На прошлой неделе произошла утечка данных из ОАО «РЖД». Напомним некоторые факты инцидента:
-
на официальном сайте «РЖД бонус» практически в свободном доступе оказался MySQL-дамп базы данных пользователей, размером около 2,4 Гб;
-
там же был доступен Bash_history-файл и закрытый RSA-ключ;
-
В файле Bash_history, кроме команды копирования базы в указанный дамп, находился логин и пароль пользователя.
Официальные данные о причинах, повлекших к утечке, разняться. Но, по мнению многих ИБ-экспертов, анализ Bash_history-файла указывает на ошибку резервного копирования, совершенную от имени администратора системы, работавшего накануне с базой.
Работа с высокими привилегиями в любой системе сама по себе несет высокую ответственность. И, как и любая деятельность, выполняемая живыми людьми, не застрахована от возможных ошибок. Но в силах грамотного подхода экспертов ИБ к привилегированным пользователям повысить устойчивость в работе системы и снизить риски критических ошибок.
Эксперты группы компаний Angara рекомендуют для снижения рисков подобных ситуаций следующие меры:
-
Проработку и ввод в действие четких регламентов для регулярных работ с данными: резервного копирования и восстановления, хранения закрытых ключей и учетной информации и т.д.
-
Использование систем контроля привилегированных пользователей (PAM) и форсирование администраторов работать только через нее, где уже средствами политик ограничивать рискованные операции.
-
Регулярное тестирование внешнего периметра на проникновение. Особенно это важно для критичных бизнес-систем, имеющих прямые внешние подключения к себе.
-
Безусловно, важно также повышать уровень осведомленности администраторов систем в вопросах ИБ, организовывать для них регулярные курсы и обучения.
