CSO, США

На протяжении многих лет внешние угрозы интересовали специалистов по безопасности гораздо сильнее, чем внутренние, но в последнее время ситуация стала меняться. Несмотря на то что вирусы, черви, «троянские кони» и атаки, направленные на отказ в обслуживании, по-прежнему таят в себе весомую угрозу, гораздо более серьезную опасность для организаций представляют деструктивные действия людей, с которыми поддерживаются доверительные отношения

Ущерб от противоправной деятельности людей, с которыми поддерживаются доверительные отношения, — сотрудников, бывших сотрудников, специалистов, работающих по договору, а также парт?неров по бизнесу — превышает размер убытков от внешних атак как в каждом отдельно взятом случае, так и в совокупном выражении.

Согласно статистическим данным, типичный портрет инициатора атаки выглядит следующим образом: мужчина; возраст от 17 до 60 лет; занимает техническую должность (с вероятностью 86%)

Причина такой диспропорции заключается в том, что свои сотрудники обладают двумя очень важными преимуществами: они пользуются доверием со стороны персонала и имеют возможность получения физического доступа к ресурсам.

В общем случае предполагается, что внутренние пользователи и компьютеры могут получать доступ к локальной сети компании. На практике их права не ограничиваются сколь-нибудь серьезно, потому что попытки установления слишком строгого контроля над людьми, пользующимися доверием, мешают нормальному ведению бизнеса.

Очевидно, что как только злонамеренное лицо получает физический доступ к ресурсу, этот ресурс больше не может считаться защищенным.

Чем обусловлены деструктивные действия внутренних пользователей?

Желание «причинить вред» может возникнуть по нескольким причинам.

  • Любопытство или стремление доказать, на что они способны. Многие внутренние пользователи не считают свои действия «вредоносными». Они расценивают их как брошенный вызов — мобилизацию своего опыта, терпения, а также сочетания стратегического и тактического мышления. Типичными примерами подобных атак могут быть получение доступа к учетным записям чужой электронной почты или системы мгновенной передачи сообщений, а также к конфиденциальным информационным ресурсам (например, к данным о зарплате или финансовой информации) или же выполнение специальных тестов на возможность получения такого доступа.
  • Месть. Внутренние инициаторы атак, подталкиваемые жаждой мести, испытывают враждебные чувства по отношению к вполне конкретным сотрудникам, а не к компании в целом. Действия таких людей особенно опасны, потому что они проявляют выдержку и видят перед собой четкую цель. К данной категории чаще всего относятся бывшие сотрудники, считающие, что их несправедливо уволили.
  • Финансовые мотивы. Внутренние пользователи, преследующие финансовые цели, крадут конфиденциальную информацию для заинтересованных третьих лиц.

В чем заключались типичные атаки?

Намеренное разрушение информации или систем. К данной категории относится физическое повреждение сетевых кабелей или компьютерных устройств, а также отключение электричества или каких-то иных компонентов инфраструктуры.
  • Кража информации или ее носителей. Сюда можно отнести похищение всего, что связано с хранением данных в цифровой форме и, наконец, кражу физических устройств.
  • Запуск деструктивного кода. К «деструктивному коду» относятся «мины замедленного действия» (программное обеспечение, которое должно разрушить систему в назначенный срок) и «логические бомбы» (программы, разрушающие систему при возникновении определенных условий).
  • Вирусы. Конечно, большая часть внутренних угроз обусловлена «невежеством» пользователей, которые сами делают двойной щелчок на вложении электронной почты, активизируя тем самым вирус, но результаты анализа «внутренних атак» показывают, что вирусы могут быть и специально запущены в сеть враждебно настроенными сотрудниками.
  • Установка неавторизованного программного или аппаратного обеспечения. Типичная атака выражается в запуске «троянского коня» привилегированным пользователем.
  • Использование уязвимых мест в реализации протоколов. Наличие слабых мест в стеке протоколов TCP/IP может стать источником огромного числа самых разных проблем: подмены злоумышленниками адресов DNS, генерирования нужной последовательности TCP, захвата сеансов и получения доступа к данным аутентификации, воспроизведения транзакций, инициирования отказа в обслуживании и переполнения TCP_SYN.
  • Использование уязвимых мест в операционной системе. Об этом всем нам хорошо известно. Операционные системы (например, Windows или Linux) не обеспечивают достаточно высокой степени безопасности. Привилегированные пользователи, хорошо знающие уязвимые места операционной системы, легко получают доступ к информации, если на компьютере не установлены обновления, закрывающие эти бреши. Привилегированные пользователи, обладающие правами администратора, могут манипулировать соответствующими изъянами ОС и использовать их в своих целях.
  • Социальная инженерия. С помощью средств электронной почты, систем мгновенной передачи сообщений или телефонной связи атакующие выдают себя за легитимных сотрудников и администраторов, получая обманным путем информацию об именах пользователей и их паролях и обеспечивая себе доступ к нужной информации или системам. Для достижения этой цели могут применяться также программы «троянских коней».

Где следует начинать поиски?

Оценивая ситуацию с прагматической точки зрения, я рекомендовал бы начать с вопросов, решение которых принесет наибольшую отдачу при минимальных затратах. Речь идет о «привилегированных пользователях».

Привилегированными называются пользователи, которым предоставляются самые широкие права. Их называют «администраторами», «суперпользователями» или «специальными пользователями». А теперь приведем несколько простых фактов из жизни пользователей, которых принято называть администраторами.

  • Людям свойственно время от времени совершать глупые поступки, непреднамеренные деяния, а иногда и сознательно деструктивные действия.
  • Администраторы тоже люди.
  • Будучи людьми, администраторы точно так же, как и все остальные, порой совершают глупости и выполняют непреднамеренные и потенциально опасные действия.

Почему это происходит? Дело в том, что «ключи от сокровищницы у администраторов буквально лежат в кармане. Их непродуманные, непреднамеренные или откровенно деструктивные действия могут иметь просто ужасные последствия для среды ведения бизнеса, поддерживаемой инфраструктурой ИТ. Если у вас еще остаются сомнения, обратитесь к статистике: согласно общенациональному опросу, проведенному в США организацией The Association of Certified Fraud Examiners, внутренние атаки обходятся американскому бизнесу в 400 млрд. долл. в год. Из этой суммы 348 млрд. долл. приходится непосредственно на привилегированных пользователей. В том же самом обзоре утверждается, что бизнес США теряет из-за внутренних атак 6% своего ежегодного валового дохода, и опять-таки львиная доля вины за это ложится на привилегированных пользователей.

Эти цифры просто потрясают воображение. Оказывается, максимальный ущерб причиняет весьма немногочисленная группа людей. К сожалению, эффективное управление угрозами осложняется еще и тем, что традиционные и основополагающие концепции безопасности — в особенности те из них, которые базируются на «принципе наименьших привилегий», — оказываются здесь непригодными. В компьютерной среде принцип наименьших привилегий предполагает предоставление пользователю минимально возможных привилегий, позволяющих выполнять необходимые ему действия. При этом уменьшается вероятность проведения других операций, которые могут оказать негативное влияние на работу системы. В реальной жизни воплощение данного принципа приводит к тому, что вы ограничиваете возможности системных администраторов в части быстрого и эффективного выполнения ими своих обязанностей.

Попытаюсь сформулировать основные положения нетрадиционного (но зато в гораздо большей степени приближенного к реальной жизни) подхода с описанием мероприятий, которые следует выполнять для уменьшения рисков, обусловленных действиями привилегированных и внутренних пользователей.

  • Заполнение журналов и проведение аудита. Как только вы выявляете очередную потенциальную угрозу, тут же возникает следующая. Решения, обеспечивающие мониторинг и аудит привилегированных пользователей, позволяют организации непрерывно вести журнал и осуществлять контроль за деятельностью соответствующей группы сотрудников и характером использования ими своих привилегий. При грамотном определении политик вам не составит труда идентифицировать и изучить причины проявления неуместных действий и возникновения ошибок во время выполнения процедур. Определяющая роль здесь отводится журналам. Хранящаяся в них информация служит основой для проведения последующего анализа. Речь в данном случае не идет о том, стоит ли этим заниматься в принципе. Тут все очевидно. Вопрос лишь в том, когда это лучше проделать.
  • Управление учетными записями. У сотрудников организации есть возможность обойти традиционные средства обеспечения безопасности, поскольку они пользуются доверием персонала и обладают физическим доступом к ресурсам. Поэтому очень важно, чтобы пользователи, имеющие свободный доступ к системам и данным, были «подотчетны». Грамотное определение политик и технологий управления учетными записями позволит осуществлять контроль за каждым конкретным пользователем, а не только за сетью в целом. В рамках этой программы необходимо лишать человека доступа к компьютерным ресурсам компании сразу после его увольнения. Подобные рекомендации могут показаться тривиальными, но на практике очень часто они не выполняются.
  • Система противодействия удаленным атакам. Большинство своих атак внутренние пользователи совершают в удаленном режиме. Для организации противодействия подобным атакам нужна глубоко эшелонированная оборона, предусматривающая мониторинг и регистрацию в системных журналах всех удаленных операций.
  • Система защиты от вредоносного кода. Типичная атака, осуществляемая привилегированными пользователями, заключается в запуске вредоносного кода или установке в системе или сети «логических бомб».
  • Мониторинг и ответная реакция на деструктивные действия. Внешнее проявление деструктивных действий — одна из наиболее характерных черт внутренней атаки. Поэтому наряду с непрерывным мониторингом событий, происходящих в сети, руководству организаций следует определить формальные процедуры, которые будут выполняться при обнаружении подозрительных или деструктивных действий сотрудников на рабочем месте. Наличие эффективных процедур заметно повышает вероятность того, что сотрудники своевременно сообщат о деструктивных или подозрительных действиях своих коллег, и атаку удастся отразить.
  • Дополнительный контроль. Реализация программ обучения компьютерной безопасности («наблюдения за происходящим»). Первую линию обороны и организации противодействия внутренним атакам занимают другие внутренние пользователи. Недавнее исследование CERT показало, что большинство внутренних атак выявляется именно другими внутренними пользователями. В общем случае необходимо охватить программами обучения безопасности всех сотрудников организации и специалистов, работающих по договору. Нужно сформулировать цели политик и процедур, определить порядок их реализации и спланировать действия, выполняемые в случае обнаружения каких-либо нарушений.

Здесь есть три важных момента. Во-первых, ценность прохождения сотрудниками программ обучения со временем снижается. Для поддержания эффективности на должном уровне обучение и инструктаж должны проводиться на регулярной основе. Во-вторых, очень трудно обосновать окупаемость обучения. Не удивительно, что финансирование соответствующих программ традиционно осуществляется в недостаточном объеме. В-третьих, обучение часто проводится специалистами, навыки преподавания которых оставляют желать лучшего, или же людьми, не обладающими необходимыми знаниями в области обеспечения безопасности.

В условиях возрастающей роли Internet и подключения к ресурсам корпоративной сети все новых компаний грань между внутренними и внешними пользователями, а также традиционными внешними и внутренними границами постепенно исчезает.

Цель определения внутренних политик заключается в том, чтобы защитить права и интересы сотрудников компании, включая ее привилегированных пользователей и акционеров. Возможность снижения риска, обусловленного внутренними атаками со стороны привилегированных пользователей, без ущерба для выполнения бизнес-операций внушает определенный оптимизм. Нужно лишь придерживаться здравого смысла, пройти краткий курс психологии человека и обладать хорошими техническими знаниями. Другими словами, «говорите, не повышая тона, не выпускайте из рук большой дубинки, и вы многого добьетесь» (Теодор Рузвельт).


Знакомьтесь: злоумышленник

В 2005 году представители спецслужб США и центра CERT Coordination Center, созданного при Университете Карнеги — Меллона, опубликовали результаты исследования внутренних угроз, в котором была предпринята попытка проанализировать менталитет и мотивацию атакующих. Согласно статистическим данным, типичный портрет инициатора атаки выглядит следующим образом:

  • мужчина;
  • возраст от 17 до 60 лет;
  • занимает техническую должность (с вероятностью 86%);
  • с равной степенью вероятности может состоять или не состоять в браке;
  • расовая и этническая принадлежность может быть самой разной;
  • основным мотивом в 92% проанализированных случаев являлась месть;
  • 62% атак были спланированы заранее;
  • 80% перед совершением атаки вели себя подозрительно или проявляли агрессивность по отношению к коллегам и непосредственным начальникам;
  • только 43% обладали правом авторизованного доступа (в соответствии с принятой в организации политикой, не обязательно с помощью средств управления системой);
  • 64% применяли при проведении атак средства удаленного доступа;
  • в большинстве случаев атаки совершались без применения сложных технических манипуляций.