Безопасности бизнеса угрожают инсайдеры

Статьи 10 ноября 2022 Как мы на Яндекс Почту мигрировали: кейс ALP ITSM
ALP ITSM обеспечивает IT-поддержку компаниям разного масштаба — от небольших офисов с 20 сотрудниками до международных фастфуд-гигантов. Мы помогаем нашим клиентам находить выгодные IT-решения, подбираем и устанавливаем оптимальные сервисы. Но недавно мы сами оказались в ситуации, когда нужно было отказываться от привычных решений и искать новые варианты. Рассказываем, как наша компания численностью 120 сотрудников переходила на отечественный почтовый продукт и что из этого вышло.
Статьи 5 сентября 2022 Импортозамещение и локализация ИТ-инфраструктуры. Что общего? И в чем отличия?
В чем разница между импортозамещением и локализацией ИТ? Для каких компаний подходят эти две стратегии? Значит ли их реализация, что от иностранного софта и оборудования нужно будет отказаться полностью? Разобраться в теме помог Сергей Идиятов, руководитель направления консалтинга ALP ITSM.
Статьи 22 августа 2022 Топ-5 рекомендаций для CEO: как локализовать IT-инфраструктуру?
Для компаний с центральным офисом в зарубежных странах санкционный кризис стал серьезным испытанием. При сохранении бизнеса в России нужно выделить IT-инфраструктуру локального офиса и сделать ее независимой и автономной от глобальной компании, объявившей об уходе из РФ. Этот «развод по-итальянски» требует четкого плана, ресурсов и крепких нервов. Как минимизировать риски, рассказывает Сергей Идиятов, руководитель направления консалтинга ALP ITSM, сервисной IT-компании холдинга ALP Group.

Самой значимой угрозой информационной безопасности бизнеса остаются внутренние, или инсайдерские, риски, а критическим звеном становятся привилегированные с точки зрения доступа к ИТ-инфраструктуре организации сотрудники. К такому выводу пришли аналитики международной компании Balabit, специализирующейся на разработке программного обеспечения и сервисов для информационной безопасности. Как оказалось, опасность представляет прежде всего ИТ-персонал. По крайней мере так полагают непосредственные участники рынка: в рамках исследования Balabit опросила руководителей ИТ-отделов, специалистов по информационной безопасности и ИТ-директоров. 

Опасайтесь айтишников

Именно ИТ-специалисты представляют наибольшую угрозу для безопасности корпоративной сети, заявили 35% участников исследования Balabit, и неважно, совершают ли они действия умышленно или всего лишь по неосторожности. Все дело в наивысших правах доступа к ИТ-инфраструктуре, включая возможность контроля и управления, которыми обладают последние. Именно это превращает ИТ-персонал в чуть ли не основную мишень для злоумышленников. 

В зоне риска находятся партнеры и аутсорсеры: их в качестве потенциальных внутренних угроз безопасности компании назвали 15% участников опроса. Не столь значимую опасность представляют сотрудники отделов бухгалтерии и продаж, а также маркетинга и разработки. Менее всего информационной безопасности бизнеса угрожает персонал колл-центров и производственных подразделений. 

Как отмечают в Balabit, фокус атак злоумышленников сместился в сторону так называемых привилегированных пользователей корпоративных сетей. А это не только ИТ-специалисты с расширенными правами доступа к критически важной инфраструктуре (например, системные администраторы). Уязвимым звеном оказываются топ-менеджеры компаний, а также все сотрудники, обладающие доступом к конфиденциальной информации. 

«Поскольку атаки становятся более изощренными, целевые и APT-атаки ориентируются в большей степени на привилегированных пользователей внутри компании, взломав которых, можно украсть наиболее важные корпоративные данные, – поясняет ИБ-евангелист компании Balabit Чаба Краснаи. – Аккаунты привилегированных пользователей – идеальная цель для хакеров, они представляют собой наибольшую угрозу безопасности компаний».  


Читайте другой интересный материал: Кто такой сисадмин.2.0 и как им стать?


По движению мышки

Чаще всего злоумышленников интересуют личные данные сотрудников компаний, в том числе потому что те несложно продать. Ценность представляет информация о клиентах (так сказали 50% участников опроса) и, конечно же, финансовые показатели и инвесторы компании (о них вспомнили 43% респондентов). В меньше степени хакеров беспокоят данные об инновациях и разработках. Нельзя сказать, чтобы участники исследования не понимали значимости угроз. Почти пятая часть из них готова использовать инструменты аналитики для отслеживания поведения привилегированных пользователей, 13% готовы внедрять технологии управления мобильными устройствами, системы SSO не против задействовать 8% респондентов и т.д. 

Однако достаточны ли эти шаги? На самом деле, речь должна идти о том, чтобы контролировать как можно больше действий пользователей. Сейчас большинство ИТ-специалистов (47%) считает, что важнее всего отслеживать время и место авторизации пользователя, а также анализировать данные по использованию корпоративных устройств в личных целях (41%). Но одни лишь эти действия вряд ли смогут гарантировать оперативное обнаружения вредоносных активностей. Все важнее становится анализ таких, казалось бы, неочевидных действий пользователя, как частота нажатия на клавиши клавиатуры и даже движения компьютерной мышкой.  

«Понимание, откуда и в какое время сотрудник входит в систему, с какого приложения и какое устройство использует, безусловно, важно, но технологии анализа движения мыши и динамики нажатия на клавиши – это наше будущее, которое позволит обнаружить взломанный аккаунт за 20 секунд или 200 набранных знаков», – говорит Чаба Краснаи.  

Рядовые угрозы

Исследование Balabit в большей степени касается зарубежного рынка, однако перед российскими компаниями сегодня стоят во многом схожие вызовы. Именно привилегированные сотрудники если не самое слабое, то крайне рискованное звено, согласен ИТ-директор, руководитель Центра компетенции по импортозамещению и Open Source в ALP Group Павел Рыцев. Ведь за пользователями с привилегированными учетными записями зачастую почти никто не следит.  

«Они могут все и везде. Имея доступ к низкоуровневой ИТ-инфраструктуре, они способны обходить все защиты уровня приложений, баз данных и т.д. Соответственно, они могут нанести огромный урон – и с точки зрения работоспособности всех систем, и с точки зрения сохранности, утечки и искажения данных. Более того, если на всех других уровнях сепарируют права, то этот уровень – исключение», – говорит Павел Рыцев.  

Впрочем, куда большую угрозу с точки зрения информационной безопасности в России все же представляют рядовые сотрудники, которые зачастую оказываются полностью некомпетентны перед лицом киберугроз.  

«Если отмести экстремальные случаи, такие как взятие родственников администраторов в заложники, что активно практиковалось в 90-е, можно сказать, что атака на привилегированных пользователей – меньшая угроза для большинства предприятий, чем атаки, скажем, на сотрудников финансовых или коммерческих подразделений», – констатирует генеральный директор «Атак Киллер» Рустэм Хайретдинов.  

Именно сотрудники этих отделов отечественных компаний, не задумываясь, открывают полученные по почте файлы от незнакомых адресатов, переходят по неизвестным ссылкам из писем и вводят запрашиваемые пароли. Более того, они регулярно вступают с отправителями-злоумышленниками в переписку.  

«В 88% случаев это делают работники, не связанные с IT (бухгалтеры, юристы, менеджеры и т. п.). Каждый четвертый участник такой переписки оказался руководителем отдела», – уточняют в Positive Technologies.  

Ситуацию могли бы исправить тренинги и обучающие программы по вопросам информационной безопасности, однако, уточняют в компании, 38% организаций вообще не проводят подобные тренинги для сотрудников, еще столько же процентов делают это формально, не проверяя эффективность.  

«Иногда организации настолько беспечны, что даже не разъясняют новым сотрудникам, какая информация составляет коммерческую тайну. Что уж говорить об инструктажах и тренингах, позволяющих сотрудникам своевременно понять, что они стали объектом хорошо организованной атаки», – согласен генеральный директор компании «Аванпост» Андрей Конусов.  

Кроме того, компании уделяют совершенно недостаточное внимание борьбе с нигилизмом сотрудников в отношении информационной безопасности. «Причем проявляется этот нигилизм не только у представителей несколько инфантильного поколения Y, но даже у топ-менеджеров, которые зачастую не хотят мириться с любыми ограничениями на доступ к информации», – отмечает эксперт.  

В результате, если злоумышленнику удается выдать себя за легитимного пользователя информационной системы, имеющего широкие полномочия по работе с чувствительной информацией, ситуация становится особенно опасной. 

«Такой злоумышленник не только решает свою задачу, но и остается невидимым для всех средств ИБ, включая самые изощренные», – резюмирует Андрей Конусов. 

Интересное по теме:

Как выбрать ИТ-аутсорсера (часть 1)

Инвест-Форсайт

Свежие новости и статьи

Статьи 5 сентября 2022 Импортозамещение и локализация ИТ-инфраструктуры. Что общего? И в чем отличия?
В чем разница между импортозамещением и локализацией ИТ? Для каких компаний подходят эти две стратегии? Значит ли их реализация, что от иностранного софта и оборудования нужно будет отказаться полностью? Разобраться в теме помог Сергей Идиятов, руководитель направления консалтинга ALP ITSM.
Статьи 22 августа 2022 Топ-5 рекомендаций для CEO: как локализовать IT-инфраструктуру?
Для компаний с центральным офисом в зарубежных странах санкционный кризис стал серьезным испытанием. При сохранении бизнеса в России нужно выделить IT-инфраструктуру локального офиса и сделать ее независимой и автономной от глобальной компании, объявившей об уходе из РФ. Этот «развод по-итальянски» требует четкого плана, ресурсов и крепких нервов. Как минимизировать риски, рассказывает Сергей Идиятов, руководитель направления консалтинга ALP ITSM, сервисной IT-компании холдинга ALP Group.
Статьи 11 мая 2022 Не можно, а нужно: рассказываем, как безболезненно перенести IT-инфраструктуру компании в российское облако. Кейс ALP ITSM
За последние два месяца российские компании столкнулись с различными сложностями, в том числе по части IT. Среди них — остановка продажи нового ПО, невозможность оплаты услуг западных сервисов, повышение цен на оборудование и всевозможные блокировки. ALP ITSM помогает клиентам найти решения, чтобы обезопасить IT-инфраструктуру в нынешних условиях. Делимся опытом миграции из зарубежных облаков в российские.
Статьи 1 апреля 2022 Автоматизируй это! Четыре бизнес-процесса, где нельзя обойтись без Service Desk. Когда компания растет, увеличивается и количество запросов от пользователей. Однажды это превращается в «снежный ком»: техподдержка не справляется с потоком, заявки теряются, время обработки обращений все дольше, пользователи недовольны. Знакомая ситуация? Тогда нужно срочно внедрять ServiceDesk. Разбираемся, чем может помочь эта система, и какие направления стоит автоматизировать в первую очередь.