19 ноября 2017, воскресенье

Внутренний враг. Где самое слабое звено при кибератаках? Блог Сергея Маковца

комментировать
Чаще всего хакерам неосознанно

Чаще всего хакерам неосознанно "помогают" работники атакованных предприятий и учреждений

Инстинкт самосохранения вплетен в сознание каждого человека. И традиционно он настроен на защиту от внешних угроз.

Но иногда предательство стоит ожидать не извне, а от ближайшего окружения. Помните, что Цезаря убил Брут.

В 2016-м году американское агентство Spiceworks запустило исследование среди пользователей разработанной ими программы, специализирующейся на аудите сети. Анализ ситуации дал неожиданный результат: основную угрозу безопасности представляют сами пользователи внутри предприятия. При чем ядро инсайдерской активности формируется за счет элементарной неосведомленности.

На фоне низкого порога бдительности внутренних пользователей и отсутствия культуры защиты от угроз, все же в этой среде существует страх перед виртуальным миром:

  • 54% респондентов опасаются вредоносных программ
  • 53% обеспокоены потенциальным заражением вирусами шифровальщиками
  • 46% озабочены фишинговыми программами.

Но для построения эффективной защиты одного страха и опасений мало.

Для этого нужно разобраться в сути понятия "инсайдерские угрозы", а также найти ответ на вопрос "можно ли их минимизировать".

То же исследование от компании Spiceworks показало еще несколько интересных цифр.

Диверсификация источников угроз для информационной безопасности следующая:

  • 36% – инсайдеры
  • 25% – организованные группировки злоумышленников
  • 12% – террористические группировки
  • 12% – хакеры

Статистика довольно однозначная: видя подобные цифры, было бы глупо недооценивать инсайдерский фактор. Удельный вес внутренних угроз прямо свидетельствует о том, что серьезные усилия нужно бросать на предотвращение утечек конфиденциальной информации внутри компании, на повышение уровня сознательности и осведомленности сотрудников, так как чаще всего инциденты происходят не умышленно, а по причине незнания и неосторожности.

На ряду с этим, существует определенное поле "внутренних" злоумышленников, который действуют под влиянием вполне осознанных мотивов. В отчете об инсайдерских угрозах в финансовом секторе США (июль 2012 года) приведена интересная статистика: 80% компрометирующих действий были совершены людьми на рабочем месте в рабочее время. 81% из них планировали саботаж заранее. В более чем 80% случаев мотивом служила финансовая выгода, в 23% преступниками двигало чувство мести. Конечно, данную выборку сложно назвать репрезентативной, но не стоит списывать со счетов существование недоброжелателей внутри компании, способных на серьезную диверсию.

Ведь кто такие инсайдеры? Среднестатистические сотрудники: бухгалтер, менеджер по продажам, маркетолог, офис-менеджер... Любой человек из штата, имеющий доступ к определенной корпоративной информации. Инсайдеры могут владеть паролями, то есть законным доступом к компьютерным системам, которыми они оперируют в своей ежедневной работе. Поэтому стоит очень ответственно подходить к выдаче подобных разрешений: беспечность может дорого обойтись организации. Сотрудники также часто имеют прямой доступ к конфиденциальной информации фирмы. Это упрощает задачу обходить защитные барьеры и делает ценные для компании сведения уязвимыми. Доступ к внутренней информации означает только одно: у сотрудников нет необходимости незаконно проникать в сеть через внешний периметр, они уже и так находятся в системе. Угрозу также могут представлять вредоносные программы, преднамеренно установленные на компьютерах сотрудниками, которых уволили.

Чтобы сформировать действенную систему защиты, необходимо классифицировать угрозы, которые исходят от инсайдеров, а также понять, какими средствами они владеют для реализации. Существует несколько классических сценариев инсайдерских угроз.

Незаконное разглашение

В результате незаконного разглашения, проще говоря – утечки, конфиденциальные сведения покидают внутренний периметр и становятся собственностью людей, не имеющих прав на их использование. Например, это может быть база данных по клиентам, информация о партнерах, интеллектуальная собственность.

Для осуществления подобных действий у инсайдера есть несколько способов:

  • отправка информации через исходящие интернет каналы: например, электронная почта
  • скачивание данных на внешние накопители
  • распечатывание секретных документов на принтере

Угрозы такого типа купируются совокупностью методов. Для этого используют фильтрацию трафика, ужесточение контроля на уровне эндпоинтов (блокировка USB-накопителей), диверсификация административных доступов.

В случае, когда инсайдеры осведомлены о том, что в компании действуют средства фильтрации почты, – они могут попробовать обойти ограничения. Например, посредством преобразования данных (шифрование, трансформация в графический вид, сложная архивация) злоумышленники могут избежать фиксации фильтров.

Неосторожность

Важно подчеркнуть: иногда инсайдеры подвергают корпоративную информацию утечке неумышленно. Например, случайно загружают корпоративные материалы в интернет, записывают данные на личный компьютер, который потом у него могут украсть, по ошибке отправляют важные документы третьей стороне. Столкнувшись со сложностями осуществления задуманного (например, блокировкой отправки электронного письма), нарушитель не станет упорствовать, а, скорей всего, обратится за помощью, и ему укажут на незаконность подобных шагов. Это и есть тот маркер, который позволяет определить, кто же перед нами: просто халатный, или же "обиженный" сотрудник, совершающий неправомерные действия осознанно.

Мошенничество и нарушение авторских прав

Одна из самых распространенных инсайдерских угроз – копирование части или кража всего документа без указания авторства, тайное шифрование файлов, при котором компания теряет возможность работать с ними, если пароль утрачен после увольнения нерадивого сотрудника. А самая хрестоматийная ситуация с угрозами внутри компании – банальное мошенничество, с которым сталкивается каждая вторая организация. Чаще всего оно концентрируется вокруг махинаций с финансовой документацией и обхода доступа к конфиденциальной базе данных.

Способов скомпрометировать компанию "изнутри" огромное множество: уберечься от всех рисков невозможно. Но знать, откуда может прийти угроза, – уже хороший фундамент для построения надежной системы защиты. Благо, современные решения в области кибербезопасности позволяют выстроить максимально надежную защиту от внутренних диверсий.

Автор: директор по технологиям Information Systems Security Partners (ISSP) Сергей Маковец


Комментарии

1000

Правила комментирования
Показать больше комментариев

Последние новости

ТОП-3 блога

Читайте на НВ style

Блоги ТОП-10

Погода
Погода в Киеве

влажность:

давление:

ветер: