Наблюдая за наблюдателями

Логотип компании
Наблюдая за наблюдателями
Большинство случаев нарушения безопасности берут свое начало внутри организации в результате злоупотребления привилегированными правами.

Одна из сложнейших проблем в ИТ — мониторить и предотвращать несанкционированные или нерегламентированные действия привилегированных пользователей на серверах и сетевых устройствах. Действия внешних пользователей систем обычно сильно ограничены. Однако внутренние сотрудники компании или системные администраторы обладают существенными привилегиями. С повышением уровня доступа свобода действий привилегированных пользователей расширяется: чем больше у пользователей прав в ИТ-системах, тем больший риск представляют их намеренные или неумышленные действия для компании.

Один из самых ярких примеров последнего времени — Эдвард Сноуден, бывший технический специалист и администратор Агентства национальной безопасности США. Его должность позволила ему скоординировать самую большую информационную утечку секретных данных в истории. Другой жертвой ситуации подобного типа стал один из крупнейших американских ритейлеров — компания Target: хакеры похитили конфиденциальные данные покупателей, получив доступ к сети через третьих лиц. В результате взлома пострадали 70 миллионов клиентов компании, а общее число убытков составило $162 млн.

Большинство случаев нарушения безопасности берут свое начало внутри организации в результате злоупотребления привилегированными правами. Это могут быть не только действия злоумышленников из числа сотрудников, но также и внешних хакеров, атакующих привилегированные учетные записи пользователей для получения доступа к конфиденциальным данным. Для таких хакеров получение регистрационных данных одного из «суперпользователей» – генерального директора или системного администратора – всегда выгодно, поскольку они получают практически неограниченный доступ к информационным активам компании.

Таким образом, угроза, исходящая от пользователей, имеющих доступ к информации строгой секретности, становится все серьезнее. Тревогу вызывает и статистика: согласно последнему исследованию компании Verizon по уязвимости данных в компаниях, примерно 88% инцидентов, связанных с недолжным использованием внутренней информации, возникает в результате злоупотребления привилегированными правами. Следовательно, для организаций крайне важно защитить себя от рисков, найдя эффективный способ «следить за наблюдателями».

Итак, что происходит в случаях, когда угроза безопасности исходит от человека, который должен защищать сеть от атак?

Выяснение причин

В случае инцидента компании всегда стремятся выяснить, что произошло на самом деле, узнать правду. Однако сделать это не всегда легко – приходится анализировать тысячи текстовых протоколов, привлекая к этой работе экспертов со стороны. Задачу усложняет то, что под одной и той же учетной записью с привилегированными правами часто работают несколько администраторов, у них может быть один и тот же пароль, поэтому найти ответственного за происшествие иногда бывает совсем непросто. Чтобы устранить эту опасность, необходимо полностью изменить подход к безопасности. Существующие решения, например управление протоколами, межсетевые экраны и SIEM-системы, концентрируют внимание на обеспечении выполнения правил и требований, а также наблюдении за средой в определенные моменты времени. Однако этот подход оставляет «пробелы», через которые пользователи могут подвергать безопасность риску изнутри. Кроме того, вышеуказанный спектр инструментов по ИТ-безопасности затрудняет бизнес-процессы и мешает пользователям работать.

Системные администраторы и другие «суперпользователи» имеют доступы очень высокого уровня или даже неограниченный доступ к операционным системам, базам данных и слоям приложений. Злоупотребляя такими правами на серверах, администраторы могут напрямую обращаться к критически важной корпоративной информации — например, финансовым и CRM-данным, личным делам сотрудников, номерам кредитных карт, — и распоряжаться ими.

Преодолевая трудности

Мы полагаем, что подход по обеспечению ИТ-безопасности в компаниях должен измениться. Вместо введения дополнительных средств контроля можно мониторить активность привилегированных пользователей, давая им возможность выполнять свою повседневную работу. Информация о привычках пользователя (например, о времени доступа к учетной записи), поиск отклонений в его обычных действиях и регистрация такого подозрительного поведения помогут выявить потенциальную «нечестную игру». 

Отметим, что у пользователей складываются очень характерные модели поведения: они используют одни и те же приложения, одинаковые алгоритмы работы, обращаются к одним и тем же данным и даже печатают на клавиатуре определенными способами. Такие взаимодействия с ИТ-системами создают узнаваемые «отпечатки пальцев», которые можно обнаружить и запомнить. Эти профили затем сравниваются с действиями пользователей в режиме реального времени для обнаружения отклонений. Например, если сотрудник обычно обращается только к офисным приложениям, а потом вдруг начинает открывать командную строку для работы с сетью, это может служить сигналом того, что его учетная запись была взломана хакером. Подобным образом, если менеджер по продажам обычно просто заходит в CRM-систему SalesForce, то его обращение к серверу разрабочиков будет выглядеть необычно и сигнализировать о появлении проблемы.

Новые подходы к безопасности сегодня помогают компаниям анализировать все действия пользователя, включая инциденты нарушения безопасности, возникающие в системе. Это позволяет отслеживать и наглядно представлять активность пользователя в режиме реального времени и лучше понимать, что на самом деле происходит в сети. Способность легко восстанавливать алгоритм этих действий сокращает время расследования инцидентов и помогает избегать непредвиденных расходов. Все возрастающее число ситуаций нарушения безопасности, возникающих по вине привилегированных пользователей или с использованием украденных у них регистрационных данных (логина и пароля), говорит о том, что подход к защите данных нужно менять. Мониторинг поведения пользователей намного эффективнее добавления новых слоев защиты. Это ключ к обнаружению инцидентов и в конечном итоге – к предотвращению нарушений защиты в момент их возникновения. Кроме того, решения для мониторинга пользовательских действий помогают обеспечивать баланс между безопасностью и бизнес-процессами в организации. Такой подход приводит к долгосрочному устойчивому развитию, при этом затраты на такой способ контроля будут не больше, чем на любой другой дополнительный стандартный инструмент ИТ-безопасности.

Читайте также
Круглый стол «Цифровая деградация», организованный в рамках форума «ИТ Диалог 2024» стал местом честного разговора о том, как выживать в мире, где взломы — это вопрос времени. Участники обсуждали, что важнее: безопасность или удобство, когда стоит заменять иностранные решения на российские, а когда лучше подождать, и кто в итоге отвечает, если что-то пошло не так. Были примеры из реальной жизни, споры о том, кто должен делить ответственность, и даже немного философии. Вопросов оказалось больше, чем ответов, но одно ясно точно: безопасникам приходится лавировать между сложными решениями и высокой ответственностью каждый день.

Опубликовано 23.12.2015

Похожие статьи