Внутренние угрозы: доверие и халатность могут привести к катастрофе

Опубликовано: 6 Апреля, 2023

Введение

Доверие и небрежность. Они часто идут вместе и в большинстве случаев являются основными причинами утечек данных, возникающих в результате инсайдерской работы. Для ведения бизнеса требуется определенный уровень доверия между коллегами, а также между начальниками и сотрудниками, но затем важно убедиться, что политики безопасности в первую очередь незыблемы, а также чтобы они не были скомпрометированы во имя доверия и «личных отношений». ».

По большей части предполагается, что кибербезопасность представляет собой соревнование между технологиями кибербезопасности в сочетании с опытом и навыками ИТ-менеджеров, стремящихся защитить территорию своего предприятия, и высокомотивированными злоумышленниками, которые стремятся использовать любую уязвимость в границах сети с целью взлома. получение доступа к ценной и ценной информации. Но затем, если вы посмотрите на недавние показатели в открытом доступе, вы обнаружите, что в значительно большем количестве случаев это было спровоцировано кем-то изнутри, возможно, кто имел обыкновение иметь с ИТ-менеджерами. Поскольку эта проблема начинается изнутри, решения также не должны быть сосредоточены .

Насколько велика внутренняя угроза?

— отчет Verizon об утечках данных, 2015 г.

Если вас это огорчает, то вас, ответственного за безопасность, может еще больше расстроить отчет о том, что «время компрометации» и «время обнаружения компрометации» за последнее десятилетие отклоняются, что означает увеличивающийся разрыв между тем, когда события происходят и когда они происходят. обнаружено.

Что такое внутренняя угроза?

Понимание проблемы — это шаг к решению. Группа реагирования на компьютерные чрезвычайные ситуации (CERT) Университета Карнеги-Меллона определяет внутреннюю угрозу как « ”

Однако по мере того, как со временем менялась природа ведения бизнеса, менялась и природа внутренней угрозы. Работа на дому, BYOD, распределенный характер рабочей силы и т. д. еще больше усложнили проблему, сделав ее еще более серьезной, чем раньше.

Что делает организации уязвимыми для внутренних угроз?

Аспекты, которые превращают Active Directory в естественный рассадник внутренних угроз:

Беззаботное обращение с привилегированными учетными данными: у всех нас в организации есть привилегированные пользователи, которые имеют повышенный доступ почти ко всем системам, приложениям и данным, и часто им приходится делиться этой привилегией с другими, чтобы «выполнить работу», не опасаясь последствий своих действий..

Настройка неподходящих ролей. Роли пользователей могут иногда сбивать с толку, особенно когда речь идет о их реализации в Active Directory. Обычно у нас есть перекрывающиеся роли и обозначения, которые при реализации в AD приводят к нескольким владельцам систем и приложений — ситуация, которая может привести к немаркированным территориальным правам в сети.

Вялая отмена предоставления привилегий: « » — обычная история утечки данных, возникающая из-за отсутствия автоматизации при отмене предоставления прав.

Пробелы в применении политик: знание того, где находятся конфиденциальные данные и кто может получить к ним доступ, помогает в разработке надежной реализации политики безопасности, которой, к сожалению, нет на многих малых предприятиях.

Неэффективный аудит и время отклика. Аудит и соответствие требованиям существуют для определенной цели. Если следовать их основным нормативным требованиям, вы будете защищены от большинства угроз.

Неавтоматизированное управление AD: элементы управления доступом и права доступа AD должны регулярно оцениваться, изменяться или удаляться по мере необходимости. Отсутствие автоматизации является основной причиной выполнения таких действий, не существует автоматизированного способа обнаружения и очистки устаревших учетных записей AD.

Борьба с внутренними угрозами

Угрозы могут исходить от сотрудника со злым умыслом, от кого-то, кто чувствует себя эксплуатируемым и неудовлетворенным, или даже от неосторожного инсайдера. Вам необходимо использовать многогранный подход к устранению уязвимостей, исходящих от любого из этих типов пользователей. На высоком уровне вам необходимо:

Разработайте приоритеты и указатели: узнайте, какие системы и приложения используются на вашем предприятии, и у кого есть доступ к этим системам и приложениям. Соберите команду профессионалов, владеющих набором процедур для предотвращения, обнаружения и реагирования на внутренние угрозы.

Оцените уязвимости. Является ли реестр угроз вашей корпоративной сети ? Проанализируйте бизнес-процессы, чтобы найти пробелы и уязвимости, запишите все угрозы и воздействия в реестре угроз.

Исходное поведение человека при моделировании внутренних угроз. Поведение пользователя может быть важным исходным элементом при моделировании нарушения кибербезопасности, вызванного внутренней угрозой. Это может значительно сузить проблему, чтобы точно определить подозрительных пользователей.

Проведите суррогатные тренировки и попрактикуйтесь в том, как реагировать на внутренние угрозы: создайте команду из людей, имеющих опыт организации инсайдерских атак в вашей сети. Смоделируйте известные , чтобы проверить, может ли ваша сеть предотвратить такие атаки, а затем попытайтесь улучшить время отклика и механизм.

Защита Active Directory от внутренних угроз

Ниже приведены рекомендации по защите Active Directory от внутренних угроз.

  • Непрерывно отслеживайте конфиденциальные объекты Active Directory на предмет попыток изменения и журналы событий на наличие подозрительных попыток доступа. Этот процесс можно упростить с помощью программного обеспечения для аудита AD сторонних производителей, такого как LepideAuditor Suite.
  • Контролируйте и защищайте «VIP-аккаунты», чтобы обеспечить безопасность привилегированных аккаунтов.
  • При назначении членства в конфиденциальные группы выполняйте ограниченные по времени назначения с определенной и подходящей датой окончания, а не постоянные назначения.
  • Создайте список учетных записей, которые могут выполнять важные задачи, такие как создание учетной записи, и следите за ними, чтобы немедленно заметить любое несанкционированное действие.
  • Внедрите административные модели с наименьшими привилегиями, чтобы пользователи имели право выполнять только те действия, на которые они имеют право, и избегайте практики назначения привилегий «все или ничего», как это делают многие ИТ-администраторы.
  • Внедрите безопасные административные хосты, чтобы они действовали как безопасная платформа, с которой привилегированные учетные записи могут выполнять административные задачи в активном каталоге.
  • Изолируйте и постепенно выводите из эксплуатации устаревшие системы и приложения.
  • Перенесите жизненно важные системы, если это возможно, в совершенно новый лес с надежными политиками безопасности.

Вывод

Внутренняя угроза распространяется по всему миру, завтра она может быть и в вашей организации. То, что было написано в этой статье, относится к макроуровне, важно, чтобы вы объединили свои действия и разработали надежную, комплексную и тщательно продуманную программу снижения внутренних угроз, которая может обеспечить безопасность корпоративной сети. Здесь важно понимать, что внутренняя угроза — это социально-техническая проблема, которая по большей части возникает из-за человеческого фактора, и поэтому любое решение должно разрабатываться с учетом этого фактора. Когда дело доходит до корпоративных сетей, Active Directory вездесуща, поэтому сосредоточение внимания на ужесточении безопасности AD будет хорошим началом в направлении разработки механизма борьбы с внутренними угрозами.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023