УправлениеБезопасность

Наблюдая за наблюдателями

Золтан Дъёрку | 23.12.2015

Наблюдая за наблюдателями

Большинство случаев нарушения безопасности берут свое начало внутри организации в результате злоупотребления привилегированными правами.

Одна из сложнейших проблем в ИТ — мониторить и предотвращать несанкционированные или нерегламентированные действия привилегированных пользователей на серверах и сетевых устройствах. Действия внешних пользователей систем обычно сильно ограничены. Однако внутренние сотрудники компании или системные администраторы обладают существенными привилегиями. С повышением уровня доступа свобода действий привилегированных пользователей расширяется: чем больше у пользователей прав в ИТ-системах, тем больший риск представляют их намеренные или неумышленные действия для компании.

Один из самых ярких примеров последнего времени — Эдвард Сноуден, бывший технический специалист и администратор Агентства национальной безопасности США. Его должность позволила ему скоординировать самую большую информационную утечку секретных данных в истории. Другой жертвой ситуации подобного типа стал один из крупнейших американских ритейлеров — компания Target: хакеры похитили конфиденциальные данные покупателей, получив доступ к сети через третьих лиц. В результате взлома пострадали 70 миллионов клиентов компании, а общее число убытков составило $162 млн.

Большинство случаев нарушения безопасности берут свое начало внутри организации в результате злоупотребления привилегированными правами. Это могут быть не только действия злоумышленников из числа сотрудников, но также и внешних хакеров, атакующих привилегированные учетные записи пользователей для получения доступа к конфиденциальным данным. Для таких хакеров получение регистрационных данных одного из «суперпользователей» – генерального директора или системного администратора – всегда выгодно, поскольку они получают практически неограниченный доступ к информационным активам компании.

Таким образом, угроза, исходящая от пользователей, имеющих доступ к информации строгой секретности, становится все серьезнее. Тревогу вызывает и статистика: согласно последнему исследованию компании Verizon по уязвимости данных в компаниях, примерно 88% инцидентов, связанных с недолжным использованием внутренней информации, возникает в результате злоупотребления привилегированными правами. Следовательно, для организаций крайне важно защитить себя от рисков, найдя эффективный способ «следить за наблюдателями».

Итак, что происходит в случаях, когда угроза безопасности исходит от человека, который должен защищать сеть от атак?

Выяснение причин

В случае инцидента компании всегда стремятся выяснить, что произошло на самом деле, узнать правду. Однако сделать это не всегда легко – приходится анализировать тысячи текстовых протоколов, привлекая к этой работе экспертов со стороны. Задачу усложняет то, что под одной и той же учетной записью с привилегированными правами часто работают несколько администраторов, у них может быть один и тот же пароль, поэтому найти ответственного за происшествие иногда бывает совсем непросто. Чтобы устранить эту опасность, необходимо полностью изменить подход к безопасности. Существующие решения, например управление протоколами, межсетевые экраны и SIEM-системы, концентрируют внимание на обеспечении выполнения правил и требований, а также наблюдении за средой в определенные моменты времени. Однако этот подход оставляет «пробелы», через которые пользователи могут подвергать безопасность риску изнутри. Кроме того, вышеуказанный спектр инструментов по ИТ-безопасности затрудняет бизнес-процессы и мешает пользователям работать.

Системные администраторы и другие «суперпользователи» имеют доступы очень высокого уровня или даже неограниченный доступ к операционным системам, базам данных и слоям приложений. Злоупотребляя такими правами на серверах, администраторы могут напрямую обращаться к критически важной корпоративной информации — например, финансовым и CRM-данным, личным делам сотрудников, номерам кредитных карт, — и распоряжаться ими.

Преодолевая трудности

Мы полагаем, что подход по обеспечению ИТ-безопасности в компаниях должен измениться. Вместо введения дополнительных средств контроля можно мониторить активность привилегированных пользователей, давая им возможность выполнять свою повседневную работу. Информация о привычках пользователя (например, о времени доступа к учетной записи), поиск отклонений в его обычных действиях и регистрация такого подозрительного поведения помогут выявить потенциальную «нечестную игру». 

Отметим, что у пользователей складываются очень характерные модели поведения: они используют одни и те же приложения, одинаковые алгоритмы работы, обращаются к одним и тем же данным и даже печатают на клавиатуре определенными способами. Такие взаимодействия с ИТ-системами создают узнаваемые «отпечатки пальцев», которые можно обнаружить и запомнить. Эти профили затем сравниваются с действиями пользователей в режиме реального времени для обнаружения отклонений. Например, если сотрудник обычно обращается только к офисным приложениям, а потом вдруг начинает открывать командную строку для работы с сетью, это может служить сигналом того, что его учетная запись была взломана хакером. Подобным образом, если менеджер по продажам обычно просто заходит в CRM-систему SalesForce, то его обращение к серверу разрабочиков будет выглядеть необычно и сигнализировать о появлении проблемы.

Новые подходы к безопасности сегодня помогают компаниям анализировать все действия пользователя, включая инциденты нарушения безопасности, возникающие в системе. Это позволяет отслеживать и наглядно представлять активность пользователя в режиме реального времени и лучше понимать, что на самом деле происходит в сети. Способность легко восстанавливать алгоритм этих действий сокращает время расследования инцидентов и помогает избегать непредвиденных расходов. Все возрастающее число ситуаций нарушения безопасности, возникающих по вине привилегированных пользователей или с использованием украденных у них регистрационных данных (логина и пароля), говорит о том, что подход к защите данных нужно менять. Мониторинг поведения пользователей намного эффективнее добавления новых слоев защиты. Это ключ к обнаружению инцидентов и в конечном итоге – к предотвращению нарушений защиты в момент их возникновения. Кроме того, решения для мониторинга пользовательских действий помогают обеспечивать баланс между безопасностью и бизнес-процессами в организации. Такой подход приводит к долгосрочному устойчивому развитию, при этом затраты на такой способ контроля будут не больше, чем на любой другой дополнительный стандартный инструмент ИТ-безопасности.

Безопасность Мониторинг

Журнал: Журнал IT-Manager [№ 12/2015], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
Почему бы при «смартовании» цели не подумать о некоторой геймификации?
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

RuCode Festival
ОНЛАЙН
01.04.2021 — 25.04.2021
EXPO - RUSSIA UZBEKISTAN 2021
ОНЛАЙН
01.04.2021 — 31.05.2021
XI Международная конференция MobiFinance-2021
Москва, 1-й Зачатьевский пер., д. 4 (Event-холл «ИнфоПространство»)
Бесплатно
13.04.2021
Технологии и доверие: защита подлинности и идентификация – 2021
Москва, Новинский бульвар, 8, стр. 2, «Лотте Отель»
15.04.2021
9:00
Всероссийский форум «Умный город: Инструкция по применению»
Белгород, ул. Белгородского Полка, 56А. Здание Белгородской государственной филармонии
15 000 руб
15.04.2021 — 16.04.2021
09:00