Использование обманных технологий для обнаружения инсайдеров

Использование обманных технологий для обнаружения инсайдеров

В 2016 году компания IBM опубликовала отчет Cyber Security Intelligence Index, который показал, что 60% всех кибератак были совершены инсайдерами, то есть сотрудниками компании, и три четверти из них были злоумышленными. Некоторые злонамеренные инсайдеры используют относительно простые средства для кражи данных, но другие — как правило, ИТ-персонал — владеют сложными инструментами и методами, которые ставят их в один ряд со внешними злоумышленниками. Мы называем таких сотрудников «продвинутыми инсайдерами».

Даже если вы уверены в своих сотрудниках и считаете риск подобной атаки внутри своей компании минимальным, мы рекомендуем использовать превентивные меры защиты, поскольку в случае успеха инсайдер может нанести вашему бизнесу значительный ущерб.

Как правило, сотрудники намеренно компрометируют систему защиты работодателя для достижения определенных целей:

· Кража интеллектуальной собственности или данных о клиентах для продажи конкурентам или для собственных нужд;

· Нарушение бизнеса из-за личной неудовлетворенности или для продвижения определенной политической точки зрения;

Очевидно, у продвинутых инсайдеров есть ряд преимуществ перед сторонними хакерами:

· Они уже внутри периметра, что позволяет им пропустить начальные шаги по компрометации, ориентации в компании и сбору данных. Они знакомы, по крайней мере, с частью сети и основными приложениями.

· Продвинутые инсайдеры часто имеют привилегированный доступ к ключевым системам.

· Поскольку у таких сотрудников есть понимание корпоративной культуры и бизнес-процессов, они могут реализовать свои планы умело, не привлекая внимания. Крайне важно обнаружить их в самом начале движения внутри корпоративной сети, на первых стадиях атаки.

Также важно отметить, что доступ к чувствительным ИТ-системам и данным в крупных компаниях осуществляется тысячи раз в день, что позволяет продвинутому инсайдеру скрывать вредоносную активность в рамках всего объема обычных транзакций. В организациях финансовой и банковской отрасли последствия злоумышленного доступа к основным финансовым системам, управлению капиталом, обработке платежей и торговым платформам могут быть еще более серьезными.

Использование обманных технологий информационной безопасности (Deception Technology), основанных на приманках и ловушках, позволит вам вычислить такого сотрудника до того, как он успеет нанести непоправимый вред компании. Согласно прогнозам Gartner, приведенным в отчете компании Тайгер Оптикс, к 2018 году 10% компаний будут использовать обманные техники и ловушки для инсайдеров, а также активно проводить рейды против таких злоумышленников. Обманные технологии не только помогают обнаружить латеральное движение продвинутого инсайдера, но также могут и остановить его. Существует несколько факторов, на которые работодателю необходимо обратить внимание, если он решил защитить себя от внутренних угроз.

Поставьте себя на место злоумышленника

Довольно сложно перехитрить стороннего хакера, а когда речь идет об инсайдере, вам необходимо задействовать всю свою сообразительность. Подумайте, куда такой сотрудник пойдет, чтобы найти информацию о новых сделках или интеллектуальной собственности? Как он может манипулировать учетной записью и скрывать свою активность в процессе проведения несанкционированных финансовых транзакций? Какие именно данные могут представлять для него наибольший интерес? Затем создайте приманки, основанные на ходе мыслей инсайдера.

Расставьте сети приманок

Например, вы можете создать фальшивые сетевые папки, которые имитируют реальные папки, содержащие квартальные отчеты о портфелях акций, финансовые данные компании и сотрудников и так далее. Они должны быть структурированы похожим образом и содержать те же типы данных. Продвинутый инсайдер должен иметь доступ к этим данным с помощью тех же технологий и способов, которые используют законные пользователи для доступа к реальным папкам. Любая активность пользователей с такими фальшивыми папками заслуживает пристального внимания.

Если подозревается инсайдерская деятельность, задействуйте события внутри организации или придумайте искусственные поводы, чтобы вычислить злоумышленника. Например, попросите всех ваших сотрудников сменить корпоративные пароли к конкретной дате, а затем с использованием обманных технологий проследите попытки сбора и использования учетных данных во время или после этого окна изменений.

Соберите надежные свидетельства атаки

Ложные обвинения могут негативно отразиться на корпоративной культуре и репутации компании, поэтому вам необходимо быть абсолютно уверенным в виновности конкретного человека. Поиск инсайдерской активности через лог-файлы зачастую не приносить результатов. DLP и другие инструменты генерируют слишком много данных, и собранная информация может показать, что произошло, но не как и почему.

Некоторые программы способны снять образ жесткого диска, но не сохраняют информацию о процессах и сеансах, запущенных в памяти на конечной точке в момент атаки. Специализированные технологии, например, от illusive networks, детектирует вредоносную активность и позволяют собирать данные в момент ее осуществления непосредственно с источника атаки. После того, как приманка идентифицирует преступника, собранные данные могут использоваться для корреляции с другими источниками для масштабного расследования. В России и СНГ подобные технологии от иностранных вендоров реализуются через дистрибьюторов.

Никакая технология сама по себе не обеспечит полную защиту от инсайдерских угроз, но может быть частью комплексного подхода к решению этой проблемы. Решающее значение в определении потенциальных злоумышленников среди сотрудников имеет понимание человеческой психологии. Комплексный подход к защите от инсайдеров должен включать сотрудничество между ИТ и бизнесом для определения того, какие виды кибер-индикаторов взлома и разведки внутри сети следует искать.

Для крупных компаний с ценными данными технологические ловушки являются важным компонентом стратегии безопасности, поскольку они помогают детектировать активность, которая без их использования не вызывает подозрений.

Об авторе

Брайан Хармон — старший вице-президент по продажам illusive networks
Брайан Хармон — старший вице-президент по продажам illusive networks
99
Начать дискуссию