Акыркы чекиттер үчүн ички коркунучтар

Ички коркунучтар бир нече формада болот. Классикалык сценарийде, жогорку артыкчылыкка ээ подрядчылар долбоор аяктагандан көп убакыт өткөндөн кийин аларга купуя маалыматтарды өткөрүп берүүчү шпиондук программаларды орнотушат. Дагы биринде, кызматкер сиздин системаларыңызды жигердүү саботаж кылып, андан кийин иштен кетет. Тармакка артыкчылыктуу кирүү мүмкүнчүлүгү жок адамдар да атайылап (кийинчерээк колдонуу үчүн соода сырларын чогултуу менен) же кокусунан (фишинг электрондук почтасына түшүп калуу менен) инсайдердик коркунучтарды жаратышы мүмкүн.

Акыркы чекит - бул тармак аркылуу маалыматтарды кабыл алган же жөнөтүүчү аппарат же программа. Акыркы чекиттер ар кандай болушу мүмкүн, мисалы:

– Компьютерлер, серверлер, смартфондор жана планшеттер
– Маршрутизаторлор жана өчүргүчтөр сыяктуу тармактык жабдуулар
– Тармак аркылуу башка түзмөктөр менен байланышуучу программалык камсыздоо
Соңку чекиттер тармактагы түзмөктөр ортосунда маалыматтарды өткөрүү же алыскы кызматтарга кирүү сыяктуу ар кандай максаттар үчүн колдонулушу мүмкүн.

Бирок инсайдердик коркунучтар пайда болсо да, алар акыркы чекиттин коопсуздугуна таасирин тийгизет, анткени алар акыркы чекиттин (компьютер, планшет, смартфон, IoT түзмөгү) жана калган тармактын ортосундагы ишенимди бузат. Төмөндө сүрөттөлгөн инсайдердик коркунучтардын ар кандай түрлөрүн изилдөө менен сиз жалпы мүнөздөмөлөрдү аныктап, тармагыңызды алардан коргой аласыз.

Ички коркунучтардын алдын алуу үчүн кандай чараларды көрүшүңүз керек?

Бардык түзмөктөрдө антивирустук программаны орнотуу жана үзгүлтүксүз жаңыртуу инсайдердик коркунучтарды болтурбоо үчүн эң маанилүү кадамдардын бири болуп саналат. Антивирус программасы түзмөктөргө кирип кетиши мүмкүн болгон вирустарды, трояндарды жана башка зыяндуу программаларды аныктоого жана жок кылууга жардам берет. Антивирус маалымат базаларын үзгүлтүксүз жаңыртуу түзмөктөрдү жаңы коркунучтардан коргоого жардам берет.

Компьютерлериңизди вирустарга текшерүү инсайдердик коркунучтарды алдын алуу үчүн дагы бир маанилүү кадам болуп саналат. Вирусту үзгүлтүксүз сканерлөө кесепеттүү программаны системаңызга зыян келтире электе аныктоого жана жок кылууга жардам берет.

Брандмауэрди колдонуу тармакты тышкы коркунучтардан коргоого жардам берген чара болуп саналат, ошондой эле ички колдонуучулар үчүн системага кирүү мүмкүнчүлүгүн чектейт. Firewall керексиз байланыштарды бөгөттөп, белгилүү бир ресурстарга кирүү мүмкүнчүлүгүн чектей алат.

Кызматкерлерди коопсуздук боюнча окутуу инсайдердик коркунучтарды алдын алуу үчүн маанилүү кадам болуп саналат. Кызматкерлер шектүү шилтемелерди ачпоо, бейтааныш жөнөтүүчүлөрдүн шилтемелерин чыкылдатуу жана белгисиз файлдарды жүктөө сыяктуу коопсуздук эрежелерине үйрөтүлүшү керек.

Эки факторлуу аутентификация – бул системага же ресурска кирүү мүмкүнчүлүгүн берүүдөн мурун колдонуучунун инсандыгын текшерүүгө мүмкүндүк берген кошумча коопсуздук чарасы. Эки фактордук аутентификация ар кандай ыкмалар менен ишке ашырылышы мүмкүн, мисалы, SMS билдирүүлөр, экрандагы текшерүү коддору же аппараттык токендер.

Коопсуздук саясатындагы өзгөрүүлөргө мониторинг жүргүзүү да инсайдердик коркунучтарды алдын алуу үчүн маанилүү кадам болуп саналат. Компания өзүнүн эрежелерин жана коопсуздук чараларын өз убагында жаңыртуу үчүн мыйзамдардагы өзгөрүүлөргө жана коопсуздук тенденцияларына мониторинг жүргүзүүсү керек.

Контролдоонун негизги багыттары

1. Кызматкерлердин интернетти колдонуусу

Сиздин кызматкерлердин көбү алыстан жана үй кеңселеринде иштегендиктен, инсайдердик коркунуч көбөйүп жатабы же азайып жатабы?

Корпоративдик брандмауэрдин ичинде болуу көбүрөөк коопсуздукту билдирет деп жалпысынан кабыл алынат. Бул коркунуч сиздин тармагына киргенге чейин, албетте, чындык; анда сиздин коопсуздугуңуз бузулат. Кызматкерлериңизге Интернетке кирүү мүмкүнчүлүгүн берүү сиздин тармагыңызга чоочун адамдарды алып келип, алар каалаганын кыла ала тургандыгы санариптик жашоонун чындыгы. Ошол эле учурда, бардыгын сыртка чыгарбоо үчүн дубалды мүмкүн болушунча бийик куруунун коопсуздук модели жөн эле мааниси жок.

2. Кокустан инсайдердик коркунучтар/Колдонуучунун жүрүм-туруму

Инсайдердик коркунучтарга болгон аялуулугуңузду чектөө үчүн колдонгон бардык нерселериңизден тышкары, аны чектөө үчүн колдонбогон нерселердин бардыгын эске алыңыз.

Укук берүү жөнүндө сөз болгондо, IT назик тең салмактуулук актына туш болот. Сиз тилкени канчалык төмөндөтсөңүз, тармактык коргонууңузга кирүү ошончолук жеңил болот. Бирок эгер сиз аны өтө жогору көтөрүп, колдонуучуларга жетиштүү мүмкүнчүлүк бербесеңиз, алар файлдарды бөлүшүүнүн жана ишин бүтүрүүнүн альтернативдүү жолдорун табышат. Бул колдонуучунун жүрүм-турумунан келип чыккан кокустан инсайдердик коркунучтун бир түрү.

Эгер сиз адамдарга өз жумуштарын аткарууну кыйындата турган болсоңуз, алар ошол эле нерсени жасоонун башка (көбүнчө коопсуздугу азыраак) жолун табышат. Андан кийин, сиз киберкоопсуздукту камсыздандырууга арыз бергениңизде жана оператор сиздин файлдарыңызды Dropbox же GitHub аркылуу таап алса, бул уят.

Көмүскө ITтен чындап озуп кетүүнүн бирден бир жолу - бул сиздин колдонуучуларыңызда бул жолду тандоого эч кандай себеп жок экендигине ынануу. Өзгөчө коопсуздукту эске алуу керек болгондо, тең салмактуулукту табуу кыйын.

3. Түзүлбөгөн акыркы чекиттер/программалык камсыздоо

Мүмкүнчүлүктү, туташуу мүмкүнчүлүгүн жана бөлүшүүнү түшүнүү менен, сиз бардык акыркы чекиттериңиз жаңыланган жана коопсуз экендигине кепилдик бере аласыз. Мунун чоң бөлүгү - алар үчүн эмне иштээрин билүү. Нөл күн коркунучу пайда болгондо, биринчиден, бул сизге таасир этеби же жокпу, билишиңиз керек.

Мына ошондо бирдиктүү акыркы чекит башкаруу куралы сизди сактап кала алат. Ал тармакка туташкан бардык акыркы чекиттердин (компьютерлер, планшеттер, смартфондор) тизмесин камтыйт. Сиз дароо алар кайда экенин, аларда кандай программалык камсыздоону иштеп жатканын жана канча эски экенин көрө аласыз. Эгер коркунуч камтылганын байкасаңыз, бул тууралуу тармактык операциялар тобуна кабарлап, аларды карантинге алуу чечимине уруксат берсеңиз болот. Алар ошол аймактагы адамдардын ички системаларына кирүүсүнө бөгөт коюуну каалашы мүмкүн.

4. Эскирген программалык камсыздоо

Жаңыртылган программа сыяктуу эле, эскирген программалык камсыздоо бар. Эгер уюмуңуз (жана коопсуздугуңуз) жаңыртылбай калган программалык камсыздоого көз каранды болсо, көйгөйдү сурап жатасыз.

Операциялык системалар, албетте, эң белгилүү буталар, анткени алардын саны өтө көп эмес, бул аларды чабуулчулар үчүн жагымдуу бутага түзөт. Мисалы, эгер сиз дагы эле тармагыңызда Windows Server 2008ди иштетип жатсаңыз, анда сиз аялуу болосуз. Сиздин жалгыз үмүтүңүз брандмауэрди бекемдөө, бирок баары бир аны кылышыңыз керек.

Эскирген колдонмолорду сактоо да жаман идея. Эгерде сиздин бардык финансылык маалыматтарыңыз менен ишкана ресурстарын пландаштыруу (ERP) тутумуңуз 15 жашта жана аялуу болсо, операциялык системаңызды коргоонун мааниси эмнеде? Колдонмого ээ болбошуңуз керек, эгер сиз аны тейлөөгө убакыт корото албасаңыз. Сиз тейлөөнү жалпы чыгымга кошушуңуз керек.

Эгер сиз компанияңыздагы ар бир адам жасап жаткан нерселердин баарын көзөмөлдөп, көзөмөлдөй албасаңыз, анда сиз качандыр бир убакта күнөөлүү болуп каласыз.

5. Башкарылбаган программалык камсыздоону орнотуу

Заманбап коопсуздук системасында жүрүм-турумга мониторинг жүргүзүүнүн эки түрү бар. Биринчиден, сиздин инсандыгыңыз жана бир жолу кирүү (SSO) камсыздоочуларыңыз кирүү үлгүлөрүнө көз салышат; Экинчиден, акыркы чекиттерди аныктоо жана жооп берүү (EDR) системалары зыяндуу же уруксатсыз программалык камсыздоону орнотуу аракеттерин көзөмөлдөйт. Microsoft, мисалы, Defender сунуш кылат. Сиз муну компьютердеги бардык файлдарды шифрлөө үчүн иштелип чыккан ransomware контекстинде ойлонсоңуз болот. EDR программалык камсыздоосу күтүлбөгөн жерден мурда эч качан көрбөгөн процессти байкаганда тутумдагы бардыгын көзөмөлдөйт. Андан кийин шифрлөө API'лери иштетилет, бул ransomware чабуулун сунуштайт. EDR татаал эвристиканы жана компромисстин индикаторлорун (IoC) колдонот, бирок негизинен системанын, тармактын, процесстердин жана APIлердин жүрүм-турумун байкоого багытталган. Жаңы чабуул болгон сайын анын моделдери ошол конкреттүү акыркы чекиттин жүрүм-турумуна ылайык кайра даярдалат.

Эгер EDR тутуму сиздин компьютериңизде документти түзөтүп жатканыңызды көрсө, анда сиз файлды шифрлөөгө өтүп, андан кийин башка DLL жүктөй баштасаңыз, анда ал көйгөй бар экенин билет. Же болбосо, сиз бухгалтердик эсеп менен иштесеңиз жана белгилүү бир системаларга кирүү тарыхына ээ болсоңуз, анда сиз жумушуңузга тиешеси жок системаларга кирүүгө аракет кылсаңыз, EDR аны аномалия деп эсептейт.

6. Серверлерде брандмауэр өчүрүлгөн

Жергиликтүү болушуңузду коргоо үчүн эң жакшы нерсе - серверлериңизде брандмауэрди, жада калса Windows Firewall-ды иштетүү жана сизге керектүү портторду гана ачуу. Көптөгөн IT адистери бул кадамды этибарга алышпайт жана брандмауэр өчүрүлгөн серверлерди иштетишет.

Мисалы, серверди орнотуп жатканда көпчүлүк техниктер жасай турган биринчи нерсе - брандмауэрди өчүрүү. Бирок сиз өндүрүштө орноткон ар бир серверди документтештирүүнүн моделин кабыл алышыңыз керек, анын ичинде операцияларыңыз үчүн талап кылынган тейлөө портторун документтештирүү. Андан кийин сиз брандмауэрди иштетип, бул портторду чыгарышыңыз керек. Мүмкүн болушунча ар бир серверди өзүнүн аралына айландырууга аракет кылыңыз.

Эгер сиз Интернет Маалымат Кызматтарын (IIS) иштетсеңиз, аларды Microsoft Azure AD Proxy сыяктуу прокси серверлер аркылуу гана көрсөтүңүз. Прокси серверлер эки артыкчылыкты сунуштайт. Биринчиден, алар сиздин VPN колдонуучуларыңыз баалай турган брандмауэрлериңизди айланып өтүшөт. Экинчиден, алар ТИМди веб-тиркемелериңиздин алдына коюшат, атүгүл мурда ТИМ жок тиркемелер да. Андан кийин, брандмауэрди иштетүү прокси серверлер гана веб серверге кире аларын көрсөтүүнүн бир жолу.

7. Сырсөз саясаты

Сырсөздөр электрондук почта сыяктуу: дээрлик ар бир уюм баш оору экенине макул, бирок алардан арылууга азырынча эч ким даяр эмес.

Чынында, ал тургай, Microsoft кемчиликсиз жакшы сырсөздү өзгөртүү үчүн эч кандай себеп жок экенин билдирди. Аны өзгөртүү менен байланышкан сүрүлүү ишенимдүү тармакты сактоого караганда тармакты көбүрөөк тобокелге салат. Ушундан улам ишканада сырсөздөр боюнча ар кандай идеялар өнүгүп, пайда болот:

• Чексиз колдонуу мөөнөтү менен сырсөздөр. Туруктуу сырсөздөр жагымдуу, анткени колдонуучулар жаңыларын дайыма эстеп жүрбөшү керек. Бул сырсөздү баштапкы абалга келтирүү жана айлануу маселелери азыраак дегенди билдирет. Сырсөз белгилүү бир узундукта гана болушу керек, мисалы, 14 белгиден турат жана ал баш тамгаларды, атайын белгилерди же сандарды камтыбашы керек.
• Passphrases. Алар кадимки сырсөздөрдөн узунураак жана жалпысынан эстеп калуу оңой. "Мен сиздин дарегиңизде жашайм" же "сүйкүмдүү банан бут кийими" сыяктуу сырсөз колдонуучу көз карашынан караганда натыйжалуураак.
• Сырсөздү текшерүү. IT адистери күчтүү жана жашоого жөндөмдүү сырсөз коргоону камсыз кылуу үчүн, алар жогоруда сүрөттөлгөн лазанья контекстинде ойлонуу керек экенин түшүнүшөт. Ошентип, IT реалдуу убакытта сырсөздү текшерүүнү ишке ашырат, мисалы Azure сыяктуу - бул ар бир сырсөз колдонуучулар тапшырган жана аны бүт darknet тизмеси менен текшерет. Текшерүү процедурасы хакер сунуш кылынган сырсөздү катаал күч колдонуу менен табууга аракет кылуу үчүн колдонушу мүмкүн болгон бардык бөлүктөрдү карайт. Эгерде анын компоненттеринин кайсынысы болбосун darknet тизмесине кирсе, режим упайларды олуттуу түрдө азайтат — айталы, алсыз же өтө алсыз деп — жана колдонуучуну кайра аракет кылууга түрткү берет. Бул ыкма оңой табылган сырсөздөрдү колдонуудан мурун четке кагат.
• Сырсөз сактагычтар. Bitwarden же LastPass сыяктуу өнүмдөр колдонуучуларыңызга мониторго чапталган же столдун суурмасына тыгылган жазууларга караганда коопсузураак нерселерди сактоо үчүн орун берет. Ошондой эле электрондук таблицадагы сырсөздөрдү көзөмөлдөөгө караганда коопсузураак (тармактын коопсуздук аудити аны таба алат).

Корутунду

Инсайдердик коркунучтарды чектөөнүн эң эффективдүү жолу – бул ар бир колдонуучунун өз ишин аткарууга керектүү болгон уруксаттарын чектөө. Бул жөнөкөй (бирок оңой эмес) кадам ар кандай колдонуучунун эсебине зыян келтирүү мүмкүнчүлүгүн азайтат. Бул эсеп этиятсыз же нааразы болгон колдонуучунун же эсептик дайындарды уурдаган зыяндуу бөтөн адамдын колунда болсо да тиешелүү. Сиз Fanetech компаниясына уюмуңуздун кибер коопсуздугуна ишене аласыз. Биз IT киберкоопсуздук борборун иштетебиз. Биз коопсуздукту көзөмөлдөйбүз жана алдын ала аныкталган сценарийлерге ылайык инциденттерди 24/7/365 иликтейбиз, жалган позитивдерди жок кылабыз, инциденттерди артыкчылыктары боюнча классификациялайбыз жана иреттейбиз.