Информационные системы предприятия давно уже используются не только для накопления и обработки данных, но и для коллективной работы сотрудников. Под определение коллективной работы можно подвести и универсальные коммуникации, и системы электронного документооборота, и корпоративные порталы, и даже социальные сети. Изначально документооборот и корпоративные порталы существовали внутри периметра предприятия, и об их безопасности не заботились специально, однако с появлением механизмов удаленного доступа и AJAX (Asynchronous Javascript and XML), распространением мобильных технологий и облачных сервисов защитные функции периметра безопасности несколько ослабли.
«Тенденция к использованию средств распределенной обработки данных значительно ослабляет эффективность централизованного контроля, — замечает Владимир Горностаев, директор центра компетенции по защите информации компании «ИнтерТраст». — Эту особенность необходимо учитывать уже на этапе проектирования информационных систем коллективной работы. Требуемый уровень безопасности достигается не только применением технических средств, но и необходимыми организационными мерами».
Сейчас уже сложно построить периметр безопасности, который гарантировал бы защиту от внешних угроз. Снижение защитных функций периметра может привести и уже приводит к тому, что системы коллективной работы подвергаются нападениям извне.
«Многие считают, что веб-сервисы коллективной работы не несут дополнительных рисков. Причем обычно говорят так: «Да кому нужна наша информация?». Но следует понимать, что по мере размывания контуров информационных систем проблемы с информационной безопасностью будут только усугубляться. Хорошо защищенных готовых решений нет», — отмечает Дмитрий Горелов, коммерческий директор компании «Актив».
Кроме того, возникла необходимость защиты от инсайдеров, которые, находясь внутри, могут получить доступ к секретным сведениям и попытаться передать их вовне. Поэтому у компаний все чаще возникает необходимость в защите самой системы коллективной работы и хранящихся в ней данных.
Типичные угрозы
Особенность коллективной работы является участие в ней множества сотрудников, и для них нужно организовать разнообразный доступ к системе со сложными правилами регулирования. Как правило, в системе коллективной работы есть строго регламентированная часть бизнес-процессов (характерная для ПО делопроизводства), в которых принято использовать ролевую модель распределения полномочий, строгие регламенты работы с документами и фиксацию всех значимых действий пользователей для их последующего анализа.
Но есть в современных системах коллективной работы и менее структурированная часть, ее условно можно назвать социальной сетью. Социальная составляющая системы коллективной работы предназначена для организации творческих процессов, где жесткие регламенты только мешают. Тем не менее социальная компонента систем групповой работы не менее важна, поскольку она реализует наиболее оперативные коммуникации внутри компании. В социальной части ролевая модель управления правами доступа работает плохо, и более важным механизмом управления взаимоотношениями в коллективе являются различные статусы, рейтинги и другие интеллектуальные характеристики сотрудника. К сожалению, при использовании социальных методов определения прав доступа нередко возникают ошибки. «Иногда случались ситуации, когда доступ к очень важным документам по неосторожности получали никак не связанные с ними рядовые сотрудники, — отмечает Александр Ковалев, директор по маркетингу компании SecurIT. — В целом же, на наш взгляд, интерес к данным из подобных систем со стороны злоумышленников высок, поэтому и уровень угроз для них выше среднего».
Формализованные бизнес-процессы, как правило, очень похожи в различных компаниях, поскольку они создаются в соответствии с требованиями регуляторов, рынков или других внешних факторов, в то время как социальная часть во всех компаниях уникальна. А именно социальная структура компании сейчас приобретает все большую ценность. Возможность для внешних злоумышленников выяснить взаимоотношения в коллективе позволяет не только нанести финансовый ущерб компании, но и вообще разрушить работу коллектива. Рассмотрим типичные атаки на все уровни системы и наметим средства защиты, которые могут предотвратить нанесение вреда.
Клиент
К системам коллективной работы относят в том числе системы видеоконференций и телеприсутствия. Обычно они используются для ведения переговоров на высшем уровне — руководителями компаний. Понятно, что и обсуждают с их помощью наиболее чувствительные вопросы жизни предприятий. Подключиться к такой системе можно в том числе и с помощью смартфона через сотовую сеть. И хотя связь при этом может быть защищена шифрованием, сам смартфон может находиться в руках постороннего.
Но главной угрозой, по словам Горелова, является взлом системы для получения регистрационных данных пользователя. При этом злоумышленник получает возможность действовать от его имени.
Классическим методом защиты от попыток обойти систему аутентификации является использование несимметричного шифрования и многофакторной аутентификации: сертификатов, одноразовых паролей или аппаратных USB-ключей. Сейчас подобных систем разработано достаточно много. Из новых разработок можно назвать устройства, которые считывают информацию с экрана и генерируют на ее основе одноразовый пароль. Есть аналогичные разработки на основе QR-кодов и специальной программы для смартфонов, которые также генерируют одноразовый код. Введение такого кода перед подключением к системе видеоконференций позволит хотя бы гарантировать, что смартфон находится в руках сотрудника компании, а не был украден.
Сеть
Сейчас разработано немало общедоступных систем коллективной работы, таких как Google Docs. Их можно использовать для совместной работы над важными документами, и у пользователей создается ощущение защиты, поскольку они сами наделяют своих коллег правами совместного доступа к текстовым файлам или таблицам. Однако при этом нередко забывают о процедуре взаимной аутентификации пользователя и сервера, что позволяет злоумышленникам устроить фишинговую атаку, например, с помощью спам-рассылки с содержанием «посмотри это» и ссылкой на поддельную страничку Google Docs. Горелов отмечает, что «поскольку системы коллективной работы в большинстве своем имеют веб-интерфейс, то для них представляют опасность все атаки на веб-приложения: атака типа 'шпион в сети'; подмена сервера; фишинг; DNS-спуфинг и др.». Все эти атаки направлены на сетевой уровень системы, защита которого также необходима приложениям коллективной работы.
Традиционно для предотвращения атак на сетевом уровне используется шифрование канала с взаимной аутентификацией обеих сторон. Наиболее распространенной технологией для этого является SSL, выполняющая функции защиты конфиденциальности и целостности данных. Шифрование позволяет создать защищенный туннель между клиентским компьютером и корпоративным шлюзом, поэтому подобные решения принято также называть виртуальной частной сетью, то есть VPN. Например, Google Docs работает по защищенному протоколу, однако редко кто при обращении к этой системе смотрит данные, записанные в сертификате сайта.
Шлюз
Практически во всех системах коллективной работы есть возможность присоединять к записям файлы разного формата, в том числе и PDF, в которые могут быть встроены троянские программы. Если они будут запущены на компьютерах других пользователей системы коллективной работы, вредоносный код проникнет внутрь корпоративной сети. Кроме того, в самих обсуждаемых документах могут содержаться данные, передача которых за пределы корпоративной сети неприемлема с точки зрения политики безопасности. Не допустить передачу в посторонние руки важных данных, циркулирующих в системе коллективной работы, должен шлюз, отделяющий используемые в компании приложения от открытого интернет-пространства.
Поскольку шлюз со стороны корпоративной сети — это последняя контролируемая администратором точка, в ней традиционно располагаются система DLP, контроля доступа и фиксации действий пользователей, а также некоторые другие системы защиты. Дмитрий Курашев, генеральный директор компании Entensys, рекомендует: «Прежде всего необходимо обеспечивать защиту серверов, где размещается сама информационная система. Если это не сделать грамотно, то возможны инциденты, такие как индексация SMS-сообщений пользователей поисковыми машинами. Важно обеспечить надежную аутентификацию и прочие методы защиты от несанкционированного доступа, а также исключить возможность кражи идентификационной информации». Поэтому на шлюз логично возложить задачу аутентификации сотрудников.
Сервер приложений
Сервер приложений — основная часть системы коллективной работы. Именно он обеспечивает взаимодействие сотрудников, управляет их правами доступа к документам и определяет правила передачи информации. Николай Романов, технический консультант Trend Micro в России и СНГ, отмечает, что для таких решений, как Lotus, Exchange, SharePoint, существующих на рынке продолжительное время, есть специфичные угрозы. Например, в Lotus Domino практически вся информация хранится в специальных контейнерах (.nsf), и проблемы защиты данных в этих контейнерах являются специфической задачей. В сложной системе, которую представляет собой сервер коллективной работы, иногда возникают проблемы с правильным назначением прав доступа, что приводит к разглашению конфиденциальной информации, например, с помощью электронного письма, посланного по неправильному адресу, — отправитель просто ошибся в выборе адреса в меню сервера.
Сервер должен не только обеспечивать доступ пользователей, но и фиксировать все их действия с информацией, особенно наиболее ценной. В некоторых случаях можно предусмотреть систему корреляции событий, которая заблокирует опасную последовательность действий, хотя каждое в отдельности действие пользователю может быть разрешено. Несанкционированный доступ к конфиденциальной информации (и тем более ее искажение) часто является основной целью действий злоумышленника, и, если ему удается обмануть систему идентификации, только контроль его действий и выявление поведенческой аномалии может заблокировать хищение важных данных. Конечно, в каждой компании есть своя ценная информация, однако можно выделить и общие для всех критические данные — это сведения о конфигурации системы и пользователях. Конфигурационная информация может быть использована нападающим для получения контроля над приложением коллективной работы и сокрытия своих следов в системе.
Для защиты от несанкционированных действий используются механизмы контроля доступа на основе ролей и статусов, а также приложения для анализа системной информации, которые выполняют корреляцию событий и выявляют аномалии в действиях пользователей. Для контроля над системой обработи ценной информации создано несколько классов продуктов защиты, таких как системы контроля доступа, управления правами доступа к документам (DRM), DLP, инструменты корреляции событий, экраны уровня приложения и многое другое. Вполне возможно, что все эти инструменты должны быть интегрированы в сервер коллективной работы, однако пока разработчики приложений для коллективной работы не особо заботятся о безопасности. Более того, существующие решения коллективной работы, по словам Николая Федотова, главного аналитика компании InfoWatch, совместимы далеко не со всеми средствами защиты.
Система хранения
Доступ к системе хранения напрямую позволяет злоумышленнику получить секретную информацию в обход средств контроля, скрыть следы своего присутствия в системе или модифицировать важные данные. Например, ценные данные могут быть потеряны во время ремонта вышедшего из строя сервера или системы хранения. Во время ремонта в сторонней организации диски с данными могут быть скопированы и переданы злоумышленникам. Ковалев отмечает, что «многие даже самые 'навороченные' системы коллективной работы никак не защищают свои хранилища данных. И, если кто-то получит доступ к файлам системы и сможет их скопировать, ему не придется даже ничего взламывать». При использовании облаков пользователи также могут потерять контроль над хранилищем.
В качестве защиты обычно используется шифрование дисков — в облаках это требование нужно выполнять обязательно. Для систем коллективной работы также нужно гарантировать неизменность документов, хранящихся на дисках, что достигается с помощью систем электронной подписи. Иногда в системы хранения интегрируют систему DRM, которая управляет правами доступа к ключам дешифрования достументов и позволяет зафиксировать, кто и к какому документу пытается получить доступ. Инструменты защиты на базе асимметричного шифрования позволяют защитить от прямого несанкционириованного доступа к документам, практически не затрудняя работу легальных пользователей.
Общие угрозы
Кроме перечисленных сценариев нападений на систему коллективной работы, есть и общие для нее угрозы, связанные с централизованным управлением и многокомпонентностью эксплуатируемого решения. По мнению Федотова, «угрозами для систем коллективной работы являются: саботаж и вредительство со стороны легальных пользователей; злоупотребления техническими полномочиями администратора; сужение выбора ПО и оборудования для потребителей. Последнее ведет к фактической монополизации со стороны производителя. Объемная система коллективной работы диктует своим пользователям, какие им выбирать ОС, системное ПО, форматы, протоколы и даже модели техники».
Поэтому предусмотреть все возможные варианты информационной защиты для системы коллективной работы необходимо до начала ее внедрения на предприятии.