Самой значимой угрозой информационной безопасности бизнеса остаются внутренние, или инсайдерские, риски, а критическим звеном становятся привилегированные с точки зрения доступа к ИТ-инфраструктуре организации сотрудники. К такому выводу пришли аналитики международной компании Balabit, специализирующейся на разработке программного обеспечения и сервисов для информационной безопасности. Как оказалось, опасность представляет прежде всего ИТ-персонал. По крайней мере так полагают непосредственные участники рынка: в рамках исследования Balabit опросила руководителей ИТ-отделов, специалистов по информационной безопасности и ИТ-директоров.
Опасайтесь айтишников
Именно ИТ-специалисты представляют наибольшую угрозу для безопасности корпоративной сети, заявили 35% участников исследования Balabit, и неважно, совершают ли они действия умышленно или всего лишь по неосторожности. Все дело в наивысших правах доступа к ИТ-инфраструктуре, включая возможность контроля и управления, которыми обладают последние. Именно это превращает ИТ-персонал в чуть ли не основную мишень для злоумышленников.
В зоне риска находятся партнеры и аутсорсеры: их в качестве потенциальных внутренних угроз безопасности компании назвали 15% участников опроса. Не столь значимую опасность представляют сотрудники отделов бухгалтерии и продаж, а также маркетинга и разработки. Менее всего информационной безопасности бизнеса угрожает персонал колл-центров и производственных подразделений.
Как отмечают в Balabit, фокус атак злоумышленников сместился в сторону так называемых привилегированных пользователей корпоративных сетей. А это не только ИТ-специалисты с расширенными правами доступа к критически важной инфраструктуре (например, системные администраторы). Уязвимым звеном оказываются топ-менеджеры компаний, а также все сотрудники, обладающие доступом к конфиденциальной информации.
«Поскольку атаки становятся более изощренными, целевые и APT-атаки ориентируются в большей степени на привилегированных пользователей внутри компании, взломав которых, можно украсть наиболее важные корпоративные данные, – поясняет ИБ-евангелист компании Balabit Чаба Краснаи. – Аккаунты привилегированных пользователей – идеальная цель для хакеров, они представляют собой наибольшую угрозу безопасности компаний».
По движению мышки
Чаще всего злоумышленников интересуют личные данные сотрудников компаний, в том числе потому что те несложно продать. Ценность представляет информация о клиентах (так сказали 50% участников опроса) и, конечно же, финансовые показатели и инвесторы компании (о них вспомнили 43% респондентов). В меньше степени хакеров беспокоят данные об инновациях и разработках. Нельзя сказать, чтобы участники исследования не понимали значимости угроз. Почти пятая часть из них готова использовать инструменты аналитики для отслеживания поведения привилегированных пользователей, 13% готовы внедрять технологии управления мобильными устройствами, системы SSO не против задействовать 8% респондентов и т.д.
Однако достаточны ли эти шаги? На самом деле, речь должна идти о том, чтобы контролировать как можно больше действий пользователей. Сейчас большинство ИТ-специалистов (47%) считает, что важнее всего отслеживать время и место авторизации пользователя, а также анализировать данные по использованию корпоративных устройств в личных целях (41%). Но одни лишь эти действия вряд ли смогут гарантировать оперативное обнаружения вредоносных активностей. Все важнее становится анализ таких, казалось бы, неочевидных действий пользователя, как частота нажатия на клавиши клавиатуры и даже движения компьютерной мышкой.
«Понимание, откуда и в какое время сотрудник входит в систему, с какого приложения и какое устройство использует, безусловно, важно, но технологии анализа движения мыши и динамики нажатия на клавиши – это наше будущее, которое позволит обнаружить взломанный аккаунт за 20 секунд или 200 набранных знаков», – говорит Чаба Краснаи.
Рядовые угрозы
Исследование Balabit в большей степени касается зарубежного рынка, однако перед российскими компаниями сегодня стоят во многом схожие вызовы. Именно привилегированные сотрудники если не самое слабое, то крайне рискованное звено, согласен ИТ-директор, руководитель Центра компетенции по импортозамещению и Open Source в ALP Group Павел Рыцев. Ведь за пользователями с привилегированными учетными записями зачастую почти никто не следит.
«Они могут все и везде. Имея доступ к низкоуровневой ИТ-инфраструктуре, они способны обходить все защиты уровня приложений, баз данных и т.д. Соответственно, они могут нанести огромный урон – и с точки зрения работоспособности всех систем, и с точки зрения сохранности, утечки и искажения данных. Более того, если на всех других уровнях сепарируют права, то этот уровень – исключение», – говорит Павел Рыцев.
Впрочем, куда большую угрозу с точки зрения информационной безопасности в России все же представляют рядовые сотрудники, которые зачастую оказываются полностью некомпетентны перед лицом киберугроз.
«Если отмести экстремальные случаи, такие как взятие родственников администраторов в заложники, что активно практиковалось в 90-е, можно сказать, что атака на привилегированных пользователей – меньшая угроза для большинства предприятий, чем атаки, скажем, на сотрудников финансовых или коммерческих подразделений», – констатирует генеральный директор «Атак Киллер» Рустэм Хайретдинов.
Именно сотрудники этих отделов отечественных компаний, не задумываясь, открывают полученные по почте файлы от незнакомых адресатов, переходят по неизвестным ссылкам из писем и вводят запрашиваемые пароли. Более того, они регулярно вступают с отправителями-злоумышленниками в переписку.
«В 88% случаев это делают работники, не связанные с IT (бухгалтеры, юристы, менеджеры и т. п.). Каждый четвертый участник такой переписки оказался руководителем отдела», – уточняют в Positive Technologies.
Ситуацию могли бы исправить тренинги и обучающие программы по вопросам информационной безопасности, однако, уточняют в компании, 38% организаций вообще не проводят подобные тренинги для сотрудников, еще столько же процентов делают это формально, не проверяя эффективность.
«Иногда организации настолько беспечны, что даже не разъясняют новым сотрудникам, какая информация составляет коммерческую тайну. Что уж говорить об инструктажах и тренингах, позволяющих сотрудникам своевременно понять, что они стали объектом хорошо организованной атаки», – согласен генеральный директор компании «Аванпост» Андрей Конусов.
Кроме того, компании уделяют совершенно недостаточное внимание борьбе с нигилизмом сотрудников в отношении информационной безопасности. «Причем проявляется этот нигилизм не только у представителей несколько инфантильного поколения Y, но даже у топ-менеджеров, которые зачастую не хотят мириться с любыми ограничениями на доступ к информации», – отмечает эксперт.
В результате, если злоумышленнику удается выдать себя за легитимного пользователя информационной системы, имеющего широкие полномочия по работе с чувствительной информацией, ситуация становится особенно опасной.
«Такой злоумышленник не только решает свою задачу, но и остается невидимым для всех средств ИБ, включая самые изощренные», – резюмирует Андрей Конусов.
