Artykuły

BPMstandard.pl używa cookies.

Brak zmiany ustawienia przeglądarki oznacza Twoją zgodę.

Zrozumiałem
05Lut2016

Bezpieczeństwo i monitoring procesów biznesowych w dużych środowiskach

bpmstandard riskW realizacji i zarządzaniu procesami biznesowymi w organizacji niezwykle ważną i jednocześnie często pomijaną  kwestią staje się właściwe projektowanie oraz implementacja mechanizmów zabezpieczenia procesów przed atakami. Ryzyko związane jest zarówno z samym procesem, gdzie intruz może próbować wpłynąć na jego przebieg, jak i danymi, z których procesy korzystają. Proces biznesowy praktycznie zawsze odwołuje się do istotnych danych, składowanych wewnątrz organizacji lub u zewnętrznego usługodawcy.

Miejscem przechowywania danych są najczęściej środowiska bazodanowe oraz hurtownie danych, w których dane przetrzymywane są w formie strukturalnej lub w formie plików na serwerach, z których korzystają aplikacje oraz użytkownicy. Podczas projektowania i wdrażania mechanizmów ochrony procesów biznesowych przed zagrożeniami należy wziąć pod uwagę kwestie:

    • dostępności danego procesu oraz informacji, np. ataki klasy Denial of Service, czyli Odmowa Usługi. Ataki takie mogą mieć zarówno formę przesyłania masy zapytań która jest nie do obsłużenia wewnątrz środowiska instytucji jak i formę trudnych do identyfikacji zdarzeń, wykorzystujących podatność jednego lub wielu elementów infrastruktury teleinformatycznej;
    • integralności , np. w transakcji internetowej zmiana procesu wykonania transferu danych i zmiana jego charakterystyki czy też modyfikacja / usunięcie kluczowych obiektów w środowisku (informacji, baz danych, itp.;
    • poufności, np. wyciek danych przez aplikacje (np. ataki SQL-injection) lub bezpośrednio w organizacji. Większość zagrożeń wewnątrz organizacji związana jest z pracownikami, którzy kopiują dane na własne nośniki i wynoszą z firmy lub osobami, które poprzez atak socjotechniczny lub złośliwe oprogramowanie stają się „punktem przesiadkowym” dla intruza. Dzięki temu osoba z zewnątrz organizacji ma często nieograniczony dostęp do danych przez stację  osoby odpowiedzialnej za dany proces oraz informacje - np. administratora środowiska bazodanowego.

 

Projektując środowisko ochrony procesów biznesowych nie można zapomnieć o elementach takich jak aplikacje oraz serwisy Web (pozycjonowane do tego są narzędzia klasy WAF/XML Firewall), bazy danych (DAM/DBF), serwery plików (File Firewall) wraz z systemami zarządzającymi uprawnieniami (User Rights Management). Ze względu na coraz nowsze, zarówno znane jak i nieznane techniki ataków wykorzystujące podatność któregoś elementu procesu biznesowego firmy poza konwencjonalnymi narzędziami coraz częściej wdrażają kompleksowe narzędzia, które automatycznie wykryć mają oszustwa na bazie wcześniej wyuczonego profilu i charakterystyki działań użytkowników w danym procesie. Analiza rozpoczyna się od źródła inicjującego dany proces, jeśli jest to użytkownik z zewnątrz (np. klient firmy, partner, pracownik) sprawdzana jest jego reputacja. Weryfikacja ma na celu sprawdzenie, czy użytkownik nie był wcześniej sklasyfikowany jako niebezpieczny lub też jego konto zostało przejęte przez intruza i wykorzystywane z innego miejsca. Coraz częściej instytucje finansowe chcą dodatkowo sprawdzać, czy po stronie aplikacji źródłowej (czyli najczęściej przeglądarki internetowej) nie ma oprogramowania szpiegującego lub kodu który mógłby wpłynąć na integralność kluczowego procesu.

 

Ryzyko związane jest zarówno z samym procesem, gdzie intruz może próbować wpłynąć na jego przebieg, jak i danymi, z których procesy korzystają. 

bpmstandard risk

Istotne dla zabezpieczenia danych organizacji oraz kluczowych dla jej działania procesów biznesowych jest właściwe zarządzanie uprawnieniami, większość standardów i regulacji jawnie definiuje wymagania związane z tym procesem (jak Rekomendacja D czy PCI DSS). Kluczową, aczkolwiek trudną do implementacji w dużych, rozproszonych środowiskach jest dobra zasada ograniczonego zaufania (tzw. Least Priviledges), którą powinno się stosować w całym środowisku. W kolejnym kroku identyfikowane są ataki techniczne które mają na celu uzyskanie nieautoryzowanego dostępu do informacji, zarówno przez aplikacje Web udostępnione na zewnątrz jak i te bezpośrednie na informacje wewnątrz organizacji (jeśli intruzowi udało się do niej już dostać). Kluczowym w tym przypadku staje się zaprojektowanie i wdrożenie rozwiązania, które pozwoli na centralne, spójne podejście do ochrony każdej możliwej metody dostępu do składowanych informacji.

 

Kończąc cykl ochrony procesów i danych uwzględnić należy efektywne rejestrowanie transakcji oraz poszczególnych etapów najważniejszych procesów organizacji. Kwestiami, na które firmy zwracają szczególną uwagę jest centralny punkt kontroli takich danych, właściwa archiwizacja logów, szczegóły dotyczące zdarzenia oraz odseparowanie narzędzi od samego środowiska (w celu nie wpływania na ich wydajność i ze względu na separację obowiązków użytkowników). W ostatnim czasie coraz większą popularnością cieszą się usługi dostępne na zewnątrz organizacji (tzw. Software as a Service, w skrócie SaaS), np. wymiana plików, optymalizacja pracy czy systemy grupy CRM (Customer Relationship Management). Zwiększenie popularności powyższych usług wiąże się również z dużym ryzykiem związanym z niekontrolowanym współdzieleniem informacji, zwłaszcza w przypadku kradzieży danych dostępowych pracownika. Jest to zwana w IT warstwa „Shadow IT”, trudna do monitoringu i ochrony przez konwencjonalne systemy zabezpieczeń.

 

Rozważając powyższe, organizacje modelując i implementując w środowisku ważne procesy biznesowe uwzględnić powinny wszystkie powyższe punkty. 

 

bkrynski

Bartosz Kryński

Absolwent Wojskowej Akademii Technicznej, konsultant ds. sieci bezpieczeństwa IT w Clico, posiada ponad 10-letnie doświadczenie w przygotowaniu oraz realizacji projektów związanych z ochroną infrastruktury, środowisk aplikacyjnych oraz bazodanowych. Uczestniczył w wielu audytach bezpieczeństwa dużych instytucji finansowych w Polsce.

 

 

logo imperva