Защита от внутренних атак: Если друг оказался вдруг… (часть вторая)

Защита от внутренних атак: Если друг оказался вдруг… (часть вторая)

Во второй части описываются методы ограничения сотрудников компании к критически важным компонентам системы и методы наблюдения и контроля над ними.

Минимизация прямого доступа к базам данных

Хотя этот пункт должен относиться к общим правилам доступа, все-таки стоит отдельно выделить безопасность баз данных. Как правило, большие базы данных в любой организации содержат ценную секретную информацию, типа платежных ведомостей, списков клиентов с их адресами, списков учетных записей и так далее. И хотя эта информация представляет огромную ценность для конкурентов или просто мошенников, такие базы данных очень часто легко уязвимы для внутренних нападений. Такие базы – одни из наиболее болезненных целей при атаке на организацию, так любая утечка секретной информации может привести к серьезнейшим проблемам с клиентами и партнерами

В значительной степени из-за описанной выше ценности, системные администраторы должны решительно ограничить число пользователей, которым положен доступ к базам данных. Доступ к базам должны иметь только служащие, которым эти базы действительно необходимы для эффективной работы. Если же в вашем случае имеется крупная корпорация с большим числом сотрудников, которым нужен доступ к общим базам данных, то акцент уже стоит сделать на программном обеспечении ввода данных. В идеале, такие программы должны позволять пользователю просматривать только ту часть базы, которая ему действительно необходима для работы, и препятствовать просмотру (и тем более записи и копированию) других файлов или строк и столбцов таблицы. Если доступ к базе положен менеджеру, работающему с организациями, то программа ввода-вывода данных должна разрешать ему неограниченный доступ к фрагменту базы с его клиентами, и ни при каких условиях не должна предоставлять ему информацию о других организациях.

На первый взгляд, такие меры кажутся чересчур жесткими, но мировая практика показывает, что для огромных корпораций только ограничение доступа к базам данных позволяет избежать проблем с утечкой секретной информации.

Внутренние сетевые защиты

Межсетевые защиты, как правило, являются одним из наиболее эффективных методов защиты периметра, и традиционно бывают развернуты по периметру сетей. Но они также могут использоваться при отражении внутренних атак из корпоративной сети, чтобы защитить наиболее чувствительные компьютеры, серверы, и фрагменты сети. Основная идея использования внутренней сетевой защиты заключается в разрешении доступа к охраняемым объектам только тем, кто имеет на это право, и не впускать тех, кто этого права не имеет. Кроме того, сетевая защита позволит только определенные типы доступа к защищенным компьютерам. Например, можно разрешить доступ только к 80 порту, находящемуся за сетевой защитой. Такое разграничение прав обеспечивает дополнительный уровень внутренней защиты для важных серверов и компьютеров, которые не должны быть доступны каждому. И даже если сервер по какой то причине должен быть доступен каждому сотруднику, то виды доступа могут быть разграничены.

Но все же главной выгодой использования внутренней сетевой защиты является то, что сисадмины могут легко вычислить злоумышленников из числа сотрудников по попыткам доступа к секретной информации, не положенной сотруднику по статусу. И что немаловажно, если вам удалось обнаружить хотя бы одну такую попытку проникновения, идентифицировать хакера-недоучку и сообщить руководству (со всеми вытекающими для злоумышленника последствиями), то этот пример надолго отобьет охоту других сотрудников лезть в запретные информационные зоны организации.

Обучение


Обучение служащих – одна из главных составляющих информационной безопасности любой организации. Нормальная безопасная работа невозможна без того, чтобы обучить сотрудников хотя бы элементарным правилам компьютерной безопасности: методов составления и хранения паролей, процедур защиты компьютера, идентификации любых социальных и технических попыток взлома, исходящих от своих же коллег. Также необходимо проинструктировать всех, что делать при обнаружении таких попыток нелегального доступа.

В большинстве случаев, служащие могут помочь предотвратить внутренние нападения. Физический доступ к рабочим станциям - особенно важный компонент этой политики. В любой организации, имеющей дело с ценной секретной информацией, персонал должен быть обучен блокировать систему своей рабочей станции каждый раз, когда они оставляют ее даже на короткий промежуток времени. Это предотвратит наиболее распространенный способ внутренней атаки - доступ служащего с меньшим уровнем доступа к секретной информации с чужого компьютера при отсутствии владельца. К сказанному необходимо добавить разъяснение об основных принципах составления безопасного пароля. Учите служащих выбирать пароли, которые трудно подобрать. Запретите использование фамилий, имен, прозвищ, имен родственников, дат рождения. телефонов и т.д. Рекомендуется использование паролей, включающих одновременно числа, буквы и специальные символы.

Как описано выше, служащие должны помогать идентифицировать возможные социальные и технические попытки нелегального доступа, знать, как предотвратить такие попытки, и что делать в случае выявления таких попыток. К основным требованиям политики безопасности по данной теме стоит отнести обучение пользователей никогда не обмениваться паролями с коллегами (Ну что стоит даже самый правильно созданный пароль, если его знает каждый сотрудник в отделе!). Никогда не сообщайте свой пароль соседям и не храните его в письменном виде нигде на своем рабочем столе. Каждый сотрудник должен выучить, что кроме системного администратора, НИКТО НЕ ВПРАВЕ ТРЕБОВАТЬ у него сообщения пароля или учетной записи. Проинструктируйте коллег, чтобы они немедленно уведомляли сотрудников охраны о любых вопросах, направленных на выявление паролей или любой другой технической информации о корпоративной сети. Это – трудный, в ряде случаев неприятный, но, как правило, необходимый и единственный общий социальный метод предотвращения внутренних атак.

Физическая защита


Физическую защиту часто недооценивают, но она является довольно эффективной в предотвращении внутренних нападений. Главным образом, такой тип защиты основан на усложнении доступа к чужому компьютеру.

Блокирование рабочей станции, описанной в прошлом разделе, также относится к этому типу внутренней защиты. Более того, не только рабочие станции, но и офисы должны запираться, когда они не используются. Неплохим методом является размещение сотрудников в отдельных кабинках. Это не только повышает производительность труда из-за уменьшения отвлекающих факторов, но и существенно повышает безопасность работы. Появление кого-нибудь в чужом «отсеке» вряд ли пройдет незамеченным для коллег или видеокамеры. Да и вероятность подсматривания чужого пароля в этом случае сводится практически к нулю.

Второй метод физической защиты заключается в обеспечении недоступности серверной комнаты для большинства сотрудников. Серверная должна всегда быть заперта и контролироваться охранниками напрямую или посредством видеокамеры. В идеале, дверь должна отпираться несколькими уникальными пин-картами, что позволяет контролировать время и конкретного человека, открывшего серверную комнату.

Последний аспект физической защиты, который будет затронут здесь – безопасность самих сетевых кабелей внутри организации. Ведь злоумышленник, находящийся даже этажом выше или ниже, посредством современной аппаратуры может считывать передаваемые данные. Это - проблема, над которой специалисты бьются уже довольно долгое время. Создание более защищенных линий приводит к появлению более чувствительной аппаратуры и так далее. Но существуют несколько методов, снижающих возможности перехвата данных. Первый - использование кодирования для передаваемых данных. Другой метод заключается в использовании программного обеспечения для обнаружения разнородного режима. Программы типа AntiSniff могут помочь в обнаружении системы злоумышленника.

продолжение следует...

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!