9. У нас нет секретов, мы
никому не интересны.
#CODEIB
10. У меня есть специальные
средства контроля и
мониторинга
#CODEIB
11. Как сделать правильный
выбор ?
Работать в 3Data
Поддерживать архитектуру работы на
разрыв/блокировку
Учитывать отраслевую специфику
Быть масштабируемым и поддерживать изменения
настроек «на лету»
Быть от НАДЕЖНОГО и ПРОВЕРЕННОГО российского
производителя
DLP решение должно:
#CODEIB
Можно сколь угодно долго спорить, какие из угроз информационной безопасности актуальнее или главнее, пускай каждый из вас самостоятельно определит вес, я же намеренно, уравниваю их в сегодняшнем рассказе, но тем не менее, хочу сделать акцент на внутренних угрозах информационной безопасности, так как эта тема широко не освящается и остается как бы «за кадром».
Сегодня мы будем говорить с вами о психологии нарушителей, и разберем основные мифы связанные с данным типом угрозы предприятию.
Прежде чем мы перейдем к разговору о мифах, хотелось бы немного зачерпнуть теории, о том кто же такой внутренний нарушитель, его мотивация, и цели.
Классификация инсайдеров, есть несколько основных подходов к классификации инсайдеров
Одной из первых шаг в этом направлении сделала международная организация IDC, экосистема инсайдеров имеет 4 уровня:
Граждане - наиболее лояльные сотрудники, которые очень редко, или вообще никогда, не нарушают политики компании, и не представляющие угрозы ИБ.
Нарушители - большая часть экосистемы корпорации, позволяющие себе не большие нарушения, уровень угрозы – минимальный, или не значительный
Отступники – злоупотребляющие своими привилегированными правами в корпоративной сети, серьёзная угроза ИТ безопасности
Предатели – регулярно и намеренно раскрывают конфиденциальную информацию, самый высокий уровень опасности но сложнее всего поймать.
Мне же импонирует, более развернутая классификация состоящая из 7 уровней, ссылаясь на наш более чем 12 летний опыт работы с внутренними нарушителями информационной безопасности, мы считаем, что она наиболее полно отражает характер инсайдеров:
Халатный - рядовые служащие , нарушения политик ИБ носят, немотивированный, а иногда даже не осознанный характер, не преследуют никаких целей, нет умысла, корысти.
Манипулируемый – жертвы социальной инженерии, о них я чуть подробнее расскажу на следующих слайдах.
Обиженные - сотрудники имеющие цель навредить компании, так как компания их во время не заметила, или не ответила на его старания. Чаще всего это сотрудники которые наносят вред компании и не собираются её покидать.
Нелояльные – собирающиеся покидать компанию, базы, и максимум информации которая в их доступе
Подрабатывающие и внедренные – самый интересный и редкий вид, о котором хотел бы рассказать чуть подробнее далее.
Я остановлюсь, на наиболее интересных типах инсайдеров, с которыми мы с вами сталкиваемся ежедневно:
Социальная инженерия – одно из серьезнейших орудий в руках профессионала, манипулируемый сотрудник компании, далеко не всегда понимает, что его действия, могут нанести не поправимый вред для компании.
Примеры социальной инженерии отлично показаны во многих кинолентах, последний фильм который, я бы с удовольствием порекомендовал и для меня он оставил очень сильное впечатление «WhoamI» где продемонстрированы очень удачные примеры.
Мой любимый пример применения социальной инженерии:
Звонок в центральный офис территориально распределенной компании, от директора филиала, находящегося на другом конце страны, который весьма правдоподобно представляется, описывает проблему связанную с ИТ и катастрофической нехваткой времени, и просит переслать конфиденциальную информацию на его личный ящик.
сценарий – хотела как лучше, а получилось как обычно.
«Внедренные» сотрудники, один из самых редких и самых опасных вариаций инсайда, так как эти лже сотрудники имеют четкую цель, чаще всего понимание. Где находится эта цель. Ну и конечно же они прекрасно осознают что их действия являются, противоправными и именно поэтому проявляют максимум бдительности и осторожности.
В сегодняшних реалиях ни для кого не секрет, что во благо не добросовестной конкуренции, подготовки к рейдерскому захвату предприятия, многие корпорации и холдинги, осознавая ценность конфиденциальной информации, могут прибегнуть к таким методам как внедрение или подкуп сотрудников «целевого» предприятия.
Самым простым примером внедрения можно описать следующую ситуацию:
Представьте успешного системного администратора в крупной компании, в руках которого сосредоточены ключевые элементы автоматизированных систем управления, и вот ему поступает предложение о работе которое в 2 а может и несколько раз превосходит его нынешнюю позицию, естественно он как лояльный сотрудник пойдет обсудить его со своим руководством, и получив отказ в повышении ЗП, примет предложении от сторонней компании. И так мы имеем крупную компанию в которой увольняется ключевой сотрудник, очень резко встает цель замены высококлассного специалиста, и тут совсем «внезапно» кадровое агентство предлагает кандидата ничуть не хуже чем был у вас… ну дальнейшее развитие событий думаю понятно.
Первый миф, о котором, я хотел бы сегодня поговорить, это устоявшееся мнение, что угрозы происходят из вне.
На сегодня, пожалуй уже не найти компанию, которая бы беспечно относилась к вопросу обеспечения защиты от внешних угроз информационной безопасности, понимание того что «сеть» стала отнюдь не безопасным и уютным местом, прочно укрепилось благодаря все возможным средствам массовой информации, PR антивирусных компаний, а так же активной пропаганде данной проблемы в кинематографе. Даже у представителей «старой школы бизнеса» в голове отложилось четкое понимание того, что Антивирус должен быть и точка, так как в «этих ваших интернетах» чего только не бывает. С одной стороны это прекрасно и отлично соответствует действительности, ежедневного в «сети» появляется более чем 350тыс уникальных сигнатур зловредного кода, атаки злоумышленников становятся более направленными и изощрёнными, и в конце концов никто не отменял все возможные darknet с их «черным рынком» зловредного ПО. Это высокотехнологичный и высокодоходный бизнес взять хотя бы всем известные шифровальщики.
По данным сайта Wired.co.uk сегодня стоимость эксплоита шифровальщика, колеблется от 10 до 15 BTC. Средняя стоимость ключа расшифровки от 2 до 5 BTC. То есть с 5 успешных атак это вложение окупается, и в дальнейшем приносит злоумышленнику доход, который идет в разрез с уголовным кодексом РФ, но видимо это мало кого смущает.
с другой стороны, мы не редко сталкиваемся с устоявшимся мнением руководства компаний, что мы защищены по «самое не балуЙся», и доказать, что даже самые современные и уважаемые продукты различных антивирусных компаний сосредоточенных на технологиях обнаружения и предотвращениях вирусных эпидемий, не являются так называемой «кремлевской таблеткой». Высокопрофессиональные злоумышленники концентрируют свое внимание на так называемых intelligent exploit основной целью которых остается максимально скрытное проникновение в защищенный периметр и предоставление возможности задержаться там как можно дольше не выдав своего присутствия, для этого используются так называемые «угрозы нулевого дня», когда ни один из производителей антивирусного ПО не может отреагировать на пока ещё не известную угрозу.
Давайте продолжим, защита от внешних угроз это несомненный плюс, сейчас я буду говорить о вещах, которые не принято освящать на публике, но я бы хотел что бы наше с вами общение было максимально открытым и доверительным. Поэтому прошу каждого из вас задать себе вопрос, а верю ли я своим сотрудникам на столько, что готов рискнуть своим бизнесом ? И все ли атаки происходят из вне, от которых мы так стремительно защищаемся на протяжении долгих лет ?
При разговоре с бизнесом, мы часто слышим, что у нас самые лояльные сотрудники, и ни у кого не возникнет даже желания навредить общему делу, в противовес этому высказыванию пусть говорят цифры.
Очень популярный ответ руководителей, как я уже говорил ранее, давайте будем максимально честными и открытыми прежде всего с сами с собой, если у вас нет секретов, а любой бизнес строится на обладании какими либо секретами, то остается открытым вопрос а почему вы ещё работаете?, секреты есть у всех, это могут быть конфиденциальные данные связанные с особенностью работы, бухгалтерские балансы и состояние активов предприятия, кол-во бенефициаров и реальных собственников предприятия, технологические «ноу-хау» или уникальные разработки дающие именно вашему предприятию столь необходимые преимущества, в условиях ожесточенной конкурентной борьбы и не простой экономической ситуации в целом.
Отлично что вы уже позаботились о минимальных требованиях защиты конфиденциальной информации, вопрос в другом, а что умеет ваше спец средство ? Может быть оно полностью адаптировано под вашу отраслевую специфику? Или же оно обладает уникальными интеграционными возможностями ? Умеет ли оно блокировать информацию не позволяя выйти за периметр ?
Для наглядности я приведу пример, мы все с вами живем в квартирах, или же частных домах, у некоторых из нас в дополнении у железным, дверям, существуют дополнительные средства безопасности, видеокамеры, сигнализации… и тд. Так вот почему же устанавливая средство мониторинга и контроля, вы позволяете оставить только видеокамеру, а дверь убрать?
Многие из вас уже наверно слышали про утечку в банке на 300 тыс записей ? Да , там стояло DLP решение, но «есть нюансы». DLP решение без возможности присекать нарушения периметра безопасности, являются хорошим инструментом в дальнейшем разбирательстве, но никак не смогут выполнить свою главную функцию, предотвратить выход конфиденциально информации за периметр сети.
Отлично что вы уже позаботились о минимальных требованиях защиты конфиденциальной информации, вопрос в другом, а что умеет ваше спец средство ? Может быть оно полностью адаптировано под вашу отраслевую специфику? Или же оно обладает уникальными интеграционными возможностями ? Умеет ли оно блокировать информацию не позволяя выйти за периметр ?
Многие из вас уже наверно слышали про утечку в банке на 300 тыс записей ? Да , там стояло DLP решение, но «есть нюансы». DLP решение без возможности присекать нарушения периметра безопасности, являются хорошим инструментом в дальнейшем разбирательстве, но никак не смогут выполнить свою главную функцию, предотвратить выход конфиденциально информации за периметр сети.