18 сентября, вторник 18:06
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Как организовать контроль надо пользователями с максимальными полномочиями?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Как организовать контроль надо пользователями с максимальными полномочиями?

    — контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
    Каким способом можно реализовать такой котроль? Как можно контролировать, скажем администратора банковской системы?

  • #2
    Сообщение от timset Посмотреть сообщение
    Каким способом можно реализовать такой котроль? Как можно контролировать, скажем администратора банковской системы?
    Как раз в нормальной АБС это несложно. При проектировании АБС определяются критичные транзакции (например, изменение прав пользователя или проведение платежа на суму выше заданной). Когда пользователь выполняет такую транзакцию, ее выполнение откладывается до тех пор, пока другой пользователь не подтвердит ее выполнение.

    Другое дело, что такое реализуется, в основном, в АБс, которые пишутся под заказ.

    Сложнее с администраторами СУБД и ОС, но и здесь есть решения.

    Комментарий


    • #3
      2malotavr
      Сложнее с администраторами СУБД и ОС, но и здесь есть решения.
      Будет интересно услышать Ваше мнение

      Комментарий


      • #4
        Сообщение от timset Посмотреть сообщение
        — контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
        Каким способом можно реализовать такой котроль? Как можно контролировать, скажем администратора банковской системы?
        1. можно "поставить человека с ружъем" за спиной администратора (мониторинг в реальном режиме времени)
        2. а можно настроить протоколирование соответствующих событий, а затем либо опять определить человека для анализа протоколов, либо использовать программный анализатор с правилами реакций на конкретные события в журналах

        Комментарий


        • #5
          Сообщение от barmalei Посмотреть сообщение
          2malotavr
          Будет интересно услышать Ваше мнение
          Change Management Solutions. Есть как в крупных линейках Management Solutions (Tivoli, OpenView, Unicenter), так и в виде отдельных продуктов.

          Админы как угодно играются в песочнице (среде разработки), но не в боевой системе. Перенос в продакшн автоматизирован, человек, который его делает, сам админом не является. Большинство сбоев решается откатом изменений.

          Ситуации, когда нужно экстренное вмешательство в юоевую систему возможны, но они очень редки (если нет - значит у вас плохо организовано тестирование). В этом случае действительно работает человек с ружьем. Причем экстренное вмешательство - только внесение временных изменений, эти изменения должеы быть перекрыты уже следующим накатом изменений через change management.

          Комментарий


          • #6
            Сообщение от malotavr Посмотреть сообщение

            Сложнее с администраторами СУБД и ОС, но и здесь есть решения.
            На последней Infosecurity ребята из Элвиса рассказывали, как они сделали такое решение для РАО ЕС.
            Общий смысл - самые интересные столбцы в БД зашифрованы, ключи хранятся в HSMах, расшифровку осуществляет сервер приложений (в нём тоже криптоплата стоит), ключи HSM выдаёт по запросу пользователя, имеющего права на доступ к данному столбцу.

            Комментарий


            • #7
              Change Management Solutions - спасибо почитаю
              Последний раз редактировалось barmalei; 29.10.2007, 12:12.

              Комментарий


              • #8
                Предложенные решения близки к идеалу, но, стоит отметить, что их сложно применить в существующей системе.

                Получается, что за админами всё же приходится следить.
                Постоянное видеонаблюдение, а еще лучше - постоянный видеозахват с их мониторов, причём публично. В итоге им просто не выгодно химичить.

                Комментарий


                • #9
                  timset Как можно контролировать, скажем администратора банковской системы?
                  Ограничить права администратора только администрированием, для начала. Посадить людей (во внутренний контроль), отслеживающих логи - кто что сделал - по определенному принципу, естественно, а не все подряд, и т.д.

                  Комментарий


                  • #10
                    dusker, так логи тоже можно при желании отредактировать.
                    Чем больше связей, тем меньше степеней свободы.

                    Комментарий


                    • #11
                      Сообщение от avk999 Посмотреть сообщение
                      На последней Infosecurity ребята из Элвиса рассказывали, как они сделали такое решение для РАО ЕС.
                      Общий смысл - самые интересные столбцы в БД зашифрованы, ключи хранятся в HSMах, расшифровку осуществляет сервер приложений (в нём тоже криптоплата стоит), ключи HSM выдаёт по запросу пользователя, имеющего права на доступ к данному столбцу.
                      Угу, вот только как это защищает от:
                      • админа СУБД, который права на доступ к столбцу раздает
                      • эникейщика, которому ничего не стоит пароль пользователя узнать
                      • админа самого сервера, который этим HSMом крутит как хочет.


                      От СУБДшного админа шифрование не защищает, но могут помочь логи - их можно кидать не только в таблицы, но и в файл, а у прав на запись в этот файл у самого СУБДшного админа может не быть.

                      Серверному админу сложнее всего. Если Элвисовцы не смогли нормально прикрутить HSM и он действительно "выдаёт ключи по запросу пользователя", то считайте, что ключ в руках у админа. Если же HSM прикручен нормально, и он сам шифрует/расшифровывает таблицы, тогда ключ админ получить не сможет, а вот прогнать расшифровку таблиц от имени пользователей - запросто.

                      Ну и эникейщик - самая большая головная боль: платят им мало, а поставить руткит/кейлоггер на любую рабочую станцию они могут запросто.

                      Комментарий


                      • #12
                        Чернушка так логи тоже можно при желании отредактировать
                        Смотря где логи хранятся и кто имеет туда доступ.

                        Комментарий


                        • #13
                          Смотря где логи хранятся и кто имеет туда доступ.

                          Радикальное решение мне известно ровно одно: логи через syslog посылаются сразу за пределы доступа локальных администраторов.
                          И я пока что не видел ни одного, в частности, ОДБ, который бы это реализовывал.

                          Народ. Есть ещё идеи?

                          Примечание. Конечно, давайте сразу отделять абстрактные пожелания "если бы систему строил я" от конкретных рецептов "а вот если сделано так-то, то можно добиться лучших результатов такими-то способами".

                          В частности, в моём ОДБ используется логгинг в файл (на syslog перенаправляется через пайп) и в таблицу БД (в принципе, тоже перенаправляется, но уже с задержкой на таймаут для сна соответствующего процесса, и с поправкой на возможность процесс остановить, не спеша всё поправить и запустить снова. Ну нету в нашей БД агентов). Ergo, объединившись, админ хоста и админ БД могут всё.
                          /kiv

                          Комментарий


                          • #14
                            поставить руткит/кейлоггер на любую рабочую станцию
                            Это да. Могут. Только если это будет стандартный руткит - его тут же вынесет антивирус. Правда, если аникей антивирус тоже ставит - настраивает (что чаще всего и происходит), то без вопросов.
                            /kiv

                            Комментарий


                            • #15
                              Сообщение от Илюха Посмотреть сообщение
                              поставить руткит/кейлоггер на любую рабочую станцию
                              Это да. Могут. Только если это будет стандартный руткит - его тут же вынесет антивирус. Правда, если аникей антивирус тоже ставит - настраивает (что чаще всего и происходит), то без вопросов.
                              Не вынесет. Перед установкой останавливаешь сервис антивируса, ставишь руткит, прячешь его, запускаешь сервис обратно. Не находит.

                              Проверялось на Hacker Defender'е и всех доступных на российском рынке антивирях (было одним из пунктов сравнения при выборе корпоративного решения). Отличился только DrWeb - собствнно руткит он не нашел, но нашел следы в реестре, там где запуск сервиса прописан. После того, как добавили эту ветку реестра в маскируемые объекты, DrWeb тоже стал обламываться. Сигнатура HD была у всех антивирей.

                              Комментарий


                              • #16
                                Сообщение от Илюха Посмотреть сообщение
                                Радикальное решение мне известно ровно одно: логи через syslog посылаются сразу за пределы доступа локальных администраторов.
                                И я пока что не видел ни одного, в частности, ОДБ, который бы это реализовывал.
                                Лечит, но не сильно. Админ точно так же вставляет еще один пайп и awk в промежуток между пайпами. В итоге ненужные ему сообщения до syslog'а не дойдут.

                                Комментарий


                                • #17
                                  2malotavr - Вы нашли способ обнаружить Руткит?
                                  Производители антивирей говорят, что спрос не большой, поэтому они особо и не паряться..
                                  Последний раз редактировалось barmalei; 30.10.2007, 10:05.

                                  Комментарий


                                  • #18
                                    Сообщение от barmalei Посмотреть сообщение
                                    2malotavr - Вы нашли способ обнаружить Руткит?
                                    Производители антивирей говорят, что спрос не большой, поэтому они особо и не паряться..
                                    Нет, разумеется. Мы разрабатывли статистические методы обнаружения руткитов, но у них вероятность ложного срабатывания выше 50%.

                                    По поводу "особо и не парятся" - абсолбтно с ними согласен. Чтобы обнаружить руткит, нужно внедрять антивирусный код на уровень ядра. Потребительский спрос от этого сильно не вырастет, а геморрооя станет больше на пару порядков.

                                    Комментарий


                                    • #19
                                      Руткиты остаються слабым звеном для ИБ.
                                      2malotavr - вы следили за действиями HD, были какие-либо недокументированные возможности в нем? К примеру бекдор для создателя, обращение к сторонним серверам и т.д.?
                                      Вы для себя как-то определили как обнаружать на своем компьютере подобные программы(Кейлогеры, Руткиты, работающие на уровне ОС)?

                                      Комментарий


                                      • #20
                                        Руткиты остаються слабым звеном для ИБ - думается, что слабое звено в ИБ это люди
                                        те же Руткиты не сами себя устанавливают

                                        Комментарий


                                        • #21
                                          Сообщение от barmalei Посмотреть сообщение
                                          Руткиты остаються слабым звеном для ИБ.
                                          2malotavr - вы следили за действиями HD, были какие-либо недокументированные возможности в нем? К примеру бекдор для создателя, обращение к сторонним серверам и т.д.?
                                          Вы для себя как-то определили как обнаружать на своем компьютере подобные программы(Кейлогеры, Руткиты, работающие на уровне ОС)?
                                          HD - это Hacker Defender, руткит, позволяющий прятать файлы и процессы. Под его прикрытием можно уже делать что угодно. Обнаруживать руткиты и кейлоггеры бессмысленно, ьороться нужно с действительно слабым звеном - человеком.

                                          Комментарий


                                          • #22
                                            Бороться нужно с действительно слабым звеном - человеком
                                            Какие есть предложения?

                                            Комментарий


                                            • #23
                                              Какие есть предложения? Нет человека - нет проблем

                                              Те угрозы, что может реализовать человек - это следствия.
                                              У следствий есть причины. Зная о причинах, можно судить и о возможных следствиях.
                                              Задача - узнать причины
                                              Причины узнать просто. Повертев головой можно увидеть общество ориентированное на матерьяльные ценности (деньги, власть, слава и остальные производные). Наложив ценности общества на людей живущих в нем, получим ценности (цели) конкретного человека. По разным оценкам, ценности общества разделяют 80-97% людей живущих в нем.
                                              Но цели человека - это ещё не причины инцидентов ИБ, хотя и могут ими стать.
                                              Задача, определить когда цели человека (как работника), пересекутся с целями работодателя и отразятся на последнем негативно.
                                              Реализация. Мониторинг целей человека, изменений их приоритетности , его способов их достижения.
                                              Практика: Отслеживания неких ключевых событий в жизни человека: резкие изменения в финансовом достатке, изменения в личной жизни и т.д.

                                              Пример:
                                              Исходное: Человек. Работает. По работе имеет доступ к финансовым потокам организации. В меру честен ). Жена, дети. Стабильная жизнь.
                                              Причина: Изменение в семейной жизни человека. Решил сменить жену. Развод со скандалами. Дележ имущества. Поиск другова жилья и т.д. Нужны деньги. Много и сразу. Попытка взять в долг и в кредит. Везде отказ.
                                              В итоге: У человека мозги набекрень и большой дефицит денежных знаков + огромное желание решить свои проблемы как можно быстрее. Попытка решить свои проблемы за счет организации. Увольнение - в лучшем случае. Суд тюрьма - в худшем.

                                              ps Хотя начать, на мой взгляд, лучше с обучения работников, дабы максимально уменьшить роль человеческого фактора в инцидентах ИБ.

                                              Комментарий


                                              • #24
                                                box_roller
                                                Коллега, не обольщайтесь: если руки у потенциального злоумышленника растут не из ж..ы и в его голове есть моск (а не абстрактное серое вещество), то вероятность предотвратить его злобное деяние стремится к нулю.Помочь может только своевременный глубинный психоанализ...
                                                Всё в наших руках...(с)

                                                Комментарий


                                                • #25
                                                  если руки у потенциального злоумышленника растут не из ж..ы и в его голове есть моск (а не абстрактное серое вещество), то вероятность предотвратить его злобное деяние стремится к нулю - в реальном мире, к нулю стремится вероятность совпадения всех перечисленных факторов в одном индивидууме (я о руках, мозге + желание злобного деяния)

                                                  из моей практики... адекватные злоумышленники (руки+мозг) умудрялись, обойдя все системы защиты, запалиться на мелочах... видно не их судьба
                                                  это я к тому, что вероятность предотвратить инцидент весьма велика

                                                  Комментарий


                                                  • #26
                                                    box_roller
                                                    это я к тому, что вероятность предотвратить инцидент весьма велика
                                                    Т.е. Вы хотите сказать, что знаете о своих сисадминах практически всё и в рабочее время держите их под постоянным наблюдением?
                                                    Всё в наших руках...(с)

                                                    Комментарий


                                                    • #27
                                                      to Пух575
                                                      Коллега, а с чего Вы решили что я хочу сказать: "Т.е. Вы хотите сказать, что знаете о своих сисадминах практически всё и в рабочее время держите их под постоянным наблюдением" , а не другое?
                                                      Каковы предпосылки для данного заявления?

                                                      Комментарий


                                                      • #28
                                                        box_roller
                                                        Так Вы же и пишете:в реальном мире, к нулю стремится вероятность совпадения всех перечисленных факторов в одном индивидууме (я о руках, мозге + желание злобного деяния)
                                                        imho, такой вывод можно сделать лишь имея многолетний опыт плотного общения с большим числом этих самых индивидуумов...
                                                        Всё в наших руках...(с)

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Пух575 Посмотреть сообщение
                                                          box_roller
                                                          Так Вы же и пишете:в реальном мире, к нулю стремится вероятность совпадения всех перечисленных факторов в одном индивидууме (я о руках, мозге + желание злобного деяния)
                                                          imho, такой вывод можно сделать лишь имея многолетний опыт плотного общения с большим числом этих самых индивидуумов...
                                                          Можно сделать и такой вывод... а можно и с десяток других выводов сделать. Но в данном конкретном случая попытка угадать мои мысли, Вам не удалась

                                                          Комментарий


                                                          • #30
                                                            Сообщение от timset Посмотреть сообщение
                                                            — контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
                                                            Каким способом можно реализовать такой котроль? Как можно контролировать, скажем администратора банковской системы?
                                                            На мой взгляд, нет особого смысла пытаться переиграть соперника на его поле, там где ему нет равных. Админа крайне сложно полностью контролировать в его сети. На технические средства полагаться не стоит, хотя и от них отказываться не нужно.

                                                            Как вариант, можно применить политику кнута по линии СБ. Если админ будет осознавать, что в случае чего к нему будут применены меры не совместимые с действующим законодательством и его здоровьем, то возможно "черные" мысли покинут его светлую голову

                                                            Технические же средства хороши для новых сотрудников. С системой защиты они ещё не знакомы, а их квалификация пока на практике не известна.

                                                            Пример: Новый админ на испытательном сроке решил сделать свой личный, никем не контролируемый туннель, во внешнюю сеть. При реализации своей идеи он последовательно отметился на всех периметрах зашиты. Его признали нехорошим человеком (т.к. хотел) и плохим админом (т.к. не смог). Испытательный срок он не прошел

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 0. Участников: 0, гостей: 0.

                                                            Обработка...
                                                            X