Пароли как слабое звено КСБ: укрепляем киберзащиту

Поделиться:

Опубликовано в журнале «Системы безопасности» №4'2024

В четвёртом номере журнала «Системы безопасности» 2024 года вышла очередная статья о проблемах кибезащищенности комплексных систем безопасности и о политике парольной защиты.

Парольная защита – важный фактор обеспечения информационной безопасности. По статистике "Ростелеком-Солар", слабая парольная политика занимает первое место в топ-5 критических уязвимостей внешних периметров. Информационные системы физической безопасности, в том числе КСБ и PSIM, не являются исключением

Современные комплексные системы физической безопасности (КСБ) – это мощные информационные системы, хранящие и обрабатывающие большие массивы критически важных данных, включая персональные. Они же обеспечивают управление оборудованием, непосредственно отвечающим за безопасность объекта. И они всё
чаще интегрируются с другими корпоративными информационными системами, переставая быть изолированными. Это создает новые вызовы, связанные с защитой не только от внешних угроз, но и от внутренних злоумышленников.

Пренебрежение правилами, непонимание возможных последствий нарушений, приоритет простоты и удобства пользования перед защищенностью, отсутствие развитых средств информационной защиты в программном обеспечении не просто снижают информационную безопасность, но и  девальвируют всю систему физической безопасности.

Среди различных мер защиты информации правильное управление паролями и учетными записями является основой для построения безопасной и устойчивой к атакам системы физической безопасности.

На практике наблюдается, что во многих системах безопасности для доступа к программному обеспечению используются крайне простые пароли. Часто они не меняются на протяжении многих лет, одни и те же комбинации “логин – пароль” применяются для разных операторов.

Многие системы позволяют обходиться одной-двумя учетными записями, а также предлагают функции автозапуска приложений с автоматической авторизацией. Порой операторы работают под учетной записью администратора, что
является недопустимым. Это особенно критично, когда операторы – это сотрудники сторонних организаций, таких как охранные компании, получающие неограниченные полномочия для работы в системе.

В компании “Итриум” кибербезопасности программных продуктов уделяется особое внимание. Одним из важнейших  элементов нашей платформы НЕЙРОСС  является надежная и киберзащищенная  подсистема управления аутентификацией и  авторизацией. Она разработана с учетом современных угроз и реализует несколько ключевых функций, направленных на обеспечение надежной защиты данных и предотвращение несанкционированного доступа.

Контроль сложности паролей

Современные компьютеры могут подбирать пароли с огромной скоростью. Простые пароли взламываются за доли секунды. Поэтому многие интернет-сервисы требуют, чтобы пароли содержали минимум восемь символов и включали буквы в разном регистре, цифры и специальные символы. При внедрении платформы НЕЙРОСС одним из первых шагов является определение строгих правил сложности паролей, которые будут применяться при создании всех учетных записей. Это включает в себя требования к длине пароля, разнообразию символов и регулярной смене паролей.

Ротация паролей

Если сложные пароли не меняются годами и “передаются по наследству” от одних операторов к другим (например, в виде наклейки на мониторе), уровень защищенности системы неуклонно падает и даже самые надежные
пароли становятся уязвимыми.

Решение – внедрение периодической ротации паролей. На практике это часто сталкивается с противодействием со стороны пользователей, которым сложно их запоминать: сотрудники предпочитают удобство, а не безопасность.

Платформа НЕЙРОСС может автоматически требовать периодической смены паролей, что позволяет снизить риски, связанные с устаревшими учетными данными. Для облегчения процесса пользователям предоставляются инструменты для безопасного хранения и управления паролями, например менеджеры паролей. Это позволяет сохранить баланс между удобством и безопасностью.

Исключение практики автоматического входа в систему

Многие программные комплексы для управления КСБ дают возможность организовать автоматический вход в приложения системы безопасности после старта операционной системы. Решение кажется удобным для пользователя, но для безопасности и защиты данных оно создает очевидную уязвимость: любой, кто имеет доступ к компьютеру, может получить неограниченный доступ к критически важным данным и функциям системы безопасности. Это особенно опасно в условиях, когда компьютеры могут использоваться несколькими людьми или находиться в общественных местах.

Если автоматический вход все же необходим, правильнее использовать аппаратные средства, такие как USB-токены или смарт-карты, обеспечивающие автоматическую аутентификацию при их подключении. Важно, чтобы система автоматически выходила из защищаемых приложений при отключении этих устройств от компьютера. Это добавляет еще один уровень защиты, так как доступ к системе будет возможен только при наличии физического токена.

Контроль попыток подбора пароля

Современные компьютеры способны перебирать пароли с огромной скоростью, поэтому в платформе НЕЙРОСС есть механизм контроля попыток подбора пароля: несколько неудачных попыток авторизации подряд фиксируются и учетная запись автоматически блокируется.

Администратор получает уведомление о попытке подбора пароля и может сразу предпринять необходимые действия для защиты системы, включая анализ логов, проверку активности пользователя и т.д. При подозрении на компрометацию учетной записи пароль может быть оперативно сброшен. Это позволяет быстро восстановить контроль над учетной записью и предотвратить возможные угрозы.

Многофакторная авторизация

На объектах с повышенными требованиями к защите доступа к информации и инфраструктуре систем безопасности возможно внедрение многофакторной авторизации.

После ввода пары “логин – пароль” система может дополнительно генерировать и направлять пользователю одноразовый код, например на смартфон или e-mail. Добавляется еще один уровень защиты: даже если пароль был украден или разглашен, злоумышленник не сможет получить доступ к учетной записи без кода,
который отправляется только законному пользователю. Многофакторная авторизация дополнительно защищает критически важные данные и инфраструктуру от несанкционированного доступа.

Правило "четырех глаз"

В большинстве современных систем безопасности пользователю с правами администратора доступны все действия и вся информация в системе. Но концентрация всех полномочий в руках одного человека создает серьезную
уязвимость.

Для минимизации связанных с этим рисков в платформе НЕЙРОСС реализовано правило “четырех глаз”: для выполнения определенных действий, например изменения прав доступа пользователя или создания новой учетной записи, требуется авторизация двух пользователей, и администратор не сможет единолично произвести изменения, о которых никто не узнает.

Введение такого требования очень усложняет возможность злоупотреблений и сговора, например, двух администраторов. Это способствует и созданию культуры ответственности и прозрачности в управлении доступом, что важно для надежной защиты информации и дополнительного контроля над доступом к критически важным данным и функциям.

Разделение административных ролей и полномочий

Хорошей практикой, исключающей сосредоточение доступа ко всей системе в руках одного человека, уменьшающей вероятность злоупотреблений и повышающей уровень ответственности администраторов, является разделение
ролей “системного” и “бизнес-администраторов”.

В платформе НЕЙРОСС выделяются две основные административные роли. Пользователи, отнесенные к “системным администраторам”, отвечают за работу системы в целом, включая ее настройку, исправность и целостность. Но они не имеют доступа к прикладным данным системы – информации о владельцах пропусков, видеозаписи и другим критически важным данным.

Пользователи – “бизнес-администраторы” имеют доступ к прикладной информации в системе и управляют правами пользователей-операторов. За правила авторизации отвечает подсистема управления паролями – это обеспечивает дополнительный уровень защиты. У “бизнес-администраторов” нет доступа к техническим настройкам системы, что снижает риски, связанные с несанкционированными изменениями в ее конфигурации.

Интеграция с другими системами аутентификации

При внедрении системы безопасности на объектах крупных корпораций часто возникает необходимость интеграции КСБ с корпоративной системой аутентификации, обеспечивающей доступ к цифровым ресурсам. Важной особенностью НЕЙРОСС является использование стандартных безопасных протоколов аутентификации, например OAuth и OpenID Connect.

НЕЙРОСС также поддерживает интеграцию с такими identity-провайдерами, как Active Directory по протоколу LDAP, что позволяет настроить взаимодействие с существующими корпоративными системами. Это решение дает возможность делегировать управление учетными записями единому корпоративному сервису, упрощает администрирование и повышает уровень безопасности.

Возможность интеграции НЕЙРОСС с корпоративной системой аутентификации позволяет организациям полностью перейти на существующую облачную систему аутентификации, чтобы адаптировать систему безопасности под свои уникальные потребности и существующую инфраструктуру и значительно упростить процесс управления доступом, повысить его эффективность. Пользователи могут использовать свои корпоративные учетные данные для
доступа к системе безопасности, что снижает необходимость запоминания множества паролей и упрощает  аутентификацию.

Заключение

Внедрение надежных механизмов аутентификации и авторизации в платформу НЕЙРОСС позволяет защищать данные и оборудование. Мы стремимся создать безопасную и надежную среду, где технологии работают на благо пользователей, а не становятся источником угроз.

Создание безопасной среды требует не только технических решений, но и изменения культуры безопасности в организации. Внутренние угрозы могут исходить и от недобросовестных сотрудников, и от случайных ошибок. Поэтому регулярное обучение и повышение осведомленности сотрудников о рисках и методах защиты информации становятся неотъемлемой частью стратегии безопасности. Только совместными усилиями можно достичь значительных результатов в защите информации и минимизации рисков.

Будьте в курсе

Другие Публикации

Безопасность в опасности

В третьем номере журнала «Системы безопасности» 2024 года вышла вторая статья заместителя генерального директора по информационным технологиям и инновациям ИТРИУМ Рыбакова Глеба, продолжающая цикл публикаций по проблеме наличия систем безопасности со встроенной киберзащитой и необходимости соблюдения информационной гигиены.

«Дыра в безопасности»

В первом номере журнала «Системы безопасности» 2024 года вышла статья о необходимости использования систем безопасности со встроенной киберзащитой и необходимости соблюдения информационной гигиены.