Защитите свою сеть от мошеннических пользователей

Опубликовано: 12 Апреля, 2023

Точно так же, как розничные магазины часто обнаруживают, что больше убытков приходится на кражи сотрудников, чем на воровство извне, некоторые компании могут быть удивлены, узнав, что они подвергаются как минимум такому же риску со стороны своих внутренних пользователей, как и со стороны интернет-хакеров. Иногда это непреднамеренно; пользователи, не разбирающиеся в технологиях, могут непреднамеренно посетить веб-сайты, которые запускают вредоносный код, или невинно загружают программы, которые, по их мнению, будут полезны в работе, содержащие шпионское ПО, или нажимают на вложения электронной почты, содержащие вирусы, или подключают свои ноутбуки (которые, без их ведома, взломали распространять вредоносное ПО из незащищенных домашних или гостиничных Интернет-соединений) в корпоративную сеть. Обычно они не осознают, что их действия нарушают политику или передовые методы обеспечения безопасности.


Однако пользователь-мошенник знает, что он/она нарушает сетевые политики, и часто обладает некоторыми передовыми техническими знаниями. Это не означает, что цель состоит в том, чтобы отключить сеть или провести атаку. Обычно мошеннический пользователь просто хочет обойти ваши механизмы безопасности, потому что они доставляют ему неудобства, но это может иметь непредвиденные последствия, которые могут быть разрушительными для вашей сети.


Что делают мошеннические пользователи


Мошеннические пользователи сознательно игнорируют правила, которые они считают глупыми или которые, по их мнению, должны применяться только к «тупым» пользователям, которым не хватает технических навыков, а не к ним. Типичный пользователь-мошенник может:



  • Подключите точку беспроводного доступа к разъему Ethernet в его офисе без разрешения ИТ-отдела, чтобы он мог взять свой ноутбук в комнату отдыха и побродить по Интернету.
  • Отключите антивирусное программное обеспечение на ее рабочем компьютере, потому что оно замедляет работу или плохо работает с ее любимой (лично загруженной) программой.
  • Используйте учетную запись и пароль другого сотрудника (которые он взломал технологически или обнаружил с помощью методов социальной инженерии), чтобы получить доступ к файлам или программам, к которым он не может получить доступ со своей учетной записью.
  • Используйте хакерские инструменты, чтобы повысить ее привилегии, чтобы она могла устанавливать программное обеспечение или выполнять другие задачи, не разрешенные с ее назначенными привилегиями.
  • Устанавливайте игры или другие «невинные» программы без авторизации.
  • Загружайте данные или программы, принесенные из дома, с дискет, компакт-дисков или USB-накопителей.
  • Загрузите данные компании на съемный носитель и возьмите их домой для работы.

Пользователь-мошенник сам по себе является кадровой проблемой, но устранение ущерба, нанесенного пользователем-мошенником, является технической проблемой. И, возможно, худшая ситуация из всех — это когда мошенник — босс. В этом случае вам почти наверняка придется придумывать технологические решения для защиты сети, поскольку дисциплинарное производство по контролю за действиями пользователя невозможно.


Чем опасны мошеннические пользователи


Какой вред может причинить мошеннический пользователь? Множество! Размещение WAP в локальной сети компании за корпоративным брандмауэром открывает внутреннюю сеть для военных водителей и других посторонних. Отключение антивирусного программного обеспечения и других механизмов безопасности хоста может позволить вредоносному ПО, от которого, как вы думали, вы были защищены, проникнуть в сеть. Использование чужих учетных данных делает невозможным точное отслеживание действий каждого пользователя и может привести к обвинению не того человека в нарушении политики. Пользователь, работающий с повышенными привилегиями, может нанести всевозможный ущерб и представляет собой уязвимость, которую может использовать хакер. Несанкционированные программы и документы могут содержать шпионское ПО, вирусы и другое вредоносное ПО. Перенос данных компании за пределы офиса может привести к краже коммерческой тайны или даже подвергнуть компанию риску штрафов или уголовных обвинений за нарушение нормативных актов, таких как HIPAA, GLB и т. д.


Отслеживание мошеннического пользователя


Первым шагом является обнаружение того, что делает мошеннический пользователь. Это означает мониторинг. Вы можете обнаружить мошеннические точки доступа с помощью программ обнаружения беспроводных сетей, таких как NetStumbler (http://www.netstumbler.com/). Это бесплатно, и есть версии как для обычных операционных систем для ноутбуков, так и для карманных ПК (последний называется MiniStumbler). Вы также можете использовать GPS-карту для создания карты, показывающей физическое местоположение мошеннических точек доступа. Вы также можете купить автономные устройства обнаружения беспроводных сетей, такие как Wi-Fi Finder от Kensington.


Сканеры уязвимостей, такие как GFI LANguard (http://www.gfi.com/lannetscan/), могут определять, запущены ли на компьютерах в вашей сети определенные службы и приложения (например, антивирусное программное обеспечение или неавторизованные программы), а также определять, на машинах установлены последние исправления безопасности и пакеты обновлений. Они также могут обнаруживать уязвимости системы безопасности, вызванные настройками реестра, которые мог изменить пользователь-мошенник, а некоторые программы VS также могут обнаруживать USB-устройства.


Вы можете определить, использует ли мошеннический пользователь чужой пароль, внедрив встроенный в Windows аудит безопасности и отслеживая входы в систему для учетных записей пользователей, подозреваемых в компрометации. Вы также можете проверить доступ к файлам и папкам, чтобы определить, к чему обращается злоумышленник.


Вы также можете использовать анализатор пакетов или анализатор протоколов для непосредственного изучения содержимого пакетов, которые отправляются на компьютер подозреваемого мошеннического пользователя и от него. Примеры такого программного обеспечения включают Sniffer Pro (http://www.snifferpro.co.uk) и Ethereal (http://www.ethereal.com/).


Журналы вашего брандмауэра могут сообщить вам, посещает ли мошеннический пользователь опасные веб-сайты и загружает ли он программное обеспечение из Интернета, через одноранговые (P2P) сети, обменивается файлами через мгновенные сообщения и т. д. Вы даже можете установить регистратор нажатий клавиш (программный или аппаратное устройство) на компьютере подозреваемого мошеннического пользователя для записи всего, что он набирает; это может быть дополнено программным обеспечением для захвата экрана, так что вы также можете сказать, что он делает через графические интерфейсы. Одной из программ, которая делает и то, и другое, является Activity Monitor 3.8 от SoftActivity (http://www.softactivity.com/). Он также сообщит о программном обеспечении, работающем на компьютере. Он устанавливается на ваш компьютер, который действует как станция мониторинга, а агентское программное обеспечение устанавливается на компьютер подозреваемого пользователя-мошенника. Вы даже можете контролировать несколько компьютеров одновременно.


Защита от мошеннических пользователей


Всегда лучше быть активным, чем реагировать, и некоторые превентивные меры могут помешать вашим потенциальным мошенническим пользователям. Например:



  • Рассмотрите возможность предоставления беспроводной сети, которой вы управляете. Часто причина, по которой сотрудники подключаются к мошенническим точкам доступа, заключается в том, что это единственный способ получить желаемое беспроводное соединение на рабочем месте. Говорят, что именно по этой причине наиболее уязвимыми для беспроводных атак являются те компании, у которых нет беспроводных сетей. Вы можете настроить WAP в DMZ, чтобы те, кто подключается к нему, имели доступ в Интернет, но не могли прикасаться к внутренним ресурсам, если у них нет VPN. Вы также можете внедрить защиту беспроводной сети, например шифрование WPA и фильтрацию MAC-адресов, отключить широковещательную рассылку SSID и изменить административные настройки по умолчанию — вещи, которые, вероятно, не будет делать сотрудник, подключивший мошенническую точку доступа WAP.
  • Если сотрудник все равно установит мошеннический WAP, вы можете использовать IPsec в своей локальной сети и создать групповую политику, которая требует его для подключения к вашим критически важным серверам. По крайней мере, трафик будет иметь некоторую защиту при передаче по воздуху.
  • Вы можете использовать программные решения, такие как Airwave (www.airwave.com), для автоматического оповещения о подключении к сети новой точки доступа и помощи в определении ее местоположения.
  • Вы можете предотвратить использование гибких дисков и флэш-накопителей для загрузки или выгрузки данных, удалив гибкие диски из компьютера, отключив порты USB или используя такой продукт, как Portable Storage Control (PSC) GFI, для управления доступом к гибким дискам и USB-накопителям на для каждого пользователя (http://www.gfi.com/lanpsc/).
  • Регулярно запускайте сканирование уязвимостей для обнаружения конфигураций и программного обеспечения, представляющих угрозу безопасности.
  • Используйте многофакторную аутентификацию (смарт-карты, токены или биометрические данные), чтобы злоумышленникам было сложнее использовать чужой пароль.


Резюме


Мошеннические пользователи могут подвергнуть вашу сеть риску, но вы можете использовать доступные инструменты, чтобы предотвратить их действия, угрожающие безопасности, и обнаружить их действия, если они это сделают.