Защита от внутренних атак в современных сетевых средах

Опубликовано: 8 Апреля, 2023


Введение


Согласно недавнему отчету MSNBC.com, обзор CyberSecurity Watch Survey 2011 года, проведенный журналом CSO Magazine, показал, что больше атак (58%) совершается посторонними, чем внутренними (21%); однако 33 % считают инсайдерские атаки более дорогостоящими по сравнению с 25 % в 2010 году. Возможно, самым интересным моментом стало то, что инсайдерские атаки становятся все более изощренными, при этом растет число инсайдеров (22 %), использующих руткиты или хакерские инструменты, по сравнению с 9% в 2010 г., поскольку эти инструменты становятся все более автоматизированными и легкодоступными. В этой статье мы рассмотрим, как вы можете защитить свою сеть от этих все более изощренных внутренних атак.


Почему инсайдерские атаки опаснее


Внутренние атаки по определению проводятся людьми, имеющими законный доступ к вашей сети и системам. Это могут быть недовольные сотрудники, обиженные на компанию, мотивированные деньгами работники, которые используют систему для кражи у компании, подрядчики, выполняющие работу на вас на временной основе, которые занимаются корпоративным шпионажем, или кто-либо еще, кто злоупотребляет своими полномочиями. /ее привилегии в вашей сети для несанкционированного использования. Некоторые злоумышленники являются лазутчиками, которые устраиваются на работу в компанию специально для того, чтобы проникнуть в ее систему безопасности. Некоторым инсайдерам могут угрожать, принуждать или подкупать посторонние лица, чтобы они украли информацию о компании или внедрили вирус или вредоносное ПО, которые выведут из строя или нарушат работу сети.


Некоторые сценарии включают в себя:



  • Умышленное заражение компьютеров и сети компании вредоносными программами или вирусами, которые нарушают работу и приводят к снижению производительности.
  • Внедрение шпионских программ, кейлоггеров и аналогичного программного обеспечения для получения информации о том, что делают коллеги или другие лица в компании.
  • Кража паролей для входа в сеть компании под видом кого-то другого, фактически кража личности сотрудника
  • Копирование конфиденциальной информации компании для выноса или отправки за пределы компании без разрешения

Почему большинство стратегий безопасности компаний ориентированы на посторонних


Если внутренние атаки обходятся компаниям дороже, почему большинство политик и стратегий безопасности сосредоточены на защите сети от внешних угроз? Есть множество причин. Традиционно сетевая безопасность была «все на грани». Основой сетевой безопасности является сетевой брандмауэр — «страж у ворот», расположенный между компьютерами (и пользователями) во внутренней сети и потенциально вредоносными «неизвестными» снаружи. Проблема с этой моделью в том, что она делает большое и иногда неверное предположение, что всем пользователям внутри можно доверять. Неудивительно, что компании сделали такое предположение. Это естественная человеческая природа не хотеть рассматривать возможность того, что «ваши» люди могут предать вас. Однако это может стать роковой ошибкой.


Возможно, основная причина в том, что защититься от инсайдеров просто сложнее. Сотрудникам компании часто требуется доступ к конфиденциальной информации для выполнения своей работы, что делает ее уязвимой для кражи. У них есть законные учетные данные для входа в сеть, что облегчает им использование любых дыр в безопасности для нарушения работы сетевых служб. Некоторые люди утверждают, что это вообще невозможно. Они делают хорошее замечание: если вы дадите кому-то ключи от королевства, будет чрезвычайно трудно предотвратить его злоупотребление ими, если он действительно этого хочет. Тем не менее, есть шаги, которые вы можете предпринять, чтобы инсайдерам было труднее нанести серьезный ущерб.


Разработка стратегии безопасности для защиты от внутренних атак


Точно так же, как предприятия розничной торговли имеют программы предотвращения убытков, чтобы удержать сотрудников от кражи товаров или наличных денег, предприятия, которые имеют дело с важными электронными данными (которые включают в себя подавляющее большинство из них в наши дни), должны думать с точки зрения программ предотвращения потери данных (DLP).. Существует ряд технологий DLP от разных поставщиков, но комплексная стратегия выходит за рамки простой покупки устройства DLP и его подключения.


Возможно, вам никогда не удастся полностью устранить риск инсайдерских атак, но вот некоторые из вещей, которые вы можете сделать, чтобы уменьшить количество случаев и влияние:



  • Внедрите специальное устройство или программное обеспечение DLP. Устройства или программное обеспечение DLP позволяют отслеживать перемещение данных вашей компании либо в режиме реального времени, либо путем сбора информации и ее обобщения в ежедневных или еженедельных отчетах. Вам понадобится система DLP, которая может перехватывать и читать SSL или другие зашифрованные сообщения, или пользователи смогут обойти ее цель, просто зашифровав данные, которые они отправляют за пределы сети. Обратите внимание, что недостаток DLP заключается в том, что он может негативно повлиять на производительность сети.
  • Настройте брандмауэр для адресации трафика, идущего в обоих направлениях. Большинство современных брандмауэров способны фильтровать как входящий, так и исходящий трафик, но многие настроены только на контроль первого. Настройте исходящие правила в брандмауэре, чтобы явно блокировать или явно разрешать сетевой трафик, соответствующий установленным вами критериям. Например, вы можете заблокировать исходящий трафик, использующий определенный номер порта.
  • Используйте проверку пакетов внутри сети. Устройства DLP и брандмауэры сосредоточены на трафике, отправляемом за пределы сети. Вы можете использовать инструменты проверки пакетов, такие как продукты Network Analysis and Visibility (NAV), для проверки содержимого пакетов, перемещаемых во внутренней сети, например, когда пользователь загружает файл с сервера на свой компьютер, к которому у него не должно быть доступа. или не должен делать свою работу. Инструменты NAV могут тщательно исследовать содержимое и искать определенные слова или типы данных (например, номера социального страхования или номера счетов) в документе или файле. NAV имеет ту же проблему, что и DLP, поскольку может снизить производительность сети.
  • Используйте продукты для защиты почты с фильтрацией содержимого. Вы можете использовать функцию фильтрации содержимого в своих продуктах для обеспечения безопасности электронной почты, чтобы, например, заблокировать исходящие сообщения, содержащие определенные ключевые слова, или заблокировать отправку пользователями вложений, чтобы предотвратить отправку конфиденциальной информации инсайдерами за пределы сети.
  • Шифрование данных. Шифрование конфиденциальных данных затруднит для тех, кто находится в сети (а также для посторонних), возможность доступа и чтения информации, даже если им удастся перехватить ее и вынести наружу.
  • Политика наименьших привилегий. Для обеспечения наилучшей безопасности и защиты от внутренних угроз всегда придерживайтесь политики предоставления пользователям максимально ограниченного набора привилегий, которые по-прежнему позволят им выполнять работу, которую они должны выполнять. Примените ту же политику при настройке продукта DLP или исходящих правил брандмауэра, начав с блокировки всего, а затем разрешив то, что необходимо, вместо противоположного метода, начиная с разрешения всего, а затем выборочно ограничивая вещи. Точно так же ключи для доступа к зашифрованным данным должны быть доступны только тем, чья работа требует доступа к этим данным, а не всем сотрудникам или всем сотрудникам, которые работают в определенном отделе или занимают определенную должность.
  • Аудит доступа к файлам. Внедрение аудита доступа к объектам файловой системы поможет вам определить, когда инсайдеры получают доступ к информации, которая им не нужна для выполнения их работы.
  • Зона ответственности или разделение обязанностей. Это политика, которая гарантирует, что никто не сможет провести важную транзакцию (например, перевод денежных средств) в одиночку. Один человек может инициировать процесс, но он не может быть завершен без разрешения одного или нескольких других лиц. Это обеспечивает набор сдержек и противовесов для защиты от одинокого мошеннического сотрудника или злоумышленника.
  • Управление USB-устройствами. DLP, брандмауэры и фильтрация содержимого почты помогут предотвратить отправку инсайдерами конфиденциальной информации компании за пределы сети через Интернет. Однако съемные USB-накопители, особенно легко маскируемые «флэш-накопители» (флеш-накопители), часто используются инсайдерами для копирования конфиденциальной информации компании и ручного переноса ее за пределы компании. Чтобы этого не произошло, вы можете отключить порты USB на системах тех, кому они совершенно не нужны. Вы можете использовать групповую политику Windows или стороннее программное обеспечение, чтобы ограничить или заблокировать установку USB-устройств. Программное обеспечение, такое как GFI Endpoint Security, можно использовать для управления доступом пользователей и регистрации активности USB-накопителей, карт флэш-памяти, компакт-дисков, гибких дисков, iPod и других MP3-плееров, смартфонов и КПК, а также всего, что подключается к компьютерам через USB.
  • Услуги по управлению правами. Управление правами позволяет вам предоставлять пользователям доступ к данным, но помогает предотвратить их передачу этих данных другим лицам, не уполномоченным на их получение. Службы управления правами Windows (RMS) позволяют блокировать копирование или печать документов, блокировать пересылку или копирование сообщений электронной почты и т. д. Windows также блокирует создание скриншотов защищенных документов или сообщений. Хотя для решительного человека всегда есть способы обойти это (например, пользователь может сфотографировать экран с помощью камеры мобильного телефона), это затрудняет незаконное присвоение защищенной информации инсайдерами.
  • Управление изменениями. Инструменты управления конфигурацией и изменениями помогают определить, когда в конфигурации систем вносятся изменения, которые могут быть внесены сотрудниками для получения доступа к информации, которой у них быть не должно. На рынке есть множество продуктов, которые можно использовать для отслеживания изменений в сети.
  • Управление идентификацией. Поскольку привилегии доступа предоставляются на основе личности пользователя, обязательно наличие хорошей системы управления идентификацией. Это становится еще более важным в современной сетевой среде, где слияния компаний и перенос части или всех данных в облако еще больше усложняют ситуацию.

Это лишь некоторые из основных шагов, которые вы должны предпринять для защиты от внутренних угроз.