Соңғы нүктелерге инсайдерлік қауіптер

Ішкі қауіптер бірнеше формада болады. Классикалық сценарийде жоғары артықшылықты мердігерлер жоба аяқталғаннан кейін ұзақ уақыт бойы құпия деректерді жіберетін шпиондық бағдарламаны орнатады. Басқа жағдайда, қызметкер сіздің жүйелеріңізге белсенді түрде зиян келтіреді, содан кейін жұмысын тоқтатады. Желіге артықшылықты рұқсаты жоқ адамдар да әдейі (кейінірек пайдалану үшін коммерциялық құпияларды жинау арқылы) немесе байқаусызда (фишингтік электрондық поштаға түсіп қалу арқылы) инсайдерлік қауіптер тудыруы мүмкін.

Соңғы нүкте – желі арқылы деректерді қабылдайтын немесе жіберетін құрылғы немесе бағдарлама. Соңғы нүктелер әртүрлі болуы мүмкін, мысалы:

– Компьютерлер, серверлер, смартфондар және планшеттер
– Маршрутизаторлар мен коммутаторлар сияқты желілік жабдық
– Желі арқылы басқа құрылғылармен байланысатын бағдарламалық құрал
Соңғы нүктелерді желідегі құрылғылар арасында деректерді тасымалдау немесе қашықтағы қызметтерге қол жеткізу сияқты әртүрлі мақсаттарда пайдалануға болады.

Инсайдерлік қауіптер орын алғанымен, соңғы нүкте қауіпсіздігіне әсер етеді, себебі олар соңғы нүкте (компьютер, планшет, смартфон, IoT құрылғысы) мен желінің қалған бөлігі арасындағы сенімді бұзады. Төменде сипатталған инсайдерлік қауіптердің әртүрлі түрлерін зерттей отырып, сіз жалпы сипаттарды анықтап, желіңізді олардан қорғай аласыз.

Ішкі қауіптердің алдын алу үшін қандай шаралар қолдану керек?

Барлық құрылғыларда антивирустық бағдарламалық құралды орнату және жүйелі түрде жаңарту инсайдерлік қауіптердің алдын алудың маңызды қадамдарының бірі болып табылады. Вирусқа қарсы бағдарламалық құрал құрылғыларға енуі мүмкін вирустарды, трояндарды және басқа зиянды бағдарламаларды анықтауға және жоюға көмектеседі. Вирусқа қарсы дерекқорларды жүйелі түрде жаңарту құрылғыларды жаңа қауіптерден қорғауға көмектеседі.

Компьютерлерді вирустарға тексеру инсайдерлік қауіптердің алдын алудың тағы бір маңызды қадамы болып табылады. Вирустарды жүйелі түрде қарап шығу зиянды бағдарламаны жүйеге зақым келтірмес бұрын анықтауға және жоюға көмектеседі.

Брандмауэрді пайдалану желіні сыртқы қауіптерден қорғауға көмектесетін және ішкі пайдаланушылар үшін жүйеге кіруді шектейтін шара болып табылады. Брандмауэр қажетсіз қосылымдарды блоктайды және белгілі бір ресурстарға кіруді шектей алады.

Қызметкерлерді қауіпсіздік туралы оқыту инсайдерлік қауіптердің алдын алудың маңызды қадамы болып табылады. Қызметкерлер күдікті сілтемелерді ашпау, бейтаныс жіберушілерден сілтемелерді басу және белгісіз файлдарды жүктеп алмау сияқты қауіпсіздік ережелерін үйрету керек.

Екі факторлы аутентификация жүйеге немесе ресурсқа рұқсат бермес бұрын пайдаланушының жеке басын тексеруге мүмкіндік беретін қосымша қауіпсіздік шарасы болып табылады. Екі факторлы аутентификацияны SMS хабарламалары, экрандағы растау кодтары немесе аппараттық таңбалауыштар сияқты әртүрлі әдістер арқылы жүзеге асыруға болады.

Қауіпсіздік саясатындағы өзгерістерді бақылау да инсайдерлік қауіптердің алдын алудың маңызды қадамы болып табылады. Компания ережелері мен қауіпсіздік шараларының уақтылы жаңартылуын қамтамасыз ету үшін заңнамадағы өзгерістерді және қауіпсіздік тенденцияларын бақылауы керек.

Бақылаудың негізгі бағыттары

1. Қызметкерлердің интернетті пайдалануы

Сіздің қызметкерлеріңіздің көбі қашықтан және үй кеңселерінен жұмыс істейтіндіктен, инсайдерлік қауіп көбейіп жатыр ма, әлде азаяды ма?

Корпоративтік брандмауэрдің ішінде болу үлкен қауіпсіздікті білдіреді деп жалпы қабылданған. Бұл, әрине, желіңізге қауіп енгенше дұрыс; сонда сіздің қауіпсіздігіңіз бұзылады. Қызметкерлеріңізге Интернетке кіруге рұқсат беру сіздің желіге бейтаныс адамдарды әкелу қаупі бар, олар қалағанын жасай алатын цифрлық өмірдің фактісі. Сонымен қатар, барлығын сыртқа шығармау үшін мүмкіндігінше биік қабырға салудың қауіпсіздік моделі мағынасыз.

2. Әдейі емес инсайдерлік қауіптер/пайдаланушының әрекеті

Инсайдерлік қауіптерге осалдығыңызды шектеу үшін қолданатын барлық нәрселерге қоса, оны шектеу үшін қолданбайтын барлық нәрселерді есте сақтаңыз.

Құқық туралы сөз болғанда, АТ нәзік теңдестіру әрекетіне тап болады. Жолақты неғұрлым төмендетсеңіз, желі қорғанысына ену соғұрлым оңайырақ болады. Бірақ егер сіз оны тым жоғары көтеріп, пайдаланушыларға жеткілікті рұқсат бермесеңіз, олар файлдарды ортақ пайдаланудың және жұмысын аяқтаудың балама жолдарын табады. Бұл пайдаланушы әрекетінен туындайтын әдейі емес инсайдерлік қауіптің бір түрі.

Егер сіз адамдарға өз жұмысын орындауды тым қиындатсаңыз, олар сол нәрсені істеудің басқа (әдетте қауіпсіз емес) әдісін табады. Содан кейін сіз киберқауіпсіздікті сақтандыруға өтініш бергенде және тасымалдаушы файлдарыңызды Dropbox немесе GitHub ішінен тапқанда, бұл ұят.

Көлеңкелі АТ-дан шынымен алда тұрудың жалғыз жолы - пайдаланушыларыңызда бұл жолды таңдауға ешқандай себеп жоқ екеніне көз жеткізу. Тепе-теңдікті табу қиын, әсіресе қауіпсіздікті қарастыру керек.

3. Түзетілмеген соңғы нүктелер/бағдарламалық құрал

Қол жеткізуді, қосылымды және ортақ пайдалануды түсіну арқылы сіз барлық соңғы нүктелеріңіздің түзетілген және қауіпсіз екеніне көз жеткізе аласыз. Мұның үлкен бөлігі - олар үшін не жұмыс істейтінін білу. Нөлдік күн қауіпі пайда болған кезде, сіз білуіңіз керек бірінші нәрсе - бұл сізге әсер ете ме, жоқ па.

Бірыңғай соңғы нүктені басқару құралы сізді құтқара алады. Ол желіге қосылған барлық соңғы нүктелердің (компьютерлер, планшеттер, смартфондар) тізімін қамтиды. Сіз олардың қайда екенін, оларда қандай бағдарламалық жасақтама жұмыс істейтінін және оның қанша ескі екенін бірден көре аласыз. Қауіптің қамтылғанын байқасаңыз, бұл туралы желілік операциялар тобына хабарлап, оны карантинге салу-қоймау туралы шешім қабылдауына рұқсат ете аласыз. Олар сол аймақтағы адамдардың ішкі жүйелеріне кіруге кедергі жасағысы келуі мүмкін.

4. Ескірген бағдарламалық қамтамасыз ету

Түзетілмеген бағдарламалық құрал сияқты, ескірген бағдарламалық құрал бар. Ұйымыңыз (және қауіпсіздігіңіз) енді жаңартылмайтын бағдарламалық құралға тәуелді болса, сіз ақаулық туралы сұрайсыз.

Операциялық жүйелер, әрине, ең атышулы нысандар болып табылады, өйткені олардың саны өте көп емес, бұл оларды шабуылдаушылар үшін тартымды нысана етеді. Мысалы, желіңіздің бір жерінде әлі де Windows Server 2008 жүйесін іске қосып жатсаңыз, сіз осалсыз. Сіздің жалғыз үмітіңіз брандмауэрді күшейту, бірақ бәрібір мұны істеу керек.

Ескірген қолданбаларды сақтау да жаман идея. Барлық қаржылық деректеріңізбен бірге кәсіпорын ресурстарын жоспарлау (ERP) жүйеңіз 15 жаста және осал болса, операциялық жүйелерді қорғаудың мәні неде? Қолданбаны ұстауға уақыт жұмсай алмасаңыз, оған иелік етпеуіңіз керек. Сіз жалпы шығындарға техникалық қызмет көрсетуді қосуыңыз керек.

Егер сіз компанияңыздағы барлық адамдардың істеп жатқанын қадағалай алмасаңыз және оны бақылай алмасаңыз, бір сәтте сіз өзіңізді кінәлі деп табуыңыз мүмкін.

5. Бақыланбайтын бағдарламалық құралды орнату

Заманауи қауіпсіздік жүйесінде мінез-құлықты бақылаудың екі түрі бар. Біріншіден, жеке куәлік және бір рет кіру (SSO) провайдерлері кіру үлгілерін бақылайды; Екіншіден, соңғы нүктені анықтау және жауап беру (EDR) жүйелері зиянды немесе рұқсат етілмеген бағдарламалық құралды орнату әрекеттерін бақылайды. Мысалы, Microsoft Defender ұсынады. Сіз бұл туралы компьютердегі барлық файлдарды шифрлауды бастауға арналған төлем бағдарламасы контекстінде ойлай аласыз. EDR бағдарламалық құралы кенет бұрын ешқашан көрмеген процесті байқаған кезде жүйедегі барлық нәрсені бақылайды. Содан кейін шифрлау API интерфейстері іске қосылады, бұл төлемдік бағдарлама шабуылын болжайды. EDR күрделі эвристика мен компромисс көрсеткіштерін (IoC) пайдаланады, бірақ негізінен жүйенің, желінің, процестердің және API интерфейстерінің әрекетін бақылауға арналған. Жаңа шабуыл орын алған сайын оның үлгілері сол нақты соңғы нүктенің әрекетіне сәйкес қайта оқытылады.

Егер EDR жүйесі сіздің компьютеріңізде құжатты өңдеп жатқаныңызды көрсе, сіз файлды шифрлауға ауысасыз, содан кейін басқа DLL жүктеуді бастайсыз, ол мәселе бар екенін біледі. Немесе бухгалтерлік есепте жұмыс істесеңіз және белгілі бір жүйелерге кіру тарихы болса, жұмысыңызға қатысы жоқ жүйелерге кіруге әрекеттенсеңіз, EDR оны аномалия деп санайды.

6. Серверлерде брандмауэр өшірілген

Жергілікті қатысуыңызды қорғау үшін жасай алатын жалғыз нәрсе - серверлеріңізде брандмауэрді (тіпті Windows брандмауэрін) қосу және сізге қажет порттарды ғана ашу. Көптеген АТ мамандары бұл қадамды елемейді және желіаралық қалқан өшірілген серверлерді іске қосады.

Мысалы, серверді орнату кезінде техникалық мамандардың көпшілігі жасайтын бірінші нәрсе брандмауэрді өшіру болып табылады. Бірақ сіз өндірісте орналастыратын әрбір серверді құжаттау үлгісін қабылдауыңыз керек, соның ішінде операцияларыңыз үшін қажетті қызмет порттарын құжаттау. Содан кейін брандмауэрді іске қосып, бұл порттарды алып тастау керек. Мүмкіндігінше әрбір серверді өз аралына айналдыруға тырысыңыз.

Internet Information Services (IIS) іске қоссаңыз, оларды тек Microsoft Azure AD Proxy сияқты прокси серверлер арқылы көрсетіңіз. Прокси-серверлер екі артықшылықты ұсынады. Біріншіден, олар сіздің VPN пайдаланушыларыңыз бағалайтын желіаралық қалқандарды айналып өтеді. Екіншіден, олар СІМ-ді веб-қосымшаларыңыздың алдына қояды - тіпті бұрын СІМ болмаған қолданбалар да. Содан кейін брандмауэрді қосу веб-серверге тек прокси-серверлер кіре алатынын көрсету әдісі болып табылады.

7. Құпия сөз саясаты

Құпиясөздер электрондық пошта сияқты: олардың бас ауруы екенін әр ұйым дерлік келіседі, бірақ олардан әлі ешкім құтылуға дайын емес.

Шын мәнінде, тіпті Microsoft корпорациясы өте жақсы құпия сөзді өзгертуге ешқандай себеп жоқ екенін мәлімдеді. Оны өзгертуге байланысты үйкеліс сенімді желіні қолдаудан гөрі желіні үлкен тәуекелге ұшыратады. Сондықтан кәсіпорында құпия сөздер туралы әртүрлі идеялар дамып, орын алады:

• Қолданылу мерзімі шектеусіз парольдер. Тұрақты парольдер тартымды, өйткені пайдаланушыларға жаңаларын үнемі есте сақтаудың қажеті жоқ. Бұл құпия сөзді қалпына келтіру және айналдыру мәселелерінің аз екенін білдіреді. Құпия сөз тек белгілі бір ұзындықта, мысалы, 14 таңбадан тұруы керек және оның құрамында бас әріптер, арнайы таңбалар немесе сандар болмауы керек.
• Құпия сөздер. Олар әдеттегі құпия сөздерге қарағанда ұзағырақ және әдетте есте сақтау оңайырақ. «Мен сіздің мекенжайыңызда тұрамын» немесе «сүйкімді банан аяқ киім» сияқты құпия сөз пайдаланушы тұрғысынан тиімдірек.
• Құпия сөзді тексеру. АТ мамандары күшті және өміршең құпия сөзді қорғауды қамтамасыз ету үшін жоғарыда сипатталған лазанья контекстінде ойлану керек екенін түсінеді. Осылайша, АТ нақты уақыттағы құпия сөзді тексеруді жүзеге асырады, мысалы, Azure сияқты — бұл пайдаланушылар жіберген әрбір құпия сөзді қабылдайды және оны бүкіл darknet тізімімен тексереді. Тексеру процедурасы хакер дөрекі күш қолдану арқылы ұсынылған құпия сөзді табуға тырысуы мүмкін барлық ықтимал бөліктерді қарастырады. Егер оның құрамдас бөліктерінің кез келгені darknet тізімінің бөлігі болса, режим ұпайды айтарлықтай төмендетеді (мысалы, әлсіз немесе өте әлсіз) және пайдаланушыны әрекетті қайталауға шақырады. Бұл әдіс оңай болжалды құпия сөздерді қолданар алдында қабылдамайды.
• Құпия сөз қоймалары. Bitwarden немесе LastPass сияқты өнімдер пайдаланушыларға мониторға жабыстырылған немесе жұмыс үстелінің тартпасына тығылған жазбалардан гөрі қауіпсіз нәрселерді сақтауға мүмкіндік береді. Сондай-ақ бұл электрондық кестедегі құпия сөздерді бақылаудан гөрі қауіпсіз (желі қауіпсіздігі аудиті оны табуы мүмкін).

Қорытынды

Инсайдерлік қауіптерді шектеудің ең тиімді жолы - әрбір пайдаланушының өз жұмысын орындау үшін қажетті рұқсаттарын шектеу. Бұл қарапайым (бірақ оңай емес) қадам кез келген пайдаланушы тіркелгісіне зақым келтіру мүмкіндігін азайтады. Бұл тіркелгі немқұрайлы немесе наразы пайдаланушының немесе тіркелгі деректерін ұрлаған зиянды бөгде адамның қолында болса да қолданылады. Ұйымыңыздың киберқауіпсіздігін Fanetech компаниясына сенуге болады. Біз IT киберқауіпсіздік орталығын басқарамыз. Біз қауіпсіздікті қадағалаймыз және алдын ала анықталған сценарийлерге сәйкес 24/7/365 оқиғаларды зерттейміз, жалған позитивтерді жоямыз, оқиғаларды басымдылық бойынша жіктеп, сұрыптаймыз.