Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеВ нашем цифровом мире информационная безопасность становится все более важным аспектом как для частных лиц, так и для бизнеса. Угрозы информационной безопасности растут и развиваются так же быстро, как и технологии, которые они ставят под угрозу. Чтобы не допустить подобного исхода, важно осознавать все риски и использовать многофункциональные надежные инструменты защиты. Разберемся, о каких угрозах речь, как их нейтрализовать и предупредить.
Что такое угрозы информационной безопасности
Фактически это события, которые нарушают безопасность данных и информационных систем. Практически всегда их ассоциируют с хакерскими атаками, злоумышленными действиями сотрудников, нарушением правил хранения и обработки конфиденциальных сведений. Такие угрозы информационной безопасности называют искусственными, поскольку они так или иначе инициируются людьми.
Также существуют естественные угрозы — события, не зависящие от человека. Например, это потоп, пожар, ураган и другие природные явления, которые могут повлечь за собой последствия для информационных систем.
Каждая компания должна проанализировать возможные угрозы информационной безопасности и выстроить комплексную защиту от них. Полностью исключить риски не получится, поэтому цель — минимизировать их.
Виды угроз информационной безопасности
Угрозы информационной безопасности представляют собой широкий спектр рисков, которые могут угрожать конфиденциальности, целостности и доступности информации и информационных систем. Эти угрозы могут быть как внутренними, так и внешними, и могут включать в себя физические, технические и административные аспекты безопасности. Хакерские атаки, вирусы, черви и троянские программы, физические атаки, социальная инженерия, ошибки сотрудников, неавторизованный доступ и аварии или стихийные бедствия - все это примеры угроз информационной безопасности. Рассмотрим самые распространенные угрозы.
Вредоносное ПО
Вредоносное программное обеспечение представляет собой любое программное обеспечение, созданное с злонамеренными целями, такими как кража персональных данных, несанкционированный доступ к системе, шпионаж, саботаж или уничтожение данных. У каждого из них свои задачи, например:
- Программы-вымогатели блокируют системы или частично парализуют их работу. Злоумышленники внедряют такое ПО с целью получить выкуп за разблокировку.
- Программы-шифровальщики производят манипуляции с пользовательскими файлами, делая их нечитаемыми. Цель злоумышленников, использующих такие инструменты, тоже заключается в выкупе.
- Компьютерные черви попадают на устройство жертвы, после чего распространяются путем самокопирования. Цель их использования — кража конфиденциальных данных, удаление файлов, шифрование информации и т.д.
- Клавиатурные шпионы (кейлоггеры) фиксируют операции с клавиатурой. Они на легальной основе используются в некоторых средствах обеспечения безопасности, но чаще их применяют злоумышленники с целью украсть атрибуты учетных записей. Клавиатурных шпионов достаточно сложно обнаружить.
- Трояны попадают на компьютеры под видом легального программного обеспечения. Ничего не подозревающие пользователи могут скачивать программы и приложения, которые затем будут служить для злоумышленников точкой входа в корпоративные информационные системы. С помощью троянов хакеры получают доступ к локальным сетям, крадут или удаляют информацию, собирают данные и т.д.
Это только самые популярные виды вредоносного программного обеспечения, представляющего угрозу информационной безопасности. Иногда злоумышленники используют нестандартное ПО, которое могут не обнаружить антивирусы.
Социальная инженерия
Так называют атаки, которые не требуют применения каких-либо специальных инструментов. Злоумышленники используют различные психологические приемы и манипуляции, пытаясь заставить жертву совершить какие-либо действия или выдать конфиденциальные сведения.
Социальную инженерию часто называют «взломом» человека. Злоумышленники пытаются мыслить, как жертва с целью найти рычаги давления. Например, они могут втираться в доверие, заставать врасплох, торопить, играть на любопытстве или корысти и т.д.
Важно рассказать сотрудникам о таких атаках и мерах противодействия им.
Хакерские атаки
Это обширная группа угроз информационной безопасности, направленных как на отдельных пользователей, так и на компании. Опаснее всего целенаправленные атаки, к которым злоумышленники обычно тщательно готовятся.
Примеры атак:
- SQL-инъекции — введение вредоносного запроса в поле ввода на сайте или в приложении, которые собирают любую пользовательскую информацию в текстовом виде. Этот запрос сработает в системах управления базами данных. В результате может произойти утечка, несанкционированные модификация или удаление файлов.
- Атаки типа man-in-the-middle, более привычное название которых — «человек посередине». Злоумышленники становятся третьим звеном в коммуникации двух людей и перехватывают важные сведения. Они могут легально участвовать в общении или оставаться незамеченными.
- Фишинг — атаки, нацеленные на кражу персональных данных, банковских реквизитов или денег с карт, распространение вредоносного ПО. Чаще всего в рамках таких схем злоумышленники рассылают на электронную почту письма с приглашением на зараженные ресурсы или сайты, которые хорошо замаскированы под легальные.
- Целевые APT-атаки — сложные схемы, целью которых становится незаметная кража конфиденциальных данных. То есть злоумышленники никак себя не обнаруживают, поэтому инциденты раскрываются далеко не сразу.
- Спуфинг — угрозы информационной безопасности, в рамках которых злоумышленники выдают себя за доверенное лицо и получают доступ к информационным системам или определенной информации.
Арсенал инструментов для реализации атак растет, схемы усложняются, поэтому компаниям все сложнее защищаться от кибертерроризма. Тем более злоумышленники научились обходить практически все распространенные системы обеспечения безопасности. Именно поэтому так важен комплексный подход в борьбе с угрозами информационной безопасности.
Утечка данных
Какими могут быть утечки:
- Намеренными. Это случаи, подразумевающие, что инициаторы инцидентов осведомлены о негативных последствиях своих действий. То есть злоумышленники, пытающиеся украсть конфиденциальные данные, действуют целенаправленно, желая навредить компании или использовать полученную информацию в своих целях. Также инициаторами намеренных утечек могут быть сотрудники, подрядчики, партнеры. Они тоже осознают, что последует за инцидентом.
- Случайными. Это утечки, которые возникают не в результате злого умысла, а по ошибке, невнимательности, неосторожности. Их инициаторами обычно становятся сотрудники, небрежно относящиеся к своим обязанностям. Например, они могут сообщить конфиденциальные сведения по телефону, ошибочно указать не того адресата в электронной почте, на видном месте оставить пароли и т.д.
Утечки могут инициироваться как внешними злоумышленниками, так и сотрудниками компании.
Внутренние угрозы информационной безопасности
Большинство инсайдерских угроз являются непреднамеренными и возникают по разным причинам, например, из-за гибридного режима работы или BYOD. Инсайдерские угрозы могут также возникать из-за усталости сотрудников, стресса или незнания процессов безопасности и важности защиты данных.
Рассмотрим несколько реальных ситуаций
1. Михаил спешит в детский сад
Михаилу нужно забрать ребенка, и у него не хватает времени, чтобы обновить базу данных клиентов для рассылки на следующий день. Он мог бы сделать это из дома, но, согласно политике компании, это делать нельзя. Тем временем его ребенок плачет, а учительница звонит Михаилу, чтобы узнать, едет ли он. Михаил торопится, поэтому копирует лист Excel, загружает его на свой личный Google Drive и решает сделать работу дома вечером.
2. Марию отвлек коллега, пока она отправляла электронное письмо
Мария работает над важным электронным письмом с финансовыми документами для финансового директора своей компании, как вдруг у нее звонит телефон. Это ее коллега с важным вопросом, требующим немедленного решения. Стремясь справиться с двумя задачами одновременно, она непреднамеренно выбрала адрес электронной почты клиента из списка предложенных, вместо адреса финансового директора, и отправила конфиденциальные финансовые документы клиенту.
3. Олегу больше не нравится его работа
У Олега возникли проблемы с руководителем, и он решает найти новую работу. Он талантлив и уже получил предложение от конкурента. Олег знает, что база данных клиентов его компании пригодится ему на новой работе, и решает взять ее с собой. Он считает, что отправлять ее по электронной почте рискованно, поэтому загружает несколько скриншотов и экспортов базы данных на свой USB-накопитель.
Одними из самых опасных являются внутренние угрозы информационной безопасности, то есть те, которые исходят от сотрудников. Внутренних нарушителей в данном контексте называют инсайдерами вне зависимости от того, действуют они по злому умыслу или по невнимательности.
Возможные внутренние угрозы:
- Обход средств защиты с целью получить несанкционированный доступ к информационным системам и данным.
- Разглашение конфиденциальных сведений, например, отнесенных к коммерческой тайне.
- Кража информации, например, персональных данных сотрудников или клиентов, финансовой отчетности, собственных наработок.
Внутренние угрозы информационной безопасности могут обнаружиться далеко не сразу, поскольку инсайдеры чаще всего никак себя не выдают. Но решения класса Data Leak Prevention (сокращенно — DLP) позволяют вычислить нарушителей, даже тогда, когда они думают, что они действуют незаметно.
Риски
Угрозы информационной безопасности всегда сопряжены с рисками финансовых и репутационных потерь для организации-жертвы. Перечислим цели, которыми могут руководствоваться как внешние, так и внутренние злоумышленники:
- Кража конфиденциальной информации может совершаться с целью продать данные, предать их огласке, использовать для подготовки дальнейших атак.
- Вывод из строя оборудования и систем с целью остановить рабочие процессы.
- Компрометация атрибутов учетных записей, чтобы затем использовать их для доступа в информационные системы компании.
Иногда злоумышленники осуществляют мошеннические действия от имени организации-жертвы с использованием похищенных сведений. Например, хакеры крадут базу данных клиентов и под видом менеджера заставляют людей совершить покупку. В таких случаях целями становятся получение выгоды и подрыв репутации организации-жертвы.
Последствия реализованных угроз информационной безопасности
Сбои во внутренних системах в результате хакерских атак часто приводят к частичной потере данных и приостановке рабочих процессов.
Утечки данных часто становятся причиной финансовых потерь и упущенной выгоды. Также слитая информация может использоваться для шантажа отдельных лиц, конкурентной разведки и т.д. Не стоит забывать и о серьезных штрафах за утечку.
Способы нейтрализации угроз информационной безопасности
Мы уже упоминали, что борьба с угрозами информационной безопасности должна быть комплексной. Какие меры следует предпринять:
- Внедрить принцип минимальных привилегий, то есть назначить сотрудникам только те полномочия, которых достаточно для выполнения обязанностей.
- Сформировать у сотрудников культуру информационной безопасности, рассказать о возможных угрозах и способах защиты от них.
- Ввести четкие регламенты, касающиеся каналов передачи информации. Например, можно запретить съемные носители.
- Передавать данные в зашифрованном виде, чтобы злоумышленники не могли их прочитать и использовать в своих целях.
- Внедрить специальные инструменты для защиты от угроз информационной безопасности. Желательно использовать DLP-систему для мониторинга и контроля за действиями пользователей, предотвращения утечек информации.
DLP-системы занимают важное место в контуре информационной безопасности, поскольку они позволяют контролировать каналы передачи конфиденциальных сведений и выявлять признаки корпоративного мошенничества, внутренних нарушений. Это многомодульные решения, использующие разные алгоритмы и технологии, в том числе уникальные. Например, в Solar Dozor реализованы два модуля— «Досье» и User Behavior Analytics.
Модуль «Досье» оснащен инструментами, способствующими выявлению скрытых связей между сотрудниками, созданию отчетов о персоне, изучению интенсивности коммуникации и используемых для этого каналов. Дополнительно, модуль накапливает информацию из модуля UBA (User Behavior Analytics), который предназначен для анализа поведения пользователей по 20 паттернам. С помощью этой технологии удается превентивно обнаруживать внутренних нарушителей.
Для предотвращения утечек в продукте реализованы следующие технологии: Digital fingerprints для сравнения передаваемых файлов с цифровыми отпечатками (эталонами из базы данных системы), ID identification для поиска идентификаторов корпоративных сведений в текстах писем и сообщений, You Only Look Once для распознавания информации, представленной в графических форматах, файловый краулер для создания карты внутренней сети и сканирования массивов данных.
