Пароли как слабое звено КСБ: укрепляем киберзащиту
Итриум СПб, 02/11/24
Парольная защита – важный фактор обеспечения информационной безопасности. По статистике "Ростелеком-Солар", слабая парольная политика занимает первое место в топ-5 критических уязвимостей внешних периметров. Информационные системы физической безопасности, в том числе КСБ и PSIM, не являются исключением.
Современные комплексные системы физической безопасности (КСБ) – это мощные информационные системы, хранящие и обрабатывающие большие массивы критически важных данных, включая персональные. Они же обеспечивают управление оборудованием, непосредственно отвечающим за безопасность объекта. И они всё чаще интегрируются с другими корпоративными информационными системами, переставая быть изолированными. Это создает новые вызовы, связанные с защитой не только от внешних угроз, но и от внутренних злоумышленников.
Пренебрежение правилами, непонимание возможных последствий нарушений, приоритет простоты и удобства пользования перед защищенностью, отсутствие развитых средств информационной защиты в программном обеспечении не просто снижают информационную безопасность, но и девальвируют всю систему физической безопасности.
Среди различных мер защиты информации правильное управление паролями и учетными записями является основой для построения безопасной и устойчивой к атакам системы физической безопасности.
На практике наблюдается, что во многих системах безопасности для доступа к программному обеспечению используются крайне простые пароли. Часто они не меняются на протяжении многих лет, одни и те же комбинации "логин – пароль" применяются для разных операторов.
Многие системы позволяют обходиться одной-двумя учетными записями, а также предлагают функции автозапуска приложений с автоматической авторизацией. Порой операторы работают под учетной записью администратора, что является недопустимым. Это особенно критично, когда операторы – это сотрудники сторонних организаций, таких как охранные компании, получающие неограниченные полномочия для работы в системе.
В компании "Итриум" кибербезопасности программных продуктов уделяется особое внимание. Одним из важнейших элементов нашей платформы НЕЙРОСС является надежная и киберзащищенная подсистема управления аутентификацией и авторизацией. Она разработана с учетом современных угроз и реализует несколько ключевых функций, направленных на обеспечение надежной защиты данных и предотвращение несанкционированного доступа.
Контроль сложности паролей
Современные компьютеры могут подбирать пароли с огромной скоростью. Простые пароли взламываются за доли секунды. Поэтому многие интернет-сервисы требуют, чтобы пароли содержали минимум восемь символов и включали буквы в разном регистре, цифры и специальные символы. При внедрении платформы НЕЙРОСС одним из первых шагов является определение строгих правил сложности паролей, которые будут применяться при создании всех учетных записей. Это включает в себя требования к длине пароля, разнообразию символов и регулярной смене паролей.
Ротация паролей
Если сложные пароли не меняются годами и "передаются по наследству" от одних операторов к другим (например, в виде наклейки на мониторе), уровень защищенности системы неуклонно падает и даже самые надежные пароли становятся уязвимыми.
Решение – внедрение периодической ротации паролей. На практике это часто сталкивается с противодействием со стороны пользователей, которым сложно их запоминать: сотрудники предпочитают удобство, а не безопасность.
Платформа НЕЙРОСС может автоматически требовать периодической смены паролей, что позволяет снизить риски, связанные с устаревшими учетными данными. Для облегчения процесса пользователям предоставляются инструменты для безопасного хранения и управления паролями, например менеджеры паролей. Это позволяет сохранить баланс между удобством и безопасностью.
Исключение практики автоматического входа в систему
Многие программные комплексы для управления КСБ дают возможность организовать автоматический вход в приложения системы безопасности после старта операционной системы. Решение кажется удобным для пользователя, но для безопасности и защиты данных оно создает очевидную уязвимость: любой, кто имеет доступ к компьютеру, может получить неограниченный доступ к критически важным данным и функциям системы безопасности. Это особенно опасно в условиях, когда компьютеры могут использоваться несколькими людьми или находиться в общественных местах.
Если автоматический вход все же необходим, правильнее использовать аппаратные средства, такие как USB-токены или смарт-карты, обеспечивающие автоматическую аутентификацию при их подключении. Важно, чтобы система автоматически выходила из защищаемых приложений при отключении этих устройств от компьютера. Это добавляет еще один уровень защиты, так как доступ к системе будет возможен только при наличии физического токена.
Контроль попыток подбора пароля
Современные компьютеры способны перебирать пароли с огромной скоростью, поэтому в платформе НЕЙРОСС есть механизм контроля попыток подбора пароля: несколько неудачных попыток авторизации подряд фиксируются и учетная запись автоматически блокируется.
Администратор получает уведомление о попытке подбора пароля и может сразу предпринять необходимые действия для защиты системы, включая анализ логов, проверку активности пользователя и т.д. При подозрении на компрометацию учетной записи пароль может быть оперативно сброшен. Это позволяет быстро восстановить контроль над учетной записью и предотвратить возможные угрозы.
Многофакторная авторизация
На объектах с повышенными требованиями к защите доступа к информации и инфраструктуре систем безопасности возможно внедрение многофакторной авторизации.
После ввода пары "логин – пароль" система может дополнительно генерировать и направлять пользователю одноразовый код, например на смартфон или e-mail. Добавляется еще один уровень защиты: даже если пароль был украден или разглашен, злоумышленник не сможет получить доступ к учетной записи без кода, который отправляется только законному пользователю. Многофакторная авторизация дополнительно защищает критически важные данные и инфраструктуру от несанкционированного доступа.
Правило "четырех глаз"
В большинстве современных систем безопасности пользователю с правами администратора доступны все действия и вся информация в системе. Но концентрация всех полномочий в руках одного человека создает серьезную уязвимость.
Для минимизации связанных с этим рисков в платформе НЕЙРОСС реализовано правило "четырех глаз": для выполнения определенных действий, например изменения прав доступа пользователя или создания новой учетной записи, требуется авторизация двух пользователей, и администратор не сможет единолично произвести изменения, о которых никто не узнает.
Введение такого требования очень усложняет возможность злоупотреблений и сговора, например, двух администраторов. Это способствует и созданию культуры ответственности и прозрачности в управлении доступом, что важно для надежной защиты информации и дополнительного контроля над доступом к критически важным данным и функциям.
Разделение административных ролей и полномочий
Хорошей практикой, исключающей сосредоточение доступа ко всей системе в руках одного человека, уменьшающей вероятность злоупотреблений и повышающей уровень ответственности администраторов, является разделение ролей "системного" и "бизнес-администраторов".
В платформе НЕЙРОСС выделяются две основные административные роли. Пользователи, отнесенные к "системным администраторам", отвечают за работу системы в целом, включая ее настройку, исправность и целостность. Но они не имеют доступа к прикладным данным системы – информации о владельцах пропусков, видеозаписи и другим критически важным данным.
Пользователи – "бизнес-администраторы" имеют доступ к прикладной информации в системе и управляют правами пользователей-операторов. За правила авторизации отвечает подсистема управления паролями – это обеспечивает дополнительный уровень защиты. У "бизнес-администраторов" нет доступа к техническим настройкам системы, что снижает риски, связанные с несанкционированными изменениями в ее конфигурации.
Интеграция с другими системами аутентификации
При внедрении системы безопасности на объектах крупных корпораций часто возникает необходимость интеграции КСБ с корпоративной системой аутентификации, обеспечивающей доступ к цифровым ресурсам. Важной особенностью НЕЙРОСС является использование стандартных безопасных протоколов аутентификации, например OAuth и OpenID Connect.
НЕЙРОСС также поддерживает интеграцию с такими identity-провайдерами, как Active Directory по протоколу LDAP, что позволяет настроить взаимодействие с существующими корпоративными системами. Это решение дает возможность делегировать управление учетными записями единому корпоративному сервису, упрощает администрирование и повышает уровень безопасности.
Возможность интеграции НЕЙРОСС с корпоративной системой аутентификации позволяет организациям полностью перейти на существующую облачную систему аутентификации, чтобы адаптировать систему безопасности под свои уникальные потребности и существующую инфраструктуру и значительно упростить процесс управления доступом, повысить его эффективность. Пользователи могут использовать свои корпоративные учетные данные для доступа к системе безопасности, что снижает необходимость запоминания множества паролей и упрощает аутентификацию.
Заключение
Внедрение надежных механизмов аутентификации и авторизации в платформу НЕЙРОСС позволяет защищать данные и оборудование. Мы стремимся создать безопасную и надежную среду, где технологии работают на благо пользователей, а не становятся источником угроз.
Создание безопасной среды требует не только технических решений, но и изменения культуры безопасности в организации. Внутренние угрозы могут исходить и от недобросовестных сотрудников, и от случайных ошибок. Поэтому регулярное обучение и повышение осведомленности сотрудников о рисках и методах защиты информации становятся неотъемлемой частью стратегии безопасности. Только совместными усилиями можно достичь значительных результатов в защите информации и минимизации рисков.
Опубликовано в журнале "Системы безопасности" № 4/2024
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>