«Такие пользователи, как мы с вами, – сладкий кусок пирога для хакера»

Как автогол, только в области безопасности

Взломы и заражения корпоративных сетей, сливы информации — все привыкли ассоциировать инциденты информационной безопасности с атакой хитроумных хакеров. Однако удар может прийти с неожиданной стороны, например, от своих же сотрудников.

Серьёзные нарушения могут стать следствием инсайдерских действий внутри сети — случайных ошибок или в отместку за увольнение или лишение премии. И, конечно, такие пользователи, как сладкий кусочек пирога для профессиональных хакеров, потому что захват их аккаунтов означает получение практически полного контроля над организацией-жертвой.

Сотрудники с широкими полномочиями и правами доступа (привилегированные пользователи) в любой компании — особая головная боль службы безопасности. В их руках находятся ключи от всех «дверей», доступ ко всей корпоративной информации, а значит потенциально они могут стать силой, которая ее разрушит.

Публикация конфиденциальных документов членами организации WikiLeaks — отличный пример того, к каким последствиям может привести пренебрежение мерами предосторожности. Большинства утечек можно было бы избежать, если бы компании знали и контролировали своих «суперпользователей».

А кто бьёт?

Если упростить, то привилегированный пользователь — это тот, у которого больше полномочий и прав доступа к информационным системам компании. Однако реальность немного сложнее, и под этот статус подходит широкий круг пользователей с разных уровней и с разными функциями.

На самой верхушке находятся «суперпользователи», обладающие неограниченными правами доступа к операционным системам, базам данных и приложениям. В эту категорию входят администратор Microsoft Windows, пользователь root в UNIX/Linux или пользователи виртуальных машин на базе Microsoft Azure (как правило, это системные или сетевые администраторы). И хотя они не находятся наверху управленческой иерархии, в условиях доступа эти пользователи обладают значительной властью.

Большинство организаций не ограничивают такой статус ИТ-ролями; он также может включать пользователей с повышенными привилегиями, которые владеют доступом к конфиденциальным данным из ключевых приложений — финансовых систем, SAP, CRM, платёжных ведомостей. И крайне важно понимать, что такие сотрудники могут находиться на разных уровнях иерархии организации и быть как из HR-отдела или службы поддержки, так и из бухгалтерии или руководителей уровня Совета директоров — финансового или генерального.

Помимо того, любая организация ведет коммуникацию с внешним миром — поставщиками, независимыми консультантами, подрядчиками. Третьи стороны тоже могут иметь доступ к некоторым критичным система и конфиденциальным данным.

Особо опасен? Соблюдай эти 3 правила

Управление «особо опасными» пользователями связано с разработкой рекомендаций, которые позволяют контролировать права доступа и поведение сотрудника в сети. Здесь важно понимать, что права не статичны — члены команды и их обязанности постоянно сменяют друг друга, и это причина номер один, почему привилегированный доступ должен стать объектом пристального внимания отдела информационной безопасности.

Вот что вы можете сделать:

1. Проведите аудит уровней доступа сотрудников организации на основании внутренних правил и процессов.

Каждый сотрудник, в том числе и с привилегированным доступом, должен получать только те права, которые необходимы ему для выполнения рабочих обязанностей и задач, связанных с основными. Очень часто сотрудников наделяют правами доступа, в которых они не нуждаются, в то время как даже системный администратор не должен выходить за рамки рабочих операций.

2. Персонализируйте права: один аккаунт — один сотрудник.

Если внутренние процессы или технические причины не позволяют уйти от использования общих учетных записей, необходимо понять, с помощью каких управленческих мер можно снизить риски. Например, доступ к таким аккаунтам должен быть ограничен, а их случаи и причины их использования необходимо держать под строгим контролем.

3. Не полагайтесь только на системы управления логами для предотвращения атак.

Сейчас для поддержания должного уровня информационной безопасности в компании необходимо проводить дополнительные локальные проверки для усиления мер защиты. Закрыть брешь в системе безопасности можно с помощью решений аналитики привилегированных аккаунтов (Privileged account analytics).

Алгоритмы машинного обучения сравнивают текущую активность пользователя с его типичным поведением в сети и анализируют отклонения от нормы в режиме реального времени. При обнаружении нетипичного поведения служба безопасности получает уведомление, после чего можно сразу отключить пользователя от системы, предотвратив нарушение прежде, чем оно произойдёт.

Однако их можно контролировать — знать в лицо пользователей повышенного риска и внедрить инструменты для защиты наиболее важных цифровых информационных активов вашей компании.

Материалы по теме:

«Мне было лень запоминать пароль от скайпа»: как номер телефона стал самым важным логином в сети

Google передал $10 тысяч школьнику за найденную в системах компании уязвимость

Четыре способа взломать аккаунт в соцсетях и как от этого защититься

Кто сливает конфиденциальные данные вашей компании. Результаты исследования

Россия вошла в топ-10 стран по уровню кибербезопасности в рейтинге ООН