Часто специалисты сравнивают системы защиты, применяемые для обеспечения корпоративной безопасности, с войной, в ходе которой выстраиванием грамотной обороны пренебрегают только крайне отчаянные и неопытные компании. Однако внедрение всех возможных элементов защиты и запуск их на полную мощность приведут к тому, что работа организации может быть парализована — слишком много регламентов, правил и систем ограничивают свободную передачу информации, которая дает компании возможность продуктивно создавать что-то новое. Поэтому построение грамотной системы безопасности подразумевает разумный компромисс и, безусловно, тщательно продуманный подбор необходимых для ее функционирования элементов .
Двухфакторная аутентификация
С ростом числа мобильных сотрудников, оторванных от офиса и ресурсов корпоративных сетей, всё большее внимание должно уделяться предоставлению им доступа к внутренним ресурсам компании через удаленные каналы по VPN-сетям. Однако преднастроенное устройство доступа может быть утрачено, а самые “навороченные” логины и пароли можно разгадать путем прямого перебора или перехвата информации. Если информация на внутренних серверах компании действительно значима, то для защиты главного рубежа безопасности имеет смысл позаботиться о более серьезном прикрытии системы доступа своих сотрудников — для смартфонов, коммуникаторов и ноутбуков больше всего подойдет так называемый комбинированный токен, устраняющий слабости обычных паролей.
Речь идет о решении RSA Data Security под названием SecurID, в котором аутентификация производится с помощью брелока или карты с миниатюрным жидкокристаллическим дисплеем. На этом дисплее каждую минуту меняется шести-десятизначное (в зависимости от потребностей пользователя) число — фактически устройство генерирует по специальному протоколу одноразовые пароли (One Time Password). К этому значению сам пользователь добавляет известный только ему одному PIN-код, формируя окончательную комбинацию пароля. К слову, наряду с аппаратными токенами существуют и программные. Поскольку для получения токен-кода используется генератор псевдослучайных чисел, предсказать следующее значение по текущему злоумышленник не может. Таким образом, пароль для доступа к защищенному ресурсу в каждый момент времени различен и создается из двух чисел: первые четыре цифры — это неизменяемый PIN-код, который помнит сотрудник, остальные шесть или восемь цифр — то, что он видит на экране своего токена.
Полученные от пользователя данные отсылаются агентом на ACE-сервер (сервер аутентификации) и там проверяются. Поскольку для генерации токен-кода используются временные интервалы (таймер и интервал смены кода встроены в токен-брелок или карту) и стартовый вектор генерации (seed), который “зашит” в брелок на стадии его производства, сделать это достаточно легко — в базе ACE-сервера хранятся PIN-коды зарегистрированных пользователей, а также стартовые векторы генерации токен-кода). Имея эти данные и зная текущее значение времени, ACE-сервер может восстановить значение токен-кода и соответственно пасс-кода. Результаты проверки отсылаются ACE-агенту (так называемому “стражу врат” — специальному плагину, принимающему управление на входе в систему), и тот либо пропускает пользователя на ресурс, либо нет.
Обычно обмен данными между ACE-агентом и ACE-сервером происходит по специальному протоколу, который обеспечивает защиту и гарантирует целостность передаваемых данных. В случае с SecurID реализуется технология SSO (Single Sign On — однократная авторизация), т. е. пользователь аутентифицируется только один раз за сеанс работы, а не при каждом обращении к ресурсу. Учитывая тот факт, что ACE-агенты могут “закрывать” множество видов удаленных ресурсов, таких как Web, telnet, ssh, доступ через VPN и т. д., и контролировать доступ на локальные ресурсы (скажем, на рабочее место), а поставляемая разработчикам библиотека (SecurID API) позволяет создать ACE-агент под свою задачу, указанное решение предлагает инструмент жесткой двухфакторной аутентификации, не привязанный к конкретной платформе и к конкретному продукту. В России это решение уже используют такие компании, как ТНК и Ренессанс Капитал.
За последний год у SecurID появились и версии для мобильных устройств на платформе Java ME (т.е., практически для любых современных мобильных телефонов), смартфонов на базе программного обеспечения Symbian (т. е. смартфоны Nokia Eseries и S60 3rd Edition), а также для устройств под управлением Windows Mobile 5/6.
Кроме того, RSA обеспечивает встраивание своих инструментов аутентификации в продукты других компаний или работу сервисов аутентификации. Например, служба Mobile ID, представляющий из себя сервис оператора сотовой связи, организует доставку одноразового пароля в реальном времени по каналу мобильной связи с помощью SMS по запросу пользователя — самый удобный способ для абонентов, вне зависимости от того, находится он в домашней сети или в роуминге.
Охрана данных
Основная ценность любой компании — конфиденциальные базы данных, информация в которых может быть использована как для разработок или подтверждения новой информации, так и для контактов с деловым окружением. Их защита, учитывая разнообразие каналов доступа и уникальную конфигурацию ИТ-системы каждого среднего и крупного предприятия, представляется весьма нетривиальным делом. Для оптимального уровня безопасности решение должно быть “прозрачным” для пользователя, производительным и обладать эффективным механизмом защиты данных от противоправного доступа к СУБД.
Одним из таких комплексов является RSA Database Security Manager (управление безопасностью баз данных), предназначенный для обеспечения высокой степени защиты информации для различных систем управления базами данных. В нем используются прозрачное шифрование столбцов таблиц БД и внешняя система разграничения доступа к ключам шифрования. Эти возможности предоставляет программное обеспечение RSA Database Security Manager (DBSM), агенты которого поддерживают работу с СУБД Oracle, Microsoft SQL Server, IBM DB2, Sybase на платформах Windows, Red Hat, HP-UX, Solaris и AIX. Хранение и управление ключами шифрования может при необходимости осуществляться аппаратными модулями компании nCipher. Использование в решении высокопроизводительных сетевых модулей nCipher netHSM позволяет минимизировать влияние шифрования на производительность СУБД и обеспечивает легкую масштабируемость системы. К слову, по данным RSA Data Security, снижение производительности в зашифрованной таблице по сравнению с ее незашифрованным вариантом составляет не более 5—10%, а сама система подходит для работы в гетерогенных средах, что обеспечивает единообразный подход к безопасности в разных системах независимо от производителя. В нашей стране такое решение существует в РАО «ЕЭС России».
К слову, отметим, что еще в мае 2007 г. компании Cisco и RSA объявили о совместной разработке технологии, призванной помочь заказчикам усовершенствовать и упростить шифрование конфиденциальной информации: медицинских записей, идентификаторов социальной защиты и номеров кредитных карточек. При этом Cisco и RSA будут использовать систему Cisco SME (Storage Media Encryption), предлагающую шифрование хранимых данных как услугу коммутации, и систему RSA Key Manager (централизованное решение для управления шифрованием в течение всего жизненного цикла данных). Cisco интегрирует решение Storage Media Encryption в сеть Cisco SAN, чтобы обеспечить беспрепятственное управление процессом шифрования на разных устройствах хранения — дисках, ленточных накопителях и виртуальных библиотеках. Шифрование данных на уровне сети дает возможность заказчикам защищать данные на носителях, которые не обладают “родными” криптографическими функциями (например, на старых стримерах и дисках). Новая технология будет пользоваться открытыми интерфейсами API для управления ключами, что позволит заказчикам гибко внедрять решения для хранения и шифрования данных, в наибольшей степени отвечающие требованиям бизнеса.
Защита узлов
При распределенной сети в компании с несколькими филиалами и удаленными компьютерными узлами основная головная боль администратора и сотрудников, ответственных за информационную безопасность, — это управление главными и второстепенными информационными магистралями в соответствии с принятыми в организации стандартами безопасности, отслеживание всех узлов обмена трафиком и преобразование этой информации в доступные для восприятия аналитические данные.
Решениями для таких задач являются системы для управления информацией и событиями безопасности, такие как технология enVision от RSA и разработки, приобретенные ею у компании Network Intelligence. Технология RSA enVision была создана как комбинация возможностей двух основных инструментов. Во-первых, это SEM (Security Event Management), ориентированный на оперативное управление средствами защиты путем получения от него данных и анализа событий в реальном времени. Во-вторых, это SIM (Security Information Management) — инструмент руководителей служб управления информационными (операционными) рисками, информационной безопасности и внутреннего аудита, направленных на анализ собираемых данных, генерацию отчетов и управление инцидентами и рисками.
Основная задача решения — нивелирование проблем бизнеса с применением информационного подхода к безопасности. ПО enVision позволяет компаниям собирать, отслеживать, анализировать и передавать в качестве отчетов информацию о событиях безопасности по всей информационной инфраструктуре — в сети, в корпоративных приложениях, в центральных компьютерах, в устройствах хранения.
В новых версиях платформы enVision можно отметить такие интересные функции, как интеграция управления слабыми местами защиты и активами (дополнительные аналитические данные уменьшают количество ложных тревог и корректируют настройку комплекса защиты), предупреждения и отчеты на основе специального списка, где перечисляются узлы со слабой или недостаточной защитой (списки особого внимания, которые создаются администраторами сети с учетом оценки уязвимости ее топологии), а также автоматические предупреждения о подозрительных событиях в реальном времени (немедленное обнаружение нарушений политики безопасности и обеспечение соответствия нормам безопасности в режиме реального времени).
Система представляет собой выделенное устройство, разрабатываемое в нескольких вариантах в зависимости от требуемой производительности (измеряемой в количестве обрабатываемых в секунду событий); в случае необходимости создания долговременного (многомесячного и многолетнего) архива журналов безопасности должна применяться внешняя архивная система (EMC Centera) требуемого объема. Поддерживается кластеризация устройств, направленная на улучшение как производительности, так и надежности.
Обычно наиболее “чувствительны” к внедрениям enVision компании, чья деятельность в значительной степени регулируется государственными органами (финансовые, телекоммуникационные организации), а также организации, имеющие сложную ИТ-инфраструктуру, где существует ряд групп, ответственных за функционирование отдельных частей информационного комплекса компании. В таких случаях служба ИБ должна выполнять контроль “поверх” административных границ отделов, что требует применения отдельной платформы управления событиями информационной безопасности.