GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
    |- Информационная безопасность > Общие вопросы информационной безопасности Post New Topic   Post A Reply
Тупик безопасности printer friendly version
next newest post | next oldest post
Author Messages
Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Friday, March 28, 2003 @ 13:52:19    ICQ

В чём вопрос?
Вопрос в АДМИНАХ!
Не знаю как в России, а у нас видимо не совсем ещё понимаю роль админа во всём ЭТОМ.
Единственным сдерживающим фактором для админа в настоящий момент является дублирование транзакций на бумажных носителях и контроль со тороны исполнителей на местах.
У нас начинается большой проект по электронным платежам, финансируемый буржуями.
Посидел я, подумал... и закручинился.
Приехали внешние аудиторы, озадачил я их этим вопросом: "Как можно контролировать админа?" Пытались они мне что-то сказать про логи и принцип разделения полномочий... Долго я бился с ними, доказывая, что все эти попытки несостоятельны. Кажется, убедил их. Однако вопрос остаётся открытым! Что же делать?
Как контролировать админа? Да же не так.... Как контролировать грамотного админа?
Как думаете?

--------------------
Удача любит подготовленный разум

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Friday, March 28, 2003 @ 16:09:17  

Познакомься с архитектурой SWIFT (например, SWIFT Alliance).


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Thursday, July 24, 2003 @ 15:24:13  

Грамотного админа можно контролировать при помощи другого грамотного админа
Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Thursday, July 24, 2003 @ 17:36:08    ICQ

Quote:
Originally posted by Alexander Astahov
Грамотного админа можно контролировать при помощи другого грамотного админа

Не всегда. Как сможет второй грамотный админ выявить факт корректировки таблицы аудита Oracle первым грамотным админом?



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Thursday, July 24, 2003 @ 18:00:37  

Путем использования IDS, которая будет посылать ему alert в случае попытки корректировки таблицы. В случае отключения IDS первым администраторов, второй будет также получать alert на эту тему.
Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Thursday, July 24, 2003 @ 20:43:16    ICQ

Quote:
Originally posted by Alexander Astahov
Путем использования IDS, которая будет посылать ему alert в случае попытки корректировки таблицы. В случае отключения IDS первым администраторов, второй будет также получать alert на эту тему.

IDS для Oracle... хм... а есть такое?

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Thursday, July 24, 2003 @ 20:43:27    ICQ

Quote:
Originally posted by Alexander Astahov
Путем использования IDS, которая будет посылать ему alert в случае попытки корректировки таблицы. В случае отключения IDS первым администраторов, второй будет также получать alert на эту тему.

IDS для Oracle... хм... а есть такое?



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Friday, July 25, 2003 @ 09:22:04  

Oracle может записывать свои логи в текстовые файлы, которые подцепляются любой IDS.
Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Friday, July 25, 2003 @ 10:30:30    ICQ

Quote:
Originally posted by Alexander Astahov
Oracle может записывать свои логи в текстовые файлы, которые подцепляются любой IDS.

Даже, если такое и есть, то алгоритм:
1) Отключаем механизм записи логов в файлы.
2) Проводим мероприятие.
3) Чистим таблицу аудита.
4) Включаем механизм.

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Friday, July 25, 2003 @ 10:32:04    ICQ

Quote:
Originally posted by Alexander Astahov
Oracle может записывать свои логи в текстовые файлы, которые подцепляются любой IDS.

Даже, если такое и есть, то алгоритм:
1) Отключаем механизм записи логов в файлы.
2) Проводим мероприятие.
3) Чистим таблицу аудита.
4) Включаем механизм.

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Friday, July 25, 2003 @ 10:35:49    ICQ

Quote:
Originally posted by Pavel_Briantsev
В чём вопрос?
Вопрос в АДМИНАХ!
Не знаю как в России, а у нас видимо не совсем ещё понимаю роль админа во всём ЭТОМ.
Единственным сдерживающим фактором для админа в настоящий момент является дублирование транзакций на бумажных носителях и контроль со тороны исполнителей на местах.
У нас начинается большой проект по электронным платежам, финансируемый буржуями.
Посидел я, подумал... и закручинился.
Приехали внешние аудиторы, озадачил я их этим вопросом: "Как можно контролировать админа?" Пытались они мне что-то сказать про логи и принцип разделения полномочий... Долго я бился с ними, доказывая, что все эти попытки несостоятельны. Кажется, убедил их. Однако вопрос остаётся открытым! Что же делать?
Как контролировать админа? Да же не так.... Как контролировать грамотного админа?
Как думаете?

Паш, оставь здесь ссылку на форум, где ты эту тему уже поднимал... Дублирование получается



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Friday, July 25, 2003 @ 10:36:49  

Вот когда будете отключать, тут-то вас и поймают Такие события как отключение аудита в СУБД отслеживаются IDS в первую очередь и алерты идут с наивысшим приритетом.
Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Friday, July 25, 2003 @ 10:44:47    ICQ

Quote:
Originally posted by Alexander Astahov
Вот когда будете отключать, тут-то вас и поймают Такие события как отключение аудита в СУБД отслеживаются IDS в первую очередь и алерты идут с наивысшим приритетом.

А можно попросить ссылку на какую-нибудь IDS, предоставляющую подобный функционал?



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Friday, July 25, 2003 @ 10:48:20  

Например: http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=48&EID=0
Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Friday, July 25, 2003 @ 11:40:27    ICQ

Quote:
Originally posted by Alexander Astahov
Например: http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=48&EID=0

Не работает он с Oracle



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Friday, July 25, 2003 @ 11:54:46  

Выше уже писалось о том, что можно мониторить текстовые Оракловые логи при помощи любой host-level IDS.
Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 06:51:36    ICQ

http://dom.bankir.ru/showthread.php?s=26ce17094d60f40809e2fc61564cf738&threadid=28755&highlight=%D4%D5%D0%C9%CB
Пжалста.
Учитывая полученные comments, общение с серьёзными спецами по безопасности, буржуйскими аудиторами, я всё ещё думаю, что контролировать грамотного админа нельзя. Можно только усложнить ему жизнь. Все эти программулинки, которые работают не на жестком уровне - полная ересь и предназначены для контроля действий пользователей админОМ. Хотя цель поста на банкире была не в этом, а просто показать самим же банкирам то, как серьёзно то, чем занимается админ и как плачевно обстоят дела на сегодняшний день в большинстве банков с безопасностью. Это был всего лишь пример.

--------------------
Удача любит подготовленный разум

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 10:23:38    ICQ

Quote:
Originally posted by Pavel_Briantsev
http://dom.bankir.ru/showthread.php?s=26ce17094d60f40809e2fc61564cf738&threadid=28755&highlight=%D4%D5%D0%C9%CB
Пжалста.
Учитывая полученные comments, общение с серьёзными спецами по безопасности, буржуйскими аудиторами, я всё ещё думаю, что контролировать грамотного админа нельзя. Можно только усложнить ему жизнь. Все эти программулинки, которые работают не на жестком уровне - полная ересь и предназначены для контроля действий пользователей админОМ. Хотя цель поста на банкире была не в этом, а просто показать самим же банкирам то, как серьёзно то, чем занимается админ и как плачевно обстоят дела на сегодняшний день в большинстве банков с безопасностью. Это был всего лишь пример.

нужен полиграф



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 10:25:54  

Посмотрел ссылочку. На мой взгляд дискуссия получилась занятной и надеюсь полезной для тех, кто принимал в ней участие. (С удовольствие почитаю получившуюся статью). Однако, каюсь, до конца не дочитал, так как уже сталкивался с обсуждением этих вопросов ранее и надежды сделать для себя интересные открытия не было.
Обсуждение напоминает известную психологическую игру "Да, это правильно, но ....", которую как известно можно продолжать пока не устанешь.
Согласен, что во многих банках безопасность АБС находится в неудовлетворительном состоянии. (Сам не раз в этом убеждался). Клиентская часть платежных систем чувствует себя еще хуже. (Тоже проверено на практике). Это удивляет? Уже не очень. Надо ли с этим чего то делать - определенно.
Но интересного спора здесь, как не крути, не получается. Если речь идет про обеспечение 100% безопасности, то очевидно неправильно поставлен вопрос. Если речь идет о том, как обеспечить контроль действий администратора только техническими средствами, то задача также не имеет решения.
В нашей же дискуссии ставился вполне конкретный вопрос как использовать IDS для контроля действий администратора, был дан вполне конкретный ответ, как это можно сделать. Обеспечиват ли это решение 100% защищенность? ... Давайте опять скорректируем вопрос (см. выше).
Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Tuesday, July 29, 2003 @ 12:26:07    ICQ

Quote:
Originally posted by Alexander Astahov
Посмотрел ссылочку. На мой взгляд дискуссия получилась занятной и надеюсь полезной для тех, кто принимал в ней участие. (С удовольствие почитаю получившуюся статью). Однако, каюсь, до конца не дочитал, так как уже сталкивался с обсуждением этих вопросов ранее и надежды сделать для себя интересные открытия не было.
Обсуждение напоминает известную психологическую игру "Да, это правильно, но ....", которую как известно можно продолжать пока не устанешь.
Согласен, что во многих банках безопасность АБС находится в неудовлетворительном состоянии. (Сам не раз в этом убеждался). Клиентская часть платежных систем чувствует себя еще хуже. (Тоже проверено на практике). Это удивляет? Уже не очень. Надо ли с этим чего то делать - определенно.
Но интересного спора здесь, как не крути, не получается. Если речь идет про обеспечение 100% безопасности, то очевидно неправильно поставлен вопрос. Если речь идет о том, как обеспечить контроль действий администратора только техническими средствами, то задача также не имеет решения.
В нашей же дискуссии ставился вполне конкретный вопрос как использовать IDS для контроля действий администратора, был дан вполне конкретный ответ, как это можно сделать. Обеспечиват ли это решение 100% защищенность? ... Давайте опять скорректируем вопрос (см. выше).

Речь идет о том, какой набор средств (орг-ых, технических, u.s.w.) позволит(?) осуществлять !!!ГАРАНТИРОВАННЫЙ!!! контроль за действиями грамотного администратора АС.



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Tuesday, July 29, 2003 @ 14:08:28  

Этот топик у нас начинает зацикливаться. Гарантированный кем и насколько процентов? Конкретные меры по-моему как-раз и обсуждались на банкир.ру. Надеюсь, что Павел удачно обобщит их в своей статье. Нужны еще рекомендации? По моему уже звучали предложение познакомиться с моделью защиты SWIFT. Можно еще почитать документацию по защищенным ОС (например, Trust Solaris) или СУБД (есть trusted версии и Informix и Oracle и иже с ними), концепция администрирования которых исключает наличие суперпользователей. Организационные меры неплохо реализованы в специальных комплексах, используемых для запуска управляемых ракет.
Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Thursday, July 31, 2003 @ 09:40:32    ICQ

Ещё поскафню чуть-чуть, раз приплетать сюда 17799 глупо.
ISO-17799:
"Выбор мер контроля должен осуществляться на основе сопоставления стоимости их реализации и ожидаемого снижения уровня рисков, а также, с учетом возможного ущерба в случае нарушения системы безопасности."
Хорошо, я согласен, вопрос странный, сам по себе, однозначного ответа не имеет. Однако подойдём с другой стороны Как будем оценивать возможный ущерб от действий админа? Или не будем вообще оценивать? Ну т.е. закладываемся в этом направлении или нет.
Да, кстати, прочёл про Trusted sys. Что-то неубедительно. Возможно, просто не всё пишут.

--------------------
Удача любит подготовленный разум

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Thursday, July 31, 2003 @ 09:56:10  

И снова здравствуйте… Павел, да что Вас так зацепило? "Снижение рисков", - обратите внимание. Снижение рисков не предполагает их 100% устранения! Более того, допускается принимать риски такими, какие они есть, в случае необходимости достижения поставленных бизнес-целей и отсутствия адекватных контрольных механизмов (или их запредельной стоимости). Основная цель коммерческой организации – денег заработать, а не построить абсолютно защищенную систему. Может быть хватит страдать?


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Thursday, July 31, 2003 @ 10:07:18  

Quote:
Originally posted by Pavel_Briantsev
Ещё поскафню чуть-чуть, раз приплетать сюда 17799 глупо.
ISO-17799:
"Выбор мер контроля должен осуществляться на основе сопоставления стоимости их реализации и ожидаемого снижения уровня рисков, а также, с учетом возможного ущерба в случае нарушения системы безопасности."
Хорошо, я согласен, вопрос странный, сам по себе, однозначного ответа не имеет. Однако подойдём с другой стороны Как будем оценивать возможный ущерб от действий админа? Или не будем вообще оценивать? Ну т.е. закладываемся в этом направлении или нет.
Да, кстати, прочёл про Trusted sys. Что-то неубедительно. Возможно, просто не всё пишут.

Оценку ущерба конечно проводить будем. Методики для оценки ущерба можно найти, изучив документацию, хотя бы по одному из инструментариев, используемых для анализа рисков (см. раздел "Анализ рисков" на нашем сайте).
Конечно, по Trusted OC надо читать документацию Admin Guides и т.п.

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Thursday, July 31, 2003 @ 10:45:14    ICQ

Quote:
Originally posted by Alexander Astahov
[QUOTE]Originally posted by Pavel_Briantsev
[B]Ещё поскафню чуть-чуть, раз приплетать сюда 17799 глупо.
ISO-17799:
"Выбор мер контроля должен осуществляться на основе сопоставления стоимости их реализации и ожидаемого снижения уровня рисков, а также, с учетом возможного ущерба в случае нарушения системы безопасности."
Хорошо, я согласен, вопрос странный, сам по себе, однозначного ответа не имеет. Однако подойдём с другой стороны Как будем оценивать возможный ущерб от действий админа? Или не будем вообще оценивать? Ну т.е. закладываемся в этом направлении или нет.
Да, кстати, прочёл про Trusted sys. Что-то неубедительно. Возможно, просто не всё пишут.

Оценку ущерба конечно проводить будем. Методики для оценки ущерба можно найти, изучив документацию, хотя бы по одному из инструментариев, используемых для анализа рисков (см. раздел "Анализ рисков" на нашем сайте).
Конечно, по Trusted OC надо читать документацию Admin Guides и т.п.

[/B][/QUOTE]

Админ должен осознавать, что ежели чего случится, то его просто-напросто убьют
И вообще, давайте закрывать топик. Неинтересно уже...

Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Thursday, July 31, 2003 @ 10:54:13    ICQ

Ой, ну прям страдать! Ничего не страдать!
По-моему я задал очень конкретный вопрос, абстрагируясь от "утопической" идеи контроля за админами и получил на него более-менее конкретные ответы. За что всем - спасибо.

--------------------
Удача любит подготовленный разум

Post New Topic   Post A Reply Jump to:
Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Welcome to Our Forums, Guest!  
Login
Username :
Password :
In order to fully utilize the abilities of this board, you are required to register as a member. Registration is free, and allows you to do lots of things including turning on or off certain features of this board. Register now!
Forum Rules & Description
Who Can Read The Forum? Any registered user or guest
Who Can Post New Topics? Any registered user
Who Can Post Replies? Any registered user
Who Can Edit Posts? Any original author
Форум для обсуждения общих вопросов информационной безопасности, переехавший с ISACA.RU.
Currently Active Users: 3
There are currently 0 members and 3 guests on the boards. | Most users ever online was 224 on 11-02-2006 11:42:04
Search This Forum
Search Keywords: Search From:
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios

Рейтинг@Mail.ru Rambler's Top100 Yandex