Какие угрозы являются внутренними

Скачать 135.66 Kb.

Название	Какие угрозы являются внутренними
Дата публикации	15.07.2013
Размер	135.66 Kb.
Тип	Документы

100-bal.ru > Информатика > Документы

ВНУТРЕННИЕ УГРОЗЫ

КАКИЕ УГРОЗЫ ЯВЛЯЮТСЯ ВНУТРЕННИМИ

Сегодня наиболее опасной угрозой IT-безопасности является утечка корпоративных секретов, о чем свидетельствуют тенденции развития отрасли, результаты опросов компаний, анализа рынка и научные исследования по данной теме.

К внутренним угрозам относятся любые действия с информацией, которые нарушают хотя бы один из постулатов информационной безопасности (целостность, доступность и конфиденциальность), исходят изнутри информационной системы компании и наносят ущерб компании.

Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба:

любые нарушения правил и процедур внутренней безопасности сети, способные привести к краже данных;
неавторизованный поиск / просмотр / изменение / уничтожение конфиденциальных данных;
подбор паролей к учетным записям, установка пользователями внутри сети троянцев, руткитов и других вредоносных программ;
целенаправленный «слив» информации на внешние накопители HDD, USB Flash, Card-reader, запись на CD/DVD с целью выноса информации за пределы компании;
кража вычислительной техники, на которой есть конфиденциальные данные: ноутбуки, жесткие диски, карманные компьютеры и др.;
кража корпоративной базы данных целиком или по частям;
неавторизованная установка изнутри сети беспроводных сетевых соединений с целью выкачать наружу данные;
распечатка важных документов на принтере с целью вынести твердую копию за пределы компании.

И это далеко не полный список.

Утечки чувствительных данных напрямую связаны с операционными рисками бизнеса. В результате утечки, компания может сильно пострадать...

Утечки чувствительных данных напрямую связаны с операционными рисками бизнеса. В результате утечки, компания может сильно пострадать:

лишиться клиентов, если утекла клиентская база данных;
лишиться технологий, если утекли технологические секреты;
если утекла финансовая информация, то будут недовольны учредители и инвесторы;
несоответствие требованиям государства и различных органов к защите чувствительных данных пользователей может привести к отзыву лицензий на право осуществление деятельности.

Но еще хуже, что компания может потерять деловую репутацию в лице своих контрагентов, и, как следствие приостановить или вообще прекратить деятельность.

КТО ТАКОЙ «ИНСАЙДЕР» И КАКИЕ ОНИ БЫВАЮТ

Ключевым персонажем в инциденте, связанным с утечкой информации, является инсайдер — конкретный человек. Существует несколько основных портретов таких людей.

Халатный инсайдер

«Халатный» инсайдер является наиболее распространенным типом внутреннего нарушителя. Как правило, такие сотрудники соответствуют образу служащего рядового состава, часто крайне невнимательного. Его нарушения в отношении конфиденциальной информации носят немотивированный характер, не имеют конкретных целей, умысла, корысти.

Эти сотрудники создают незлонамеренные ненаправленные угрозы, т.е. они нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты с такими нарушителями — вынос информации из офиса для работы с ней дома, в командировке и т.д., с дальнейшей утерей носителя или доступом членов семьи к этой информации. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить копирование информации, этот тип нарушителей будет действовать по инструкции — обратится за помощью к коллегам или системному администратору, которые объяснят ему, что вынос информации за пределы офиса запрещен. Поэтому против таких нарушителей действенными являются простые технические средства предотвращения каналов утечек — контентная фильтрация исходящего трафика в сочетании с менеджерами устройств ввода-вывода.

Манипулируемый инсайдер

Экс-хакер Кевин Митник, ныне называющийся «консультантом по вопросам IT-безопасности», считает, что именно социальная инженерия сегодня является «бичом» информационных систем.

Последние годы термин «социальная инженерия» чаще всего используется для описания различных типов мошенничества в сети. Однако манипуляции используются не только для получения обманным путем персональной информации пользователей — паролей, пин-кодов, номеров кредитных карт и адресов. Экс-хакер Кевин Митник, ныне называющийся «консультантом по вопросам IT-безопасности», считает, что именно социальная инженерия сегодня является «бичом» информационных систем. Примеры, которые приводит Митник в своей книге, показывают, например, что «добросовестная» секретарша, действуя по принципу «хотели как лучше, получилось как всегда», может по просьбе злоумышленника «для надежности» продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик. Распространенный сценарий такого инцидента выглядит следующим образом. В офисе раздается звонок от директора существующего филиала, который весьма уверенно и открыто представляется, исключительно правдоподобно описывает проблему, связанную с невозможностью доставки почты в филиальную сеть (временные технические сложности, конечно) и просит переслать ему некоторую информацию на его личный ящик где-нибудь в публичной почтовой службе. У сотрудника даже не возникает подозрения, что звонивший совсем не является тем, кем он представился, настолько убедительно звучали его слова. И в считанные минуты на указанный адрес отправляется запрошенная информация, представляющая строго конфиденциальные данные. Кем на самом деле был звонивший — остается только догадываться. Ясно одно, что он был очень заинтересован в получении этих данных. И ясно, что не в самых благих целях.

Поскольку манипулируемые и халатные сотрудники действуют из своего понимания «блага» компании (оправдываясь тем, что иногда ради этого блага нужно нарушить «дурацкие» инструкции, которые только мешают эффективно работать), два этих типа нарушителей иногда объединяют в тип «незлонамеренных». Но ущерб не зависит от намерений, зато от намерений зависит поведение нарушителя в случае невозможности осуществить действие. Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.

Обиженные инсайдеры

Следующая группа нарушителей — злонамеренные. В отличие от сотрудников, описанных выше, они осознают, что своими действиями наносят вред компании, в которой работают. По мотивам враждебных действий, которые позволяют прогнозировать их поведение, они подразделяются на четыре типа — «обиженные», «нелояльные», «подрабатывающие» и «внедренные».

«Обиженные» — это сотрудники, стремящиеся нанести вред компании по личным мотивам.

«Обиженные» — это сотрудники, стремящиеся нанести вред компании по личным мотивам. Чаще всего мотивом такого поведения может быть обида из-за недостаточной оценки их роли в компании — недостаточный размер материальной компенсации, неподобающее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря).

Для оценки моделей поведения нарушителя отметим два ключевых отличия от других типов нарушителей. Во-первых, сотрудник не собирается покидать компанию и, во-вторых, сотрудник стремится нанести вред, а не похитить информацию. То есть он хочет, чтобы руководство не узнало, что утечка произошла из-за него и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое. Например, на уничтожение или фальсификацию доступной информации, хищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать. Чаще всего это пресса или теневые структуры, для соответственно, оглашения или шантажа. Примером реализации такой угрозы может служить передача экологической прессе данных о состоянии затопленных ядерных подводных лодок одним из сотрудников предприятия, ответственного за мониторинг этого состояния.

Нелояльные инсайдеры

Следующий тип внутренних нарушителей — нелояльные сотрудники. Прежде всего, это сотрудники, принявшие решение сменить место работы или миноритарные акционеры, решившие открыть собственный бизнес. Именно о них в первую очередь думают руководители компании, когда речь заходит о внутренних угрозах — стало привычным, что увольняющийся сотрудник коммерческого отдела уносит с собой копию базы клиентов, а финансового — копию финансовой базы. В последнее время также увеличилось количество инцидентов, связанных с хищением интеллектуальной собственности высокотехнологичных европейских и американских компаний стажерами из развивающихся стран, поэтому временных сотрудников иногда также относят к этому типу. Угроза, исходящая от таких нарушителей, является ненаправленной — нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они ее будут использовать. Самый частый способ получения доступа к информации или возможности ее скопировать — это имитация производственной необходимости. Именно на этом их чаще всего и ловят. От предыдущего типа нарушителей нелояльные отличаются в основном тем, что, похитив информацию, они не скрывают факта похищения. Более того, иногда похищенная информация используется, как гарант для обеспечения комфортного увольнения — с компенсацией и рекомендациями.

Угроза, исходящая от таких нарушителей, является ненаправленной — нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они ее будут использовать.

Эти два типа нарушителей все же не так опасны, как последние. Обиженные и нелояльные сотрудники все же сами определяют объект хищения, уничтожения или искажения и место его сбыта. Коммерческий директор, решивший уволиться, унесет с собой базу данных клиентов, но, возможно, он найдет работу в компании, напрямую не конкурирующей с нынешним работодателем. Переданная прессе саботажником информация может не оказаться сенсацией и не будет напечатана. Стажер, похитивший чертежи перспективной разработки, может не найти на нее покупателя. И в этих случаях информация не нанесет вред владельцу. Наткнувшись на невозможность похитить информацию, нарушители вряд ли будут искать техническую возможность обойти защиту, к тому же, скорее всего, они не обладают должной технической подготовкой.

Подрабатывающие инсайдеры

Однако если еще до похищения информации обиженный или нелояльный сотрудник выйдет на потенциального «покупателя» конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым опасным нарушителем — мотивированным извне. Теперь его дальнейшая судьба — работа, благосостояние, а иногда жизнь и здоровье напрямую зависят от полноты и актуальности информации, которую он сможет похитить.

«Подрабатывающие» и «внедренные» нарушители — это сотрудники, цель которым определяет заказчик похищения информации. В обоих случаях инсайдеры стремятся как можно надежнее завуалировать свои действия (по крайней мере, до момента успешного хищения), однако мотивация их все же различается. «Подрабатывающий» тип охватывает весьма широкий пласт сотрудников, вступивших на стезю инсайдерства по различным причинам. Сюда включаются люди, решившие «подхалтурить» на пару тысяч, которых им не хватает для покупки автомобиля. Нередки случаи инсайдеров поневоле — шантаж, вымогательство извне буквально не оставляют им выбора и заставляют выполнять приказы третьих сторон. Именно поэтому «подрабатывающие» могут предпринимать самые разнообразные действия при невозможности выполнения поставленной задачи. В зависимости от условий они могут прекратить попытки, имитировать производственную необходимость, а в наиболее тяжелых случаях пойти на взлом, подкуп других сотрудников, чтобы получить доступ к информации любыми другими способами.

Внедренные инсайдеры

Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети, «работодатели» могут снабдить его соответствующими устройствами или программами для обхода защиты.

Из шпионских триллеров времен холодной войны хорошо известен последний тип внутренних нарушителей — «внедренный». В современных условиях к таким методам все чаще прибегают не только для государственного шпионажа, но также для промышленного. Типичный пример из практики. Системному администратору крупной компании поступает очень привлекательное предложение о переходе на другую работу. Много денег, превосходный социальный пакет, гибкий график работы. Отказаться невозможно. Одновременно в HR-службу поступает блестящее резюме похожего специалиста, от которого также невозможно отказаться. Или этот специалист предлагается системному администратору в качестве замены (вроде того, что это входит в комплект услуг рекрутингового агентства). Пока первый сдает дела, второй быстро получает доступ к конфиденциальной информации и сливает ее заказчику. После этого следы агентства и специалиста теряются — они просто испаряются. Компания остается без корпоративных секретов, а системный администратор без работы.

Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети, «работодатели» могут снабдить его соответствующими устройствами или программами для обхода защиты. И «внедренный» нарушитель пойдет до конца, чтобы получить данные. В его арсенале будут самые изощренные средства и большой профессиональный опыт взлома.

КАК ПРЕДУПРЕДИТЬ И ПРЕДОТВРАТИТЬ ДЕЙСТВИЯ ИНСАЙДЕРА

Применение следующих практических советов позволит организациям сориентироваться в разнообразных методах упреждения кражи данных и смягчить риск утечки информации:

1. Периодически проводите аудит рисков ИТ-безопасности

Для компаний крайне сложно определить правильный баланс между доверием к своим сотрудниками и защитой от них же. Компания должна ограждать себя от внутренних взломов наравне со внешними посягательствами путём следования принципам управления информационными рисками:

первоначально нужно оценить имеющуюся инфраструктуру, определить критические информационные активы;
установить текущие возможные угрозы и уязвимости, т.е. создать модель угроз для компании;
оценить возможные денежные убытки вследствие утечки;
выработать стратегию управления, продумать план немедленного реагирования.

Важно помнить, что избежать риска полностью нельзя. Уменьшение риска означает нахождение золотой середины между безопасной работой компании и эффективностью бизнеса.

2. Обучайте ваших сотрудников основам информационной безопасности

В компании должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности.

В компании должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности. Сотрудники должны понимать, что такое политики, процедуры и зачем их надо соблюдать при работе, какие средства защиты используются в сети. Первая линия защиты от инсайдеров — это информированные сотрудники.

3. Разграничивайте должностные обязанности и привилегии доступа к данным

Если все сотрудники компании достаточно хорошо обучены принципам безопасности, и ответственность за критические функции распределена между сотрудниками, вероятность сговора между людьми с целью кражи ценных сведений резко снижается. Таким образом, эффективное разграничение бизнес-обязанностей и привилегий при работе с информацией приводит к тому, что каждый работает только с теми документами, с которыми должен. Не забывайте, что максимальное количество процедур должно быть автоматизировано.

4. Введите строгие политики управления учетными записями и паролями

Несмотря на то, что все сотрудники компании лояльны и крайне бдительны, если учетные записи в компьютерной сети будут скомпрометированы, инсайдер получит в свои руки все инструменты подмены своих действий и сможет украсть данные и, при этом, не засветиться.

5. Усильте аутентификацию и авторизацию в сетях

Пользователи, работающие с важными данными, должны пройти аутентификацию и авторизацию при доступе к информационным ресурсам. Не пренебрегайте простыми и старыми способами защиты информации, но также внедряйте все более совершенные средства, особенно анти-инсайдерские средства «последнего эшелона».

6. Аккуратно деактивируйте несуществующих пользователей

Когда сотрудник увольняется из организации, необходимо внимательно следовать установленным процедурам увольнения и закрывать вовремя доступ ко всем информационным ресурсам, чтобы пресечь естественное желание человека скопировать свой жесткий диск, закатать несколько CD со своими рабочим документами и более того, оставить за собой, к примеру, удаленный доступ к почтовому серверу, чего нельзя допустить ни в коем случае.

7. Проводите мониторинг и сбор логов действий сотрудников в режиме реального времени

Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей.

Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей. К примеру, сильно увеличился внутренний сетевой трафик, возросло количество запросов к корпоративной базе данных, сильно увеличился расход тонера или бумаги. Эти и многие другие события должны фиксироваться и разбираться, так как за ними также может скрываться атака или подготовка к атаке на чувствительные данные.

8. Внимательно проводите внешний мониторинг системных администраторов и привилегированных пользователей

Обычно в компаниях производят выборочный мониторинг пользователей, используя средства удаленного рабочего стола, URL-фильтрации и систем подсчета трафика, но также важно не забывать, что и ответственный может быть в сговоре и осуществлять кражу данных. Поэтому эффективная защита от инсайдера должна находиться выше привилегированных пользователей и системных администраторов.

Помимо этих простых практических советов, следует:

Активно защищаться от вредоносного кода хорошими антивирусными продуктами, использующими не только реактивные (сигнатурные) методы, но и предупреждающие проактивные технологии.
Использовать защиту от удаленных атак и попыток взлома. Желательно, чтобы защита была многоуровневая: хотя- бы на уровне контроля пользовательских приложений и на уровне сетевых пакетов.
Внедрять резервное копирование и процедуры восстановления данных. В случае компрометации данных, всегда есть возможность восстановить исходные данные.

Особенно важно использовать защиту с помощью средств «последнего эшелона»:

Осуществляйте контентную фильтрацию исходящего сетевого трафик. Электронная почта, быстрые сообщения ICQ, веб- почта, постинги на форумы, блоги и другая интернет- активность должна проверяться на предмет утечек данных.
Установите политики работы с периферийными, сменными и мобильными устройствами, на которые можно записать и унести конфиденциальный документ (FDD, CD/DVD RW, Cart Reader), присоединяемых по различным шинам (USB и PCMCIA). Важно не забыть и беспроводные сети (IrDA, Bluetooth, WiFi).
Проверяйте поток документов, отсылаемых на печать, чтобы предотвратить кражу документов в твердой копии.
Фильтруйте все запросы к базам данных на наличие в них опасных, извлекающих секретные сведения, запросы.
Шифруйте критическую информацию на блочных устройствах и на ноутбуках.

Добавить документ в свой блог или на сайт

	Тема: «Новая повестка дня в области международной безопасности» На смену им приходят, как старые угрозы, но в новом качестве, т к изменилась сама среда в которой они существуют, так и новые, не...		Прежде чем понять, являются ли альтернативные методы «бескровными»... Прежде чем понять, являются ли альтернативные методы «бескровными» хирургии действительно альтернативными необходимо знать, что такое...
	1. Какие из паролей являются надёжными? При использовании материалов Википедии для подготовки реферата со ссылкой на источник		Программа по формированию навыков безопасного поведения на дорогах... Задани Какие из предложенных неравенств являются неравенствами второй степени?
	Какие слова являются грамматической основой в одной из частей данного предложения? Областное государственное бюджетное учреждение «Белгородский региональный центр оценки качества образования»		Задания предварительного этапа олимпиады школьников по экологии Задание №1 Какие организмы не являются абсолютно необходимыми в поддержании замкнутого круговорота биогенных элементов (азота, углерода, кислорода...
	И. А. Ишутина Русский язык и культура речи Почему язык называют знаковой системой? Какие единицы языка являются основными знаками?		Какие знаки Зодиака склонны к обману, а какие нет? Научиться распознавать лжет ли Ваш собеседник или вообще не склонен к обману можно, достаточно поинтересоваться его знаком Зодиака....
	Программа по формированию навыков безопасного поведения на дорогах... Выяснить, какие свойства воды являются аномальными, и как это влияет на облик планеты		Лекционные вопросы какие разновидности мышечной ткани вы знаете? Их характеристики Мышцы, действующие на височно-нижнечелюстной сустав. Какие мышцы поднимают и выдвигают нижнюю челюсть вперед, какие мышцы опускают...
	Меморандум В соответствии с внутренними инструкциями кинокомпании «Централ Партнершип Сейлз Хаус»		Задачи и упражнения к школьному курсу общей экологии Часть общая... Опираясь на определение экологии, установите, какие утверждения являются грамотными
	Крестовые походы Какие сословия мы относим к привилегированным, а какие к непривилегированным? Почему?		Какие продукты вредят зубам, а какие укрепляют
	Урок русского языка в 5 классе Здравствуйте, ребята. Прежде чем садиться, посмотрите минутку вокруг себя, обратите внимание на то, какие предметы вас окружают в...		VI. Основные инструменты реализации Программы Потенциальные угрозы жизнедеятельности человека в связи с развитием нанотехнологий