Колонки

«Такие пользователи, как мы с вами, – сладкий кусок пирога для хакера»

Колонки
Чаба Краснаи
Чаба Краснаи

Евангелист компании Balabit

Виктория Кравченко

Чаба Краснаи, евангелист компании Balabit, рассказывает, что делать, когда удар по информационной безопасности компании происходит с самой неожиданной стороны.

«Такие пользователи, как мы с вами, – сладкий кусок пирога для хакера»

Как автогол, только в области безопасности

Взломы и заражения корпоративных сетей, сливы информации — все привыкли ассоциировать инциденты информационной безопасности с атакой хитроумных хакеров. Однако удар может прийти с неожиданной стороны, например, от своих же сотрудников.

Серьёзные нарушения могут стать следствием инсайдерских действий внутри сети — случайных ошибок или в отместку за увольнение или лишение премии. И, конечно, такие пользователи, как сладкий кусочек пирога для профессиональных хакеров, потому что захват их аккаунтов означает получение практически полного контроля над организацией-жертвой.

Сотрудники с широкими полномочиями и правами доступа (привилегированные пользователи) в любой компании — особая головная боль службы безопасности. В их руках находятся ключи от всех «дверей», доступ ко всей корпоративной информации, а значит потенциально они могут стать силой, которая ее разрушит.

58% респондентов, принявших участие в исследовании Ponemon Institute, отметили, что в их компаниях права привилегированного доступа выходят за рамки зоны ответственности сотрудников.

Публикация конфиденциальных документов членами организации WikiLeaks — отличный пример того, к каким последствиям может привести пренебрежение мерами предосторожности. Большинства утечек можно было бы избежать, если бы компании знали и контролировали своих «суперпользователей».

А кто бьёт?

Если упростить, то привилегированный пользователь — это тот, у которого больше полномочий и прав доступа к информационным системам компании. Однако реальность немного сложнее, и под этот статус подходит широкий круг пользователей с разных уровней и с разными функциями.

На самой верхушке находятся «суперпользователи», обладающие неограниченными правами доступа к операционным системам, базам данных и приложениям. В эту категорию входят администратор Microsoft Windows, пользователь root в UNIX/Linux или пользователи виртуальных машин на базе Microsoft Azure (как правило, это системные или сетевые администраторы). И хотя они не находятся наверху управленческой иерархии, в условиях доступа эти пользователи обладают значительной властью.

Еще к ним относят бизнес и ИТ-менеджеров, использующих личные привилегированные аккаунты, а также сотрудников, которые могут получить «аварийный» доступ к критичным системам, чтобы решить особую ситуацию, — ИТ-операторы или персонал службы поддержки.

Большинство организаций не ограничивают такой статус ИТ-ролями; он также может включать пользователей с повышенными привилегиями, которые владеют доступом к конфиденциальным данным из ключевых приложений — финансовых систем, SAP, CRM, платёжных ведомостей. И крайне важно понимать, что такие сотрудники могут находиться на разных уровнях иерархии организации и быть как из HR-отдела или службы поддержки, так и из бухгалтерии или руководителей уровня Совета директоров — финансового или генерального.

Помимо того, любая организация ведет коммуникацию с внешним миром — поставщиками, независимыми консультантами, подрядчиками. Третьи стороны тоже могут иметь доступ к некоторым критичным система и конфиденциальным данным.

Особо опасен? Соблюдай эти 3 правила

Управление «особо опасными» пользователями связано с разработкой рекомендаций, которые позволяют контролировать права доступа и поведение сотрудника в сети. Здесь важно понимать, что права не статичны — члены команды и их обязанности постоянно сменяют друг друга, и это причина номер один, почему привилегированный доступ должен стать объектом пристального внимания отдела информационной безопасности.

Вот что вы можете сделать:

1. Проведите аудит уровней доступа сотрудников организации на основании внутренних правил и процессов.

Каждый сотрудник, в том числе и с привилегированным доступом, должен получать только те права, которые необходимы ему для выполнения рабочих обязанностей и задач, связанных с основными. Очень часто сотрудников наделяют правами доступа, в которых они не нуждаются, в то время как даже системный администратор не должен выходить за рамки рабочих операций.

2. Персонализируйте права: один аккаунт — один сотрудник.

Если внутренние процессы или технические причины не позволяют уйти от использования общих учетных записей, необходимо понять, с помощью каких управленческих мер можно снизить риски. Например, доступ к таким аккаунтам должен быть ограничен, а их случаи и причины их использования необходимо держать под строгим контролем.

3. Не полагайтесь только на системы управления логами для предотвращения атак.

Сейчас для поддержания должного уровня информационной безопасности в компании необходимо проводить дополнительные локальные проверки для усиления мер защиты. Закрыть брешь в системе безопасности можно с помощью решений аналитики привилегированных аккаунтов (Privileged account analytics).

Алгоритмы машинного обучения сравнивают текущую активность пользователя с его типичным поведением в сети и анализируют отклонения от нормы в режиме реального времени. При обнаружении нетипичного поведения служба безопасности получает уведомление, после чего можно сразу отключить пользователя от системы, предотвратив нарушение прежде, чем оно произойдёт.

Предотвращение злоупотреблений привилегированной учетной записью — одна из самых сложных задач для команды безопасности, а поиск инсайдерской угрозы может занять месяцы или даже годы.

Однако их можно контролировать — знать в лицо пользователей повышенного риска и внедрить инструменты для защиты наиболее важных цифровых информационных активов вашей компании.


Материалы по теме:

«Мне было лень запоминать пароль от скайпа»: как номер телефона стал самым важным логином в сети

Google передал $10 тысяч школьнику за найденную в системах компании уязвимость

Четыре способа взломать аккаунт в соцсетях и как от этого защититься

Кто сливает конфиденциальные данные вашей компании. Результаты исследования

Россия вошла в топ-10 стран по уровню кибербезопасности в рейтинге ООН

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Свое вместо чужого: как формируется рынок информбезопасности России
  2. 2 14 подкастов ко дню программиста, которые интересно послушать неравнодушным к софтверу
  3. 3 Кто сливает конфиденциальные данные вашей компании. Результаты исследования
  4. 4 Делимся сокровенным: как быстро и надежно запороть создание мобильной игры
  5. 5 Рынок онлайн-касс: почему именно ККТ устроит революцию в маркетинге?