Интервью с Дмитрием Макаровым: информационная безопасность в каталогах с открытым исходным кодом

Редакция CISOCLUB поговорила с Дмитрием Макаровым, руководителем продукта MultiDirectory, о важных вопросах информационной безопасности, которые необходимо учитывать при создании и внедрении каталогов с открытым исходным кодом. Он рассказал о рисках, связанных с использованием Open-Source-компонентов, эффективных методах минимизации уязвимостей, а также о подходах к защите данных пользователей.

В интервью затронуты вопросы выбора надёжных протоколов и стандартов безопасности, организации процессов обновления и установки патчей, а также способов оперативного выявления и реагирования на инциденты. Отдельное внимание уделено безопасной интеграции каталогов с внешними сервисами и обучению сотрудников принципам кибербезопасности.

Какие основные аспекты информационной безопасности необходимо учитывать при создании и внедрении каталогов с открытым исходным кодом?

Я бы посоветовал учитывать следующие аспекты информационной безопасности:

• Безопасность исходного кода. Открытый исходный код не гарантирует абсолютную безопасность. Необходимо регулярно проводить статический и динамический анализ кода, сканирование на известные уязвимости, а также оценку безопасности как прямых, так и транзитивных зависимостей.
• Аудит зависимостей. При использовании сторонних библиотек и фреймворков важно проверять легитимность пакетов, анализировать исходный код компонентов, следить за обновлениями и использовать инструменты для обнаружения компрометаций.
• Аутентификация и авторизация. Необходимо внедрять многофакторную аутентификацию, а также использовать строгие механизмы авторизации с принципом наименьших привилегий.
• Журналирование и мониторинг. Нужно регулярно вести логи событий и с помощью SIEM-системы оперативно реагировать на потенциальные угрозы.

Как можно минимизировать уязвимости в системах аутентификации и авторизации при использовании сервисов каталогов?

Чтобы снизить риски атак на аутентификацию и авторизацию, я советую использовать современные алгоритмы шифрования и хэширования с применением соли для защиты сохранённых паролей. Применять многофакторную (MFA) или двухфакторную аутентификацию (2FA). Это существенно снижает риск несанкционированного доступа даже при компрометации пароля.

Также необходимо реализовать механизмы блокировки или задержки при множественных неудачных попытках, что предотвращает атаки перебора. Использовать JWT с коротким сроком жизни (TTL) и механизмы обновления токенов, а также применять дополнительные меры контроля сессий. Проводить регулярное тестирование на проникновение и аудит безопасности для своевременного выявления и устранения слабых мест в системе.

Какие меры эффективны для предотвращения несанкционированного доступа к данным пользователей в централизованных базах?

Во-первых, эффективным является минимизация прав доступа. Пользователи должны иметь только необходимый минимум привилегий. Во-вторых, шифрование данных поможет избежать риск взлома или получение несанкционированного доступа к данным.

В-третьих, нужно контролировать сессии пользователей. Следить за автоматическим выходом при неактивности, автоматически отзывать сессии в случае отключения учётной записи пользователя и т. д. В-четвёртых, постоянно проводить мониторинг безопасности, чтобы оперативно выявлять возникшие угрозы.

Какие риски связаны с использованием открытого исходного кода в каталогах, и как их можно снизить?

В отличие от службы каталогов MultiDirectory, большинство российских решений используют до 70–80% заимствованного кода, причём в большинстве случаев само ядро системы (сердце продукта) базируется на Open-Source-компонентах. Использование готовых компонентов, безусловно, ускоряет разработку и позволяет сосредоточиться на функциональности проекта, однако повышает риск безопасности. Импортируя внешние библиотеки и фреймворки, вы получаете не только необходимый функционал, но и потенциальные угрозы.

Заимствованные компоненты могут содержать трояны и иной вредоносный код, способный незаметно выполнять кражу конфиденциальных данных (логинов, паролей, ключей API, персональной информации).

Какие протоколы и стандарты безопасности являются наиболее надежными для защиты данных при передаче и хранении?

Для построения эффективной системы информационной безопасности рекомендуется использовать как международные, так и отечественные стандарты: ГОСТ Р ИСО/МЭК 27001-2012 и ГОСТ Р ИСО/МЭК 27002-2012, PCI DSS, ISO 27001, NIST, SOC 2.

Для защиты передаваемых данных наиболее надёжными являются следующие протоколы:

• TLS 1.3 – последняя версия протокола Transport Layer Security, предназначенная для защиты данных при передаче по незащищённым сетям.
• IPSec/VPN – для защиты IP-трафика и организации защищённых туннелей.

Для защиты данных при хранении лучше всего использовать симметричные алгоритмы шифрования: AES-256, ГОСТ Р 34.12-2015 («Кузнечик»).

И, конечно же, нельзя забывать о таких безопасных алгоритмах аутентификации, как: OAuth 2.0, OpenID Connect, SAML 2.0, FIDO2 и т.д.

Как обеспечить соответствие каталогов современным требованиям и стандартам информационной безопасности?

Для соответствия требованиям безопасности необходимо:

• Соблюдать российские и международные стандарты и требования регуляторов.
• Проводить регулярные тестирования, а также внутренние и внешние аудиты службы каталогов.
• Поддержание и обновление политик безопасности компании и методик безопасной разработки.
• Регулярное проведение тренингов и семинаров для сотрудников на тему безопасности.
  
  

Какие методы позволяют оперативно выявлять и реагировать на инциденты безопасности в подобных системах?

Для быстрого реагирования на угрозы необходимы:

• SIEM-системы, которые автоматизируют сбор и анализ логов и событий службы каталогов.
• IDS/IPS – системы обнаружения и предотвращения вторжений.
• SOAR – автоматизация реагирования на инциденты.
• SOC (Security Operations Center) – выделенная команда мониторинга.
• План реагирования на инциденты.
• Red Team/Blue Team тренировки – они позволяют смоделировать возможные атаки и отработать их.

Как организовать процесс обновления и установки патчей безопасности для снижения рисков эксплуатации уязвимостей?

В первую очередь необходимо следить за выходом обновлений службы каталогов. Разработчики оперативно оповещают своих клиентов о всех изменениях, произошедших в продукте, и об устранениях уязвимостей. Каналы оповещения каждый заказчик выбирает сам. Это может быть почтовая рассылка, сообщение на публичной странице в соцсетях, информация на официальном сайте производителя и т.п.

Из основных пунктов я бы выделил:

• Необходимы чёткие и проработанные регламенты обновлений.
• Обязательное тестирование патчей в тестовой среде для минимизации риска возникновения сбоев в рабочей системе.
• Разработка процедур для быстрого отката обновлений в случае возникновения непредвиденных проблем.

Какие меры необходимо учитывать для безопасной интеграции каталогов с внешними сервисами и системами?

При подключении к внешним системам важно:

• Использовать современные стандарты авторизации для административного API (OAuth 2.0, JWT).
• Ограничивать права доступа для внешних сервисов.
• Контролировать трафик: настройкау firewall, ограничение IP и т. д.
• Использовать безопасные протоколы (LDAP, Kerberos).
• Логировать все запросы от внешних систем.

Как компании могут обучать пользователей и администраторов соблюдению принципов безопасности при работе с каталогами?

• На мой взгляд, необходимо применять программы повышения осведомленности (Security Awareness):
• Проводить регулярные тренинги по кибербезопасности
• Тестировать сотрудников на готовность к различного рода атакам
• Разработать инструкции и внутренние правила в компании по соблюдению принципов информационной безопасности не только на рабочем месте, но и в интернете
• Повышать уровень осведомленности сотрудников через обмен опытом по реальным инцидентам