Опасность, которую представляют собой внутренние угрозы, сегодня знакома каждому. В средствах массовой информации часто появляются сообщение об очередной краже или утечке данных, произошедшей по вине сотрудника компании. В большинстве таких сообщений в качестве жертвы фигурируют государственные учреждения, но это не значит, что частные компании не становятся жертвами недобросовестных сотрудников. Как раз наоборот, внутренние атаки на различные предприятия происходят практически постоянно, однако такие атаки часто не афишируются, чтобы защитить репутацию компании перед лицом клиентов и инвесторов.

Внутренние атаки – это общий термин, под которым подразумевается множество разных типов вредоносных действий, от умышленной кражи данных с целью получить прибыль, до индустриального шпионажа, до неумышленных ошибок. Объединяет все эти вредоносные действия тот факт, что они совершаются сотрудниками компании, имеющими законный санкционированный доступ к ценной информации и критической инфраструктуре.

Эффективная борьба с внутренними угрозами является комплексным процессом, требующим большого количества усилий со стороны компании. Использование решений, направленных против внутренних угроз, является хорошим шагом на пути к результату, но этого недостаточно для обеспечения полноценной защиты. Для того, чтобы предотвращение внутренних угроз было действенным, Вам следует изменить подход к организации труда и безопасности в Вашей компании так, чтобы он учитывал внутренние угрозы.

В сети можно найти огромное количество информации и рекомендаций профессионалов по борьбе с внутренними угрозами, однако, для того, чтобы полностью разобраться во всем этом и найти по-настоящему полезные советы, требуется не мало времени. Поэтому мы проанализировали этот вопрос и выделили шесть общих, но наш взгляд, необходимых шагов по предотвращению внутренних угроз, которые мы затем объединили в это практическое руководство. Выполняя данные шаги, Вы сможете создать систему безопасности, способную эффективно предотвратить внутренние угрозы, а также своевременно обнаруживать и отвечать на любые инциденты, связанные с внутренними угрозами.

Что такое внутренние угрозы

Первым элементом действительно эффективной защиты от внутренних угроз является понимание того, что же такое внутренние угрозы и какими они бывают. Источником внутренних угроз служат люди, имеющие законный санкционированный доступ к инфраструктуре и ценной информации Вашей компании.

Можно выделить три основных группы таких людей:

• Нынешние сотрудники. Наиболее очевидная группа, которая сразу приходит на ум. Среди них наибольшую опасность представляют привилегированные пользователи, имеющие учетные записи с расширенным набором полномочий.
• Сторонние подрядчики и партнеры. Современные компании часто имеют большой список партнеров, поставщиков услуг и сторонних подрядчиков, имеющих доступ к инфраструктуре и ценной информации компании. Чаще всего это представители IT сферы, поставщики, компании, предоставляющие услуги безопасности и независимые аудиторы.
• Бывшие сотрудники. Хотя теоретически такие сотрудники должны терять свой доступ после увольнения, многие компании не спешат вовремя удалять неиспользуемые учетные записи, тем самым оставляя бывшим сотрудникам возможность войти в систему под старым паролем и совершить вредоносные действия. Также незадолго до увольнения, бывшие сотрудники могут оставить вредоносные программы, такие как бэкдоры или логические бомбы на своих компьютерах, чтобы получить позже к ним доступ, или чтобы просто саботировать работу предприятия.

Поняв кто является источником внутренних угроз, также чрезвычайно важно понять типичные мотивы таких поступков. Ведь в некоторых случаях, поведение сотрудника может выдать в нем желание совершить вредоносные действия по той или иной причине. В этом случае служба безопасности должна взять такого сотрудника на карандаш и провести соответствующее расследование.

Типичными причинами внутренних атак являются:

• Корпоративный шпионаж. Ваши конкуренты могут использовать взятки или шантаж для того, чтобы склонить Ваших сотрудников к индустриальному шпионажу в свою стороны. Если Вы заметили, что финансовое состояние одного из сотрудников неожиданно сильно улучшилось без какой-либо на то очевидной причины, это может являться поводом для беспокойства.
• Личная выгода. Сотрудники могут похитить ценную информацию Вашей компании, или базу данных Ваших клиентов для того, чтобы продать её, или использовать с целью начать собственный бизнес в той же сфере. В этом случае, такой сотрудник может связаться с Вашими клиентами и переманить их на свою сторону.
• Ответ на несправедливые действия. Если сотрудник считает, что Ваша компания проявила несправедливость по отношению к нему, он может попытаться отомстить, нанеся внутреннюю атаку по Вашей инфраструктуре и защищенной информации. В таких случаях сотрудник часто хочет максимизировать нанесенный урон и пытается вывести из строя Вашу инфраструктуру или выложить защищенную информацию в свободный доступ.
• Случайная ошибка. Во многих случаях вредоносные действия со стороны сотрудника действительно являются неумышленными. Ошибка может быть вызвана намеренным пренебрежением правилами безопасности компании, или быть абсолютно случайной. Вероятность такой ошибки всегда должна учитываться при анализе рисков и стратегии безопасности Вашей компании.

Понимание того, кто совершает внутренние атаки и по какой причине, дает Вам возможность провести более точный анализ рисков и разработать стратегию безопасности, способную надежно защитить Вашу компанию от внутренних угроз.

Организовывайте рабочий процесс с позиции безопасности

Чрезвычайно важно, чтобы организация рабочего процесса и создания новых учетных записей для Ваших сотрудников проходила с учетом требований безопасности. Чтобы добиться этого, следует выполнять следующие два основных принципа:

• Принцип минимума полномочий. Этот принцип направлен на уменьшение количества привилегированных учетных записей и гласит, что каждая новая учетная запись по умолчанию должна иметь минимальный уровень привилегий. Расширенные привилегии даются только если это необходимо. Таким образом Вы знаете для чего создается каждая учетная запись с расширенным набором полномочий в Вашей организации и как она используется.
• Принцип разделения обязанностей. Данный принцип гласит, что обязанности должны быть максимально возможным образом распределены между различными сотрудниками, в то время как более сложные задачи предполагается выполнять путем сотрудничества. Примером такого распределения может служить операция по резервному копированию базы данных. В идеале, копирование и восстановление информации должны осуществлять два разных сотрудника. Такой подход позволяет значительно сократить количество как привилегированных пользователей, так и внутренних атак напрямую, поскольку пользователи гораздо реже совершают внутренние атаки, работая с другими.

Два указанных выше принципа должны использоваться в тандеме, чтобы дать максимальный результат. Ограничение количества привилегированных пользователей, представляющих собой элементы повышенного риска, а также организация рабочего процесса, напрямую препятствующая внутренним угрозам, станут отличной основой для надежной защиты Вашей компании.

Проводите анализ рисков

Анализ рисков является неотъемлемой частью процесса организации электронной безопасности предприятия, так как он позволяет идентифицировать недостатки Вашей защиты и дать Вам четкое представление о том, куда двигаться дальше.

Анализ рисков выполняется в три шага:

• Идентифицируйте потенциальный вектор атаки (угрозу)
• Проанализируйте насколько Ваша компания уязвима против такой атаки
• Проанализируйте, сколько ущерба нанесет такая атака, если окажется успешной

Полученная в результате такого анализа информация не только дает понять, какие защитные меры должны быть приняты, но и как расставить приоритеты при организации Вашей защиты.

Анализ рисков должен проводится регулярно через определенные промежутки времени, а также в момент внесения любых крупных изменений в структуру защиты или информационную инфраструктуру предприятия. Внутренние угрозы должны являться неотъемлемой частью этого процесса и анализ внутренних угроз должен осуществляться вместе с общим анализом рисков компании.

Результаты оценки рисков должны послужить основой для формирования общей стратегии электронной безопасности компании в целом, и мер по защите от внутренних угроз в частности.

Проводите тренинги по безопасности среди сотрудников

Важнейшей проблемой современной электронной безопасности является низкий уровень знаний большинства сотрудников о предмете. Очень часто сотрудники пренебрегают элементарными правилами безопасности либо от незнания, либо от непонимания последствий таких действий. Подобный нарушения затем ведут либо к неумышленным утечкам информации, либо к внешним и внутренним атакам. Типичные примеры таких нарушений - сотрудник использует слишком простой пароль или сообщает свой пароль коллеге, переходит по ссылкам, полученным в подозрительных электронных письмах, заходит на небезопасные веб-страницы, и т. д.

Единственный способ разрешить эту ситуацию - повышение уровня знаний Ваших сотрудников о безопасности Вашего предприятия, угрозах, с которыми Вы сталкиваетесь и мерах, которые Вы принимаете. Для этого следует проводить специализированные тренинги по электронной безопасности среди сотрудников. Подобные тренинги не только сделают Ваших сотрудников более аккуратными и ответственными в своих действиях, но и помогут предотвратить внутренние угрозы, так как сотрудники будут знать, что о коллеге, который просит у них пароль или хвастается о том, что хочет начать собственный бизнес в той же сфере, что и Ваша компания, следует сообщить службе безопасности.

Защищайте учетные записи

Организация надежной защиты учетных записей является одним из ключевых элементов предотвращения как внешних, так и внутренних угроз. Для этого Вам необходимо соблюдать правила создания и использования паролей, а также иметь надежную системой двойной аутентификации.

Ваша корпоративная политика безопасности должна запрещать использование простых паролей, а также использование общих паролей для разных учетных записей или обмен паролями. Каждый используемый в Вашей организации пароль должен быть сложным и уникальным. Важно периодически автоматически менять все пароли, а также использовать двойную аутентификацию в качестве страховочной меры безопасности на случай, если пароль будет взломан. Такая аутентификация может быть реализована различными способами, например, с помощью системы USB-токенов, или простого мобильного телефона. Она позволяет не только более надежно защитить учетную запись, но и четко установить личность того, кто ею пользуется, что позволит надежно определить виновника при внутренней атаке.

Также важным правилом безопасности учетных записей является запрет использования общих учетных записей. Обмен учетными записями между сотрудниками должен быть запрещен, а при использовании учетных записей, созданных по умолчанию, стандартные пароли тут же должны быть изменены, так как такие пароли часто находятся в общем доступе и могут быть известны злоумышленникам, как снаружи, так и внутри Вашей организации.

Производите мониторинг действий пользователей

Мониторинг действий пользователей - это надежное средство для предотвращения и обнаружения внутренних угроз, способное значительно повысить безопасность Вашей информации. Используя решения, специально предназначенные для мониторинга действий пользователей, Вы сможете получить полную картину того, чем пользователь занимается на рабочем месте, что дает Вам возможность легко обнаружить любые вредоносные действия и сразу же установить личность преступника.

• Производите мониторинг всех действий пользователей - многие компании ограничиваются только базовыми средствами мониторинга, такими как мониторинг доступа и использование стандартных логов операционной системы и программного обеспечения. Однако такие средства не могут в полной мере обеспечить защиту от внутренних угроз. Пользователь с санкционированным доступом может легко отключить такие средства мониторинга или отредактировать файлы логов, чтобы замести следы своих вредоносных действий. Наиболее эффективным способом обнаружения и предотвращения внутренних угроз является запись всех действий пользователя с помощью специализированных программных продуктов по мониторингу. Такой мониторинг сложно отключить или приостановить, так как подобные программы имеют соответствующую защиту.

• Производите мониторинг привилегированных пользователей - такие пользователи несут наибольшую опасность, так как часто напрямую работают с ценной информацией и инфраструктурой компании и имеют все необходимые ресурсы для того, чтобы совершить незаметную кражу данных или внести изменения в критические настройки. Мониторинг действий привилегированных пользователей дает возможность легко обнаружить внутреннюю атаку с их стороны и своевременно принять меры.
• Производите мониторинг субподрядчиков и удаленных пользователей - часто современные компании предоставляют доступ к ценной информации удаленно, будь то для собственных сотрудников, работающих на расстоянии, или для партнеров, поставщиков, субподрядчиков, и т.д. Однако, уровень защищенности таких удаленных пользователей часто оставляет желать лучшего. Чтобы надежно защитить Вашу ценную информацию, Вам необходимо осуществлять мониторинг действий всех удаленных пользователей, включая сторонних подрядчиков и ваших сотрудников, работающих удаленно.
• Используйте настраиваемые оповещения или средства поведенческого анализа - результатом мониторинга действий пользователей является большое количество информации, которую фактически невозможно обработать вручную. Более доступные решения по мониторингу действий пользователей, такие как система «Экран» имеют настраиваемую систему оповещений, позволяющую решить эту проблему. Настроив оповещения согласно Вашей ситуации, Вы будете получать уведомления на каждое подозрительное событие. Некоторые другие решения имеют более развитую систему поведенческого анализа, пытающуюся определить подозрительные инциденты автоматически. Подобные системы способны дать хорошие результаты, но их недостатком являются высокая цена и большое количество ложных срабатываний.

Для создания этого практического руководства мы использовали лучшие рекомендации профессионалов, а также наш собственный практический опыт в этой сфере. На наш взгляд, получившиеся шесть шагов являются обязательными при построении эффективной защиты от внутренних угроз. Мы надеемся, что в этом руководстве Вы смогли найти для себя полезную информацию и идеи, которые Вы сможете имплементировать в своей компании для того, чтобы защитится от недобросовестных сотрудников и в целом улучшить свою электронную безопасность.

Источник https://www.ekransystem.com/en