blog

Как обнаружить инсайдера

Вы доверяете вашим сотрудникам? Этот вопрос является ключевым для безопасности любой компании. Ведь, безоговорочное доверие, отказ от проверки и мониторинга – прямой путь к потере данных. Эдварду Сноудену, системному администратору Агентства Национальной Безопасности, руководство доверяло. Кончилось это серией публикаций секретных материалов в СМИ. И это при том, что проверка и контроль сотрудников в АНБ очень и очень жесткие. История со Сноуденом должна стать примером для всех компаний и организаций — от утечки информации не застрахован никто.

Современные технологии повышают производительность труда, однако, у этой медали две стороны, они так же облегчают инсайдерам процесс сбора и передачи информации в третьи руки. Но это еще не самое страшное. Иногда обиженный сотрудник, или работник перекупленный конкурентом, может саботировать работу всего предприятия. Эксперты по безопасности регулярно обнаруживают критические уязвимости, как в маленьких компаниях, так и у транснациональных монстров.

Ежегодно, начиная с 2004, университет Карнеги Меллон проводит опрос среди коммерческих компаний и государственных организаций, цель которого определить уровень информационной угрозы и новейшие способы проникновения через защитный периметр. Как было установлено, за последние 11 лет около 50% компаний ежегодно подвергаются краже информации, причина которой – наличие инсайдера.

Системные администраторы, такие как Сноуден, зачастую имеют доступ к огромному пласту данных, ведь им необходимо управлять внутренней сетью предприятия. Но и рядовой менеджер не обделен полномочиями: для решения вопросов с клиентами и партнерами может понадобиться самая разнообразная документация, которая, в большинстве своем, легко попадает под гриф «совершенно секретно».

Как это ни прискорбно, но компании практически не могут защититься от атак инсайдеров на 100%. И единственный путь противодействия угрозе, как полагает бывший сотрудник разведки, Патрик Горман, использовать несколько уровней защиты. Каждая фаза призвана обеспечить безопасность и минимизировать угрозу на различных этапах жизнедеятельности инсайдера.

Уровень первый: подготовка

Перед тем, как воздвигать непреодолимый информационный барьер, необходимо четко осознать, что же в первую очередь необходимо защищать. Естественно, любая коммерческая информация является ценной. Но многие сведения и так находятся в условно открытом доступе: они мелькают на различных презентациях, публикуются на корпоративном сайте или в прессе, их можно найти в открытой тендерной документации. Кое-что можно узнать, просто пообщавшись с секретарем на ресепшене. Однако всегда есть документы, идеи и разработки, потеряв которые компания моментально пойдет на дно. Их охраной и нужно озаботиться в первую очередь.

Уровень второй: контроль доступа и предотвращение утечек

Принцип «разделяй и властвуй» — основной в сложной задаче по обеспечению безопасности. Только разграничив уровни доступа можно уберечь самую ценную информацию. В идеальном варианте, также необходимо применять системы шифрования данных для особо важных тайн организации. Вишенкой на торте может стать идентификация пользователя по биометрическим параметрам, например авторизация не только по логину и паролю, но и по анализу клавиатурного почерка. Таким образом, даже похищенные коды доступа не помогут злоумышленнику проникнуть в закрытую часть сети или базу данных компании.

Второй важный аспект — использование DLP систем, ведь они жизненно необходимы для компании, которая не хочет дарить свои конкурентные преимущества другим игрокам рынка. На сегодняшний день это единственный способ предупредить утечки информации и не дать инсайдеру с легкостью подобраться к важным данным.
Одним из важнейших качеств хорошей DLP системы является возможность отслеживать и запрещать копирование данных на съемные носители, такие как флешки, ограничивать и отслеживать отправку документов по электронной почте, мессенджерам или в «облако». Не меньшее значение имеет и функциональность, позволяющая выявлять информацию, которая собирается покинуть систему, по ключевым словам.

Уровень третий: обнаружение

Постоянный мониторинг и анализ корпоративных сетей на всплески необычной активности – ключ к обнаружению угрозы. Если один из сотрудников начинает чаще, чем другие отправлять файлы, либо активно применять программное обеспечение, которое раньше практически не использовалось, это может сигнализировать об опасности. Резкий всплеск перемещений документов, рост количества файловых операций, увеличение отправок писем – прямой сигнал о том, что в компании завелся предатель.
Любое, даже небольшое отклонение от нормы, может свидетельствовать о наличии инсайдера, который уже готовится к передаче данных третьим лицам. Особенно тщательно необходимо вести мониторинг активности сотрудников, которые собираются увольняться. В лучшем случае, они будут собирать информацию для своего личного портфолио. В худшем – для использования на новом месте работы, во благо вашим конкурентам.

Уровень четвертый: ответ

Как только наличие инсайдера обнаружено, необходимо провести тщательное расследование, чтобы установить личность инсайдера, определить с кем общался и какая информация могла покинуть стены компании.

Никто не застрахован от утечек данных. И даже если вовремя отреагировать не получилось, не стоит посыпать голову пеплом. Главное сделать правильные выводы. Ликвидировать угрозу, укрепить информационную оборону, минимизировать возможный ущерб.

По материалам The Wall Street Journal

0 ответы

Ответить

Хотите присоединиться к обсуждению?
Поделитесь своими комментариями!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>