Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю

Жанр: Информатика

Рейтинг:

Просмотров: 797

Глава 2

Классификация инсайдерских угроз

Угроза утечки конфиденциальной информации

Обход средств защиты от утечки конфиденциальной информации

Кража конфиденциальной информации по неосторожности

Нарушение авторских прав на информацию

Мошенничество

Нецелевое использование информационных ресурсов компании

Саботаж ИТ-инфраструктуры

Рейтинг опасности инсайдерских угроз

Итоги

Экосистемы внутренних нарушителей позволяют понять, кто является вашим про­тивником и чем он руководствуется. Однако, чтобы организовать эффективную систему защиты, следует узнать, какие угрозы несут инсайдеры и какими средства­ми они располагают для их реализации.

И исайдсрские угрозы и средства их реализации удобнее всего рассматривать в виде сценариев, каждый из которых учитывает конкретную цель неправомерных действий и технические средства, используемые для ее достижения. По мнению аналитическо­го центра Info Watch, существует всего семь основных инсайдерских сценариев. Рассмотрим их.

Угроза утечки конфиденциальной информации

(Оту угрозу иногда называют «разглашение» или «неправомочное разглашение» конфиденциальных данных, но, как бы ее ни называли, подразумевается одно и то же: важная для компании информация покидает корпоративный периметр и в конце кон­цом попадает к лицам, у которых нет прав на доступк этим данным и на их использо­вание. В качестве такой информации выступают коммерческие и промышленные секреты фирмы, интеллектуальная собственность, персональные данные слу­жащих, клиентов и партнеров. Отметим, что для реализации этой угрозы инсайдер располагает целым арсеналом технических средств. Прежде всего, он может выслать конфиденциальную информацию по сетевым каналам: корпоративной почте, веб-почте, через Интернет (чат, форум и т. д.), посредством интернет-пейджеров (ICQ, MSN, Yahoo! и AOL Messenger), Р2Р-сети и VoIP-программы, а также через другие коммуникационные каналы. Кроме того, инсайдер запросто может скачать конфиден-циальные файлы на USB-флэшку, вывести нужные документы на принтер или запи­сать информацию на любое внешнее устройство, которое можно подсоединить к ра­бочей станции. Для защиты от всех этих угроз применяют комплексные меры, предполагающие фильтрацию трафика (почты, Интернета), контроль на уровне рабочей станции (принтер, USB-флэшки, внешние накопители и устройства), архивирование корпоративной корреспонденции (для эффективного расследова­ния инцидентов внутренней ИТ-безопасности) и административные ограничения (например, блокирование Р2Р-сетей и любых других открытых каналов на уровне межсетевого экрана).

Обход средств защиты от утечки конфиденциальной информации

Как и.шестио, противостояние в сфере ИТ-безопасности часто сводится к борьбе снаряда и брони. Нечто похожее наблюдается и в данном случае. Если инсайдеры .інаюі, что в компании установлены средства фильтрации почтовых сообщений н иеб і рафика, то они могут попытаться обмануть систему защиты. Например, с помощью преобразования данных инсайдеры стараются помешать средству <|>и и, і рации В ход идут шифрование, архивация с большой глубиной вложенности, преобразования в графический формат или редкие текстовые форматы, изменение кодировки, использование неизвестного программного обеспечения или иностран­ного языка для общения, с которым незнакомо большинство сотрудников компа­нии. Однако все эти действия могут сработать только на относительно слабых средствах защиты. Лидирующие сегодня системы поддерживают большое количе­ство форматов файлов (как раз тех, что используются в бизнесе) и умеют в режи­ме реального времени реагировать на любые подозрительные события (например, получение файла в неизвестном формате или в зашифрованном виде). Кроме того, нужно отметить, что средства защиты от утечек легко и полностью прозрачно интегрируются с системами шифрования. В этом случае заказчик может обеспе­чить полный контроль над трафиком и вдобавок криптографическую защиту за пределами корпоративного периметра.

Кража конфиденциальной информации по неосторожности

Довольно часто инсайдеры подвергают корпоративные секреты риску непредна­меренно. Например, они могут случайно выложить секретные документы на веб­сайт, перенести данные в ноутбук или карманный компьютер, который впослед­ствии будет украден или потерян, а также отослать конфиденциальные сведения но неверному почтовому адресу. В данном случае используются во многом те же самые средства защиты (фильтрация трафика и контроль операций на уровне рабочих станций) плюс шифрование данных на мобильных устройствах. Важно заметить, что, столкнувшись с невозможностью осуществить задуманную опера­цию (например, выложить документ в Интернете или отослать по почте), инсай­дер не станет упорствовать и, вероятно, обратится за помощью к коллегам, кото­рые разъяснят неправомерность выполняемых действий. Именно этим, согласно экосистеме внутренних нарушителей, халатные и манипулируемые инсайдеры от­личаются от обиженных и нелояльных.

Нарушение авторских прав на информацию

И рамках данной угрозы инсайдеры могут реализовать целый букет неправомерных действий. Например, скопировать части документов одного автора в документы дру­гого автора (а также в почтовые сообщения, формы и т. д.), произвести индивиду­альное шифрование документов, при котором компания лишается возможности ра­ботать с документом в случае утраты пароля или после увольнения сотрудника. Кроме того, инсайдеры могут использовать опубликованные в Интернете матсриа-IIи и своих документах без обработки, использовать файлы мультимедиа (графику, нудно- и видеозаписи), программы и вообще любые другие информационные обьск-1Ы, защищенные авторским правом. Наконец, инсайдер может попытаться иодде мать адрес отправителя с целью опорочить его доброе имя или скомпрометировать компанию. Конечно, все вышеперечисленные угрозы могут быть актуальны отнюдь не для всех организаций, но в каждом конкретном случае очень важно, чтобы фирма могла предотвратить то или иное неправомочное действие своего служащего.

Отметим, что для защиты от указанных угроз применяются средства контроля над всеми операциями, которые инсайдеры осуществляют на своих рабочих станциях.

Мошенничество

Современное мошенничество немыслимо без использования информационных тех­нологий. На практике мошенничество часто сводится к искажению финансовой до­кументации, превышению полномочий при доступе к базе данных, модификации важной информации. В качестве защиты организациям следует использовать сред­ства контроля финансовой отчетности, мониторинга всех действий пользователей и протоколирования любых операций с классифицированной информацией. Заме­тим, что внедрение систем защиты от утечек позволяет создать целый ряд средств контроля конфиденциальной информации в корпоративной среде. В результате организация может выявить искажение чувствительных сведений и, следовательно, идентифицировать виновного инсайдера — мошенника.

Нецелевое использование информационных ресурсов компании

Этот сценарий часто называют «злоупотребление сетевыми ресурсами», но на прак­тике все это сводится к одним и тем же угрозам. К ним относят: во-первых, посещение в рабочее время сайтов неделовой (общей и развлекательной) направленности, не имеющее отношения к исполнению служебных обязанностей. Во-вторых, загрузка, хранение и использование файлов мультимедиа и развлекательных программ в рабо­чее время. В-третьих, использование ненормативной, грубой, некорректной лексики при ведении деловой переписки, загрузка, просмотр и распространение материалов «для взрослых». В-четвертых, использование материалов, содержащих нацистскую символику, агитацию или другие противозаконные данные. В-пятых, использование ресурсов компании для рассылки информации рекламного характера, спама или ин­формации личного характера, в том числе персональных данных сотрудников, финансовых данных и т. д. Защита от всех этих угроз обеспечивается с помощью фильтрации почтовых сообщений и веб-трафика. Однако, в отличие от фильтрации графика при защите конфиденциальной информации от утечки, в данном случае про­изводится фильтрация по совсем другим параметрам. Подробнее различие в системах фильтрации будет рассмотрено в одной из следующих глав. Пока же заметим, что средства защиты от нецелевого использования информационных ресурсов не позво­ляют предотвратить или выявить утечку. Кроме того, и системы предотвращения уте­чек не защищают от нецелевого использования ресурсов.

Саботаж ИТ-инфраструктуры

Как уже указывалось, существует чрезвычайно опасный тип инсайдеров — «оби­женные», или «саботажники». Напомним, что главным отличием этих злоумышлен­ников является стремление нанести вред по личным, чаще всего бескорыстным, мо­тивам. г)то накладывает свой отпечаток па те угрозы, которые несут саботажники, и средства, которыми они могут воспользоваться. Дело в том, что для реализации своей цели обиженные инсайдеры готовы пойти буквально на все, часто не забо­тясь о самосохранении. Отметим, что саботаж не случайно приведен в конце спис­ка инсайдерских угроз, так как обиженные служащие могут реализовать любой из вышеперечисленных сценариев, а кроме них еще и диверсию. Например, саботаж-м нк может скопировать крайне важную для компании информацию на свой мо­бильный носитель, а потом уничтожить ее на всех серверах фирмы и даже в резерв-мых копиях на материальных носителях. Естественно, после таких действий в руках саботажника оказываются рычаги давления на руководство, поэтому инсайдер может потребовать все, что угодно. Однако в некоторых случаях обиженный ин­сайдер может просто-напросто удалить все важные сведения на серверах и в ре­зервных копиях, даже не оставив информацию себе. В этом случае саботажник хочет просто отомстить и превращается в диверсанта. Защита от всех этих дей­ствий должна включать два компонента: во-первых, мониторинг рабочей атмосфе­ры и корпоративных конфликтов, и во-вторых, технические ограничения действий каждого сотрудника.

Отметим, что сегодня пока не существует ни одного комплексного решения, кото­рое позволяло бы полностью защитить компанию от всех этих угроз. Однако разные компании предлагают различные варианты решений, позволяющих минимизиро­вать те или иные риски. Например, компания Info Watch поставляет систему ком­плексной защиты от утечки конфиденциальной информации, которая покрывает также и все другие угрозы, за исключением нецелевого использования сетевых ресур­сов. Целый ряд других компаний — «Инфосистемы Джет», Clearswift, SurfControl и ISS — адресуют как раз проблему злоупотребления информационными ресурса­ми компании. Более подробно средства защиты будут рассмотрены далее. Сейчас же остановимся на рейтинге опасности различных инсайдерских угроз, чтобы по­нять, какими потерями чревата их реализация.

Рейтинг опасности инсайдерских угроз

Абсолютно все аналитические отчеты указывают, что наиболее опасной инсайдер­ской угрозой является утечка конфиденциальной информации. Согласно исследо­ванию National Survey on Managing the Insider Threats, результаты которого были опубликованы авторитетной организацией Ponemon Institute в сентябре 2006 г., средний ежегодный ущерб в результате утечки информации из расчета на одну опрошенную компанию составляет $3,4 млн. Для сравнения: аналогичный показа­тель потерь вследствие вирусных атак, согласно исследованию CSI/FBI Computer (їіте and Security Survey — 2006, составляет менее $70 тыс. Кроме того, в памяти еще свежи инциденты, связанные с утечками, в результате которых бизнес потерял десятки и сотни миллионов долларов. Например, компания ChoicePoint лишилась и.гза кражи персональных данных почти $60 млн, а правительство США потратило на ликвидацию последствий утечки приватных сведений ветеранов более $500 млн.

Российские предприятия также обеспокоены проблемой защиты своих инфор­мационных активов. Согласно исследованию «Внутренние ИТ-угрозы в Рос-сип    2005» компании InfoWaleh, в ходе которою в конце* 2005 г. было опрошено более 400 российских предприятий, именно кража конфиденциальной информации является самой опасной угрозой ИТ-безопасности. В пользу этой точки зрения высказались 64 \% респондентов, в то время как на вредоносные коды и хакерские ата­ки сослались лишь 49 и 48 \% соответственно. Углубленный опрос респондентов пока­зал, что российские компании опасаются утечек в основном по двум причинам. Во-первых, инциденты такого рода могут привести к потере конкурентоспособности фирмы, например, если интеллектуальная собственность или база клиентов попадут к конкурентам. Как показывает практика, утечка всего 20 \% коммерческих секретов в 60 \% случаев приводит компанию к банкротству. Во-вторых, каждая утечка ин­формации серьезно подрывает репутацию предприятия, так как в глазах его партне­ров, инвесторов и клиентов фирма приобретает имидж организации, которая не в состоянии навести порядок в своих собственных стенах. В результате происходят отток инвестиций и миграция клиентов к конкурентам.

Кроме того, сегодня российский бизнес должен удовлетворять требованиям не­скольких нормативных актов. Например, Федеральный закон «О персональных данных» требует от всех организаций защитить от утечек персональные сведения служащих и клиентов, находящихся в интрасети. Предусмотрена также ответствен­ность за нарушения закона: для виновных лиц — вплоть до уголовной, а для орга­низации — гражданские иски о возмещении материального и морального ущерба. Этот закон был подписан Президентом РФ в конце июля 2006 г. и вступил в силу с февраля 2007 г. К тому же отметим, что отдельные отрасли экономики сталкива­ются с дополнительным нормативным давлением со стороны регулирующих орга­нов. Например, всем кредитно-финансовым организациям рекомендуется обеспечить совместимость со стандартом Банка России по ИТ-безопасности, а обязательным нормативным актом для банков является соглашение Basel II. Все эти регулирую­щие документы требуют обеспечить управление внутренним риском И Б и защиту от утечек. Более подробно нормативные акты в сфере утечек конфиденциальной информации рассмотрены в части II.

Отметим, что, хотя наиболее опасным инсайдерским риском является утечка корпоративных секретов, другие угрозы также причиняют ущерб организации. Согласно исследованию CSI/FBI Computer Crime and Security Survey — 2006, средний ущерб из расчета на одного респондента в результате кражи мобиль­ной техники (например, ноутбуков) составляет $30 тыс., вследствие телеком­муникационного мошенничества — $12,5 тыс., а в результате финансового мо­шенничества — вдвое больше.

Очевидно, что потери от самых разных инсайдерских угроз менее значительны по сравнению с тем ущербом, который причиняет утечка конфиденциальной ин­формации. Единственным исключением является саботаж ИТ-инфраструктуры: финансовые потери по причине этих инцидентов вполне сопоставимы с негатив­ными последствиями утечки корпоративных секретов, но саботаж случается зна­чительно реже. Согласно статистике организации CERT, изучившей несколько десятков случаев саботажа, почти половина респондентов (42 \%) потеряли до $20 тыс. в результате одного инцидента, лишь 11 \% компаний лишились более $1 млн. Это меньше среднего ущерба от утечки, который, как указывалось ранее, составляет $3,4 млн.

Итоги

Сегодня организации сталкиваются с целым рядом инсайдерских угроз: утечкой конфиденциальной информации, мошенничеством, злоупотреблением сетевыми ресурсами и саботажем. Наиболее опасной угрозой является утечка корпоратив­ных секретов, в то время как остальные риски наносят значительно меньший ущерб. Такая ситуация обусловлена тем, что утечка конфиденциальной информа­ции приводит к снижению конкурентоспособности и ухудшению имиджа органи­зации, а остальные угрозы зачастую причиняют лишь финансовый ущерб.

Тем не менее на сегодняшний день не существует единого решения, которое могло ()ы минимизировать абсолютно все внутренние риски. На рынке представлены сис­темы выявления и предотвращения утечек, которые также покрывают риски мошен­ничества и саботажа. Кроме того, заказчику доступны решения для пресечения не­целевого использования сетевых ресурсов. Таким образом, сегодня у каждой организации есть возможности минимизировать инсайдерские угрозы.