Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю Жанр: Информатика Рейтинг: Просмотров: 797 |
Глава 2
Классификация инсайдерских угроз Угроза утечки конфиденциальной информации Обход средств защиты от утечки конфиденциальной информации Кража конфиденциальной информации по неосторожности Нарушение авторских прав на информацию Мошенничество Нецелевое использование информационных ресурсов компании Саботаж ИТ-инфраструктуры Рейтинг опасности инсайдерских угроз Итоги Экосистемы внутренних нарушителей позволяют понять, кто является вашим противником и чем он руководствуется. Однако, чтобы организовать эффективную систему защиты, следует узнать, какие угрозы несут инсайдеры и какими средствами они располагают для их реализации. И исайдсрские угрозы и средства их реализации удобнее всего рассматривать в виде сценариев, каждый из которых учитывает конкретную цель неправомерных действий и технические средства, используемые для ее достижения. По мнению аналитического центра Info Watch, существует всего семь основных инсайдерских сценариев. Рассмотрим их.
Угроза утечки конфиденциальной информации (Оту угрозу иногда называют «разглашение» или «неправомочное разглашение» конфиденциальных данных, но, как бы ее ни называли, подразумевается одно и то же: важная для компании информация покидает корпоративный периметр и в конце концом попадает к лицам, у которых нет прав на доступк этим данным и на их использование. В качестве такой информации выступают коммерческие и промышленные секреты фирмы, интеллектуальная собственность, персональные данные служащих, клиентов и партнеров. Отметим, что для реализации этой угрозы инсайдер располагает целым арсеналом технических средств. Прежде всего, он может выслать конфиденциальную информацию по сетевым каналам: корпоративной почте, веб-почте, через Интернет (чат, форум и т. д.), посредством интернет-пейджеров (ICQ, MSN, Yahoo! и AOL Messenger), Р2Р-сети и VoIP-программы, а также через другие коммуникационные каналы. Кроме того, инсайдер запросто может скачать конфиден-циальные файлы на USB-флэшку, вывести нужные документы на принтер или записать информацию на любое внешнее устройство, которое можно подсоединить к рабочей станции. Для защиты от всех этих угроз применяют комплексные меры, предполагающие фильтрацию трафика (почты, Интернета), контроль на уровне рабочей станции (принтер, USB-флэшки, внешние накопители и устройства), архивирование корпоративной корреспонденции (для эффективного расследования инцидентов внутренней ИТ-безопасности) и административные ограничения (например, блокирование Р2Р-сетей и любых других открытых каналов на уровне межсетевого экрана).
Обход средств защиты от утечки конфиденциальной информации Как и.шестио, противостояние в сфере ИТ-безопасности часто сводится к борьбе снаряда и брони. Нечто похожее наблюдается и в данном случае. Если инсайдеры .інаюі, что в компании установлены средства фильтрации почтовых сообщений н иеб і рафика, то они могут попытаться обмануть систему защиты. Например, с помощью преобразования данных инсайдеры стараются помешать средству <|>и и, і рации В ход идут шифрование, архивация с большой глубиной вложенности, преобразования в графический формат или редкие текстовые форматы, изменение кодировки, использование неизвестного программного обеспечения или иностранного языка для общения, с которым незнакомо большинство сотрудников компании. Однако все эти действия могут сработать только на относительно слабых средствах защиты. Лидирующие сегодня системы поддерживают большое количество форматов файлов (как раз тех, что используются в бизнесе) и умеют в режиме реального времени реагировать на любые подозрительные события (например, получение файла в неизвестном формате или в зашифрованном виде). Кроме того, нужно отметить, что средства защиты от утечек легко и полностью прозрачно интегрируются с системами шифрования. В этом случае заказчик может обеспечить полный контроль над трафиком и вдобавок криптографическую защиту за пределами корпоративного периметра.
Кража конфиденциальной информации по неосторожности Довольно часто инсайдеры подвергают корпоративные секреты риску непреднамеренно. Например, они могут случайно выложить секретные документы на вебсайт, перенести данные в ноутбук или карманный компьютер, который впоследствии будет украден или потерян, а также отослать конфиденциальные сведения но неверному почтовому адресу. В данном случае используются во многом те же самые средства защиты (фильтрация трафика и контроль операций на уровне рабочих станций) плюс шифрование данных на мобильных устройствах. Важно заметить, что, столкнувшись с невозможностью осуществить задуманную операцию (например, выложить документ в Интернете или отослать по почте), инсайдер не станет упорствовать и, вероятно, обратится за помощью к коллегам, которые разъяснят неправомерность выполняемых действий. Именно этим, согласно экосистеме внутренних нарушителей, халатные и манипулируемые инсайдеры отличаются от обиженных и нелояльных.
Нарушение авторских прав на информацию И рамках данной угрозы инсайдеры могут реализовать целый букет неправомерных действий. Например, скопировать части документов одного автора в документы другого автора (а также в почтовые сообщения, формы и т. д.), произвести индивидуальное шифрование документов, при котором компания лишается возможности работать с документом в случае утраты пароля или после увольнения сотрудника. Кроме того, инсайдеры могут использовать опубликованные в Интернете матсриа-IIи и своих документах без обработки, использовать файлы мультимедиа (графику, нудно- и видеозаписи), программы и вообще любые другие информационные обьск-1Ы, защищенные авторским правом. Наконец, инсайдер может попытаться иодде мать адрес отправителя с целью опорочить его доброе имя или скомпрометировать компанию. Конечно, все вышеперечисленные угрозы могут быть актуальны отнюдь не для всех организаций, но в каждом конкретном случае очень важно, чтобы фирма могла предотвратить то или иное неправомочное действие своего служащего. Отметим, что для защиты от указанных угроз применяются средства контроля над всеми операциями, которые инсайдеры осуществляют на своих рабочих станциях.
Мошенничество Современное мошенничество немыслимо без использования информационных технологий. На практике мошенничество часто сводится к искажению финансовой документации, превышению полномочий при доступе к базе данных, модификации важной информации. В качестве защиты организациям следует использовать средства контроля финансовой отчетности, мониторинга всех действий пользователей и протоколирования любых операций с классифицированной информацией. Заметим, что внедрение систем защиты от утечек позволяет создать целый ряд средств контроля конфиденциальной информации в корпоративной среде. В результате организация может выявить искажение чувствительных сведений и, следовательно, идентифицировать виновного инсайдера — мошенника.
Нецелевое использование информационных ресурсов компании Этот сценарий часто называют «злоупотребление сетевыми ресурсами», но на практике все это сводится к одним и тем же угрозам. К ним относят: во-первых, посещение в рабочее время сайтов неделовой (общей и развлекательной) направленности, не имеющее отношения к исполнению служебных обязанностей. Во-вторых, загрузка, хранение и использование файлов мультимедиа и развлекательных программ в рабочее время. В-третьих, использование ненормативной, грубой, некорректной лексики при ведении деловой переписки, загрузка, просмотр и распространение материалов «для взрослых». В-четвертых, использование материалов, содержащих нацистскую символику, агитацию или другие противозаконные данные. В-пятых, использование ресурсов компании для рассылки информации рекламного характера, спама или информации личного характера, в том числе персональных данных сотрудников, финансовых данных и т. д. Защита от всех этих угроз обеспечивается с помощью фильтрации почтовых сообщений и веб-трафика. Однако, в отличие от фильтрации графика при защите конфиденциальной информации от утечки, в данном случае производится фильтрация по совсем другим параметрам. Подробнее различие в системах фильтрации будет рассмотрено в одной из следующих глав. Пока же заметим, что средства защиты от нецелевого использования информационных ресурсов не позволяют предотвратить или выявить утечку. Кроме того, и системы предотвращения утечек не защищают от нецелевого использования ресурсов.
Саботаж ИТ-инфраструктуры Как уже указывалось, существует чрезвычайно опасный тип инсайдеров — «обиженные», или «саботажники». Напомним, что главным отличием этих злоумышленников является стремление нанести вред по личным, чаще всего бескорыстным, мотивам. г)то накладывает свой отпечаток па те угрозы, которые несут саботажники, и средства, которыми они могут воспользоваться. Дело в том, что для реализации своей цели обиженные инсайдеры готовы пойти буквально на все, часто не заботясь о самосохранении. Отметим, что саботаж не случайно приведен в конце списка инсайдерских угроз, так как обиженные служащие могут реализовать любой из вышеперечисленных сценариев, а кроме них еще и диверсию. Например, саботаж-м нк может скопировать крайне важную для компании информацию на свой мобильный носитель, а потом уничтожить ее на всех серверах фирмы и даже в резерв-мых копиях на материальных носителях. Естественно, после таких действий в руках саботажника оказываются рычаги давления на руководство, поэтому инсайдер может потребовать все, что угодно. Однако в некоторых случаях обиженный инсайдер может просто-напросто удалить все важные сведения на серверах и в резервных копиях, даже не оставив информацию себе. В этом случае саботажник хочет просто отомстить и превращается в диверсанта. Защита от всех этих действий должна включать два компонента: во-первых, мониторинг рабочей атмосферы и корпоративных конфликтов, и во-вторых, технические ограничения действий каждого сотрудника. Отметим, что сегодня пока не существует ни одного комплексного решения, которое позволяло бы полностью защитить компанию от всех этих угроз. Однако разные компании предлагают различные варианты решений, позволяющих минимизировать те или иные риски. Например, компания Info Watch поставляет систему комплексной защиты от утечки конфиденциальной информации, которая покрывает также и все другие угрозы, за исключением нецелевого использования сетевых ресурсов. Целый ряд других компаний — «Инфосистемы Джет», Clearswift, SurfControl и ISS — адресуют как раз проблему злоупотребления информационными ресурсами компании. Более подробно средства защиты будут рассмотрены далее. Сейчас же остановимся на рейтинге опасности различных инсайдерских угроз, чтобы понять, какими потерями чревата их реализация.
Рейтинг опасности инсайдерских угроз Абсолютно все аналитические отчеты указывают, что наиболее опасной инсайдерской угрозой является утечка конфиденциальной информации. Согласно исследованию National Survey on Managing the Insider Threats, результаты которого были опубликованы авторитетной организацией Ponemon Institute в сентябре 2006 г., средний ежегодный ущерб в результате утечки информации из расчета на одну опрошенную компанию составляет $3,4 млн. Для сравнения: аналогичный показатель потерь вследствие вирусных атак, согласно исследованию CSI/FBI Computer (їіте and Security Survey — 2006, составляет менее $70 тыс. Кроме того, в памяти еще свежи инциденты, связанные с утечками, в результате которых бизнес потерял десятки и сотни миллионов долларов. Например, компания ChoicePoint лишилась и.гза кражи персональных данных почти $60 млн, а правительство США потратило на ликвидацию последствий утечки приватных сведений ветеранов более $500 млн. Российские предприятия также обеспокоены проблемой защиты своих информационных активов. Согласно исследованию «Внутренние ИТ-угрозы в Рос-сип 2005» компании InfoWaleh, в ходе которою в конце* 2005 г. было опрошено более 400 российских предприятий, именно кража конфиденциальной информации является самой опасной угрозой ИТ-безопасности. В пользу этой точки зрения высказались 64 \% респондентов, в то время как на вредоносные коды и хакерские атаки сослались лишь 49 и 48 \% соответственно. Углубленный опрос респондентов показал, что российские компании опасаются утечек в основном по двум причинам. Во-первых, инциденты такого рода могут привести к потере конкурентоспособности фирмы, например, если интеллектуальная собственность или база клиентов попадут к конкурентам. Как показывает практика, утечка всего 20 \% коммерческих секретов в 60 \% случаев приводит компанию к банкротству. Во-вторых, каждая утечка информации серьезно подрывает репутацию предприятия, так как в глазах его партнеров, инвесторов и клиентов фирма приобретает имидж организации, которая не в состоянии навести порядок в своих собственных стенах. В результате происходят отток инвестиций и миграция клиентов к конкурентам. Кроме того, сегодня российский бизнес должен удовлетворять требованиям нескольких нормативных актов. Например, Федеральный закон «О персональных данных» требует от всех организаций защитить от утечек персональные сведения служащих и клиентов, находящихся в интрасети. Предусмотрена также ответственность за нарушения закона: для виновных лиц — вплоть до уголовной, а для организации — гражданские иски о возмещении материального и морального ущерба. Этот закон был подписан Президентом РФ в конце июля 2006 г. и вступил в силу с февраля 2007 г. К тому же отметим, что отдельные отрасли экономики сталкиваются с дополнительным нормативным давлением со стороны регулирующих органов. Например, всем кредитно-финансовым организациям рекомендуется обеспечить совместимость со стандартом Банка России по ИТ-безопасности, а обязательным нормативным актом для банков является соглашение Basel II. Все эти регулирующие документы требуют обеспечить управление внутренним риском И Б и защиту от утечек. Более подробно нормативные акты в сфере утечек конфиденциальной информации рассмотрены в части II. Отметим, что, хотя наиболее опасным инсайдерским риском является утечка корпоративных секретов, другие угрозы также причиняют ущерб организации. Согласно исследованию CSI/FBI Computer Crime and Security Survey — 2006, средний ущерб из расчета на одного респондента в результате кражи мобильной техники (например, ноутбуков) составляет $30 тыс., вследствие телекоммуникационного мошенничества — $12,5 тыс., а в результате финансового мошенничества — вдвое больше. Очевидно, что потери от самых разных инсайдерских угроз менее значительны по сравнению с тем ущербом, который причиняет утечка конфиденциальной информации. Единственным исключением является саботаж ИТ-инфраструктуры: финансовые потери по причине этих инцидентов вполне сопоставимы с негативными последствиями утечки корпоративных секретов, но саботаж случается значительно реже. Согласно статистике организации CERT, изучившей несколько десятков случаев саботажа, почти половина респондентов (42 \%) потеряли до $20 тыс. в результате одного инцидента, лишь 11 \% компаний лишились более $1 млн. Это меньше среднего ущерба от утечки, который, как указывалось ранее, составляет $3,4 млн. Итоги Сегодня организации сталкиваются с целым рядом инсайдерских угроз: утечкой конфиденциальной информации, мошенничеством, злоупотреблением сетевыми ресурсами и саботажем. Наиболее опасной угрозой является утечка корпоративных секретов, в то время как остальные риски наносят значительно меньший ущерб. Такая ситуация обусловлена тем, что утечка конфиденциальной информации приводит к снижению конкурентоспособности и ухудшению имиджа организации, а остальные угрозы зачастую причиняют лишь финансовый ущерб. Тем не менее на сегодняшний день не существует единого решения, которое могло ()ы минимизировать абсолютно все внутренние риски. На рынке представлены системы выявления и предотвращения утечек, которые также покрывают риски мошенничества и саботажа. Кроме того, заказчику доступны решения для пресечения нецелевого использования сетевых ресурсов. Таким образом, сегодня у каждой организации есть возможности минимизировать инсайдерские угрозы. |
| Оглавление| |
- Акмеология
- Анатомия
- Аудит
- Банковское дело
- БЖД
- Бизнес
- Биология
- Бухгалтерский учет
- География
- Грамматика
- Делопроизводство
- Демография
- Естествознание
- Журналистика
- Иностранные языки
- Информатика
- История
- Коммуникация
- Конфликтология
- Криминалогия
- Культурология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Медицина
- Менеджмент
- Метрология
- Педагогика
- Политология
- Право
- Промышленность
- Психология
- Реклама
- Религиоведение
- Социология
- Статистика
- Страхование
- Счетоводство
- Туризм
- Физика
- Филология
- Философия
- Финансы
- Химия
- Экология
- Экономика
- Эстетика
- Этика
Лучшие книги
Гражданский процесс: Вопросы и ответы
ЗАПАДНОЕВРОПЕЙСКОЕ ИСКУССТВО от ДЖОТТО до РЕМБРАНДТА
Коммуникации стратегического маркетинга
Консультации по английской грамматике: В помощь учителю иностранного языка.
Международные экономические отношения