Угроза безопасности сети может прилететь с любой стороны, но здесь мы рассмотрим вопрос защиты от внутренних (инсайдерских) угроз
Брайен Поузи (Brien Posey) – вице-президент по исследованиям и разработкам компании Relevant Technologies, освещает вопросы безопасности и хранения данных интернет-издания ITPro Today.
Кибербезопасность традиционно направлена на то, чтобы не допустить внешних злоумышленников к ИТ-ресурсам организации. Но важно не упускать из виду угрозы, исходящие и от внутренних нарушителей. Сотрудник может продать конфиденциальные данные конкуренту, участвовать в кибер-вандализме из-за мести или предпринять другие действия с тем, чтобы нанести вред компании и ее данным. Угроза инсайдерской кибербезопасности обширна и включает, как случайные, так и преднамеренные действия. Разберем 5 способов, которые помогут вам повысить безопасность организации.
1. Ограничьте “радиус взрыва”
Первое, что вы можете сделать для уменьшения угроз внутренней кибербезопасности вашей компании – предпринять шаги по минимизации ущерба, который потенциально может нанести злоумышленник. Часто это называется «ограничением радиуса взрыва».
Организациям следует применять политику доступа с минимальными привилегиями. Это означает, что пользователи должны получить доступ только к тем ресурсам, которые требуются им для выполнения работы. Важно также понимать, что психологически легко сосредоточить свое внимание исключительно на рядовых пользователях, но нужно помнить, что сотрудники ИТ-отдела потенциально представляют наибольшую угрозу из всех. Следует использовать управление доступом на основе ролей (RBAC – Role Based Access Control) для разделения административных обязанностей. Это значительно ограничит размер ущерба, который может нанести один-единственный администратор, если он станет мошенником или если его учетная запись окажется скомпрометированной.
2. Меры по предотвращению потерь
Еще один важный шаг в борьбе с внутренними угрозами – внедрение инструментов по предотвращению потерь и утечки данных (DLP – Data Leak Prevention). Например, DLP можно использовать для отслеживания исходящей электронной почты для того, чтобы узнать, содержат ли она конфиденциальную информацию. Это выходит далеко за рамки фильтрации вложений. Средство защиты от потерь данных обычно анализирует текст в исходящем сообщении в поисках шаблонов, соответствующих известным конфиденциальным типам данных. Если обнаружено совпадение с шаблоном, сообщение может быть заблокировано или даже перенаправлено в отдел кадров без уведомления.
Конкретный пример: номер социального страхования, используемый в США состоит из последовательности цифр и тире и выглядит примерно так: 078-05-1120. Если в электронном письме содержится номер, соответствующий этому формату, то он, скорее всего, является номером социального страхования. Та же концепция применима для поиска в сообщении номеров кредитных карт, банковских счетов, ИНН и проч.
Если ваша организация использует Microsoft 365, то возможно у вас уже есть DLP-решение (в зависимости от подписки).
3. Запрет на использование съемных носителей
Еще одна вещь, которую организации могут сделать для предотвращения внутренних угроз кибербезопасности – это установить запрет на использование съемных носителей и хранилищ. Сотрудники не смогут подключить USB-накопители и соответственно использовать их для кражи конфиденциальной информации или внедрения в систему вредоносного ПО. Иначе говоря вы можете применить параметры групповой политики, чтобы предотвратить использование съемных носителей.
Если вы используете Windows, то можете отключить съемное хранилище следующим способом. Зайдите:
Конфигурация компьютера (Computer Configuration) /
Административные шаблоны (Administrative Templates) /
Система (System) /
Доступ к съемным хранилищам (Removable Storage Access) /
и включите параметр политики «Все классы съемных хранилищ: запретить весь доступ» (All Removable Storage Classes: Deny All Access), так, как это показано ниже:
4. Шифруйте данные
Шифрование хранилища может существенно снизить внутренние угрозы кибербезопасности. Если кто-то украдет backup на диске или ленточном носителе, либо экспортирует копию виртуальной машины, шифрование может помешать этому человеку прочитать информацию извне, что сделает данные бесполезными.
5. Не держите мониторинг в секрете
Одна из лучших вещей, которые вы можете сделать для уменьшения внутренних угроз кибербезопасности, как ни странно это прозвучит – громко и четко заявите о том, что вы делаете. Я сбился со счета, сколько раз друзья или члены семьи спрашивали меня, каким способом работодатели могут увидеть то, что они делают в интернете. Это свидетельствует о том, что пользователи часто не уверены в том, какие возможности мониторинга реализованы на их рабочем месте.
Организациям следует продумать, какие средства мониторинга активности персонала следует установить, какие действия работников регистрировать, как часто делать снимки экранов. И как только подобные меры будут реализованы, обязательно сообщить об этом сотрудникам. Знание того, что организация отслеживает абсолютно всё, что делается в интернете, может служить мощным сдерживающим фактором внутренних угроз.
Заключение
Как видите, существует ряд способов, которые организация может применить для уменьшения внутренних угроз кибербезопасности. Мы описали некоторые из большого количества средств защиты. Эти методы помогают организациям противостоять злонамеренной активности, а также могут ограничить ущерб, причиненный случайно взломанной учетной записью или заражением вредоносным ПО.
Ссылки по теме:
В статье использованы фото Getty Images и Pixabay
Дата-центр ITSOFT: размещение и аренда серверов и телекоммуникационных стоек в двух ЦОДах в Москве; colocation GPU-ферм и ASIC-майнеров, аренда GPU-серверов. Лицензии связи, SSL-сертификаты. Администрирование серверов и поддержка сайтов. UPTIME за последние годы составляет 100%.
Комментарии (8)
Exchan-ge
27.08.2021 02:15+2Шифрование хранилища может существенно снизить внутренние угрозы кибербезопасности. Если кто-то украдет backup на диске или ленточном носителе, либо экспортирует копию виртуальной машины, шифрование может помешать этому человеку прочитать информацию извне, что сделает данные бесполезными.
iMac, macOS 11.5.2, APFS, в буткампе установлена Windows 10 Pro, из макоси имеется доступ к диску D (NTFS)
Особенностью изделия является то, что пользователь не может получить доступа к «внутренностям» компьютера.
Во время эксплуатации изделия вышел из стоя блок питания.
Как следствие, пользователь не может удалить данные на встроенном в компьютер накопителе. Компьютер будет отправлен в ремонтную мастерскую, персонал которой сможет получить доступ к имеющимся на накопителе данным.
Понятно, что содержимое накопителя нужно предварительно зашифровывать.
Однако есть проблема — как это сделать правильно, имея столь разнородные файловые системы на одном носителе.Lizardinius
08.09.2021 15:11Однако есть проблема — как это сделать правильно, имея столь разнородные файловые системы на одном носителе.
В порядке бреда:
1. Шифруем весь диск вместе с осью
2. На физическом диске единственный раздел
3. Остальные разделы являются файлами и монтируются в виртуалку\операционку
Это скорее всего снизит скорость работы с файлами на примонтированных разделах, но всё же.
P.S. Я в этой теме не разбираюсь, просто написал что пришло в голову.Exchan-ge
08.09.2021 20:45Шифруем весь диск вместе с осью
Попытка включения FileVault завалила буткамп вместе с диском D.
(возможно, дело в том, что использовалась программа Microsoft NTFS for Mac by Paragon Software, о которой я, честно говоря, забыл в тот момент)
При попытке отключения FileVault завалился уже весь диск, причем так, что пришлось тащить аймак в сервис, вынимать SSD и заново его начисто форматировать.
Больше я с тех пор не рисковал :)
Godless
07.09.2021 13:31Не холивара ради, но все же - неужели снимки экрана настолько эффективны ?
Galperin_Mark Автор
07.09.2021 13:45Соглашусь, что они не очень четкие, но дают хоть какое-то представление о процессе.
Godless
07.09.2021 16:09я не про картинки, а вот про этот абзац
Организациям следует продумать, какие средства мониторинга активности персонала следует установить, какие действия работников регистрировать, как часто делать снимки экранов.
Galperin_Mark Автор
07.09.2021 17:56Вероятно автор имел в виду внедрения принципа скриншотов. Хоть один раз в день. Сам факт существования этой системы заставит пользователей быть аккуратнее.
RiddickABSent
#4. Шифруйте данные - самое важное.
В не зашифрованном виде можно оставить разве что картинки и то предварительно удалив мета-теги.
А если ВераКрипт и ЮбиКей сотрудником не читаются как ругательства - уже почти фантастика.