IT для финсектора

Враг внутри. Как бизнесу избежать потери критически важных компьютерных данных

Статистика показывает: наибольший ущерб информбезопасности организаций наносят вовсе не хакеры своими атаками – просто о них очень любят писать в СМИ. Но главная угроза – собственные сотрудники, имеющие доступ к важным данным

Леонид Чумак

среда, 08 августа 2018, 07:55

Фото: Shutterstock

По сути, любая современная организация в наши дни использует массу важной, а то и вовсе конфиденциальной информации. Отсюда и один из самых важных вопросов - как не допустить утечку данных за пределы корпоративной сети. Главной мерой по предотвращению утечки информации становится контроль действий так называемых "привилегированных пользователей", которые имеют широкий доступ к IT-системам организации.

"Наше собственное исследование показало: 38% сотрудников, собираясь увольняться, копировали, уничтожали или обнародовали конфиденциальные данные своего работодателя, - рассказал "ДС" аналитик антивирусной компании ESET Дмитрий Неумержицкий. - Еще 17% респондентов признались, что им доводилось уничтожать ценные документы, переписку или программное обеспечение, чтобы навредить работодателю, который их как-то обидел".

По словам эксперта, еще 13% опрошенных уносили с собой рабочие материалы (например, базу клиентов, планы, отчеты и другие данные) для последующей продажи или самостоятельного использования в собственных интересах.

Наконец, около 4% сотрудников уже после увольнения пользовались просчетами ИТ-специалистов прежней компании, в частности, заходили в рабочую почту или продолжали удаленно посещать корпоративные ресурсы. Используя для этого выданные им ранее пароли и учетные записи.

"Как системный интегратор, наша компания часто сталкивается с вопросом удаленного доступа к системам клиентов для настройки, администрирования и устранения разных проблем. И, к сожалению, у многих компаний ( крупных в том числе) до сих пор отсутствуют системы мониторинга и контроля за привилегированными пользователями", - говорит директор компании "Аккорд груп" Валерий Береговой.

А такие учетные записи есть практически в каждой IT-системе: это может быть учетная запись ROOT на серверах Linux и VMware ESXi, учетная запись Administrator на рабочих станциях и серверах операционных систем семейства Microsoft Windows, общие учетные записи SAP, Cisco, Oracle и многие другие. "Конечно, контролировать привилегированные учетные записи сложно - как организационно, так и технически, - соглашается технический директор "Аккорд групп" Вадим Запарованный. - Управление и контроль еще больше усложняется, если пользователи являются сотрудниками внешних организаций, например: инженеры системных интеграторов, разработчики программного обеспечения, специалисты технической поддержки. Но вероятность несанкционированного использования привилегированных учетных записей очень высока. И ущерб от этого гораздо больше и реальнее".

"Анализ нашей работы с клиентами показывает, что 86% корпоративных систем изначально подвержены уязвимостям, позволяющим получить полный контроль над критически важными ресурсами - платежными системами, электронной почтой, хранилищами персональных данных и документов, ERP-системами (например, SAP), АСУ ТП, - комментирует проект-менеджер компании по ИТ-безопасности Positive Technologies Вадим Рудый. - Половина систем, с которыми мы сталкивались, позволяла получить полный контроль над критическими ресурсами со стороны внешнего злоумышленника. Для каждой третьей системы (29%), чтобы получить контроль над такими ресурсами, достаточно иметь доступ к пользовательскому аккаунту во внутренней сети".

Как рассказал Вадим Рудый, более половины (57%) систем содержали критические уязвимости, связанные с использованием устаревших версий ПО и ОС. Средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца, но в одной из систем была выявлена опасная уязвимость 9-летней давности.

В среднем для преодоления периметра корпоративной сети внешнему атакующему требовалось использовать лишь две уязвимости; для проведения атаки в 82% случаев хакеру достаточно иметь среднюю или низкую квалификацию. Более того, в половине всех исследованных систем успешные атаки возможны со стороны любого неквалифицированного пользователя внутренней сети - ему достаточно иметь в этой сети привилегированный аккаунт.

По словам экспертов, чтобы снизить риски, связанные с использованием привилегированных аккаунтов, лучше всего использовать специализированные решения, которые обеспечат автоматизированное управление учетными записями и постоянный контроль действий привилегированных пользователей.

Обычно такие системы поддерживают вполне определенный функционал:

- Изоляция систем ИТ-инфраструктуры компании от лиц, не наделенных соответствующими полномочиями на доступ.
- Единый вход в систему для запуска сеансов без необходимости раскрытия привилегированных учетных данных сторонним лицам.
- Мониторинг подключений и действий на администрируемых устройствах в режиме реального времени.
- Непрерывная запись действий пользователей, выполняемых на управляемых устройствах и платформах, для последующего просмотра в видео-формате (для графических сеансов) и в текстовом формате (для сеансов командной строки), а также сохранение сведений о нажатых клавишах в сеансах SSH и аудит команд и скриптов в любых базах данных.
- Обеспечение единой точки входа в систему - каждый пользователь входит в систему через портал, используя свои учетные данные, и получает доступ к разрешенным устройствам без выполнения второй процедуры входа.
- Централизованное управление всеми компонентами системы через единый интерфейс.
- Хранение учетных записей и паролей в хранилище - подсистема управления паролями позволяет сохранять пароли и ключи SSH в специальном хранилище с возможностью доступа к ним, включая изменение после использования (одноразовые пароли).
- Поддержка механизмов аутентификации: Microsoft Active Directory, LDAP, Radius, RSA Secure ID, PKI (Public Key Infrastructure), Oracle SSO.
- Возможность просмотра статистики активности.
- Настраиваемые процессы обработки запросов на доступ.

На что нужно обратить внимание при выборе такой системы? В безопасности второстепенных систем не бывает, так что смотреть придется по всему перечню поддерживаемых управляемых устройств и платформ: операционные системы, Windows- приложения, базы данных, средства обеспечения безопасности, сетевые устройства, рабочие программы, каталоги, средства удаленного управления и мониторинга, платформы виртуализации, хранилища данных, SaaS/Web-приложения, OT/SCADA-среды, универсальные интерфейсы.

Ну и, конечно же, в рамках выбора системы нужно провести пилотное внедрение. Оно позволит убедиться, что все заявленные функции работают, а функционал соответствует вашим ожиданиям.