Фраза «утечка информации» всегда идет рука об руку с таким понятием, как «инсайдер», ведь благодаря современным системам защиты, злоумышленники практически беспомощны без агента внутри компании.
«Инсайдер» — достаточно широкое определение, под которое может попасть практически любой сотрудник компании: секретарь, легко выдающая важную информацию первому встречному; обиженный сисадмин, установивший шпионское ПО; менеджер, решивший работать на конкурентов или развивать свой бизнес. Как бы то ни было, выявлять придется каждую из этих угроз. При этом модели поведения самих инсайдеров кардинально отличаются. Впрочем, как и реакция систем безопасности на них.
Чтобы помочь в идентификации злоумышленника, мы собрали советы лучших специалистов по безопасности со всего мира.
Совет 1. Следите за просроченными доступами
Очень часто причиной утечки информации становятся уволившиеся сотрудники. И далеко не всегда преступления совершают именно они. Чужие логины и пароли – лакомая цель для злоумышленников, ведь их задача выкрасть информацию, отведя от себя подозрения. А что может быть лучше, чем свалить вину на уже не работающего в компании человека: есть мотив, оправдаться проблематично. И, даже если невинная жертва узнает о такой афере, доказать свою непричастность к киберпреступлению будет крайне тяжело.
Внедрение процессов контроля и обновление персональных кодов доступа – одна из важнейших задач каждой организации. Но, даже если служба безопасности или системный администратор своевременно отключают недействительные логины и пароли уволившегося персонала, необходимо регулярно проверять, не было ли попыток авторизаций с их помощью.
Во-первых, такие инциденты уже сигнализируют о том, что в организации появился инсайдер. А, во-вторых, всегда остается вероятность человеческой ошибки, и коды доступа могут сработать.
Совет 2. Следите за потоком данных
Чаще всего злоумышленники похищают огромные массивы данных за короткий промежуток времени. Особенно такая модель поведения характерна для сотрудников, которые собираются сменить место работы.
Необходимо постоянно проводить мониторинг активности в интернет и локальной сети. Резкий рост трафика, увеличение частоты использования съемных носителей, либо перемещение данных внутри корпоративной сети – сигнал о деятельности инсайдера.
Не меньшее подозрение должно вызвать и увеличившееся количество распечатанных документов. Как ни странно, но именно они очень часто служат основным источником утечки данных. С развитием высоких технологий фокус внимания служб информационной безопасности сконцентрирован на электронных носителях или «облаках». А ведь распечатанный документ с кодами доступа или списком клиентов не менее ценный источник. Который, к тому же, сложнее отследить и проще вынести за пределы компании.
Совет 3. Составьте карту подключений компьютеров к облачным сервисам
Подключения к разным машинам для входа в базы данных, с последующей синхронизацией информации с аккаунтами в облачных сервисах – явный признак деятельности «крота».
Злоумышленники нередко похищают аккаунты в таких сервисах, как Dropbox, чтобы отвести подозрения.
Совет 4. Используйте приманку
Одна из методик выявления инсайдеров – ловля на живца. Недобросовестные сотрудники рыщут по корпоративной сети в поисках ценной информации или чужих кодов доступа для маскировки своих действий. Для выявления таких активностей можно, например, оставить логин и пароль уволившегося сотрудника действующим. Если коды доступа будут использованы для подключения, значит в компании есть инсайдер. Также можно «случайно забыть» массив условно ценных данных на относительно видном месте и посмотреть, будет ли проявлен повышенный интерес к этой информации.
Совет 5. Ищите удаленные файлы
Злоумышленники очень любят маскировать свою деятельность, удаляя файлы или используя вредоносное ПО. Ищите ключи реестра, сервисы, справки помощи, программы, которые часто использовались ранее, но были удалены с машины. Удаленная информация — один из контрольных признаков работы инсайдера.
Совет 6. Ведите мониторинг подключения к базам данных
Если пользователь использовал свой доступ для получение данных из одного-двух хранилищ в сети, а потом эта цифра внезапно увеличилась, – есть высокая вероятность, что вы обнаружили инсайдера. Чаще всего любое отклонение от нормы является явным признаком вредоносной активности. При этом все отклонения регистрируются за непродолжительный период времени. Информация — ценный и скоропортящийся продукт, который нужно быстро украсть и быстро продать. К тому же, если речь идет о сотруднике, готовящемся к увольнению, у него банально не хватит времени на долгосрочную операцию.
Совет 7. Ищите «призраков»
Часто злоумышленники используют «призраков» — виртуальных сотрудников, с помощью которых и происходит кража информации. Создание таких аккаунтов как и их дальнейшая деятельность – явный сигнал об опасности.
Совет 8. Минимизируйте количество используемых приложений удаленного доступа
Использование нескольких уникальных приложений для удаленного доступа к информации может сослужить плохую службу компании. Всегда существует вероятность, что коды доступа уволившегося сотрудника сработают для одной из программ.
Казалось бы, незначительная проблема, и одного-двух приложений хватит с лихвой для удовлетворения всех нужд. Однако, проведенное исследование продемонстрировало несколько иные результаты. Грег Дэй, вице-президент Palo Alto Networks, утверждает, в 4 400 организациях используется боле 5 приложений для удаленного доступа.
Совет 9. Перед удалением вредоносного ПО, проанализируйте его
После обнаружения вредоносного программного обеспечения практически все компании стремятся как можно быстрее очистить систему. При этом забывая, что данный факт – однозначное свидетельство того, что плохое уже случилось и не стоит слишком уж торопиться, стирая улики, которые помогут в расследовании всей цепочки киберпреступления.
Установка вредоносного ПО обычно не конец, а начало реализации злого умысла. Очень важно понять, какие действия совершались пользователями до установки ПО, и как заражение повлияло на их активность.
Совет 10. Анализируйте поведение персонала
Модель поведения инсайдера всегда отличается от среднестатистической. Чтобы выявить ненадежного сотрудника необходимо проанализировать группу с примерно схожей нагрузкой и рабочими обязанностями. Например, бухгалтерию, менеджеров по продажам или сбыту. Если при анализе у одного из сотрудников были выявлены отклонения от общей нормы, значит вы нашли инсайдера.
Совет 11. Ищите недовольных
Любой сотрудник, находящийся в поиске работы, является инсайдером, пусть даже неосознанно. Во-первых, такой человек не удовлетворен текущей ситуацией, и как следствие не лоялен к компании-работодателю. Во-вторых, портфолио для нового места работы может включать ряд важных разработок и закрытой коммерческой информации, к которой есть доступ у сотрудника.
По материалам CSO Online