BASTION SIGURNOSTI ZA BANKARSKI SISTEM

Bezbednost-16 | Bezbednost-nova | Business&IT-br.12 | Studije slučaja

Za unapređenje informacionog sistema Erste banci je bilo potrebno rešenje koje će dodatno pomoći u kontroli prava privilegovanih naloga i olakšati periodičnu reviziju njihovih aktivnosti. WALLIX Bastion i njegov Session Manager modul najbolje su se uklopili u definisane zahteve i potrebe banke.

Erste banka, jedna od vodećih banaka na tržištu, ove godine proslavlja deset godina poslovanja u Crnoj Gori. U istoj godini Erste grupa obeležava 200 godina od svog osnivanja. Prisustvo Erste grupe u Crnoj Gori ozvaničeno je u martu 2009. godine, kada je Erste&Steiermärkische bank d.d. Rijeka kupila 100% akcija male mikrokreditne banke, koja je u tom trenutku imala oko 5% tržišnog učešća. Danas je Erste banka jedna od najvećih banaka na tržištu, prepoznata po kvalitetu poslovanja i primeni najbolje bankarske prakse. Sinergiju znanja, tehnologije, tradicije i inovacija Erste banka koristi kako bi podstakla pozitivne promene i stvaranje nove vrednosti za klijente, zaposlene, akcionare i zajednicu.

Erste grupa 2019. godine ulazi u treći vek svog poslovanja. Prva štedionica u centralnoj Evropi osnovana je 1819. godine u Beču pod imenom Erste öesterreichische Spar-Casse, na temeljima ideje koja je danas relevantnija nego ikada: ostvarivanje finansijske nezavisnosti kao osnove za prosperitet. Dvesta godina kasnije Erste grupa je proširila ideju svojih osnivača na region i trenutno je najveća bankarska grupacija u centralnoj i istočnoj Evropi, sa više od 16,1 milion klijenata.

Finansijski časopisi „The Banker“ i „Euromoney“ već par godina zaredom proglašavaju Erste banku najboljom bankom na području Crne Gore. Ova priznanja dodeljuju se na osnovu više kriterijuma, među kojima su finansijski pokazatelji, strateške inicijative, tehnologija i novi proizvodi i usluge. Ključni kriterijum za dodelu nagrade su unapređenja sprovedena u prethodnih 12 meseci.

Poslovni izazovi

U skladu sa važnošću svog informacionog sistema i podataka kojima raspolaže, Erste banka je prepoznala da više nije dovoljno brinuti samo o pretnjama koje dolaze od spolja, već treba imati spremno rešenje i za scenario u kome je pretnja već unutra. Sve češće smo u prilici da čujemo da standardni ciklus jednog napada podrazumeva lateralno kretanje duž informacionog sistema i eskalaciju privilegija. Kompromitovanjem privilegovanog naloga napadač je u stanju da izvrši različite zadatke i omogući sebi što duži ostanak u sistemu. Otkrivanje samog upada u sistem je tek prvi korak. Nakon toga kompanija se često nalazi u problemu da razluči koliko dugo je napadač bio u sistemu, koje akcije je preduzeo u tom periodu i da odredi koje od svih detektovanih akcija je učinio napadač, a koje legitimni administrator koji koristi taj nalog.

Erste banka već poštuje dobre prakse koje se tiču privilegovanih naloga, u smislu primene kompleksnih lozinki i njihove redovne promene, kao i razdvajanje korisničkih naloga i naloga koji se koriste za administraciju drugih sistema. Praksa je da se lozinke za pristup sistemima, kao i udaljeni pristup, uglavnom ne daju trećim licima, poput eksternih saradnika, čime se ostvaruje čvrsta kontrola. Postavljene sigurnosne procedure otežavale su neautorizovanim licima sa malicioznim namerama da inicijalno ostvare pristup sistemu banke, ali u tom trenutku nije postojala nikakva procedura u slučaju da je pretnja već prisutna u sistemu. U skladu sa tim, interna revizija Erste banke je kao predlog za dalje unapređenje informacionog sistema definisala primenu rešenja koja će dodatno pomoći u kontroli prava privilegovanih naloga i olakšati periodični audit aktivnosti ovih naloga. WALLIX Bastion iz grupe PAM (Privileged Access Manager) rešenja i njegov Session Manager modul najbolje su se uklopili u definisane zahteve i potrebe banke.

Proces implementacije

Zbog načina na koji WALLIX funkcioniše implementacija se mogla vršiti u etapama, sistem po sistem, bez bilo kakvog prekida konektivnosti. Za planiranje dizajna i postavljanje osnovne konfiguracije bila su potrebna svega tri dana, a svako buduće dodavanje novog sistema je pitanje minuta. Sistemi kojima WALLIX može obezbediti dodatnu sigurnost mogu biti serveri, mrežni uređaji, baze podataka ili aplikacije, nezavisno od vendora opreme ili verzije.

Jedna od najbitnijih promena koje ovakvo rešenje uvodi u svakodnevne administratorske aktivnosti je ta da administrator više ne pristupa direktno sistemu koji administrira, nego sada sve aktivnosti vrši kroz WALLIX konekciju. WALLIX Session Manager u tom slučaju predstavlja jump server komponentu koja je u stanju da dozvoli ili zabrani pristup određenom sistemu, dok za to vreme vrši i snimanje svih sesija. Da bi se sprečio neautorizovan pristup koji zaobilazi WALLIX bilo je potrebno da se na mrežnom nivou onemogući direktno pristupanje management mreži.

WALLIX je uvezivanjem sa domen kontrolerima banke omogućio da svi administratori koriste svoje domenske privilegovane naloge, čime se obezbeđuje da se u svakoj sesiji jednoznačno identifikuje administrator koji je vršio izmene. Zbog ovog principa više ne postoji mogućnost da se aktivnosti sakriju iza default ili deljenih naloga poput „administrator“ ili „root“.

S obzirom na to da se na WALLIX-u čuvaju poverljivi podaci o sesijama administratora, omogućeno je čuvanje svih podataka u enkriptovanom obliku. Pored toga, preduzet je niz tamper-proof mehanizama koji onemogućavaju bilo kakvu izmenu informacija u okviru zapamćene sesije, kao i njihovo uklanjanje. Ovim se postiže da napadač, čak i ako uspe da u nekom trenutku dobije admin prava na WALLIX-u, neće biti u stanju da ukloni dokaze o svom prisustvu u ostalim sistemima.

Jasna Jović

Postignuti rezultati

Implementacijom WALLIX-a u sistem Erste banke postignuti su:

  • Centralizovano upravljanje pravima pristupa.
  • Mogućnost pregleda svake administratorske sesije u video i tekstualnom formatu.
  • Mogućnost praćenja ostvarene sesije u realnom vremenu.
  • Alerting u realnom vremenu.
  • Automatsko terminiranje sesije u slučaju preduzimanja nedozvoljene aktivnosti.
  • Mogućnost da se dozvoli ili zabrani uspostavljanje sesije u određenom vremenskom periodu.
  • Mogućnost jednokratnog uspostavljanja sesije samo uz eksplicitnu dozvolu administratora banke.
  • Sprečavanje širenja malvera na server u slučaju da je administratorova mašina zaražena.
  • Olakšan audit izvršenih aktivnosti.
  • Olakšan audit dodeljenih prava pristupa.

 

0 %s Comments

Prosledi komentar

Vaša adresa e-pošte neće biti objavljena.

Najnoviji

Novi-NetApp-proizvodi
30th oktobar 2023,,

Novi NetApp proizvodi

Da li su vam već poznati novi NetApp sistemi C-serije, sa QLC Flash tipom ...
Detaljnije
Veštačka-inteligencija-u-našim-rukama
30th oktobar 2023,,

Veštačka inteligencija u

Broj oblasti u kojima se eksperimentiše sa različitim dostignućima veštačke ...
Detaljnije
Azure-Active-Directory--postaje-Entra-ID
30th oktobar 2023,,

Azure Active Directory

Azure Active Directory je sada Entra ID. I premda većina korisnika ovu promenu ...
Detaljnije
Transformacija-tehničkog-duga--pomoću-DevOps-tehnologija
30th oktobar 2023,,

Transformacija tehničkog duga

Najveću opasnost za organizacije ne predstavlja samo postojanje tehničkog duga, ...
Detaljnije