Угроза безопасности сети может прилететь с любой стороны, но здесь мы рассмотрим вопрос защиты от внутренних (инсайдерских) угроз
Брайен Поузи (Brien Posey) – вице-президент по исследованиям и разработкам компании Relevant Technologies, освещает вопросы безопасности и хранения данных интернет-издания ITPro Today.
Кибербезопасность традиционно направлена на то, чтобы не допустить внешних злоумышленников к ИТ-ресурсам организации. Но важно не упускать из виду угрозы, исходящие и от внутренних нарушителей. Сотрудник может продать конфиденциальные данные конкуренту, участвовать в кибер-вандализме из-за мести или предпринять другие действия с тем, чтобы нанести вред компании и ее данным. Угроза инсайдерской кибербезопасности обширна и включает, как случайные, так и преднамеренные действия. Разберем 5 способов, которые помогут вам повысить безопасность организации.
1. Ограничьте “радиус взрыва”
Первое, что вы можете сделать для уменьшения угроз внутренней кибербезопасности вашей компании – предпринять шаги по минимизации ущерба, который потенциально может нанести злоумышленник. Часто это называется «ограничением радиуса взрыва».
Организациям следует применять политику доступа с минимальными привилегиями. Это означает, что пользователи должны получить доступ только к тем ресурсам, которые требуются им для выполнения работы. Важно также понимать, что психологически легко сосредоточить свое внимание исключительно на рядовых пользователях, но нужно помнить, что сотрудники ИТ-отдела потенциально представляют наибольшую угрозу из всех. Следует использовать управление доступом на основе ролей (RBAC – Role Based Access Control) для разделения административных обязанностей. Это значительно ограничит размер ущерба, который может нанести один-единственный администратор, если он станет мошенником или если его учетная запись окажется скомпрометированной.
2. Меры по предотвращению потерь
Еще один важный шаг в борьбе с внутренними угрозами – внедрение инструментов по предотвращению потерь и утечки данных (DLP – Data Leak Prevention). Например, DLP можно использовать для отслеживания исходящей электронной почты для того, чтобы узнать, содержат ли она конфиденциальную информацию. Это выходит далеко за рамки фильтрации вложений. Средство защиты от потерь данных обычно анализирует текст в исходящем сообщении в поисках шаблонов, соответствующих известным конфиденциальным типам данных. Если обнаружено совпадение с шаблоном, сообщение может быть заблокировано или даже перенаправлено в отдел кадров без уведомления.
Конкретный пример: номер социального страхования, используемый в США состоит из последовательности цифр и тире и выглядит примерно так: 078-05-1120. Если в электронном письме содержится номер, соответствующий этому формату, то он, скорее всего, является номером социального страхования. Та же концепция применима для поиска в сообщении номеров кредитных карт, банковских счетов, ИНН и проч.
Если ваша организация использует Microsoft 365, то возможно у вас уже есть DLP-решение (в зависимости от подписки).
3. Запрет на использование съемных носителей
Еще одна вещь, которую организации могут сделать для предотвращения внутренних угроз кибербезопасности – это установить запрет на использование съемных носителей и хранилищ. Сотрудники не смогут подключить USB-накопители и соответственно использовать их для кражи конфиденциальной информации или внедрения в систему вредоносного ПО. Иначе говоря вы можете применить параметры групповой политики, чтобы предотвратить использование съемных носителей.
Если вы используете Windows, то можете отключить съемное хранилище следующим способом. Зайдите:
Конфигурация компьютера (Computer Configuration) /
Административные шаблоны (Administrative Templates) /
Система (System) /
Доступ к съемным хранилищам (Removable Storage Access) /
и включите параметр политики «Все классы съемных хранилищ: запретить весь доступ» (All Removable Storage Classes: Deny All Access), так, как это показано ниже:
4. Шифруйте данные
Шифрование хранилища может существенно снизить внутренние угрозы кибербезопасности. Если кто-то украдет backup на диске или ленточном носителе, либо экспортирует копию виртуальной машины, шифрование может помешать этому человеку прочитать информацию извне, что сделает данные бесполезными.
5. Не держите мониторинг в секрете
Одна из лучших вещей, которые вы можете сделать для уменьшения внутренних угроз кибербезопасности, как ни странно это прозвучит – громко и четко заявите о том, что вы делаете. Я сбился со счета, сколько раз друзья или члены семьи спрашивали меня, каким способом работодатели могут увидеть то, что они делают в интернете. Это свидетельствует о том, что пользователи часто не уверены в том, какие возможности мониторинга реализованы на их рабочем месте.
Организациям следует продумать, какие средства мониторинга активности персонала следует установить, какие действия работников регистрировать, как часто делать снимки экранов. И как только подобные меры будут реализованы, обязательно сообщить об этом сотрудникам. Знание того, что организация отслеживает абсолютно всё, что делается в интернете, может служить мощным сдерживающим фактором внутренних угроз.
Заключение
Как видите, существует ряд способов, которые организация может применить для уменьшения внутренних угроз кибербезопасности. Мы описали некоторые из большого количества средств защиты. Эти методы помогают организациям противостоять злонамеренной активности, а также могут ограничить ущерб, причиненный случайно взломанной учетной записью или заражением вредоносным ПО.
Ссылки по теме:
В статье использованы фото Getty Images и Pixabay
Дата-центр ITSOFT: размещение и аренда серверов и телекоммуникационных стоек в двух ЦОДах в Москве; colocation GPU-ферм и ASIC-майнеров, аренда GPU-серверов. Лицензии связи, SSL-сертификаты. Администрирование серверов и поддержка сайтов. UPTIME за последние годы составляет 100%.
