Защита от внутренних атак: Если друг оказался вдруг… (часть первая)

Введение

Закончился обычный рабочий день, восемь-девять часов вечера. Большинство сотрудников офиса давно разошлись по домам, почти во всех комнатах погашен свет, охрана тихо дремлет у входа. Лишь в некоторых комнатах еще светятся экраны мониторов и слышен характерный стук клавиатуры. Мало кто действительно засиделся за работой, большинство же или режется по корпоративной сетке в компьютерные игры, или в отсутствие начальства залез в Internet. Бесполезное для компании, но, в принципе, безвредное и общепринятое явление. Но встречаются и совсем другие задержавшиеся на работе сотрудники, которые в это время пытаются подобрать пароли и проникнуть на различные компьютеры собственной компании с целью получения какой-нибудь ценной для них информации.
Согласитесь, практически в любой более-менее крупной компании есть такие чрезмерно любопытные сотрудники. А информация, которую они могут обнаружить, может представлять очень большой интерес как для конкурентов, так и просто для нечистоплотных личностей. На сегодняшний день, практически все защитные ресурсы брошены на отражение внешних атак – межсетевые защиты, фильтры, программы охраны периметра… Все такие методы направлены на то, чтобы воспрепятствовать злоумышленнику проникнуть во внутреннюю сеть организации. А что делать, когда враг уже находится внутри сети и к тому же знает часть корпоративных паролей?

Внутренние атаки

К этому типу относятся все компьютерные преступления, совершенные или посвященным лицом, или человеком со стороны, но с помощью лица, которое обладало конфиденциальной информацией о жертве. Посвященным лицом может быть сотрудник корпорации или любой другой, кто имеет доступ к секретной информации о внутренней системе корпорации. Очевидно, что посвященному лицу проще преодолеть защитные барьеры, поэтому такие типы атак очень распространены и крайне разрушительны. По данным ежегодного обзора CPI/FBI, в прошлом году от внутренних атак пострадало более 59 % организаций. По этим же данным, почти 8 % компаний за год имело по 60 и более случаев внутренних вторжений. (Обзор доступен для просмотра по адресу http://www.gocsi.com/forms/fbi/pdf.html)

Атаки посвященных лиц коварны и особенно трудны для отражения. Мало того, что хакер имеет законный доступ к сети, но он имеет и права на выполнение многих функций, имеет учетную запись пользователя, адрес электронной почты и, вероятно, доступ к другим данным компании. Также он, скорее всего, знает, какие данные представляют коммерческую тайну, и где они могут находиться.

Предотвращение внутренних атак.

Сама природа внутреннего нападения делает его трудным для отражения: как, с одной стороны, обеспечить сотрудников доступом к необходимой для работы информации, но с другой, защитить критически важные информационные ресурсы компании? Обеспечение служащих доступом к требуемым программам и данным, и только к необходимым непосредственно для их работы, является самой большой проблемой в защите от внутренних нападений. Вторая главная проблема с нападениями такого вида - то, что они очень часто облегчаются из-за того, что злоумышленник мог случайно (или специально) узнать неположенные ему пароли и получить незаконный доступ к другим ресурсам. Предотвращение внутренних нападений включает как надлежащее распределение прав учетных записей и использование внутренних сетевых защит, так и обучение всего персонала навыкам компьютерной безопасности (чего только стоят распространенные привычки сотрудников обмениваться паролями «чтобы не забыть» с соседями по комнате или записывать пароли на нижней стороне клавиатуры), и физические меры защиты.

Права учетных записей и их изменение.

Основная проблема - это права учетной записи. Неподходящие или несоответствующие права учетной записи - первый шаг к получению неправомочного доступа к секретным данным. На первый взгляд, решить ее просто, но в действительности, дела обстоят гораздо сложнее. Необходимо точно оценить, какие пользователи действительно нуждаются в доступе к каждому конкретному ресурсу. Установка прав учетной записи - своего рода искусство. Дайте человеку слишком много свободы, и вы получите потенциально опасного для компании сотрудника, урежьте его права, и он не сможет нормально выполнять свою работу, что приведет к финансовому ущербу для вашей компании.

Очень часто системные администраторы даже не в курсе, какую именно работу выполняет определенный сотрудник. И, поскольку они неправильно истолковывают требования для его работы, права доступа служащего устанавливаются ненадлежащим образом. Чтобы избегать этого, предлагается несколько простых шагов. Для начала, необходимо обсудить эту проблему с каждым руководителем отдела организации. Эти встречи должны использоваться, чтобы точно определить, какой уровень доступа требуется различным сотрудникам. Еще одна сторона таких встреч – избежать в будущем претензий к себе со стороны начальства из-за того, что, допустим, бухгалтер Марья Ивановна жалуется, что не может загрузить в Internet свой любимый сайт по кулинарии – можно ссылаться на решение руководства, что для ее работы доступ к этому сайту не предусмотрен.

Как только требуемые права определены, они должны быть осуществлены на практике. Структура и распределение привилегий учетных записей должны быть формализованы в политике защиты организации. Необходимо разослать всем сотрудникам уведомление об их полномочиях доступа и процедуры, по которой эти права могут быть изменены. Любые изменение предусмотренных прав должны предоставляться в письменном виде по определенной форме, подписанной руководством. В запросе должно формально запрашиваться изменение прав доступа. Эта форма должна содержать Ф.И.О. служащего, отдел, требуемый доступ, и объяснение того, по какой причине необходимо изменение существующего уровня доступа сотрудника. И хоть у кого - то такая «гестаповская» практика может вызывать недовольство, но такая система, с одной стороны, обеспечивает достаточную гибкость в пределах организации в целом, и при этом, поддерживает высокую степень централизованного управления правами доступа.