Практическое руководство по предотвращению внутренних угроз

Источником большинства таких новостей становятся правительственные организации, но это не значит, что частные компании не подвержены внутренним угрозам. Как раз наоборот, компании по всему миру постоянно испытывают атаки изнутри, но многие из них решают не афишировать это в прессе, так как подобные новости могут негативно повлиять на репутацию компании и стоить ей клиентов и инвесторов.

Термин «внутренняя угроза» сам по себе является общим и под ним подразумевается целый ряд потенциальных вредоносных действий от похищения защищенной информации или мошенничества с целью прибыли, до саботажа и индустриального шпионажа, до простых случайных ошибок. Объединяет все эти действия то, что они совершаются людьми, имеющими санкционированный легальный доступ к защищенной информации и инфраструктуре компании. Чаще всего такие люди являются сотрудниками компании. Они могут быть менеджерами, операторами баз данных, IT-специалистами, системными администраторами и т. д., иными словами, всеми теми, кто напрямую работает с защищенной информацией.

Эффективная борьба с таким большим количеством разнообразных угроз является сложной и многосторонней задачей, требующей большого вложения усилий со стороны компании. Использование правильных инструментов по управлению внутренними угрозами даст вам определенные результаты, но для действительно эффективного предотвращения внутренних атак необходимо изменить сам подход к организации ведения дел в компании – от создания учетных записей до распределения обязанностей между сотрудниками.

Разобраться в различных рекомендациях и методиках по борьбе с внутренними угрозами достаточно тяжело и это требует серьезных вложений времени. Поэтому мы собрали лучшие практики, проанализировали их и скомбинировали в 6 простых, но эффективных шагов, которые и составляют наше практическое руководство по предотвращению внутренних угроз. Следуя этим шагам и инкорпорируя их в структуру электронной защиты своей компании, вы сможете эффективно предотвращать внутренние угрозы, а также будете иметь все необходимые инструменты для быстрого и эффективного ответа на атаку изнутри, если она все-таки произойдет.

Понимание внутренних угроз

Для того чтобы организовать действительно эффективную защиту, вам нужно сначала понять, что же такое внутренние угрозы и каких видов они бывают. Источником внутренних угроз являются инсайдеры, или люди, имеющие законный санкционированный доступ к защищенной информации и критической инфраструктуре вашей компании.

Таких инсайдеров можно разделить на 3 основных группы:

• Ваши текущие сотрудники – первая группа, которая сразу приходит на ум при упоминании внутренних угроз. Ваши сотрудники обладают всем необходимым для того, чтобы похитить или изменить ценную информацию вашей компании и остаться незамеченными. Наибольшую опасность среди них представляют привилегированные пользователи, которые имеют максимально широкий доступ к информационной системе вашей компании, а также обычно пользуются широким доверием со стороны руководства.

• Сторонние подрядчики – современные компании постоянно пользуются услугами других компаний и фрилансеров и обычно имеют широкие списки различных партнеров. Многие из этих людей имеют легальный санкционированный доступ к ценной информации вашей компании, что позволяет им легко совершить вредоносные действия.

• Ваши бывшие сотрудники – хотя с технической точки зрения такие сотрудники не должны иметь доступ к ценной информации, на деле далеко не все компании быстро удаляют учетные записи бывших сотрудников. Другой потенциальной опасностью являются бэкдоры и логические бомбы, которые сотрудник может оставить после себя при увольнении. Такие вредоносные программы в дальнейшем позволят ему получить контроль над системой, давая возможность совершить саботаж или кражу данных.

Также очень важно понимать причины, по которым обычно совершаются подобные преступления. Во многих случаях изменения в поведении сотрудника могут заранее подсказать вам, что данный сотрудник планирует вредоносные действия и позволить предотвратить внутреннюю атаку.

• Индустриальный шпионаж – ваши конкуренты могут привлечь ваших сотрудников на свою сторону с помощью взяток или шантажа с целью получить от них вашу закрытую финансовую информацию и другие важные документы. Если сотрудник совершает много незапланированных путешествий или его финансовое состояние неожиданно заметно улучшается, это может быть поводом для беспокойства.

• Личная финансовая выгода – сотрудник может похитить базу данных ваших клиентов для того, чтобы продать ее на черном рынке или чтобы начать собственный бизнес в той же сфере и увести их. В такой ситуации сотрудник может хвастаться коллегам о своих планах, что должно послужить сигналом к действию для вас.

• Месть за предполагаемую несправедливость – неудовлетворенный сотрудник может выполнять вредоносные действия для того, чтобы отомстить компании, которая, как он считает, несправедливо с ним поступила. Вредоносные действия из мести могут часто быть направлены не на то, чтобы похитить информацию, а на то, чтобы нанести как можно больше ущерба компании и надолго остановить ее привычную работу.

• Неумышленная ошибка – во многих случаях внутренняя атака оказывается результатом простой ошибки со стороны сотрудника, будь то переход по подозрительной ссылке в письме, открывающий компанию хакерской атаке, или отправка защищенной информации не тому адресату. Угроза подобных неумышленных ошибок должна быть учтена и являться частью вашей общей стратегии по предотвращению внутренних угроз.

Понимание природы внутренних угроз является важным шагом, позволяющим вам провести более точную оценку рисков и разработать работающие планы по борьбе с ними.

Организация работы предприятия с точки зрения безопасности

Вы должны организовать рабочий процесс и процесс создания учетных записей в своей организации таким образом, чтобы уменьшить количество учетных записей с расширенными привилегиями, как можно больше ограничить доступ к защищенной информации и создать неблагоприятный климат для внутренних атак.

Чтобы добиться этого, вам нужно следовать двум простым принципам:

• Принцип минимума привилегий – каждая новая учетная запись по умолчанию создается с наименьшим уровнем привилегий, который повышается только если это необходимо. Таким образом вы контролируете количество привилегированных пользователей и обеспечиваете тот факт, что каждая учетная запись с расширенными привилегиями находится в активном использовании.

• Принцип разделения обязанностей – обязанности внутри организации должны быть разделены среди сотрудников настолько, насколько это возможно, при этом совместная работа приветствуется для решения сложных проблем. Статистически, вероятность совершения сотрудниками вредоносных действий гораздо меньше, если они работают в команде с кем-то другим. Например, задача резервного копирования и восстановления базы данных должна быть разделена между двумя сотрудниками, если это возможно.

Два указанных выше принципа должны работать вместе, чтобы минимизировать возможности для атаки изнутри и в целом повысить информационную безопасность вашей организации.

Оценка рисков

Оценка рисков является необходимой процедурой, позволяющей идентифицировать слабые стороны вашей текущей защиты и дать вам четкое представление о том, что можно улучшить.

Оценка риска обычно проводится в 3 этапа:

• Идентификация потенциальной угрозы.

• Оценка того, насколько организация уязвима перед этой угрозой.

• Оценка ущерба от подобной атаки.

Полученная информация даст вам четкое понимание того, какие меры безопасности стоит имплементировать и как расставить между ними приоритеты.

Оценка риска должна проводиться периодически, а также в случае изменений в системе безопасности или информационной инфраструктуре предприятия. Внутренние угрозы должны рассматриваться в качестве интегральной части процесса оценки рисков в вашей организации. В результате вы должны получить представление об эффективности принятых вами мер по борьбе с внутренними угрозами и понять, как их можно усилить.

В целом, результаты оценки рисков должны быть использованы для формирования общей стратегии безопасности компании, включая защиту как от внутренних, так и от внешних угроз.

Обучение сотрудников мерам безопасности

Во многих случаях нарушения безопасности напрямую вызваны пренебрежением сотрудниками простейших правил безопасности. Такое пренебрежение часто происходит из-за того, что большинство сотрудников очень плохо знакомы с современными реалиями в сфере электронной безопасности. Они могут не знать о новых типах угроз или определенных принципах, которые следует соблюдать. Часто сотрудники жертвуют безопасностью ради собственного удобства, просто не понимая последствий, которые могут быть вызваны такими действиями.

Единственной возможностью исправить ситуацию является проведения тренингов по безопасности среди сотрудников для того, чтобы познакомить их с последними трендами и новейшими методиками по предотвращению как внешних, так и внутренних угроз. Проводя такие тренинги, вы сможете понизить количество ошибок со стороны сотрудников (так как зная последствия своих действий для компании, они станут более аккуратными) и научите их защищаться от мошенников, пытающихся заставить их скачать вредоносную программу или передать им свой пароль. Ваши сотрудники также будут знать, что если коллега просит у них пароль без явных причин или рассказывает о том, что хочет начать свой собственный бизнес в той же сфере, он скорей всего замышляет внутреннюю атаку и об этом необходимо сообщить в службу безопасности.

Кроме того, познакомив ваших сотрудников с типичными угрозами и мерами безопасности, которые ваша компания против них принимает, вы заручаетесь их поддержкой и культивируете доверие и здоровую атмосферу в коллективе.

Защита паролей и учетных записей

Использование общих или стандартных учетных записей является распространенной практикой во многих компаниях. Однако это может позволить определенным сотрудникам получить несанкционированный доступ к учетной записи с расширенным уровнем полномочий. Использование таких учетных записей должно быть запрещено в целях безопасности.

Вам также следует убедиться, что ваши учетные записи надежно защищены сложными паролями, которые регулярно меняются. Любые стандартные пароли, которые создаются автоматически для нового программного обеспечения или аппаратуры, необходимо тут же изменить, так как подобные пароли находятся в публичном доступе и часто широко известны как внутренним, так и внешним нарушителям. Также очень важно запретить обмен паролями среди сотрудников и использование одного пароля для нескольких учетных записей. Таким образом, вредоносному пользователю станет гораздо сложнее заполучить доступ к учетной записи другого сотрудника.

Еще один способ усилить защиту учетной записи и убедиться, что она используется правильным сотрудником, – имплементировать двойную аутентификацию. Подобная систем, использующая мобильные телефоны или более сложные токены безопасности, поможет вам надежно установить личность человека, пытающегося авторизоваться с помощью данной учетной записи, и послужит надежной страховкой на тот случай, если пароль все-таки будет взломан.

Мониторинг действий пользователей

Мониторинг действий пользователей является отличным инструментом для предотвращения и обнаружения внутренних угроз, способным эффективно отпугнуть недобросовестных сотрудников, надеющихся похитить вашу ценную информацию. Профессиональное программное обеспечение для мониторинга действий пользователей предоставим вам полную картину всех действий пользователя, давая возможность быстро обнаружить внутреннюю атаку, выявить преступника и своевременно ответить на данный инцидент.

• Мониторинг действий пользователей. Многие компании ограничиваются мониторингом доступа к защищенной информации или стандартными встроенными логами того программного обеспечения, которое они используют. Однако во многих случаях этого недостаточно, так как пользователь может совершить вредоносные действия во время обычной рабочей сессии, отключив при этом стандартные инструменты мониторинга и не оставив никаких следов вредоносной активности. Лучше всего проводить полноценный мониторинг всех действий пользователей, используя специально предназначенные для этого решения. Такие решения будут защищены от отключения и позволят вам эффективно обнаруживать внутренние атаки.

• Мониторинг привилегированных пользователей. Привилегированные пользователи обычно напрямую работают с ценной защищенной информацией и обладают всеми необходимыми инструментами для того, чтобы произвести вредоносные действия, отключив при этом любой мониторинг. Очень важно использовать программное обеспечение, специально разработанное для мониторинга привилегированных пользователей. Подобные решения не могут быть отключены независимо от уровня привилегий, которыми пользователь обладает.

• Мониторинг сторонних подрядчиков и удаленных пользователей. Различные третьи стороны, такие как поставщики услуг и субподрядчики, с которыми работает ваша компания, не всегда имеют такой же высокий уровень защиты, как и у вас. В этом случае мониторинг их действий является единственной по-настоящему надежной защитой от кражи информации или использования ее не по назначению. Любой удаленный доступ к защищенной информации со стороны ваших сотрудников или сторонних подрядчиков должен происходить через защищенный канал и также являться предметом мониторинга. Таким образом вы сможете предотвратить удаленную внутреннюю атаку и убедиться, что сотрудники, работающие удаленно, не используют вашу ценную информацию в личных целях.

• Использование системы оповещений или анализа поведения. Обработка большого количества информации, полученной в результате мониторинга действий пользователей, является нетривиальной задачей. Более доступные решения, такие как система «Экран», предлагают функцию настраиваемых оповещений и уведомлений, которые вы сможете адаптировать под свою собственную ситуацию. Такие оповещения будут срабатывать на подозрительные события согласно настроенным вами правилам, позволяя вашей службе безопасности осуществить проверку на предмет нарушения целостности данных. Некоторые решения используют более сложные системы поведенческого анализа, которые пытаются обнаружить вредоносные действия автоматически. Такие системы удобны в использовании и могут дать хорошие результаты, однако они значительно дороже и страдают от частых ложных срабатываний.

Создавая это практическое руководство по предотвращению внутренних угроз, мы изучили большое количество рекомендаций от профессионалов, а также использовали свой собственный опыт в этом вопросе. Получившиеся 6 шагов являются базовыми, но в то же время самыми важными для обеспечения надежной защиты вашей компании от внутренних угроз. Мы надеемся, что это руководство поможет вам и послужит вдохновением к тому, чтобы улучшить электронную безопасность вашего предприятия.

                                                                                            Реклама