Внутренние угрозы для конечных точек

Внутренние угрозы принимают несколько форм. В классическом сценарии подрядчики с высоким уровнем привилегий устанавливают шпионское ПО, которое передает им конфиденциальные данные спустя долгое время после завершения их проекта. В другом сотрудник активно занимается саботажем ваших систем, а затем увольняется. Даже люди, не имеющие привилегированного доступа к сети, могут создавать внутренние угрозы, намеренно (собирая коммерческую тайну для дальнейшего использования) или непреднамеренно (попавшись на фишинговую электронную почту).

Конечная точка (endpoint) – это устройство или программа, которая получает или отправляет данные через сеть. Конечные точки могут быть различными, например:

– Компьютеры, серверы, смартфоны и планшеты
– Сетевое оборудование, такое как маршрутизаторы и коммутаторы
– Программное обеспечение, которое взаимодействует с другими устройствами через сеть
Конечные точки могут использоваться для различных целей, например, для передачи данных между устройствами в сети или для доступа к удаленным сервисам.

Как бы ни возникали внутренние угрозы, они влияют на безопасность конечной точки , поскольку нарушают доверительные отношения между конечной точкой (компьютер, планшет, смартфон, устройство IoT) и остальной частью сети. Изучив различные типы внутренних угроз, описанные ниже, вы сможете определить общие характеристики и защитить свою сеть от них.

Какие меры предпринять для предотвращения внутренних угроз?

Установка и регулярное обновление антивирусного ПО на всех устройствах – это один из самых важных шагов для предотвращения внутренних угроз. Антивирусное ПО помогает обнаруживать и удалять вирусы, трояны и другие вредоносные программы, которые могут проникнуть на устройства. Регулярное обновление антивирусных баз данных помогает защитить устройства от новых угроз.

Проверка компьютеров на наличие вирусов – это еще один важный шаг для предотвращения внутренних угроз. Регулярная проверка на вирусы помогает обнаружить и удалить вредоносные программы до того, как они смогут нанести ущерб системе.

Использование брандмауэра – это мера, которая помогает защитить сеть от внешних угроз, а также ограничивает доступ к системе для внутренних пользователей. Брандмауэр может блокировать нежелательные подключения и ограничивать доступ к определенным ресурсам.

Обучение сотрудников правилам безопасности – это важный шаг для предотвращения внутренних угроз. Сотрудники должны быть обучены правилам безопасности, таким как не открывать подозрительные ссылки, не переходить по ссылкам от незнакомых отправителей и не загружать неизвестные файлы.

Двухфакторная аутентификация – это дополнительная мера безопасности, которая позволяет подтвердить личность пользователя перед предоставлением доступа к системе или ресурсу. Двухфакторная аутентификация может быть реализована с помощью различных методов, например, с использованием SMS-сообщений, кодов подтверждения на экране или аппаратных токенов.

Слежение за изменениями в политике безопасности – это также важный шаг для предотвращения внутренних угроз. Компания должна следить за изменениями в законодательстве и тенденциях в области безопасности, чтобы своевременно обновлять правила и меры безопасности.

Основные направления контроля

1. Использование Интернета сотрудниками

По мере того, как все больше ваших сотрудников работают удаленно и из домашнего офиса, увеличивается или уменьшается внутренняя угроза?

Принято считать, что нахождение внутри корпоративного брандмауэра означает большую безопасность. Это верно, конечно, до тех пор, пока в вашу сеть не попадет угроза; то ваша безопасность скомпрометирована. Фактом цифровой жизни является то, что предоставление вашим сотрудникам доступа в Интернет рискует привести посторонних в вашу сеть, где они могут делать все, что захотят. В то же время модель безопасности, состоящая в возведении стены как можно выше, чтобы не пустить всех внутрь, просто не имеет смысла.

2. Непреднамеренные внутренние угрозы/поведение пользователя

Помимо всего, что вы развертываете, чтобы ограничить свою уязвимость к внутренним угрозам, помните обо всем, что вы не развертываете, чтобы ограничить ее.

Когда дело доходит до предоставления прав, ИТ-отделу приходится выполнять деликатную балансировку. Чем больше вы опускаете планку, тем легче становится проникнуть через вашу сетевую защиту. Но если вы поднимете его слишком высоко и не предоставите пользователям достаточный доступ, они найдут альтернативные пути для обмена файлами и выполнения своей работы. Это своего рода непреднамеренная внутренняя угроза, вызванная поведением пользователя.

Если вы слишком усложните людям выполнение своей работы, они найдут другой (обычно менее безопасный) способ выполнить то же самое. Затем, когда вы подаете заявку на страхование кибербезопасности, а оператор связи находит ваши файлы в Dropbox или GitHub, это смущает.

Единственный способ действительно опередить теневые ИТ — убедиться, что у ваших пользователей нет причин выбирать этот путь. Трудно найти баланс, особенно когда нужно учитывать безопасность.

3. Неисправленные конечные точки/программное обеспечение

Разобравшись с доступом, подключением и совместным использованием, вы можете убедиться, что все ваши конечные точки исправлены и защищены. Большая часть этого заключается в том, чтобы знать, что на них работает. Когда возникает угроза нулевого дня, первое, что вам нужно знать, — это повлияет ли она на вас.

Вот когда вас может спасти унифицированный инструмент управления конечными точками . Он содержит перечень всех конечных точек (компьютеров, планшетов, смартфонов), подключенных к вашей сети. Сразу видно, где они, какое ПО на них работает и сколько ему лет. Если вы обнаружите, что угроза локализована, вы можете сообщить об этом группе сетевых операций и позволить им решить, помещать ли ее в карантин. Они могут захотеть предотвратить доступ к внутренним системам людей в этом регионе.

4. Устаревшее программное обеспечение

Точно так же, как неисправленное программное обеспечение, существует устаревшее программное обеспечение. Вы напрашиваетесь на неприятности, если ваша организация (и ваша безопасность) зависит от программного обеспечения, которое больше не обновляется.

Операционные системы, конечно, самые печально известные мишени, потому что их не очень много, поэтому они являются привлекательной мишенью для злоумышленников. Например, если вы все еще используете Windows Server 2008 где-то в своей сети, вы уязвимы. Ваша единственная надежда — укрепить брандмауэр, но вы все равно должны это сделать.

Хранить устаревшие приложения — тоже плохая идея. Какой смысл защищать свои операционные системы, если вашей системе планирования ресурсов предприятия (ERP) со всеми вашими финансовыми данными уже 15 лет, и она уязвима? Вы не должны владеть приложением, если вы не можете тратить время на его поддержку. Вы должны учитывать техническое обслуживание в общей стоимости.

Если вы не сможете следить за всем, что делают все в вашей компании, и контролировать это, вы, вероятно, в какой-то момент обнаружите, что виноваты в этом сами.

5. Неконтролируемая установка программного обеспечения

В современной системе безопасности существует два типа мониторинга поведения. Во-первых, ваши поставщики удостоверений и единого входа (SSO) отслеживают шаблоны входа в систему; во-вторых, системы обнаружения и реагирования конечных точек (EDR) отслеживают попытки установки вредоносного или несанкционированного программного обеспечения. Microsoft, например, предлагает Defender. Вы можете подумать об этом в контексте программ-вымогателей, которые созданы для того, чтобы начать шифрование всех файлов на компьютере. Программное обеспечение EDR отслеживает все в системе, когда вдруг замечает процесс, которого раньше никогда не видел. Затем активируются API-интерфейсы шифрования, что предполагает атаку программ-вымогателей. EDR использует сложную эвристику и индикаторы компрометации (IoC), но в основном это наблюдение за поведением системы, сети, процессов и API. Каждый раз, когда возникает новая атака, ее модели переобучаются в соответствии с поведением этой конкретной конечной точки.

Если система EDR видит, что вы редактируете документ на своем компьютере, затем вы переключаетесь на шифрование файлов, затем начинаете загружать другую DLL, она знает, что есть проблема. Или, если вы работаете в бухгалтерии и имеете историю доступа только к определенным системам, EDR считает аномалией, если вы пытаетесь получить доступ к системам, не связанным с вашей работой.

6. Отключенный брандмауэр на серверах

Единственная лучшая вещь, которую вы можете сделать для защиты своего локального присутствия, — это активировать брандмауэр — даже брандмауэр Windows — на ваших серверах и открывать только те порты, которые вам нужны. Многие ИТ-специалисты игнорируют этот шаг и запускают серверы с отключенным брандмауэром.

Например, первое, что делают большинство технических специалистов при создании сервера, — отключают брандмауэр. Но вы должны принять модель документирования каждого сервера, который вы развертываете в рабочем состоянии, включая документирование служебных портов, необходимых для ваших операций. Затем вы должны активировать брандмауэр и исключить эти порты. Старайтесь сделать каждый сервер своим островом везде, где это возможно.

Если вы запускаете информационные службы Интернета (IIS), предоставляйте их только через прокси-серверы, например Microsoft Azure AD Proxy. Прокси-серверы предлагают два преимущества. Во-первых, они обходят ваши брандмауэры, что оценят ваши пользователи VPN. Во-вторых, они также помещают MFA перед вашими веб-приложениями — даже приложениями, в которых раньше не было MFA. Затем включение брандмауэра — это способ указать, что только прокси-серверы могут получить доступ к веб-серверу.

7. Политика в отношении паролей

Пароли похожи на электронную почту: почти все организации согласны с тем, что они — головная боль, но пока никто не готов от них избавиться.

На самом деле, даже Microsoft заявила, что нет причин менять совершенно хороший пароль. Трение, связанное с его изменением, подвергает сеть большему риску, чем сохранение надежной сети. Вот почему различные идеи о паролях развиваются и закрепляются на предприятии:

• Пароли с неограниченным сроком действия. Вечные пароли привлекательны тем, что пользователям не нужно постоянно запоминать новые. Это означает меньшее количество сбросов паролей и проблем с ротацией. Пароль должен быть только определенной длины — скажем, 14 символов — и он не должен содержать заглавные буквы, специальные символы или цифры.
• Парольные фразы. Они длиннее обычных паролей и, как правило, их легче запомнить. Пароль типа «я живу по твоему адресу» или «банановая милая туфелька» более эффективен с точки зрения пользователя.
• Проверка пароля. ИТ-специалисты понимают, что для обеспечения надежной и жизнеспособной защиты паролей необходимо мыслить в описанном выше контексте лазаньи. Поэтому ИТ-отдел внедряет проверку пароля в режиме реального времени — например, в Azure, — которая берет каждый пароль, предложенный пользователями, и проверяет его по всему списку даркнета. Процедура проверки рассматривает все возможные части, которые хакер может использовать, чтобы попытаться угадать предлагаемый пароль методом грубой силы. Если какой-либо его компонент является частью списка даркнета, подпрограмма значительно снижает оценку — скажем, до слабой или очень слабой — и предлагает пользователю повторить попытку. Этот метод отклоняет легко подбираемые пароли еще до того, как их можно будет использовать.
• Хранилища паролей. Такие продукты, как Bitwarden или LastPass, предоставляют вашим пользователям место для хранения вещей, которое является более безопасным, чем заметки, прикрепленные к монитору или спрятанные в ящике стола. Это также более безопасно, чем отслеживание паролей в электронной таблице (которое, скорее всего, обнаружит аудит сетевой безопасности).

Заключение

Самый эффективный способ ограничить внутренние угрозы — ограничить разрешения каждого пользователя тем, что ему нужно для выполнения своей работы. Этот простой (но не легкий) шаг сводит к минимуму возможность нанесения ущерба любой учетной записи пользователя. Это применимо независимо от того, находится ли учетная запись в руках небрежного или недовольного пользователя или злонамеренного постороннего, который украл учетные данные. Вы можете доверить кибер-безопасность своей организации Fanetech. Мы управляем ИТ-центром кибербезопасности. Отслеживаем безопасность и расследуем инциденты 24/7/365 в соответствии с предопределенными сценариями, устраняем ложные срабатывания, классифицируем и сортируем инциденты по приоритетности.