В последнее время остро встала задача контроля привилегированных пользователей информационных систем. В том числе там, где велика цена ошибки, например на электронных торговых площадках (ЭТП).
Торговый портал FABRIKANT.RU также столкнулся с этой проблемой. Как отметил ИТ-директор компании Денис Анциферов на пресс-конференции фирмы Wallix, постоянно приходится решать три задачи:
- обеспечивать круглосуточную бесперебойную работу ЭТП;
- обеспечивать конфиденциальность информации (об участниках торговых процедур, об их коммерческих предложениях);
- обеспечивать неизменность защищаемой информации (коммерческих предложений, средств на виртуальных счетах).
Среди заказчиков FABRIKANT.RU и его дочерних компаний немало таких, которые предъявляют повышенные требования к безопасности. Это, например, крупнейшие предприятия ТЭК (в частности, госкорпорация «Росатом»), оборонно-промышленного комплекса, государственные ведомства, включая силовые. При этом закупки для госструктур регулируются еще и законом 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд». Одной из его норм являются штрафные санкции в случае остановки торгов по вине оператора площадки.
Как подчеркнул Денис Анциферов, наиболее острой проблемой является именно обеспечение бесперебойной работы.
Вместе с тем нарушить работу торговой площадки можно выполнением буквально одной команды. А количество точек контроля велико. При этом круг потенциальных нарушителей весьма широк.
Всё это существенно затрудняло расследование возникавших инцидентов. «Наши системные администраторы часто работали из-под учетной записи root, и один из них поступил нехорошо. Он захотел включить сетевой интерфейс на внешних серверах. В таком случае информационная система перестает быть доступной снаружи. Мы смогли быстро зафиксировать изменения и локализовать последствия благодаря ранее внедренным системам мониторинга и контроля версий, но из-за того, что он работал из-под root, мы долго не могли понять, кто пытался это сделать. Нам удалось это выяснить лишь благодаря тому, что доступ к администрированию информационной системы возможен только из офиса, а также благодаря записям с видеокамер», — вспоминает Денис Анциферов.
В компании было решено внедрять систему контроля привилегированных пользователей. Она должна была иметь следующий набор функций:
- независимое управление доступом привилегированных пользователей;
- единая точка управления и контроля доступа;
- контроль работы в реальном времени;
- однозначная идентификация привилегированных пользователей и их действий на серверах;
- контроль SQL-запросов к СУБД;
- оповещение службы ИБ о признаках инцидентов;
- надежное хранение журналов доступа и обеспечение их целостности;
- удобный инструмент анализа журналов доступа.
В итоге было выбрано решение Wallix AdminBastion (WAB) французской компании Wallix.
По сравнению с аналогами это решение не требует установки какого-либо ПО на контролируемые хосты, а также внесения значимых изменений в имеющуюся инфраструктуру. Помимо этого оно обладает такими преимуществами, как удобная политика лицензирования, работа и с физическими, и с виртуальными системами, простое масштабирование, удобство и простота внедрения.
Все работы по проекту свелись к тому, чтобы сделать WAB единой точкой подключения к программно-аппаратному комплексу электронной площадки с целью его администрирования. Для этого пришлось изменить сетевые маршруты, чтобы запретить прямой доступ к оборудованию. Проект был выполнен за две недели.
«Подключить все системы к WAB было просто и удобно. Проблем с переносом не было, работа систем в процессе настройки не останавливалась. У нас большой парк оборудования, и системы между собой не всегда связаны. В этом случае ролевая модель, реализуемая WAB, нам очень помогает. Она означает экономию времени, в том числе при изменении прав доступа конкретного сотрудника при найме, переводе и увольнении. Еще один плюс — шифрование информации: все журналы хранятся в зашифрованном виде. Мы получили полный мониторинг в реальном времени. Кроме того, оптимизация работы департамента ИБ дала нам значительную экономию средств, так как многие функции контроля, изменения прав, расследования инцидентов и т. п. практически полностью автоматизированы, в том числе за счет интеграции WAB c имеющейся SIEM-системой. Теперь на то, что раньше занимало часы, уходят считанные минуты» — так Денис Анциферов описал работу по внедрению WAB и первые её результаты.
