Network World, США
Во многих компаниях склонны считать своих сотрудников главной угрозой внутренней информационной безопасности. Однако наибольшую опасность для организаций представляют сторонние злоумышленники. Таковым может быть деструктивно настроенный хакер, бывший сотрудник или один из тысяч третьих лиц, с которыми организация связана по линии совместного бизнеса
Да, это так
Для защиты от угроз, исходящих от собственных сотрудников, существуют особые методы. Самым распространенным из них является разграничение доступа к файловым серверам, рабочим станциям и приложениям. В последнее время появились решения и по защите сетевого контента. Однако подобные подходы защищают лишь от обычных пользователей, которых раздражает что-то в их работе или положении, или пытающихся продвинуться вперед по службе. Эти решения не могут остановить хитроумных взломщиков, которые используют для нанесения ущерба современные инструменты и технологии.
Хакеры обходят сетевую защиту, выдавая себя за полноправных пользователей корпоративной системы. Злоумышленники могут поражать системы не за счет вывода из строя шлюзов, а путем получения доступа к любой из систем с правами обычных пользователей, учетные записи которых они контролируют. Эти учетные записи могут быть украдены различными способами, например при помощи взлома домашнего компьютера пользователя, обмана сотрудников с целью раскрытия их паролей или регистрационных имен, а также слежения за трафиком Internet-провайдера.
Пугает то, что у большинства компаний нет методов обнаружения подобных атак. Факт взлома обычно выявляется в процессе обслуживания или обновления сервера, а чаще всего только тогда, когда исполнительный директор компании обнаруживает, что его конфиденциальная информация оказывается в открытом доступе.
В криминальной среде используется целый арсенал технологий для получения доступа к ценным данным: обратное туннелирование HTTP, недокументированные возможности протокола ICMP, снифферы, троянцы и даже стеганография. Одновременно с быстрым распространением подобных инструментов их использование упрощается, для этого требуется все меньший объем знаний. Вот почему компании должны обращать основное внимание на изощренных хакеров, а не на сотрудников, которые просто работают в сети.
Для борьбы с угрозами, которые несут злонамеренные хакерские атаки, создана новая технология обнаружения взломов. В отличие от приемов контроля доступа и фильтрации контента, эта технология была специально создана для защиты против незаметных и хитроумных атак.
Технология обнаружения взлома «проявляет» хакеров по мере их входа и продвижения по сети. При таком подходе проводится раздельный аудит и отслеживание внутреннего трафика, причем разыскиваются особые отметки, указывающие на следы, оставляемые взломщиками.
Факты говорят о том, что компании идут на риск взлома всякий раз, когда предоставляют доступ к своим сетям. Собственные сотрудники — это незначительный фактор риска. Организациям необходимо понять, что главная проблема — не работники. Думать так — значит оставлять свои сети постоянно и опасно уязвимыми.
Джонатан Бингхэм — президент компании Intrusic, поставщика программных средств обеспечения информационной безопасности. Ему можно написать по электронной почте на адрес jbingham@intrusic.com
Нет, это не так
В настоящий момент так называемые «инсайдеры» (сотрудники, предоставляющие информацию о состоянии дел в компании сторонним лицам) — единственная действительно серьезная угроза безопасности. Причина, по которой невозможно устранить эту проблему, проста. Дело в том, что ИТ-средства, ориентированные на предотвращение взлома извне, не могут справиться с задачей сохранности конфиденциальных данных в рамках организации. К тому же, согласно результатам исследований Gartner, 84% всех инцидентов нарушения безопасности с высоким ущербом было связано с действиями инсайдеров, посылавших данные за пределы компании.
Легко понять, почему же именно инсайдеры представляют большую угрозу, чем хакеры. Для нарушения информационной безопасности злоумышленник должен выяснить, как взломать сеть, затем разыскать, получить и передать нужные данные — и все это без обнаружения современными высокоэффективными сетевыми экранами и системами обнаружения вторжений и обеспечения безопасности сети.
С другой стороны, подумайте обо всех тех сотрудниках компании, которые имеют доступ к данным о клиентах, продуктах и финансовом состоянии, а также к Internet.
Насколько трудно представителю центра обслуживания абонентов выслать конфиденциальные данные о клиентах в конкурирующую компанию?
Или программисту переслать исходный текст программы вместе со своим резюме?
И что может остановить должностное лицо от пересылки данных о квартальной выручке при помощи инструментов обмена короткими сообщениями?
Когда конфиденциальные данные о клиенте и интеллектуальная собственность находятся, образно говоря, лишь в нескольких щелчках мыши от Всемирной сети, любая компания рискует. Здравый смысл подсказывает, что угроза, исходящая от инсайдеров, просто огромна.
Это также подтверждают исследования рынка. По данным, полученным компанией Vontu, в каждом 500-м исходящем сообщении электронной почты содержатся конфиденциальные данные о клиенте, работнике или финансах компании, информация об интеллектуальной собственности или конкурентных преимуществах. Более того, 95% случаев утечки данных непреднамеренны.
Современные системы обеспечения информационной безопасности в сети в основном разработаны для предотвращения взлома извне. Для того чтобы остановить угрозу изнутри, программное обеспечение должно соответствовать абсолютно другим требованиям.
Во-первых, оно должно не только распознавать все случаи нарушения защиты на основе определенных политик и содержимого, но также и предотвращать передачу конфиденциальных данных во внешний мир. Оно должно противодействовать появляющимся рискам и снижать их с течением времени. Кроме того, должно иметь функции управления защитой информации во всей компании, а в некоторых случаях и в рамках нескольких компаний, в частности при использовании услуг аутсорсинга и сотрудничестве с компаниями-дистрибьюторами.
В решении подобных задач поставщики программных решений продвинулись не так далеко, и это одна из причин разрастания «инсайдерской» угрозы. Но ситуация меняется. Технологии поиска шаблонов достигли состояния, при котором можно индексировать содержимое базы данных с 2 млрд. записей со 100-процентным соответствием на одном сервере.
Программные технологии могут динамически отслеживать и анализировать изменение показателей, от шаблонов содержимого и связей до атрибутов отправителя и получателя, сетевых протоколов и местоположения шлюзов.
Джозеф Ансанелли Вонту — директор компании Vontu, поставщика услуг по избежанию потерь данных. Ему можно написать по адресу ceo@vontu.com