Как обеспечить безопасность информационных активов
В современном мире угрозы в сфере информационной безопасности надвигаются со всех сторон, количество кибератак увеличивается, а старые методы защиты быстро устаревают. В 2022 году порядка 80% утечек имело гибридный вектор воздействия, когда в краже информации могли участвовать как внешние, так и внутренние нарушители. Страдают разные сферы: банковская, страхование, СМИ, медицина, образование и государственный сектор. А сотрудники служб информационной безопасности вынуждены работать в условиях экстремальных нагрузок.
Сейчас становится понятно, что стандартный подход к защите данных устарел. Проблема заключается в том, что многие компании до сих пор не видят в обеспечении защиты данных бизнес-задачу. Пытаются закрыть этот вопрос установкой базовых средств защиты, решают проблемы точечно, зачастую ручным трудом сотрудников ИТ- или ИБ-отделов.
Без системного подхода, внедрения лучших практик, а также специализированных инструментов автоматизации невозможно в наши дни обеспечить защиту данных — важнейшего актива современных компаний. В статье мы рассмотрим несколько советов и практик для обеспечения и улучшения защиты информационных активов в сегодняшних условиях.
Сократите поверхность потенциальной атаки
Начнем с плохой новости: полностью предотвратить кибератаки нельзя. Зато можно своевременно обнаружить угрозу и минимизировать ее последствия.
Для этого в первую очередь нужно задаться вопросом сокращения поверхности потенциальной атаки. Это поможет значительно сократить вероятный урон и убытки, разгрузить работу ИБ-отдела и избежать простоя бизнес-процессов. Чтобы добиться такого результата, нужно понимать, какие данные нужно защищать от потенциальных угроз, то есть организовать классификацию свей информации.
Необходимо определить, какие сведения считаются конфиденциальными, где они хранятся и кто к ним обращается. В инфраструктуре любой компании курсирует множество данных, утечка которых может привести к финансовым и репутационным рискам. Причем эти данные не ограничиваются контекстом требований ФЗ-152 «О защите персональных данных», а гораздо шире.
Соответственно, нужно выявить конфиденциальную информацию и классифицировать ее по уровню рисков. Это станет первым шагом на пути к защите данных, требующих особого внимания. Классификация данных помогает:
- выявить чувствительную и критически важную информацию, что позволяет обеспечить ее хранение только в защищенных местах и применять различные правила доступа для снижения риска утечки данных — например, политику наименьших привилегий;
- обеспечить конфиденциальность данных. Можно назначать надлежащие разрешения на доступ и применять меры защиты для различных типов данных. Например, регулярно контролировать чувствительные данные, которые подвергаются чрезмерному обращению;
- внедрить решения для автоматизации процессов аудита и контроля данных. Автоматизированное решение для классификации данных обеспечит надежные и стабильные результаты в масштабах всей компании и гарантирует, что DLP-решение работает с корректными метками.
Разграничьте права доступа к информации
После того как данные компании классифицированы, был проведен аудит всех учетных записей и групп, включая встроенные доменные группы, можно приступить к созданию четкой политики по выдаче прав доступа для работы с данными компании.
Одним из наиболее эффективных методов работы с правами доступа к информации является применение принципа наименьших привилегий (Principle of Least Privilege, PoLP). Это одна из практик кибербезопасности, которая подразумевает ограничения прав доступа субъекта (программы, пользователя, процесса) до минимума, необходимого для выполнения работы или задачи.
Ключевой аспект реализации принципа наименьших привилегий — ограничение прав доступа учетных записей пользователей, администраторов и компьютеров. Назначение надлежащих привилегий должностным ролям каждого пользователя поможет в предотвращении утечки данных и получении доступа к конфиденциальной информации злоумышленниками. Даже если учетные данные пользователя будут скомпрометированы, злоумышленник будет иметь только ограниченный доступ к ресурсам вашей организации.
Принцип наименьших привилегий:
- сокращает ущерб от внутренних угроз;
- затрудняет доступ внешних злоумышленников;
- упрощает аудит прав доступа пользователей;
- помогает определить первопричину кибератаки.
Реализовать принцип наименьших привилегий помогают такие решения, как:
- IAM (Identity and Access Management) — системы для контроля выдачи и управления учетными записями и правами доступа.
- DCAP (Data Centric Audit and Protection) — системы для оценки соответствия реальных прав доступа политикам безопасности.
- PAM (Privileged Access Management) — системы для контроля доступа привилегированных пользователей к целевым системам ИТ-инфраструктуры.
- Средства аутентификации и электронной подписи для дополнительной защиты учетных данных.
Использование этих решений поможет значительно снизить риск потенциальных инцидентов с конфиденциальными данными еще до того, как они покинут периметр.
Анализируйте риски, связанные с хранением и доступом к данным
Множество рисков связано с нарушением ключевых принципов защиты данных: обеспечение доступности, целостности и конфиденциальности данных. Это можно выполнять с помощью сотрудников отдела ИБ, но чем больше компания, тем большая нагрузка ложится на их плечи. В итоге задача может стать просто невыполнимой.
Поэтому сейчас особую популярность получают системы класса DCAP, которые автоматизируют множество процессов: аудит и анализ данных, мониторинг прав доступа пользователей к данным. Как именно эти решения помогают в обеспечении трех основных принципов защиты данных? Разберем каждый из них в отдельности.
Доступность данных подразумевает, что сотрудники, которые работают с информацией, могут беспрепятственно пользоваться ею в соответствии с правами доступа. Риск потери доступности данных может быть вызван, например, человеческой ошибкой: сотрудник, имеющий доступ к чувствительным данным, мог случайно перезаписать или удалить важные файлы на сетевом хранилище.
Упомянутые DCAP-системы используются для обеспечения доступности данных и сокращения рисков ошибок и других опасных факторов. В первую очередь DCAP-решение выявляет конфиденциальную информацию и классифицирует ее по уровню рисков. Затем проводит аудит и мониторинг учетных записей и выданных прав, и на основе этих данных выстраивает прозрачную матрицу доступа. В случае инцидента DCAP-система поможет выявить нарушителя и принять меры в режиме реального времени.
Целостность информации означает, что данные не были изменены при выполнении операций над ними, а если и были, то только пользователями с надлежащим уровнем прав. Риск нарушения целостности данных актуален для множества компаний. Например, создается огромное число копий важных документов, и с каждой новой копией становится все сложнее отследить оригинал файла или его актуальную версию, которая нужна сотрудникам или клиентам компании.
Внутри компании может действовать злоумышленник, который изменяет данные в критически важных документах с целью нанести вред компании или получить выгоду от своих действий. Вручную найти такого вредителя среди сотрудников — очень трудоемкая задача, которую, однако, можно автоматизировать с помощью тех же DCAP-систем.
Конфиденциальность информации предполагает обеспечение доступа только ограниченному кругу лиц, которые должны работать с этой информацией в соответствии со своими должностными обязанностями.
DCAP-системы анализируют поведение пользователей и позволяют отследить подозрительные действия и события системы. Так, можно выявлять потенциальные атаки и быстро реагировать на них. Например, просмотр журналов событий вручную занимает слишком много времени. Чтобы оперативно выяснять, кто действительно обращается к конфиденциальным данным и нормально ли для пользователя подобное поведение, также необходимы средства автоматизации.
Заключение
В современных реалиях данные — главная добыча кибератаки. Предотвратить такие угрозы нельзя, но можно вовремя их обнаружить и минимизировать последствия. Мы коснулись лишь небольшой части практических советов в обширной теме защиты данных. Поэтому важно помнить, что для обеспечения эффективной защиты данных необходим комплексный экосистемный подход: внедрять строгие политики управления доступом и авторизации, закупать наиболее продвинутые решения по автоматизации защиты данных, обучать сотрудников в области безопасности данных, а также разработать четкую стратегию безопасности, включая планы реагирования на инциденты и соблюдение соответствующих законодательных требований.
Опубликовано 30.11.2023