Практика защиты 1С:Предприятия от взлома активными сканерами безопасности
От блокирующего доступа к самообучающимся системам защиты с искусственным интеллектом
Урон от хищения информации колоссален. Просто не все видят его последствия. В России по традиции воруют все, что плохо лежит и плохо охраняется: данные о клиентах, прибыли, зарплатах коллег, себестоимости товаров и т.д. Информация высоколиквидный товар. Статистика по аудиту информационной безопасности проведенному мной под заказ более чем для 20 российских компаний открывает ужасающую картину. Средняя компания подвергается не менее чем 2м утечкам информации за год, теряя не менее 1% процента годовой прибыли. Более 85% таких утечек проходят незамечено, 80% таких случаев происходят с участием "инсайдеров", т.е. сотрудников компании. В 5% случаев взлом удается раскрыть администратору системы. 10% случаев взлом раскрывается менеджерами компании путем анализа последствий потерь компании от утечки информации, обычно это кончается взысканием с администратора или даже его увольнением, что конечно немного удовлетворяет чувство мести, но не решает проблему. Странно, большинство компаний держит охранника в штате для охраны имущества, а вот о штатном охраннике информации не думают, хотя ущерб от хищения информации может быть куда больше чем от пожара или обычной кражи.
Не секрет, что 1С:Предприятие 7.7 даже в своей корпоративной версии для Microsoft SQL Server достаточно уязвимо для взлома. Широко известны утилиты типа unsql.exe для расшифровки паролей доступа к базе данных в Microsoft SQL Server. Остальные версии 1С:Предприятия, так называемый "DBF" даже не требуют особых усилий для проникновения в приватные данные, достаточно иметь Excel.
Хочется надеется, что компания 1С сделает более защищенной от взлома свою следующую версию системы - 1С: Предприятие 8.0. Новая версия продукта будет несовместима со старой, т.е. большинство пользователей с собственными конфигурациями не смогут мигрировать на новый продукт. Что же делать сотням тысяч пользователей продуктов 1С, которые пользуются текущей версией продукта? Кроме того, будем реалистами, практика показывает, что разработчики периодически совершают всего одну-две трагических ошибки, которые позволяют обойти защиту системы.
Есть и куда более серьезная причина взломов 1С:Предприятия. Обычно отдел автоматизации в российской компании загружен работами по сопровождению и доработкам информационной системы, у администраторов и корпоративных разработчиков нет возможности для тщательного аудита системы безопасности системы и проведения необходимых настроек систем защиты. В результате к проблемам безопасности платформы 1С:Предприятия добавляются десятки дыр в системе защиты сети. О чем мы говорим? Свыше 70% пользователей 1С:Предприятия используют либо пустой пароль для входа в систему, либо слишком короткий или держат пароль в бумажке на столе, при этом они не дают администратору исправить ситуацию считая его параноиком.
Для "инсайдера", т.е. сотрудника компании, взлом изнутри обычно не представляет ни какой проблемы. Кроме того, обычные системы защиты просто блокируют доступ к информации, но не противодействуют взломщику. Как результат потенциальный взломщик может безопасно активировать в сети сканнер для поиска "дыр" и методом перебора найти уязвимое место, подобных сканнеров в Internet можно найти достаточно.
Безопасностью для платформы 1С: Предприятия для MS SQL фактически ни кто не занимается. Редким исключением стал продукт "RLS-Защита для 1С: Предприятия для MS SQL" на базе системы механизма Row Level Security. Однако опыт эксплуатации данного продукта наряду с другими защитными системами (межсетевыми экранами, аппаратными ключами, криптографии "на лету" и т.д.) показал, ряд типовых проблем для продуктов обеспечивающих информационную безопасность сегодня.
Любая система защиты работающая на методе блокирования доступа требует настройки прав пользователей, но как мы уже отмечали выше на это может не хватать времени и возможностей. Фактически любая система защиты ставит ряд вопросов по совместимости с различными конфигурациями 1С. Это также приводит к необходимости настройки "исключений", на что требуется время и определенная квалификация. В общем как оказалось на практике, внедрение и поддержка блокирующих систем защиты потребует довольно много времени, чем изощреннее защита тем больше. Не смотря на все эти затраты нет ни какой гарантии, что хакер не проникнет в систему через какое-то другое слабое место в защите сети (пользователь купил smart-ключ и уверен в своей безопасности, а хакер давно скачал sam-файл и расшифровал пароль администратора). "Непробиваемость" защит - это миф, того же порядка, что и вечный двигатель. Всегда будут ошибки приводящие к дырам в защите.
Подобные проблемы (сложность конфигурации, совместимость и др.) являются типовыми, и для решения их появился новый класс продуктов - сканнеры безопасности. Пассивные сканнеры запускаю время от времени, с помощью них выявляют возможные утечки информации и слабые места защиты. Активные сканнеры безопасности продукты более высокого уровня, они работают в режиме постоянного мониторинга возможных попыток несанкционированного доступа. В случае обнаружения утечки сканнер оповещает администратора и активно контратакует взломщика ("контратака" - это штатное противодействие настроенное администратором, обычно это отключение от сервера пользователей и компьютеров, через которых работает хакер).
Как оказалось на практике, сканнеры отлично соответствовали реальной ситуации и демонстрировали превосходные потребительские качества: простота настройки, великолепная совместимость, хорошая защита системы с ослабленной безопасностью и др. Все это сделало сканеры безопасности чрезвычайно популярными, сканер или даже несколько сканеров стали обычными инструментами опытного администратора сети или базы данных.
Рассмотрим достоинства нового поколения сканеров (активных сканнеров) на примере системы "Инсайдер сканнер". Это первый активный сканер для Microsoft SQL Server, который имеет интеграцию с 1C:Предприятием и учитывает особенности архитектуры 1С. "Инсайдер сканнер" способен видеть в процессах Microsoft SQL не только пользователей Windows и их хосты, но и пользователей 1С. Помимо защиты баз 1С, сканер также способен эффективно защитить любое приложение под MS SQL. Например, отследить, что пользователь строящий отчеты из базы данных через MS Excel и MS Query использует украденный пароль. Система работает в качестве процесса в сервера Microsoft SQL и проверяет конфигурации доступа пользователей. Если система обнаруживает неизвестную конфигурацию доступа, начинается активное противодействие хакеру (отключение его коннекций, смена паролей пользователей и т.д.).
Важным достоинством новой защитной архитектуры стало наличие модуля самообучения системы защиты. Администратору не нужно настраивать права для пользователей. Система сама "учится" запоминая под какими правами заходят в систему пользователи 1С (какой пользователь 1С, какой пользователь Windows, какой хост, база и т.д.). Такой достаточно простой "искусственный интеллект" позволяет системе автоматически настроится за 1-2 дня без участия администратора. Администратору останется только проверить правильность настройки ("не ходил ли кто в систему с не своими правами?"), отредактировать если нужно и утвердить их.
Следующий важный момент это полная совместимость новой архитектуры с различными конфигурациями 1С. Поскольку новый продукт не встраивается в базу данных, а занимается внешним мониторингом доступа к ней, проблемы несовместимости защиты фактически не стоят. Кроме того, систему можно переключить в режим аудита, т.е. в случае странного поведения определенного пользователя защита не препятствует ему, но фиксирует что произошло, уведомляет администратора и предлагает утвердить новый способ доступа пользователя. Отметьте пользователю в данном случае не мешают работать, если его доступ валиден.
Еще достоинство, это отличные защитные характеристики для "пробитой" штатной защиты сервера. Обычную систему безопасности можно считать взломанной окончательно, если хакер получил административный доступ. Однако в случае применения активного сканера это не так. Хакер получивший административный доступ скорее всего будет засечен сканером по нетиповым характеристикам регистрации (странный "хост" в данном контексте, странное "приложение" и т.д.). Выключить же сканер хакеру не столь простая задача, можно попасться на попытках выключения. Дело в том, что большинство профессиональных хакеров используют для взлома также специальные сканнеры для поиска дыр. Однако наличие активного сканера позволяет заметить хакерское сканирование заранее.
Для топ-менеджеров, которые принципиально не желают внять мольбам администратора использовать непустые пароли активный сканер может стать решением проблем. Дело в том, что пароль пользователя 1С может быть пустым, проверяется соответствие пользователю Windows и хосту. Отметим, даже если Windows-пароль топ-менеджера записан на бумажке приклеенной к его монитору, защита достаточно надежна. Дело в том, что в Windows 2000 и выше проверка идентичности компьютера проверяется через надежный криптографический "билет" защиты Kerberos, войти с другого компьютера с украденным паролем невозможно.
Другой важный момент, активный сканер в отличие от защиты блокирующего толка всегда имеет очень развитые средства аудита, т.е. собирает доказательства попыток взлома. Последний опрос, который я провел анонимно среди 120 служащих 45 разных компаний показал следующее. Примерно 8% в той или иной степени готовы воспользоваться несанкционированным доступом к корпоративной информации, если это пройдет незамечено. Однако менее 1% потенциальных "инсайдеров" высказали готовность прибегнуть к несанкционированному доступу за вознаграждение в размере годового дохода, если взлом можно будет доказать с помощью данных аудита от сканнера. Любопытен также опрос по почте 11 "ведущих" хакеров предлагающие свои услуги по взлому 1С: Предприятия через Internet за вознаграждение от $100 до $1000. Более 60% хакеров отметили, что не будут браться за взлом системы, где работает активный сканнер ("очень в тюрьму не хочется, зачем рисковать, лохов вообще без защиты и так достаточно"), остальные 40% высказались примерно так: "если есть сканер с аудитом, тогда работа вдвое дороже, слишком большой риск".
Если подвести итог, то применение активного сканера снижает риск участие "инсайдера" во взломе примерно в 10 раз (напомним, 80% скрытых взломов идут с участием инсайдеров), вероятность привлечения профессионального взломщика снижается в 2 раза, стоимость взлома увеличивается в несколько раз. Это только профилактический эффект. Оценить эффективность активного сканера взломщик сможет, когда к нему вечером зайдет администратор в сопровождении штатных работников "ножа и топора" с вопросом: "Простите, а зачем вы вошли в базу как администратор? Я не спрашиваю как, я спрашиваю зачем?"
Следует отметить, что сканеры не отменяют полезность систем блокирующих доступ, однако они их удачно дополняют и решают многие проблемы по надежности системы информационной безопасности. Некоторые проблемы сканеры не в состоянии решить, однако система блокирующая доступ их может решить очень просто. Например, для контроля доступа к группам и подгруппам товаров и контрагентов в отчетности можно использовать визуальные средства настройки безопасности OLAP-отчетности из Microsoft SQL. Таким образом, используя OLAP-сервер для получения отчетности из 1С:Предприятия можно решить не только проблемы быстродействия, но и безопасности аналитических срезов информации. Защита - это вопрос комплексный и важнейшая часть комплекса это использование сканеров наряду с другими средствами. Подобрать сбалансированный комплекс средств защиты сможет консультант, среди выбранных им средств обязательно должен быть и один или даже несколько сканеров.
В Internet доступен целый ряд бесплатных сканеров, которые используют хакеры для сканирования сети перед взломом. Использовать данные сканеры для поиска дыр в своей сети надо осторожно, есть риск нарваться на "троянского коня". Кроме того, данные сканеры обычно ориентированы на взлом Web-серверов и проникновение через межсетевой экран, т.е. на взлом снаружи. Иными словами для отваживания подростков, которые хулиганят через Internet это очень эффективно, а вот для 80% реальных взломов в которых участвуют инсайдеры данные сканеры практически бесполезны. Профессиональные хакеры обычно имеют сканеры собственной разработки для поиска уязвимости уже изнутри сети куда их пустил инсайдер, например, сканер для поиска незащищенных сетевых папок.
На рынке доступны очень качественные, но дорогие и сложные сканнеры для общего сканирования безопасности (например, Security Scanner). Обычно это пассивные сканеры, однако выполняют они много комлексных проверок и предназначены для нахождения потенциальных пробелов в защите, для выявления в реальном времени нелегальных подключений данные продукты не предназначены. Кроме того, специализированных сканнеров безопасности для 1С:Предприятия до недавнего времени не было. Сканнер не знающий архитектуры 1С не в состоянии обнаружить и тем более разрешить пробелы в ее криптозащите и системе аутентификации. "Обычный" сканер видит 1С как одно приложение, но не может увидеть, что кто-то вошел под чужым пользователем 1С.
Стоимость активного сканнера "Инсайдер Сканнер" для баз данных в Microsoft SQL составляет $500 (включая специальный модуль интеграции с 1С:Предприятием и услуги по установке и настройке). Лицензия приобретается только на сервер, на рабочие места лицензий нет.
Многие компания Москвы и Санк-Петербурга, такие компании как Русклимат, Сатурн, Амос, Техносвязь, уже выбрали данный продукт за простоту эксплуатации, высокую функциональность и надежность.
Информация по продукту и проблемам безопасности 1С:Предприятия можно найти на сайте www.ivn.newmail.ru