УправлениеБезопасность

Наблюдая за наблюдателями

Золтан Дъёрку | 23.12.2015

Наблюдая за наблюдателями

Большинство случаев нарушения безопасности берут свое начало внутри организации в результате злоупотребления привилегированными правами.

Одна из сложнейших проблем в ИТ — мониторить и предотвращать несанкционированные или нерегламентированные действия привилегированных пользователей на серверах и сетевых устройствах. Действия внешних пользователей систем обычно сильно ограничены. Однако внутренние сотрудники компании или системные администраторы обладают существенными привилегиями. С повышением уровня доступа свобода действий привилегированных пользователей расширяется: чем больше у пользователей прав в ИТ-системах, тем больший риск представляют их намеренные или неумышленные действия для компании.

Один из самых ярких примеров последнего времени — Эдвард Сноуден, бывший технический специалист и администратор Агентства национальной безопасности США. Его должность позволила ему скоординировать самую большую информационную утечку секретных данных в истории. Другой жертвой ситуации подобного типа стал один из крупнейших американских ритейлеров — компания Target: хакеры похитили конфиденциальные данные покупателей, получив доступ к сети через третьих лиц. В результате взлома пострадали 70 миллионов клиентов компании, а общее число убытков составило $162 млн.

Большинство случаев нарушения безопасности берут свое начало внутри организации в результате злоупотребления привилегированными правами. Это могут быть не только действия злоумышленников из числа сотрудников, но также и внешних хакеров, атакующих привилегированные учетные записи пользователей для получения доступа к конфиденциальным данным. Для таких хакеров получение регистрационных данных одного из «суперпользователей» – генерального директора или системного администратора – всегда выгодно, поскольку они получают практически неограниченный доступ к информационным активам компании.

Таким образом, угроза, исходящая от пользователей, имеющих доступ к информации строгой секретности, становится все серьезнее. Тревогу вызывает и статистика: согласно последнему исследованию компании Verizon по уязвимости данных в компаниях, примерно 88% инцидентов, связанных с недолжным использованием внутренней информации, возникает в результате злоупотребления привилегированными правами. Следовательно, для организаций крайне важно защитить себя от рисков, найдя эффективный способ «следить за наблюдателями».

Итак, что происходит в случаях, когда угроза безопасности исходит от человека, который должен защищать сеть от атак?

Выяснение причин

В случае инцидента компании всегда стремятся выяснить, что произошло на самом деле, узнать правду. Однако сделать это не всегда легко – приходится анализировать тысячи текстовых протоколов, привлекая к этой работе экспертов со стороны. Задачу усложняет то, что под одной и той же учетной записью с привилегированными правами часто работают несколько администраторов, у них может быть один и тот же пароль, поэтому найти ответственного за происшествие иногда бывает совсем непросто. Чтобы устранить эту опасность, необходимо полностью изменить подход к безопасности. Существующие решения, например управление протоколами, межсетевые экраны и SIEM-системы, концентрируют внимание на обеспечении выполнения правил и требований, а также наблюдении за средой в определенные моменты времени. Однако этот подход оставляет «пробелы», через которые пользователи могут подвергать безопасность риску изнутри. Кроме того, вышеуказанный спектр инструментов по ИТ-безопасности затрудняет бизнес-процессы и мешает пользователям работать.

Системные администраторы и другие «суперпользователи» имеют доступы очень высокого уровня или даже неограниченный доступ к операционным системам, базам данных и слоям приложений. Злоупотребляя такими правами на серверах, администраторы могут напрямую обращаться к критически важной корпоративной информации — например, финансовым и CRM-данным, личным делам сотрудников, номерам кредитных карт, — и распоряжаться ими.

Преодолевая трудности

Мы полагаем, что подход по обеспечению ИТ-безопасности в компаниях должен измениться. Вместо введения дополнительных средств контроля можно мониторить активность привилегированных пользователей, давая им возможность выполнять свою повседневную работу. Информация о привычках пользователя (например, о времени доступа к учетной записи), поиск отклонений в его обычных действиях и регистрация такого подозрительного поведения помогут выявить потенциальную «нечестную игру». 

Отметим, что у пользователей складываются очень характерные модели поведения: они используют одни и те же приложения, одинаковые алгоритмы работы, обращаются к одним и тем же данным и даже печатают на клавиатуре определенными способами. Такие взаимодействия с ИТ-системами создают узнаваемые «отпечатки пальцев», которые можно обнаружить и запомнить. Эти профили затем сравниваются с действиями пользователей в режиме реального времени для обнаружения отклонений. Например, если сотрудник обычно обращается только к офисным приложениям, а потом вдруг начинает открывать командную строку для работы с сетью, это может служить сигналом того, что его учетная запись была взломана хакером. Подобным образом, если менеджер по продажам обычно просто заходит в CRM-систему SalesForce, то его обращение к серверу разрабочиков будет выглядеть необычно и сигнализировать о появлении проблемы.

Новые подходы к безопасности сегодня помогают компаниям анализировать все действия пользователя, включая инциденты нарушения безопасности, возникающие в системе. Это позволяет отслеживать и наглядно представлять активность пользователя в режиме реального времени и лучше понимать, что на самом деле происходит в сети. Способность легко восстанавливать алгоритм этих действий сокращает время расследования инцидентов и помогает избегать непредвиденных расходов. Все возрастающее число ситуаций нарушения безопасности, возникающих по вине привилегированных пользователей или с использованием украденных у них регистрационных данных (логина и пароля), говорит о том, что подход к защите данных нужно менять. Мониторинг поведения пользователей намного эффективнее добавления новых слоев защиты. Это ключ к обнаружению инцидентов и в конечном итоге – к предотвращению нарушений защиты в момент их возникновения. Кроме того, решения для мониторинга пользовательских действий помогают обеспечивать баланс между безопасностью и бизнес-процессами в организации. Такой подход приводит к долгосрочному устойчивому развитию, при этом затраты на такой способ контроля будут не больше, чем на любой другой дополнительный стандартный инструмент ИТ-безопасности.

Безопасность Мониторинг

Журнал: Журнал IT-Manager [№ 12/2015], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Десять лет назад мы говорили о будущем цифры и управления с Пеккой Вильякайненом - технологическим предпринимателем и опытным инноватором. То будущее, о котором мы говорили тогда, наступило. День за днем, со скоростью времени.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

Международная конференция по информационной безопасности ZeroNights
Санкт-Петербург, Кожевенная линия, 40, «Севкабель Порт»
3 490 руб
25.08.2021
09:00–23:00
Конференция «Кадровый ЭДО: цифровизация на практике»
Москва, отель Метрополь, Театральный проезд, 2
25.08.2021
09:30–17:00
Форум «Цифровое предприятие»
Москва, отель Метрополь, Театральный проезд, 2
26.08.2021 — 27.08.2021
09:30–17:00