Как предупредить и предотвратить действия инсайдера
04.06.2010
1. Периодически проводите аудит рисков ИТ-безопасности
Для компаний крайне сложно определить правильный баланс между доверием к своим сотрудниками и защитой от них же. Компания должна ограждать себя от внутренних взломов наравне со внешними посягательствами путём следования принципам управления информационными рисками:
- первоначально нужно оценить имеющуюся инфраструктуру, определить критические информационные активы;
- установить текущие возможные угрозы и уязвимости, т.е. создать модель угроз для компании;
- оценить возможные денежные убытки вследствие утечки;
- выработать стратегию управления, продумать план немедленного реагирования.
Важно помнить, что избежать риска полностью нельзя. Уменьшение риска означает нахождение золотой середины между безопасной работой компании и эффективностью бизнеса.
2. Обучайте ваших сотрудников основам информационной безопасности
В компании должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности.
В компании должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности. Сотрудники должны понимать, что такое политики, процедуры и зачем их надо соблюдать при работе, какие средства защиты используются в сети. Первая линия защиты от инсайдеров — это информированные сотрудники.
3. Разграничивайте должностные обязанности и привилегии доступа к данным
Если все сотрудники компании достаточно хорошо обучены принципам безопасности, и ответственность за критические функции распределена между сотрудниками, вероятность сговора между людьми с целью кражи ценных сведений резко снижается. Таким образом, эффективное разграничение бизнес-обязанностей и привилегий при работе с информацией приводит к тому, что каждый работает только с теми документами, с которыми должен. Не забывайте, что максимальное количество процедур должно быть автоматизировано.
4. Введите строгие политики управления учетными записями и паролями
Несмотря на то, что все сотрудники компании лояльны и крайне бдительны, если учетные записи в компьютерной сети будут скомпрометированы, инсайдер получит в свои руки все инструменты подмены своих действий и сможет украсть данные и, при этом, не засветиться.
5. Усильте аутентификацию и авторизацию в сетях
Пользователи, работающие с важными данными, должны пройти аутентификацию и авторизацию при доступе к информационным ресурсам. Не пренебрегайте простыми и старыми способами защиты информации, но также внедряйте все более совершенные средства, особенно анти-инсайдерские средства «последнего эшелона».
6. Аккуратно деактивируйте несуществующих пользователей
Когда сотрудник увольняется из организации, необходимо внимательно следовать установленным процедурам увольнения и закрывать вовремя доступ ко всем информационным ресурсам, чтобы пресечь естественное желание человека скопировать свой жесткий диск, закатать несколько CD со своими рабочим документами и более того, оставить за собой, к примеру, удаленный доступ к почтовому серверу, чего нельзя допустить ни в коем случае.
7. Проводите мониторинг и сбор логов действий сотрудников в режиме реального времени
Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей.
Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей. К примеру, сильно увеличился внутренний сетевой трафик, возросло количество запросов к корпоративной базе данных, сильно увеличился расход тонера или бумаги. Эти и многие другие события должны фиксироваться и разбираться, так как за ними также может скрываться атака или подготовка к атаке на чувствительные данные.
8. Внимательно проводите внешний мониторинг системных администраторов и привилегированных пользователей
Обычно в компаниях производят выборочный мониторинг пользователей, используя средства удаленного рабочего стола, URL-фильтрации и систем подсчета трафика, но также важно не забывать, что и ответственный может быть в сговоре и осуществлять кражу данных. Поэтому эффективная защита от инсайдера должна находиться выше привилегированных пользователей и системных администраторов.
Помимо этих простых практических советов, следует:
- Активно защищаться от вредоносного кода хорошими антивирусными продуктами, использующими не только реактивные (сигнатурные) методы, но и предупреждающие проактивные технологии.
- Использовать защиту от удаленных атак и попыток взлома. Желательно, чтобы защита была многоуровневая: хотя- бы на уровне контроля пользовательских приложений и на уровне сетевых пакетов.
- Внедрять резервное копирование и процедуры восстановления данных. В случае компрометации данных, всегда есть возможность восстановить исходные данные.
Особенно важно использовать защиту с помощью средств «последнего эшелона»:
- Осуществляйте контентную фильтрацию исходящего сетевого трафик. Электронная почта, быстрые сообщения ICQ, веб- почта, постинги на форумы, блоги и другая интернет- активность должна проверяться на предмет утечек данных.
- Установите политики работы с периферийными, сменными и мобильными устройствами, на которые можно записать и унести конфиденциальный документ (FDD, CD/DVD RW, Cart Reader), присоединяемых по различным шинам (USB и PCMCIA). Важно не забыть и беспроводные сети (IrDA, Bluetooth, WiFi).
- Проверяйте поток документов, отсылаемых на печать, чтобы предотвратить кражу документов в твердой копии.
- Фильтруйте все запросы к базам данных на наличие в них опасных, извлекающих секретные сведения, запросы.
- Шифруйте критическую информацию на блочных устройствах и на ноутбуках.