«Такие пользователи, как мы с вами, – сладкий кусок пирога для хакера»

Чаба Краснаи
Чаба Краснаи

Евангелист компании Balabit

Расскажите друзьям
Виктория Кравченко

Чаба Краснаи, евангелист компании Balabit, рассказывает, что делать, когда удар по информационной безопасности компании происходит с самой неожиданной стороны.

Как автогол, только в области безопасности

Взломы и заражения корпоративных сетей, сливы информации — все привыкли ассоциировать инциденты информационной безопасности с атакой хитроумных хакеров. Однако удар может прийти с неожиданной стороны, например, от своих же сотрудников.

Серьёзные нарушения могут стать следствием инсайдерских действий внутри сети — случайных ошибок или в отместку за увольнение или лишение премии. И, конечно, такие пользователи, как сладкий кусочек пирога для профессиональных хакеров, потому что захват их аккаунтов означает получение практически полного контроля над организацией-жертвой.

Сотрудники с широкими полномочиями и правами доступа (привилегированные пользователи) в любой компании — особая головная боль службы безопасности. В их руках находятся ключи от всех «дверей», доступ ко всей корпоративной информации, а значит потенциально они могут стать силой, которая ее разрушит.

58% респондентов, принявших участие в исследовании Ponemon Institute, отметили, что в их компаниях права привилегированного доступа выходят за рамки зоны ответственности сотрудников.

Публикация конфиденциальных документов членами организации WikiLeaks — отличный пример того, к каким последствиям может привести пренебрежение мерами предосторожности. Большинства утечек можно было бы избежать, если бы компании знали и контролировали своих «суперпользователей».

А кто бьёт?

Если упростить, то привилегированный пользователь — это тот, у которого больше полномочий и прав доступа к информационным системам компании. Однако реальность немного сложнее, и под этот статус подходит широкий круг пользователей с разных уровней и с разными функциями.

На самой верхушке находятся «суперпользователи», обладающие неограниченными правами доступа к операционным системам, базам данных и приложениям. В эту категорию входят администратор Microsoft Windows, пользователь root в UNIX/Linux или пользователи виртуальных машин на базе Microsoft Azure (как правило, это системные или сетевые администраторы). И хотя они не находятся наверху управленческой иерархии, в условиях доступа эти пользователи обладают значительной властью.

Еще к ним относят бизнес и ИТ-менеджеров, использующих личные привилегированные аккаунты, а также сотрудников, которые могут получить «аварийный» доступ к критичным системам, чтобы решить особую ситуацию, — ИТ-операторы или персонал службы поддержки.

Большинство организаций не ограничивают такой статус ИТ-ролями; он также может включать пользователей с повышенными привилегиями, которые владеют доступом к конфиденциальным данным из ключевых приложений — финансовых систем, SAP, CRM, платёжных ведомостей. И крайне важно понимать, что такие сотрудники могут находиться на разных уровнях иерархии организации и быть как из HR-отдела или службы поддержки, так и из бухгалтерии или руководителей уровня Совета директоров — финансового или генерального.

26-27 сентября в Москве пройдет международная выставка технологий в образовании EdTech Alley. Для участия приглашаются проекты с решениями из области VR/AR, Робототехника, Оборудование, Развивающие игрушки, LMS (в том числе ПО), Контент, AI. Узнать подробности можно тут.

Помимо того, любая организация ведет коммуникацию с внешним миром — поставщиками, независимыми консультантами, подрядчиками. Третьи стороны тоже могут иметь доступ к некоторым критичным система и конфиденциальным данным.

Особо опасен? Соблюдай эти 3 правила

Управление «особо опасными» пользователями связано с разработкой рекомендаций, которые позволяют контролировать права доступа и поведение сотрудника в сети. Здесь важно понимать, что права не статичны — члены команды и их обязанности постоянно сменяют друг друга, и это причина номер один, почему привилегированный доступ должен стать объектом пристального внимания отдела информационной безопасности.

Вот что вы можете сделать:

1. Проведите аудит уровней доступа сотрудников организации на основании внутренних правил и процессов.

Каждый сотрудник, в том числе и с привилегированным доступом, должен получать только те права, которые необходимы ему для выполнения рабочих обязанностей и задач, связанных с основными. Очень часто сотрудников наделяют правами доступа, в которых они не нуждаются, в то время как даже системный администратор не должен выходить за рамки рабочих операций.

2. Персонализируйте права: один аккаунт — один сотрудник.

Если внутренние процессы или технические причины не позволяют уйти от использования общих учетных записей, необходимо понять, с помощью каких управленческих мер можно снизить риски. Например, доступ к таким аккаунтам должен быть ограничен, а их случаи и причины их использования необходимо держать под строгим контролем.

3. Не полагайтесь только на системы управления логами для предотвращения атак.

Сейчас для поддержания должного уровня информационной безопасности в компании необходимо проводить дополнительные локальные проверки для усиления мер защиты. Закрыть брешь в системе безопасности можно с помощью решений аналитики привилегированных аккаунтов (Privileged account analytics).

Алгоритмы машинного обучения сравнивают текущую активность пользователя с его типичным поведением в сети и анализируют отклонения от нормы в режиме реального времени. При обнаружении нетипичного поведения служба безопасности получает уведомление, после чего можно сразу отключить пользователя от системы, предотвратив нарушение прежде, чем оно произойдёт.

Предотвращение злоупотреблений привилегированной учетной записью — одна из самых сложных задач для команды безопасности, а поиск инсайдерской угрозы может занять месяцы или даже годы.

Однако их можно контролировать — знать в лицо пользователей повышенного риска и внедрить инструменты для защиты наиболее важных цифровых информационных активов вашей компании.


Материалы по теме:

«Мне было лень запоминать пароль от скайпа»: как номер телефона стал самым важным логином в сети

Google передал $10 тысяч школьнику за найденную в системах компании уязвимость

Четыре способа взломать аккаунт в соцсетях и как от этого защититься

Кто сливает конфиденциальные данные вашей компании. Результаты исследования

Россия вошла в топ-10 стран по уровню кибербезопасности в рейтинге ООН



Комментарии

Комментарии могут оставлять только авторизованные пользователи.
Finopolis 2017
5 октября 2017
Ещё события


Telegram канал @rusbase