модификация данных системы и др. При этом атакующий может также осуществлять действия, которые могут быть направлены на удаление следов его присутствия в АБС;

- дальнейшее развитие атаки. На этом этапе выполняются действия, которые направлены на продолжение атаки на ресурсы других узлов АБС.

Схематично стадии жизненного цикла информационной атаки изображены на рис. 2.

Жизненный цикл типовой информационной атаки на ресурсы АБС

     
            —————————————————————————————————————————¬
            |                                       \|/
          Стадия                            Стадия вторжения
     рекогносцировки                            в систему
           /|\    |                            |     |
            |     L———> Автоматизированная <————     |
            |     ————>       система      <———¬     |
            |     |                            |    \|/
   Стадия дальнейшего                      Стадия атакующего
     развития атаки                     воздействия на систему
           /|\                                       |
            L—————————————————————————————————————————
   

Рис. 2

Информационные атаки могут быть классифицированы как внешние или внутренние. Внешние сетевые атаки проводятся извне АБС, т.е. с тех узлов, которые не входят в состав системы. Примером внешней сетевой атаки являются вторжение нарушителя в ЛВС из Интернета. Внутренние атаки проводятся изнутри АБС с одного из ее серверов или рабочих станций. В качестве примера такой атаки можно привести действия сотрудника компании, направленные на утечку конфиденциальной информации.

Последствия информационных атак

Последствия информационных атак можно рассматривать по-разному - в зависимости от ситуации. Так, одно и то же последствие атаки для системного администратора станет лишь искажением системного файла на сервере, в то время как для руководителя компании - чревато приостановкой одного из важнейших бизнес-процессов предприятия. Последствия информационных атак могут воздействовать на аппаратное, общесистемное или прикладное программное обеспечение, а также на информацию, которая хранится в АБС. Например, воздействие на аппаратное обеспечение может быть направлено на несанкционированное изменение памяти микросхемы BIOS, расположенной на материнской плате инфицированного компьютера. В результате такой атаки может быть изменен пароль доступа к настройкам BIOS или полностью искажено содержимое памяти BIOS, что приведет к блокированию возможности загрузки компьютера. Восстановление работоспособности хоста в этом случае может потребовать перепрограммирования памяти BIOS.

Существующие методы и средства защиты

от информационных атак

В настоящее время существует большое количество организационных и технических средств, предназначенных для защиты от информационных атак. Организационные средства связаны с разработкой и внедрением на предприятиях нормативно-правовых документов, определяющих требования к информационной безопасности АБС. Примерами таких документов являются политика и концепция обеспечения информационной безопасности, должностные инструкции по работе персонала с АБС и т.д. Технические же средства защиты АБС реализуются при помощи соответствующих программных, аппаратных или программно-аппаратных комплексов.

На сегодняшний день можно выделить следующие основные виды технических средств защиты:

- криптографической защиты информации;

- разграничения доступа пользователей к ресурсам АБС;

- межсетевого экранирования;

- анализа защищенности АБС;

- обнаружения атак;

- антивирусной защиты;

- контентного анализа;

- защиты от спама.

Средства криптографической защиты информации (СКЗИ) представляют собой средства вычислительной техники, осуществляющие криптографическое преобразование информации для обеспечения ее конфиденциальности и контроля целостности. Защита информации может осуществляться в процессе ее передачи по каналам связи или в процессе хранения и обработки информации на узлах АБС. Для решения этих задач используются различные типы СКЗИ, описание которых приводится ниже.

Средства разграничения доступа предназначены для защиты от несанкционированного доступа к информационным ресурсам системы. Разграничение доступа реализуется средствами защиты на основе процедур идентификации, аутентификации и авторизации пользователей, претендующих на получение доступа к информационным ресурсам АБС.

На этапе собственной идентификации пользователь предоставляет свой идентификатор, в качестве которого, как правило, используется регистрационное имя учетной записи пользователя АБС. Далее проводится проверка, что этот идентификатор действительно принадлежит пользователю, претендующему на получение доступа к информации АБС. Для этого выполняется процедура аутентификации, в процессе которой пользователь должен предоставить аутентификационный параметр, при помощи которого подтверждается принадлежность идентификатора пользователю. В качестве параметров аутентификации могут использоваться сетевые адреса, пароли, симметричные секретные ключи, цифровые сертификаты, биометрические данные (отпечатки пальцев, голосовая информация) и т.д. Необходимо отметить, что процедура идентификации и аутентификации пользователей в большинстве случаев проводится одновременно, т.е. пользователь сразу предъявляет идентификационные и аутентификационные параметры доступа.

В случае успешного завершения процедур идентификации и аутентификации проводится авторизация пользователя, в процессе которой определяется множество информационных ресурсов, с которыми может работать пользователь, а также множество операций, которые могут быть выполнены с этими информационными ресурсами АБС. Присвоение пользователям идентификационных и аутентификационных параметров, а также определение их прав доступа осуществляется на этапе регистрации пользователей в АБС (рис. 3).

Процедура входа пользователя в автоматизированную

банковскую систему

     
   —————————————————————¬                     —————————————————————¬
   |     Регистрация    |                     |        Вход        |
   |    пользователя    |                     |    пользователя    |
   |в автоматизированной|                     |в автоматизированную|
   |       системе      |                     |       систему      |
   L—————————T———————————                     L———————————T—————————
   

\¦/ /¦\

     
   ——————————+—————————¬   ———————————————¬   ————————————+————————¬
   |   Идентификация   |   |Аутентификация|   |     Авторизация    |
   |    пользователя   +——>| пользователя +——>|    пользователя    |
   L————————————————————   L———————————————   L—————————————————————
   

Рис. 3

Межсетевые экраны (МЭ) реализуют методы контроля за информацией, поступающей в АБС и (или) выходящей из нее, и обеспечения защиты АБС при помощи фильтрации информации на основе критериев, заданных администратором. Процедура фильтрации включает в себя анализ заголовков каждого пакета, проходящего через МЭ, и передачу его дальше по маршруту следования только в случае, если он удовлетворяет заданным правилам фильтрации. При помощи фильтрования МЭ позволяют обеспечить защиту от сетевых атак путем удаления из информационного потока тех пакетов данных, которые представляют потенциальную опасность для АБС.

Средства анализа защищенности выделены в представленной выше классификации в обособленную группу, поскольку предназначены для выявления уязвимостей в программно-аппаратном обеспечении АБС. Системы анализа защищенности являются превентивным средством защиты, которое позволяет выявлять уязвимости при помощи анализа исходных текстов ПО АБС, анализа исполняемого кода ПО АБС или анализа настроек программно-аппаратного обеспечения АБС.

Средства антивирусной защиты предназначены для обнаружения и удаления вредоносного ПО, присутствующего в АБС. К таким вредоносным программам относятся компьютерные вирусы, а также ПО типа "троянский конь", spyware и adware.

Средства защиты от спама обеспечивают выявление и фильтрацию незапрошенных почтовых сообщений рекламного характера. В ряде случаев для рассылки спама используется вредоносное программное обеспечение, внедряемое на хосты АБС и использующее адресные книги, которые хранятся в почтовых клиентах пользователей. Наличие спама в АБС может привести к одному из следующих негативных последствий:

- нарушению работоспособности почтовой системы вследствие большого потока входящих сообщений. При этом может быть нарушена доступность как всего почтового сервера, так и отдельных почтовых ящиков из-за их переполнения. В результате пользователи АБС не смогут отправлять или получать сообщения при помощи почтовой системы организации;

- реализации так называемых phishing-атак, в результате которых пользователю присылается почтовое сообщение от чужого имени с просьбой выполнить определенные действия. В таком сообщении пользователя могут попросить запустить определенную программу, ввести свое регистрационное имя и пароль или выполнить какие-либо другие действия, которые могут помочь злоумышленнику успешно провести атаку на информационные ресурсы АБС. Примером атаки этого типа является посылка пользователю сообщения от имени известного банка, в котором содержится запрос о необходимости смены пароля доступа к ресурсам web-сайта банка. В случае если пользователь обратится по интернет-адресу, указанному в таком почтовом сообщении, то он будет перенаправлен на ложный сайт злоумышленника, представляющий собой копию реального сайта банка. В результате такой атаки вся парольная информация, введенная пользователем на ложном сайте, будет автоматически передана нарушителю;

- снижению производительности труда персонала из-за необходимости ежедневного просмотра и ручного удаления спамовских сообщений из почтовых ящиков.

Средства контентного анализа предназначены для мониторинга сетевого трафика с целью выявления нарушений политики безопасности. В настоящее время можно выделить два основных вида средств контентного анализа - аудит почтовых сообщений и мониторинг интернет-трафика. Системы аудита почтовых сообщений предполагают сбор информации о SMTP-сообщениях, циркулирующих в АБС, и ее последующий анализ с целью выявления несанкционированных почтовых сообщений, нарушающих требования безопасности, заданные администратором. Так, системы этого типа позволяют выявлять и блокировать возможные каналы утечки конфиденциальной информации через почтовую систему. Системы мониторинга интернет-трафика предназначены для контроля доступа пользователей к ресурсам Интернета. Средства защиты данного типа позволяют заблокировать доступ пользователей к запрещенным интернет-ресурсам, а также выявить попытку передачи конфиденциальной информации по протоколу HTTP. Системы мониторинга устанавливаются таким образом, чтобы через них проходил весь сетевой трафик, передаваемый в Интернет.

Системы обнаружения атак представляют собой специализированные программные или программно-аппаратные комплексы, предназначенные для выявления информационных атак на ресурсы АБС методом сбора и анализа данных о событиях, регистрируемых в системе. Система обнаружения атак должна включать в себя следующие компоненты:

- модули-датчики, предназначенные для сбора необходимой информации о функционировании АБС. Иногда датчики также называют сенсорами;

- модуль выявления атак, выполняющий анализ данных, собранных датчиками, с целью обнаружения информационных атак;

- модуль реагирования на обнаруженные атаки;

- модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы средств обнаружения атак;

- модуль управления компонентами средств обнаружения атак.

Комплексный подход к обеспечению информационной

безопасности

Комплексный подход к защите от информационных атак предусматривает согласованное применение правовых, организационных и программно-технических мер, перекрывающих в совокупности все основные каналы реализации вирусных и прочих угроз. В соответствии с этим подходом в организации должен быть реализован следующий комплекс мер:

- выявление и устранение уязвимостей, на основе которых реализуются угрозы. Это позволит исключить причины возможного возникновения информационных атак;

- своевременное обнаружение и блокирование информационных атак;

- выявление и ликвидацию последствий атак. Данный класс мер защиты направлен на минимизацию ущерба, нанесенного в результате реализации угроз безопасности.

Важно понимать, что эффективная реализация вышеперечисленных мер на предприятии возможна только при условии наличия нормативно-методического, технологического и кадрового обеспечения информационной безопасности (рис. 4).

Основные направления обеспечения информационной

безопасности

     
   —————————————————————————————————————————————————————————————————¬
   | Направления и меры обеспечения информационной безопасности АБС |
   L—————————T—T———————————————————————T—T—————————————————T—T———————
   

\- L/ \- L/ \- L/

\ / \ / \ /

     
   ————————————————————————¬    ————————————————¬    ———————————————¬
   |Нормативно—методическое|    |Технологическое|    |   Кадровое   |
   |      обеспечение      |    |  обеспечение  |    |  обеспечение |
   |     информационной    |    | информационной|    |информационной|
   |      безопасности     |    |  безопасности |    | безопасности |
   L————————————————————————    L————————————————    L———————————————
   

Рис. 4 Нормативно-методическое обеспечение информационной безопасности предполагает создание сбалансированной правовой базы в области защиты от угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы информационной безопасности. В.Сердюк К. т. н., генеральный директор компании "ДиалогНаука" Подписано в печать 19.02.2007 ————