Внутрішній ворог. Де найслабша ланка при кібератаках? Блог Сергія Маковця

26 жовтня 2017, 07:29
Вы также можете прочесть этот материал на русском языке
Інстинкт самозбереження вплетений у свідомість кожної людини. І традиційно він налаштований на захист від зовнішніх загроз

Але іноді зради варто очікувати не ззовні, а від найближчого оточення. Пам'ятайте, що Цезаря убив Брут.

З 2016-му році американська компанія Spiceworks провела дослідження проблем безпеки серед користувачів розробленої ними програми аудиту мережі. Аналіз ситуації дав несподіваний результат: основну загрозу безпеці становлять самі користувачі всередині підприємства. При чому ядро інсайдерської активності формується за рахунок елементарної необізнаністі.

Відео дня

На тлі низького порогу пильності внутрішніх користувачів і відсутності культури захисту від загроз, все ж у цьому середовищі існує страх перед віртуальним світом:

  • 54% респондентів побоюються шкідливих програм
  • 53% стурбовані потенційним зараженням вірусами шифрувальниками
  • 46% стурбовані фішинговими програмами

Але для побудови ефективного захисту одного страху і побоювань мало.

Для цього потрібно розібратися в суті поняття "інсайдерські загрози", а також знайти відповідь на питання "чи можна їх мінімізувати".

Те саме дослідження від компанії Spiceworks показало ще кілька цікавих цифр.

Диверсифікація джерел загроз для інформаційної безпеки така:

  • 36% – інсайдери
  • 25% – організовані угруповання зловмисників
  • 12% – терористичні угруповання
  • 12% – хакери.

Статистика досить однозначна: бачачи подібні цифри, було б нерозумно недооцінювати інсайдерський фактор. Питома вага внутрішніх загроз прямо свідчить про те, що серйозні зусилля потрібно кидати на запобігання витоку конфіденційної інформації всередині компанії, на підвищення рівня свідомості і обізнаності співробітників, так як найчастіше інциденти відбуваються не навмисне, а через незнання і необережність.

Поряд з цим, існує певне поле "внутрішніх" зловмисників, які діють під впливом цілком усвідомлених мотивів. У звіті про інсайдерські загрози у фінансовому секторі США (липень 2012 року) наведена цікава статистика: 80% компрометувальних дій було здійснено людьми на робочому місці в робочий час. 81% з них планували саботаж заздалегідь. У більш ніж 80% випадків мотивом служила фінансова вигода, в 23% злочинцями рухало почуття помсти. Звісно, дану вибірку складно назвати репрезентативною, але не варто списувати з рахунків існування недоброзичливців всередині компанії, здатних на серйозну диверсію.

Адже хто такі інсайдери? Середньостатистичні співробітники: бухгалтер, менеджер з продажу, маркетолог, офіс-менеджер... Будь-яка людина зі штату, яка має доступ до певної корпоративної інформації. Інсайдери можуть володіти паролями, тобто законним доступом до комп'ютерних систем, якими вони оперують у своїй щоденній роботі. Тому варто дуже відповідально підходити до видачі подібних дозволів: недбалість може дорого обійтися організації. Співробітники також часто мають прямий доступ до конфіденційної інформації фірми. Це спрощує завдання обходити захисні бар'єри і робить цінні для компанії відомості вразливими. Доступ до внутрішньої інформації означає тільки одне: у співробітників немає необхідності незаконно проникати в мережу крізь зовнішній периметр, вони вже і так перебувають у системі. Загрозу також можуть становити програми, навмисно встановлені на комп'ютерах співробітниками, яких звільнили.

Щоб сформувати дієву систему захисту, необхідно класифікувати загрози, які надходять від інсайдерів, а також зрозуміти, якими засобами вони володіють для реалізації. Існує кілька класичних сценаріїв інсайдерських погроз.

Незаконне розголошення

В результаті незаконного розголошення, простіше кажучи – витоку, конфіденційні відомості залишають внутрішній периметр і потрапляють до рук людей, які не мають прав на їх використання. Наприклад, це можуть бути комерційні секрети компанії, база даних клієнтів, інформація про партнерів, інтелектуальна власність.

Для здійснення подібних дій інсайдер має кілька способів:

  • відправка інформації через вихідні інтернет канали: наприклад, електронна пошта
  • скачування даних на зовнішні накопичувачі
  • роздрук секретних документів на принтері

Загрози такого типу зупиняються сукупністю методів. Для цього використовують фільтрацію трафіку, посилення контролю на рівні ендпоїнтів (блокування USB-накопичувачів), диверсифікацію адміністративних доступів.

У разі, коли інсайдери обізнані про те, що в компанії діють засоби фільтрації пошти, – вони можуть спробувати обійти обмеження. Наприклад, за допомогою перетворення даних (шифрування, трансформації в графічний вигляд, складної архівації) зловмисники можуть уникнути фіксації фільтрів.

Необережність

Важливо підкреслити: часто інсайдери піддають корпоративну інформацію ризику ненавмисно. Наприклад, можуть випадково завантажити корпоративні матеріали в інтернет, записати дані на особистий комп'ютер, який потім у нього вкрадуть, а також помилково відправити важливі документи третій стороні. Зіткнувшись з труднощами здійснення задуманого (наприклад, блокуванням відправки електронного листа), порушник не стане наполягати, а, скоріше за все, звернеться по допомогу, і йому вкажуть на незаконність подібних кроків. Це і є той маркер, який дозволяє визначити, хто ж перед нами: просто недбалий, або ж "ображений" співробітник, що здійснює неправомірні дії усвідомлено.

Шахрайство і порушення авторських прав

Одна з найпоширеніших інсайдерських загроз – копіювання частини або крадіжка всього документу без зазначення авторства, таємне шифрування файлів, при якому компанія втрачає можливість працювати з ними, якщо пароль втрачено після звільнення недбалого співробітника. А найхрестоматійніша ситуація з погрозами всередині компанії – банальне шахрайство, з яким стикається кожна друга організація. Найчастіше воно концентрується навколо махінацій з фінансовою документацією та обходу доступу до конфіденційної бази даних.

Способів скомпрометувати компанію "зсередини" сила-силенна: уберегтися від усіх ризиків неможливо. Але знати, звідки може надійти загроза, – вже хороший фундамент для побудови надійної системи захисту. На щастя, сучасні рішення в області кібербезпеки дозволяють вибудувати максимально надійний захист від внутрішніх диверсій.

Автор: директор з технологій Information Systems Security Partners (ISSP) Сергій Маковець

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X