Oxirgi nuqtalarga ichki tahdidlar

Ichki tahdidlar bir necha shaklda bo'ladi. Klassik stsenariyda, yuqori imtiyozli pudratchilar o'zlarining loyihalari tugaganidan keyin uzoq vaqt davomida ularga nozik ma'lumotlarni uzatuvchi josuslik dasturlarini o'rnatadilar. Boshqasida, xodim tizimlaringizni faol ravishda sabotaj qiladi va keyin ishdan ketadi. Imtiyozli tarmoqqa kirish imkoniga ega bo'lmagan odamlar ham qasddan (keyinroq foydalanish uchun tijorat sirlarini to'plash orqali) yoki beixtiyor (fishing elektron pochtasiga tushib qolish orqali) insayder tahdidlarni yaratishi mumkin.

Oxirgi nuqta - tarmoq orqali ma'lumotlarni qabul qiladigan yoki yuboradigan qurilma yoki dastur. Yakuniy nuqtalar har xil bo'lishi mumkin, masalan:

– Kompyuterlar, serverlar, smartfonlar va planshetlar
– Routerlar va kalitlar kabi tarmoq uskunalari
– Tarmoq orqali boshqa qurilmalar bilan aloqa o‘rnatuvchi dasturiy ta’minot
Yakuniy nuqtalardan tarmoqdagi qurilmalar oʻrtasida maʼlumotlarni uzatish yoki masofaviy xizmatlarga kirish kabi turli maqsadlarda foydalanish mumkin.

Qanday bo'lmasin, insayder tahdidlar yuzaga kelsa-da, ular oxirgi nuqta xavfsizligiga ta'sir qiladi, chunki ular oxirgi nuqta (kompyuter, planshet, smartfon, IoT qurilmasi) va tarmoqning qolgan qismi o'rtasidagi ishonchni buzadi. Quyida tavsiflangan turli xil insayder tahdidlarni o'rganish orqali siz umumiy xususiyatlarni aniqlashingiz va tarmoqingizni ulardan himoya qilishingiz mumkin.

Ichki tahdidlarning oldini olish uchun qanday choralar ko'rishingiz kerak?

Barcha qurilmalarda antivirus dasturlarini o'rnatish va muntazam yangilab turish ichki tahdidlarning oldini olishning eng muhim qadamlaridan biridir. Antivirus dasturlari qurilmalarga kirishi mumkin bo'lgan viruslar, troyanlar va boshqa zararli dasturlarni aniqlash va yo'q qilishga yordam beradi. Antivirus ma'lumotlar bazalarini muntazam yangilab turish qurilmalarni yangi tahdidlardan himoya qilishga yordam beradi.

Kompyuterlaringizni viruslarga tekshirish ichki tahdidlarning oldini olishning yana bir muhim qadamidir. Muntazam ravishda viruslarni skanerlash zararli dasturlarni tizimingizga zarar yetkazishidan oldin aniqlash va olib tashlashga yordam beradi.

Xavfsizlik devoridan foydalanish tarmoqni tashqi tahdidlardan himoya qilishga yordam beradigan va ichki foydalanuvchilar uchun tizimga kirishni cheklaydigan choradir. Xavfsizlik devori keraksiz ulanishlarni bloklashi va ma'lum resurslarga kirishni cheklashi mumkin.

Xodimlarni xavfsizlik bo'yicha o'rgatish ichki tahdidlarning oldini olish uchun muhim qadamdir. Xodimlar shubhali havolalarni ochmaslik, notanish jo'natuvchilarning havolalarini bosmaslik va noma'lum fayllarni yuklab olmaslik kabi xavfsizlik qoidalariga o'rgatishlari kerak.

Ikki faktorli autentifikatsiya qoʻshimcha xavfsizlik chorasi boʻlib, tizim yoki resursga kirish huquqini berishdan oldin foydalanuvchining shaxsini tekshirish imkonini beradi. Ikki faktorli autentifikatsiya turli usullar yordamida amalga oshirilishi mumkin, masalan, SMS xabarlar, ekrandagi tasdiqlash kodlari yoki apparat tokenlari.

Xavfsizlik siyosatidagi o'zgarishlarni kuzatish ham ichki tahdidlarning oldini olish uchun muhim qadamdir. Kompaniya o'z qoidalari va xavfsizlik choralari o'z vaqtida yangilanishini ta'minlash uchun qonunchilikdagi o'zgarishlar va xavfsizlik tendentsiyalarini kuzatishi kerak.

Nazoratning asosiy yo'nalishlari

1. Xodimlarning internetdan foydalanishi

Xodimlaringizning ko'pchiligi masofadan turib va uy ofislaridan ishlayotgani sababli, ichki xavf ortib bormoqdami yoki kamaymoqdami?

Umuman olganda, korporativ xavfsizlik devori ichida bo'lish kattaroq xavfsizlikni anglatadi. Bu, albatta, sizning tarmog'ingizga tahdid kirguncha to'g'ri; keyin sizning xavfsizligingiz buziladi. Raqamli hayotning haqiqati shundaki, xodimlaringizga Internetga kirish imkoniyatini berish sizning tarmog'ingizga begona odamlarni olib kirish xavfini tug'diradi, ular xohlagan narsani qilishlari mumkin. Shu bilan birga, barchani tashqarida ushlab turish uchun imkon qadar baland devor qurishning xavfsizlik modeli mantiqiy emas.

2. Qasddan bo'lmagan ichki tahdidlar/foydalanuvchining xatti-harakati

Insayder tahdidlarga zaifligingizni cheklash uchun ishlatadigan har bir narsaga qo'shimcha ravishda, uni cheklash uchun ishlatmaydigan barcha narsalarga e'tibor bering.

Huquq haqida gap ketganda, IT nozik muvozanat aktiga duch keladi. Barni qanchalik pasaytirsangiz, tarmoq himoyasiga kirish shunchalik oson bo'ladi. Ammo agar siz uni juda baland ko'tarsangiz va foydalanuvchilarga yetarlicha ruxsat bermasangiz, ular fayllarni almashish va o'z ishlarini bajarish uchun muqobil usullarni topadilar. Bu foydalanuvchi xatti-harakatidan kelib chiqadigan qasddan bo'lmagan ichki tahdidning bir turi.

Agar siz odamlarga o'z ishlarini bajarishni qiyinlashtirsangiz, ular xuddi shu narsani qilishning boshqa (odatda kamroq xavfsiz) usulini topadilar. Keyin, siz kiberxavfsizlik sug'urtasiga murojaat qilganingizda va tashuvchi sizning fayllaringizni Dropbox yoki GitHub-da topsa, bu uyatli bo'ladi.

Haqiqatan ham soyali IT-dan oldinda bo'lishning yagona yo'li bu sizning foydalanuvchilaringizning ushbu yo'lni tanlashiga hech qanday sabab yo'qligiga ishonch hosil qilishdir. Muvozanatni topish qiyin, ayniqsa xavfsizlik haqida o'ylash kerak.

3. Yamoqlanmagan so'nggi nuqtalar/dasturiy ta'minot

Kirish, ulanish va almashishni tushunish orqali siz barcha so'nggi nuqtalaringiz yamoqlangan va xavfsiz ekanligiga ishonch hosil qilishingiz mumkin. Buning katta qismi ular uchun nima ishlashini bilishdir. Nolinchi kun tahdidi paydo bo'lganda, bilishingiz kerak bo'lgan birinchi narsa bu sizga ta'sir qiladimi yoki yo'qmi.

O'shanda yagona so'nggi nuqtani boshqarish vositasi sizni qutqarishi mumkin. Unda tarmog'ingizga ulangan barcha so'nggi nuqtalar (kompyuterlar, planshetlar, smartfonlar) ro'yxati mavjud. Ularning qaerdaligini, qaysi dasturiy ta'minotda ishlayotganini va qancha eski ekanligini darhol ko'rishingiz mumkin. Agar tahdid mavjud bo'lganligini aniqlasangiz, bu haqda tarmoq operatsiyalari guruhiga xabar berishingiz va ularga uni karantin qilish to'g'risida qaror qabul qilishiga ruxsat berishingiz mumkin. Ular o'sha mintaqadagi odamlarning ichki tizimlariga kirishni oldini olishni xohlashlari mumkin.

4. Eskirgan dasturiy ta'minot

Yamoqlanmagan dasturiy ta'minot kabi, eskirgan dasturiy ta'minot mavjud. Tashkilotingiz (va sizning xavfsizligingiz) endi yangilanmagan dasturiy ta'minotga bog'liq bo'lsa, muammo yuzaga kelishini so'rayapsiz.

Operatsion tizimlar, albatta, eng mashhur maqsadlardir, chunki ularning soni unchalik ko'p emas, bu ularni tajovuzkorlar uchun jozibali nishonga aylantiradi. Misol uchun, agar siz hali ham tarmog'ingizda Windows Server 2008 bilan ishlayotgan bo'lsangiz, siz himoyasizsiz. Sizning yagona umidingiz xavfsizlik devorini mustahkamlashdir, lekin baribir buni qilishingiz kerak.

Eskirgan ilovalarni saqlash ham yomon fikr. Korxona resurslarini rejalashtirish (ERP) tizimi barcha moliyaviy ma'lumotlaringiz 15 yoshga to'lgan va zaif bo'lsa, operatsion tizimlaringizni himoya qilishdan nima ma'no bor? Agar ilovani saqlashga vaqt sarflay olmasangiz, unga egalik qilmasligingiz kerak. Xizmatni umumiy xarajatlarga kiritishingiz kerak.

Agar siz kompaniyangizdagi hamma qilayotgan ishlarning hammasini kuzatib bora olmasangiz va uni nazorat qila olmasangiz, ehtimol bir nuqtada o'zingizni aybdor deb topasiz.

5. Dasturiy ta'minotni nazoratsiz o'rnatish

Zamonaviy xavfsizlik tizimida xatti-harakatlarni kuzatishning ikki turi mavjud. Birinchidan, sizning identifikatoringiz va yagona tizimga kirish (SSO) provayderlari kirish namunalarini kuzatib boradi; Ikkinchidan, so'nggi nuqtani aniqlash va javob berish (EDR) tizimlari zararli yoki ruxsatsiz dasturlarni o'rnatishga urinishlarni nazorat qiladi. Masalan, Microsoft Defenderni taklif qiladi. Buni kompyuterdagi barcha fayllarni shifrlashni boshlash uchun mo'ljallangan ransomware kontekstida o'ylab ko'rishingiz mumkin. EDR dasturiy ta'minoti to'satdan hech qachon ko'rmagan jarayonni payqaganida tizimdagi hamma narsani kuzatib boradi. Keyin shifrlash API-lari faollashtiriladi, bu esa to'lov dasturi hujumini taklif qiladi. EDR murakkab evristika va murosa ko'rsatkichlaridan (IoC) foydalanadi, lekin asosan tizim, tarmoq, jarayonlar va API xatti-harakatlarini kuzatishga qaratilgan. Har safar yangi hujum sodir bo'lganda, uning modellari ushbu aniq yakuniy nuqtaning xatti-harakati bo'yicha qayta o'qitiladi.

Agar EDR tizimi sizning kompyuteringizda hujjatni tahrirlayotganingizni ko'rsa, siz faylni shifrlashga o'tasiz, keyin boshqa DLL-ni yuklashni boshlaysiz, u muammo borligini biladi. Yoki, agar siz buxgalteriya hisobida ishlasangiz va faqat ma'lum tizimlarga kirish tarixiga ega bo'lsangiz, ishingiz bilan bog'liq bo'lmagan tizimlarga kirishga harakat qilsangiz, EDR buni anomaliya deb hisoblaydi.

6. Serverlarda xavfsizlik devori o'chirilgan

Mahalliy mavjudligingizni himoya qilish uchun qila oladigan eng yaxshi narsa bu serverlarda xavfsizlik devorini, hatto Windows xavfsizlik devorini ham yoqish va faqat kerakli portlarni ochishdir. Ko'pgina IT mutaxassislari bu qadamni e'tiborsiz qoldiradilar va xavfsizlik devori o'chirilgan serverlarni ishga tushiradilar.

Masalan, serverni o'rnatishda ko'pchilik texniklar qiladigan birinchi narsa xavfsizlik devorini o'chirishdir. Lekin siz ishlab chiqarishda joylashtirgan har bir serverni hujjatlashtirish modelini, shu jumladan operatsiyalaringiz uchun zarur bo'lgan xizmat portlarini hujjatlashtirishingiz kerak. Keyin xavfsizlik devorini faollashtirishingiz va ushbu portlarni chiqarib tashlashingiz kerak. Har bir serverni iloji boricha o'z oroliga aylantirishga harakat qiling.

Agar siz Internet Information Services (IIS) dan foydalansangiz, ularni faqat Microsoft Azure AD Proxy kabi proksi-serverlar orqali oching. Proksi-serverlar ikkita afzalliklarni taklif qiladi. Birinchidan, ular sizning VPN foydalanuvchilaringiz qadrlaydigan xavfsizlik devoringizni chetlab o'tadi. Ikkinchidan, ular TIVni veb-ilovalaringiz oldiga qo'yishadi - hatto ilgari TIV bo'lmagan ilovalar ham. Keyin xavfsizlik devorini yoqish faqat proksi-serverlar veb-serverga kira olishini belgilashning bir usuli hisoblanadi.

7. Parol siyosati

Parollar elektron pochtaga o'xshaydi: deyarli har bir tashkilot ularning bosh og'rig'i ekanligiga rozi, ammo hali hech kim ulardan xalos bo'lishga tayyor emas.

Aslida, hatto Microsoft ham mukammal parolni o'zgartirish uchun hech qanday sabab yo'qligini aytdi. Uni o'zgartirish bilan bog'liq ishqalanish tarmoqni ishonchli tarmoqni saqlab qolishdan ko'ra ko'proq xavf ostiga qo'yadi. Shuning uchun korxonada parollar haqidagi turli g'oyalar rivojlanib, o'z o'rnini egallaydi:

• Cheklanmagan amal qilish muddatiga ega parollar. Doimiy parollar jozibador, chunki foydalanuvchilar doimo yangilarini eslab qolishlari shart emas. Bu kamroq parolni tiklash va aylantirish bilan bog'liq muammolarni anglatadi. Parol faqat ma'lum uzunlikda bo'lishi kerak, masalan, 14 belgidan iborat bo'lishi kerak va unda bosh harflar, maxsus belgilar yoki raqamlar bo'lmasligi kerak.
• Parolli iboralar. Ular oddiy parollarga qaraganda uzunroq va odatda eslab qolish osonroq. "Men sizning manzilingizda yashayman" yoki "yoqimli banan poyabzali" kabi parol foydalanuvchi nuqtai nazaridan samaraliroq.
• Parolni tekshirish. IT mutaxassislari kuchli va hayotiy parol himoyasini ta'minlash uchun yuqorida tavsiflangan lazanya kontekstida o'ylashlari kerakligini tushunishadi. Shunday qilib, IT real vaqt rejimida parolni tekshirishni amalga oshiradi, masalan, Azure-da, bu foydalanuvchi yuborgan har bir parolni oladi va uni butun darknet ro'yxati bilan tekshiradi. Tekshiruv protsedurasi xaker qo'pol kuch yordamida taklif qilingan parolni topishga urinishi mumkin bo'lgan barcha qismlarni ko'rib chiqadi. Agar uning tarkibiy qismlaridan biri darknet ro'yxatining bir qismi bo'lsa, tartib ballni sezilarli darajada kamaytiradi, masalan, zaif yoki juda zaif - va foydalanuvchini qayta urinib ko'rishga undaydi. Bu usul osonlik bilan taxmin qilinadigan parollarni ishlatishdan oldin rad etadi.
• Parollar omborlari. Bitwarden yoki LastPass kabi mahsulotlar foydalanuvchilarga monitorga yopishtirilgan yoki stol tortmasida saqlangan qaydlarga qaraganda xavfsizroq narsalarni saqlash uchun joy beradi. Bu elektron jadvaldagi parollarni kuzatishdan ham xavfsizroq (tarmoq xavfsizligi auditi buni topishi mumkin).

Xulosa

Insayder tahdidlarni cheklashning eng samarali usuli bu har bir foydalanuvchining o‘z ishini bajarishi kerak bo‘lgan ruxsatnomalarini cheklashdir. Ushbu oddiy (lekin oson emas) qadam har qanday foydalanuvchi hisobiga zarar yetkazish ehtimolini kamaytiradi. Bu akkaunt e'tiborsiz yoki norozi foydalanuvchi yoki hisob ma'lumotlarini o'g'irlagan begona odamning qo'lida bo'ladimi, amal qiladi. Tashkilotingizning kiberxavfsizligini Fanetechga ishonishingiz mumkin. Biz IT kiberxavfsizlik markazini boshqaramiz. Biz xavfsizlikni kuzatib boramiz va oldindan belgilangan stsenariylarga muvofiq 24/7/365 hodisalarni tekshiramiz, noto'g'ri pozitivlarni yo'q qilamiz, intsidentlarni ustuvorlik bo'yicha tasniflaymiz va saralaymiz.