Инсайдеры и хакеры - головная боль служб безопасности. Как противостоять?

Сегодня в эпоху облаков суждение о том, кто является инсайдером, а кто нет, требует пересмотра

Одна из самых сложных задач служб безопасности, с которой сегодня сталкиваются во всех компаниях, — внутренние угрозы: случайные или умышленные вредоносные действия, которые выполняет пользователь, имеющий доступ к корпоративной сети.

Опасения, связанные с привилегированным доступом к информационным активам компании, вполне обоснованы, по данным опроса компании Balabit, проведенного среди 500 экспертов в сфере информационной безопасности, 70% респондентов считают, что внутренние угрозы принесут бизнесу больший вред в отличие от внешних атак. Когда хакеры получают доступ к корпоративным данным, они могут несколько месяцев оставаться незамеченными в сети, причиняя реальный ущерб системе. Связанные с этим риски включают потерю или кражу информации и даже внедрение в сеть вредоносного ПО.

Сегодня в эпоху облаков суждение о том, кто является инсайдером, а кто нет, требует пересмотра. Границы понятия смещаются: данные больше не находятся под нашим присмотром. Что тогда подвергается наибольшему риску, если мы не знаем людей и не несем ответственности за тех, кому поручено следить за самыми ценными активами? В конце концов, мы не можем просто прийти в ЦОД и наблюдать за сотрудниками, которые управляют ИТ-структурами. Но тогда как нам возобновить контроль за человеческим фактором и рисками, связанными с инсайдерами, действующими от лица сервис-провайдеров?

Меняющиеся границы сети

С распространением облачных вычислений компании получают преимущества гибкости и масштабируемости бизнеса. Однако смещение границ сети вызывает непонимание того, где начинается и заканчивается линия ответственности за безопасность информации. Когда пользователю становится проще получать доступ к данным и обмениваться ими, не всегда понятно, в каких случаях он отвечает за их сохранность, а в каких — облачный провайдер. При этом, с учетом наличия у них привилегированных прав доступа, последствия вреда, нанесенного внутренним злоумышленником, например, облачным провайдером, могут быть гораздо более разрушительными, чем любые действия, предпринятые кем-либо внутри компании.

Еще больше усложняем проблему тот факт, что инсайдеры знают лучший способ проникновения в сеть. Имея привилегированные права доступа, они могут знать, как вычислить самое удачное время атаки для получения максимального эффекта и скрыть действия. Конечно, все это отражается и на провайдере услуг. Если даже минимальные проблемы с производительностью, задержка или остановка в работе могут нанести значительный вред их репутации, то последствия действий недобросовестного сотрудника будут еще более разрушительными.

Лучшие способы наблюдения и контроля

Передача ответственности третьей стороне всегда сопряжена с риском, однако такое партнерство контролируется с помощью разумно организованных процессов, прозрачности и открытости действий.

Определите параметры партнерства. С точки зрения управления, вы должны проявить осмотрительность при выборе подрядчика и убедиться в том, что он будет выполнять договорные обязательства, связанные с политикой безопасности и прочими процедурами. Вы не должны бояться спрашивать, кто пользуется привилегированными правами доступа. Это обязательно будут системные администраторы, управляющие средой облачных вычислений, поэтому нужно понять, каким образом проверяются и контролируются действия этих сотрудников.

Наблюдайте за действиями администратора. Ограничить доступ внешнего администратора — непростая задача. Поэтому вам необходимо иметь под рукой инструменты для мониторинга работы облачных-провайдеров и внешней администраторской деятельности. Вы должны знать, что происходит в сети в режиме реального времени и защищать себя от несанкционированного доступа к ней.

Выявляйте аномалии. Новые технологии, такие как анализ пользовательского поведения (UBA), помогают понять, что на самом деле происходит в сети, а также обнаружить любую необычную активность. Они используют алгоритмы машинного обучения, которые создают профили пользователей и выявляют аномалии в их повседневных действиях. Таким образом, устанавливается, произошла ли утечка данных или была изменена база данных и выявляется причина подобного происшествия.

По большому счету, организациям нужно контролировать работу с облачными провайдерами и применять к ним такие же строгие стандарты безопасности, какие они бы ввели в пределах своей компании, поскольку видимость действий привилегированных пользователей помогает управлять человеческим фактором и предотвращать любые действия внутреннего злоумышленника.

Чаба Краснаи, менеджер продукта Shell Control Box компании Balabit