Чаба Краснаи, евангелист компании Balabit, рассказывает, что делать, когда удар по информационной безопасности компании происходит с самой неожиданной стороны.
Как автогол, только в области безопасности
Взломы и заражения корпоративных сетей, сливы информации — все привыкли ассоциировать инциденты информационной безопасности с атакой хитроумных хакеров. Однако удар может прийти с неожиданной стороны, например, от своих же сотрудников.
Серьёзные нарушения могут стать следствием инсайдерских действий внутри сети — случайных ошибок или в отместку за увольнение или лишение премии. И, конечно, такие пользователи, как сладкий кусочек пирога для профессиональных хакеров, потому что захват их аккаунтов означает получение практически полного контроля над организацией-жертвой.
Сотрудники с широкими полномочиями и правами доступа (привилегированные пользователи) в любой компании — особая головная боль службы безопасности. В их руках находятся ключи от всех «дверей», доступ ко всей корпоративной информации, а значит потенциально они могут стать силой, которая ее разрушит.
58% респондентов, принявших участие в исследовании Ponemon Institute, отметили, что в их компаниях права привилегированного доступа выходят за рамки зоны ответственности сотрудников.
Публикация конфиденциальных документов членами организации WikiLeaks — отличный пример того, к каким последствиям может привести пренебрежение мерами предосторожности. Большинства утечек можно было бы избежать, если бы компании знали и контролировали своих «суперпользователей».
А кто бьёт?
Если упростить, то привилегированный пользователь — это тот, у которого больше полномочий и прав доступа к информационным системам компании. Однако реальность немного сложнее, и под этот статус подходит широкий круг пользователей с разных уровней и с разными функциями.
На самой верхушке находятся «суперпользователи», обладающие неограниченными правами доступа к операционным системам, базам данных и приложениям. В эту категорию входят администратор Microsoft Windows, пользователь root в UNIX/Linux или пользователи виртуальных машин на базе Microsoft Azure (как правило, это системные или сетевые администраторы). И хотя они не находятся наверху управленческой иерархии, в условиях доступа эти пользователи обладают значительной властью.
Еще к ним относят бизнес и ИТ-менеджеров, использующих личные привилегированные аккаунты, а также сотрудников, которые могут получить «аварийный» доступ к критичным системам, чтобы решить особую ситуацию, — ИТ-операторы или персонал службы поддержки.
Большинство организаций не ограничивают такой статус ИТ-ролями; он также может включать пользователей с повышенными привилегиями, которые владеют доступом к конфиденциальным данным из ключевых приложений — финансовых систем, SAP, CRM, платёжных ведомостей. И крайне важно понимать, что такие сотрудники могут находиться на разных уровнях иерархии организации и быть как из HR-отдела или службы поддержки, так и из бухгалтерии или руководителей уровня Совета директоров — финансового или генерального.
Помимо того, любая организация ведет коммуникацию с внешним миром — поставщиками, независимыми консультантами, подрядчиками. Третьи стороны тоже могут иметь доступ к некоторым критичным система и конфиденциальным данным.
Особо опасен? Соблюдай эти 3 правила
Управление «особо опасными» пользователями связано с разработкой рекомендаций, которые позволяют контролировать права доступа и поведение сотрудника в сети. Здесь важно понимать, что права не статичны — члены команды и их обязанности постоянно сменяют друг друга, и это причина номер один, почему привилегированный доступ должен стать объектом пристального внимания отдела информационной безопасности.
Вот что вы можете сделать:
1. Проведите аудит уровней доступа сотрудников организации на основании внутренних правил и процессов.
Каждый сотрудник, в том числе и с привилегированным доступом, должен получать только те права, которые необходимы ему для выполнения рабочих обязанностей и задач, связанных с основными. Очень часто сотрудников наделяют правами доступа, в которых они не нуждаются, в то время как даже системный администратор не должен выходить за рамки рабочих операций.
2. Персонализируйте права: один аккаунт — один сотрудник.
Если внутренние процессы или технические причины не позволяют уйти от использования общих учетных записей, необходимо понять, с помощью каких управленческих мер можно снизить риски. Например, доступ к таким аккаунтам должен быть ограничен, а их случаи и причины их использования необходимо держать под строгим контролем.
3. Не полагайтесь только на системы управления логами для предотвращения атак.
Сейчас для поддержания должного уровня информационной безопасности в компании необходимо проводить дополнительные локальные проверки для усиления мер защиты. Закрыть брешь в системе безопасности можно с помощью решений аналитики привилегированных аккаунтов (Privileged account analytics).
Алгоритмы машинного обучения сравнивают текущую активность пользователя с его типичным поведением в сети и анализируют отклонения от нормы в режиме реального времени. При обнаружении нетипичного поведения служба безопасности получает уведомление, после чего можно сразу отключить пользователя от системы, предотвратив нарушение прежде, чем оно произойдёт.
Предотвращение злоупотреблений привилегированной учетной записью — одна из самых сложных задач для команды безопасности, а поиск инсайдерской угрозы может занять месяцы или даже годы.
Однако их можно контролировать — знать в лицо пользователей повышенного риска и внедрить инструменты для защиты наиболее важных цифровых информационных активов вашей компании.
Материалы по теме:
«Мне было лень запоминать пароль от скайпа»: как номер телефона стал самым важным логином в сети
Google передал $10 тысяч школьнику за найденную в системах компании уязвимость
Четыре способа взломать аккаунт в соцсетях и как от этого защититься
Кто сливает конфиденциальные данные вашей компании. Результаты исследования
Россия вошла в топ-10 стран по уровню кибербезопасности в рейтинге ООН
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Старт работы на Wildberries»
- 1 Пайплайн CI/CD: что это такое, как применяется в разработке
- 2 VK представила платформу OpenVK для публикации ПО с открытым кодом
- 3 NSO Group признали виновной по делу WhatsApp* против шпионского софта Pegasus
- 4 Функциональное тестирование и его роль в разработке программного обеспечения
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025