IT для фінсектора

Ворог всередині. Як бізнесу уникнути втрати критично важливих комп'ютерних даних

Статистика свідчить: найбільший збиток інформбезпеці організацій наносять зовсім не хакери своїми атаками – просто про них дуже люблять писати в ЗМІ. Але головна загроза – власні співробітники, що мають доступ до важливих даних

Леонід Чумак

середа, 08 серпня 2018, 07:55

Фото: Shutterstock

По суті, будь-яка сучасна організація в наші дні використовує масу важливої, а то і зовсім конфіденційної інформації. Звідси й одне з найважливіших питань - як не допустити витоку інформації за межі корпоративної мережі. Головним заходом запобігання витоку інформації стає контроль дій так званих "привілейованих користувачів", які мають широкий доступ до IT-систем організації.

"Наше власне дослідження показало: 38% співробітників, збираючись звільнятися, копіювали, знищували або оприлюднили конфіденційні дані свого роботодавця, - розповів "ДС" аналітик антивірусної компанії ESET Дмитро Неумержицкий. - Ще 17% респондентів зізналися, що їм доводилося знищувати цінні документи, листування або програмне забезпечення, щоб нашкодити роботодавцеві, який їх якось образив".

За словами експерта, ще 13% опитаних несли з собою робочі матеріали (наприклад, базу клієнтів, плани, звіти та інші дані) для подальшого продажу або самостійного використання у власних інтересах.

Нарешті, близько 4% співробітників вже після звільнення користувалися прорахунками ІТ-фахівців колишньої компанії, зокрема, заходили в робочу пошту або продовжували віддалено відвідувати корпоративні ресурси. Використовуючи для цього видані ним раніше паролі і облікові записи.

"Як системний інтегратор, наша компанія часто стикається з питанням віддаленого доступу до систем клієнтів для налаштування, адміністрування і усунення різних проблем. І, на жаль, у багатьох компаній ( великих в тому числі) досі відсутні системи моніторингу і контролю за привілейованими користувачами", - говорить директор компанії "Аккорд груп" Валерій Береговий.

А такі облікові записи є практично в кожній IT-системі: це може бути обліковий запис ROOT на серверах Linux і VMware ESXi, обліковий запис Administrator на робочих станціях і серверах операційних систем сімейства Microsoft Windows, загальні облікові записи SAP, Cisco, Oracle і багато інших. "Звичайно, контролювати привілейовані облікові записи складно - як організаційно, так і технічно, - погоджується технічний директор "Акорд груп" Вадим Запарованный. - Управління та контроль ще більше ускладнюється, якщо користувачі є співробітниками зовнішніх організацій, наприклад: інженери системних інтеграторів, розробники програмного забезпечення, фахівці технічної підтримки. Але ймовірність несанкціонованого використання привілейованих облікових записів дуже висока. І шкоди від цього набагато більше і реальніше".

"Аналіз нашої роботи з клієнтами показує, що 86% корпоративних систем спочатку схильні вразливостей, що дозволяє отримати повний контроль над критично важливими ресурсами - платіжними системами, електронною поштою, сховищами персональних даних і документів, ERP-системами (наприклад, SAP), АСУ ТП, - коментує проект-менеджер компанії ІТ-безпеки Positive Technologies Вадим Рудий. - Половина систем, з якими ми стикалися, дозволяла отримати повний контроль над критичними ресурсами з боку зовнішнього зловмисника. Для кожної третьої системи (29%), щоб отримати контроль над такими ресурсами, досить мати доступ до аккаунту користувача у внутрішній мережі".

Як розповів Вадим Рудий, більше половини (57%) систем містили критичні уразливості, пов'язані з використанням застарілих версій ОС. Середній вік найбільш застарілих невстановлених оновлень становить 32 місяці, але в одній з систем була виявлена небезпечна уразливість 9-річної давності.

В середньому для подолання периметра корпоративної мережі зовнішнього атакуючому потрібно використовувати лише дві уразливості; для проведення атаки в 82% випадків хакеру достатньо мати середню або низьку кваліфікацію. Більш того, в половині всіх досліджених систем успішні атаки можливі з боку будь-якого некваліфікованого користувача внутрішньої мережі - йому достатньо мати в цій мережі привілейований обліковий запис.

За словами експертів, щоб знизити ризики, пов'язані з використанням привілейованих облікових записів, краще всього використовувати спеціалізовані рішення, які забезпечать автоматизоване управління обліковими записами і постійний контроль дій привілейованих користувачів.

Зазвичай такі системи підтримують цілком певний функціонал:

- Ізоляція систем ІТ-інфраструктури компанії від осіб, не наділених відповідними повноваженнями на доступ.
- Єдиний вхід в систему для запуску сеансів без необхідності розкриття привілейованих облікових даних стороннім особам.
- Моніторинг підключень і дій на адмініструються пристроях в режимі реального часу.
- Безперервний запис дій користувачів, виконуваних на керованих пристроях і платформах, для подальшого перегляду у відео-форматі (для графічних сеансів) і в текстовому форматі (для сеансів командного рядка), а також збереження відомостей про натиснутих клавішах в сеансах SSH і аудит команд і сценаріїв у будь-яких базах даних.
- Забезпечення єдиної точки входу в систему - кожен користувач входить в систему через портал, використовуючи свої облікові дані, і отримує доступ до авторизованими пристроями без виконання другого входу.
- Централізоване управління всіма компонентами системи через єдиний інтерфейс.
- Зберігання облікових записів і паролів у сховищі - підсистема управління паролями дозволяє зберігати паролі і ключі SSH в спеціальному сховищі з можливістю доступу до них, включаючи зміну після використання (одноразові паролі).
- Підтримка механізмів аутентифікації: Microsoft Active Directory, LDAP, Radius, RSA Secure ID, PKI (Public Key Infrastructure), Oracle SSO.
- Можливість перегляду статистики активності.
- Настроювані процеси обробки запитів на доступ.

На що потрібно звернути увагу при виборі такої системи? В безпеці другорядних систем не буває, так що доведеться дивитися по всьому переліку підтримуваних керованих пристроїв і платформ: операційні системи Windows - програми, бази даних, засоби забезпечення безпеки, мережеві пристрої, робочі програми, каталоги, засоби віддаленого управління і моніторингу, платформи віртуалізації, сховища даних, SaaS/Web-додатки, OT/SCADA-середовища, універсальні інтерфейси.

Ну і, звичайно ж, в рамках вибору системи потрібно провести пілотне впровадження. Воно дозволить переконатися, що всі заявлені функції працюють, а функціонал відповідає вашим очікуванням.