ГлавнаяБлогDLP, защита информацииКак ликвидировать внутреннюю угрозу?

Как ликвидировать внутреннюю угрозу?

Эдварда Сноудена можно называть предателем. Или осведомителем. Однако есть определение, более четко описывающее и характеризующее такое поведение – внутренняя угроза. Защита от внутренних угроз — ниша в сфере индустрии безопасности, которая растет с каждым годом. Меняется ментальность компаний. Мониторинг активности уже не ввергает в фрустрацию ни руководство, ни рядовых сотрудниках. А защита от утечек информации […]

Как ликвидировать внутреннюю угрозу?

Эдварда Сноудена можно называть предателем. Или осведомителем. Однако есть определение, более четко описывающее и характеризующее такое поведение – внутренняя угроза.

Защита от внутренних угроз — ниша в сфере индустрии безопасности, которая растет с каждым годом. Меняется ментальность компаний. Мониторинг активности уже не ввергает в фрустрацию ни руководство, ни рядовых сотрудниках. А защита от утечек информации – насущная проблема, которую необходимо эффективно решать.
По словам Идана Тендера, исполнительного директора одной из компаний, занимающихся информационной безопасностью, все началось со Сноудена. После того, как его дело получило широкую огласку, многие американские компании всерьез задумались о защите своего бизнеса. Ведь если «крот» может появиться даже в Национальном Управлении Безопасности, то ни одна компания не может быть застрахована от внутренних угроз.

Проблема утечки данных появилась задолго до начала интернет-эпохи. Ведь и раньше продавцу при увольнении ничего не мешало забрать с собой список клиентов. А инженеру — ключевые разработки предприятия. Интернет и современные гаджеты облегчили этот процесс, теперь менеджеру достаточно переслать список себе на электронную почту, а инженеру скопировать файлы на «флешку».

Вместе с эволюцией электроники и средств связи многие компании также осознали, что мониторинг и анализ внутренней активности существенно повышает шансы противодействовать внешним угрозам. Например, хакерским атакам, которым может подвергнуться любая кампания. Как показывает практика, лидирующие позиции на рынке привлекают акул: шанс столкнуться с нападением конкурентов резко увеличивается. Выражаться эта атака может различными способами: взлом сайта, «внедрение» своего сотрудника или масштабный взлом внутренней инфраструктуры компании.

Не так давно Sony пережила именно такое нападение. Не смотря на то, что расследование все еще продолжается, и многие подробности не известны, уже с уверенностью можно утверждать, хакеры похитили информацию о логинах и паролях сотрудников и таким образом получили доступ к внутренней сети компании, после чего, естественно украли данные. Более 200 дней потребовалось Sony, чтобы найти уязвимости в системе безопасности. Ведь попадая внутрь системы хакеры становились сотрудниками. А инструментов, позволяющих отличить персонал от злоумышленников, не было.

Идентификация конкретного пользователя и возможность отличить его от злоумышленника – один из способов защиты от подобных атак. Одна из основных биометрических характеристик, позволяющая проводить идентификацию – анализ клавиатурного почерка. Система собирает информацию о каждом сотруднике: анализирует скорость нажатия клавиш, паузы между нажатиями и время удержания. И составляет индивидуальный портрет. В случае, если кодами доступа воспользуется третье лицо, например другой сотрудник или злоумышленник, система сможет отреагировать на несанкционированную попытку входа, уведомив специалиста по безопасности или запретив доступ к данным.

Параллельно с идентификацией по клавиатурному почерку современные системы обеспечения информационной безопасности, такие как Стахановец, ведут постоянный мониторинг и анализ активности каждого пользователя внутри сети. В первую очередь система определяет возможные риски: какой сотрудник работает с важной информацией, какими приложениями пользуется, с кем общается. Благодаря действиям алгоритмов можно спрогнозировать потенциальный ущерб компании в случае если сотрудник окажется неблагонадежным. А также спрогнозировать риски и найти потенциальные «дыры» в системе информационной безопасности.

Не меньшее значение имеет и анализ действий в режиме реального времени. Например, работник начал скачивать сотни документов из базы данных, к которой у него есть доступ. При этом раньше он такого никогда не делал. Любое поведение, отклоняющееся от индивидуальной нормы – сигнал о нарушении периметра безопасности.

По данным исследований наибольшая угроза исходит от сотрудников, собирающихся увольняться. Обнаружить такую угрозу чаще всего удается за счет анализа информационных потоков: количество отправляемой почты и перемещаемых на облачные или съемные носители данных резко возрастает.

По словам Эдварда Штроза, бывшего сотрудника ФБР, бихевиористические привычки пользователей являются очень мощным индикатором угроз. Люди не склонны менять модели своего поведения. При исследовании электронной почты было установлено, что даже небольшое отклонение в стиле сообщений, количестве текста или заголовках могут свидетельствовать об опасности. А если в текстах писем начинают встречаться словосочетания «счет за медицинское обслуживание» или «просроченная аренда» — стоит гарантированно ждать неприятностей.

По словам Штроза обеспокоенность информационной безопасностью – характерная черта современного руководства компаний. Ведь недовольные сотрудники – не редкость. И многие вместо откровенного разговора с руководителем предпочитают украсть информацию и продать ее конкурентам. Или пытаются построить свой бизнес, используя связи и ресурсы компании-работодателя. При чем, такие случаи не редки даже среди топ-менеджмента крупных компаний.

По материалам Bloomberg



Тоже интересно
Смотреть всё
Changelog для «‎Стахановец 10»: представляем минорное обновление v10.12
В «‎‎Стахановец 10.12» мы расширили DLP-возможности системы мониторинга, добавив анализ папок Outlook и маркировку...
18 марта 2024
Дайджест февраля
Рассказываем про главные мероприятия февраля в сфере информационной безопасности: легендарную «Магнитку-2024»,...
04 марта 2024
Employee Monitoring, или мониторинг сотрудников: что это такое и для чего предназначен
Если в пандемию такие решения руководители использовали для контроля удаленной команды, то теперь их активно применяют...
22 февраля 2024