Sony, OPM, а недавно еще и MLB. Кто-нибудь знает, как защититься от кражи данных? Предлагается множество идей, начиная с отказа от современных систем и заканчивая шифровкой всех данных. Но, к сожалению, они непрактичны и нереалистичны.
Вот что мы действительно знаем о кибератаках. Согласно последнему отчету компании Verizon о нарушениях безопасности компаниям требуются месяцы, чтобы обнаружить сам факт кражи данных. В другом отчете о защите данных от Ponemon Institute говорится, что 71 % сотрудников сообщают о наличии у них доступа к данным, к которым у них не должно быть доступа. Более того, только 22 % сотрудников утверждают, что их организации способны предоставить им информацию о том, что случилось с потерянными данными, файлами и электронными письмами.
Что же будет дальше? Мы обречены? Что нужно делать?
Настало время перевернуть наши представления о защите данных. Многие организации вкладывают большие средства в защиту сетевого периметра. Но зачем это делать, если нет уверенности в том, что угрозы находятся снаружи, когда все ценные активы компаний — данные, файлы и электронные письма — находятся внутри?
Необходимо допускать возможность, что кто-то уже проник в сеть.
Организации используют инновационное решение, называемое анализом поведения пользователей (User Behavior Analytics, UBA). Это решение обеспечивает безопасность изнутри. Оно отслеживает действия пользователей: вход в систему, запущенные приложения, время доступа к данным и файлам, информацию о действиях с файлами (копирование, перемещение, удаление), частоту обращения к файлам.
«Я был очень удивлен, когда на одном из недавних мероприятий узнал, что 75 % компаний, перешедших на UBA, обнаружили текущие нарушения безопасности в своей сети, — заявил в интервью CIO отраслевой аналитик Роб Эндерл (Rob Enderle). — Удивительно, как много брешей остаются незамеченными в компаниях, которые не используют эту технологию… UBA создает профиль на каждого сотрудника и высылает оповещение, если он начинает вести себя странно».
Вот шесть способов улучшить защиту вашей организации с помощью UBA.
1. Определяйте, чем занимаются пользователи
Для применения нового подхода необходим журнал событий файловой системы. Так вы сможете знать, кто открывает, перемещает, создает, копирует и удаляет файлы. Из журнала событий файловой системы вы не только узнаете, кто из сотрудников выходит за привычные рамки работы с файлами, но и сможете отслеживать потерянные данные, файлы и электронные письма (вспомните о тех 78 % сотрудников, которые не имеют такой возможности).
2. Выявляйте нестандартное поведение
Если ваше решение UBA способно отслеживать операции с файлами на глубинном уровне, вы сможете определить нормальное поведение для каждого пользователя и установить автоматическое оповещение, когда, например, в течение минуты происходят тысячи операций копирования, или пользователь начинает вести себя нехарактерно, или он обращается к файлам в нерабочее время.
Аналитик компании Gartner Авива Литан (Avivah Litan), консультирующая клиентов по вопросам информационной безопасности, считает, что анализ поведения пользователей с учетом контекста мог бы предотвратить последние нарушения безопасности в сетях розничной торговли и похищения секретных данных АНБ Эдвардом Сноуденом.
3. Выявляйте повышение уровня привилегий
Чаще проверяйте группы повышенного риска, такие как «администраторы домена», чтобы убедиться, что в них состоят только уполномоченные пользователи. Установите оповещения по SMS или электронной почте о добавлении в такие группы новых пользователей.
Стоит также проверять Active Directory, чтобы вы могли знать, кто и когда получал доступ к секретной информации. Кроме того, из журнала событий файловой системы вы можете узнавать, что конкретно сделал этот пользователь.
4. Устраните возможность доступа для глобальных групп, особенно к хранилищам секретной информации
Обращающиеся к корпоративной информации (особенно секретной) пользователи из категории «все» или «пользователи домена» — большая проблема. В SharePoint и Exchange существует та же проблема с авторизованными пользователями. В Exchange, помимо этого, существует возможность доступа в качестве «анонимного пользователя».
Если секретная информация, данные кредитных карт, интеллектуальная собственность, юридические и кадровые данные находятся в папках, доступ к которым открыт для всех пользователей в компании, это может стать катастрофой.
Всеобщий доступ к папкам, страницам SharePoint и ящикам электронной почты должен остаться в прошлом. Его нужно заменить правилами, которые предоставляют доступ к данным только тем, кто в нем нуждается.
5. Устраните ненужные права доступа
Когда сотрудник работает в компании долгое время, у него могут меняться должности, отделы и обязанности. Временные проекты часто требуют временного доступа, но временный доступ может перерасти в постоянный. Иногда права доступа выдаются случайно.
В итоге у пользователей накапливается больше прав доступа, чем им необходимо. Но никто никогда не обратится с этой проблемой в службу поддержки, поэтому крайне важно внедрить модель работы с минимумом прав доступа.
Прежде всего изучите действия пользователя. Если он перестал обращаться к каким-либо данным, значит, возможно, доступ к ним нужно закрыть. Однако необходимо дополнительно сравнить активность пользователя с активностью его группы безопасности. Даже если пользователь перестал запрашивать определенную информацию, это еще не означает, что он больше в ней не нуждается.
6. Используйте «honeypot»
Если ваше решение UBA обладает возможностями автоматического анализа файлов, вам будет полезно создать «honeypot» — папку с общим доступом, где хранятся фальшивые секретные данные. Так вы сможете увидеть, что произойдет.
Это поможет вам выявить излишне любопытных пользователей и идентифицировать угрозу.
—
Всего месяц назад специалисты Juniper Research предсказали, что к 2019 году глобальный ущерб от нарушений безопасности составит 2,1 триллиона долларов США, а по данным исследования Cost of a Data Breach за 2015 год, средняя стоимость ущерба от нарушений безопасности возросла до 3,79 миллиона долларов. Давайте трезво смотреть на вещи: нарушения безопасности никуда не денутся и будут приводить к большим потерям. Возможно, вам стоит попробовать UBA, потому что это работает.
Вот что мы действительно знаем о кибератаках. Согласно последнему отчету компании Verizon о нарушениях безопасности компаниям требуются месяцы, чтобы обнаружить сам факт кражи данных. В другом отчете о защите данных от Ponemon Institute говорится, что 71 % сотрудников сообщают о наличии у них доступа к данным, к которым у них не должно быть доступа. Более того, только 22 % сотрудников утверждают, что их организации способны предоставить им информацию о том, что случилось с потерянными данными, файлами и электронными письмами.
Что же будет дальше? Мы обречены? Что нужно делать?
Настало время перевернуть наши представления о защите данных. Многие организации вкладывают большие средства в защиту сетевого периметра. Но зачем это делать, если нет уверенности в том, что угрозы находятся снаружи, когда все ценные активы компаний — данные, файлы и электронные письма — находятся внутри?
Необходимо допускать возможность, что кто-то уже проник в сеть.
Организации используют инновационное решение, называемое анализом поведения пользователей (User Behavior Analytics, UBA). Это решение обеспечивает безопасность изнутри. Оно отслеживает действия пользователей: вход в систему, запущенные приложения, время доступа к данным и файлам, информацию о действиях с файлами (копирование, перемещение, удаление), частоту обращения к файлам.
«Я был очень удивлен, когда на одном из недавних мероприятий узнал, что 75 % компаний, перешедших на UBA, обнаружили текущие нарушения безопасности в своей сети, — заявил в интервью CIO отраслевой аналитик Роб Эндерл (Rob Enderle). — Удивительно, как много брешей остаются незамеченными в компаниях, которые не используют эту технологию… UBA создает профиль на каждого сотрудника и высылает оповещение, если он начинает вести себя странно».
Вот шесть способов улучшить защиту вашей организации с помощью UBA.
1. Определяйте, чем занимаются пользователи
Для применения нового подхода необходим журнал событий файловой системы. Так вы сможете знать, кто открывает, перемещает, создает, копирует и удаляет файлы. Из журнала событий файловой системы вы не только узнаете, кто из сотрудников выходит за привычные рамки работы с файлами, но и сможете отслеживать потерянные данные, файлы и электронные письма (вспомните о тех 78 % сотрудников, которые не имеют такой возможности).
2. Выявляйте нестандартное поведение
Если ваше решение UBA способно отслеживать операции с файлами на глубинном уровне, вы сможете определить нормальное поведение для каждого пользователя и установить автоматическое оповещение, когда, например, в течение минуты происходят тысячи операций копирования, или пользователь начинает вести себя нехарактерно, или он обращается к файлам в нерабочее время.
Аналитик компании Gartner Авива Литан (Avivah Litan), консультирующая клиентов по вопросам информационной безопасности, считает, что анализ поведения пользователей с учетом контекста мог бы предотвратить последние нарушения безопасности в сетях розничной торговли и похищения секретных данных АНБ Эдвардом Сноуденом.
3. Выявляйте повышение уровня привилегий
Чаще проверяйте группы повышенного риска, такие как «администраторы домена», чтобы убедиться, что в них состоят только уполномоченные пользователи. Установите оповещения по SMS или электронной почте о добавлении в такие группы новых пользователей.
Стоит также проверять Active Directory, чтобы вы могли знать, кто и когда получал доступ к секретной информации. Кроме того, из журнала событий файловой системы вы можете узнавать, что конкретно сделал этот пользователь.
4. Устраните возможность доступа для глобальных групп, особенно к хранилищам секретной информации
Обращающиеся к корпоративной информации (особенно секретной) пользователи из категории «все» или «пользователи домена» — большая проблема. В SharePoint и Exchange существует та же проблема с авторизованными пользователями. В Exchange, помимо этого, существует возможность доступа в качестве «анонимного пользователя».
Если секретная информация, данные кредитных карт, интеллектуальная собственность, юридические и кадровые данные находятся в папках, доступ к которым открыт для всех пользователей в компании, это может стать катастрофой.
Всеобщий доступ к папкам, страницам SharePoint и ящикам электронной почты должен остаться в прошлом. Его нужно заменить правилами, которые предоставляют доступ к данным только тем, кто в нем нуждается.
5. Устраните ненужные права доступа
Когда сотрудник работает в компании долгое время, у него могут меняться должности, отделы и обязанности. Временные проекты часто требуют временного доступа, но временный доступ может перерасти в постоянный. Иногда права доступа выдаются случайно.
В итоге у пользователей накапливается больше прав доступа, чем им необходимо. Но никто никогда не обратится с этой проблемой в службу поддержки, поэтому крайне важно внедрить модель работы с минимумом прав доступа.
Прежде всего изучите действия пользователя. Если он перестал обращаться к каким-либо данным, значит, возможно, доступ к ним нужно закрыть. Однако необходимо дополнительно сравнить активность пользователя с активностью его группы безопасности. Даже если пользователь перестал запрашивать определенную информацию, это еще не означает, что он больше в ней не нуждается.
6. Используйте «honeypot»
Если ваше решение UBA обладает возможностями автоматического анализа файлов, вам будет полезно создать «honeypot» — папку с общим доступом, где хранятся фальшивые секретные данные. Так вы сможете увидеть, что произойдет.
Это поможет вам выявить излишне любопытных пользователей и идентифицировать угрозу.
—
Всего месяц назад специалисты Juniper Research предсказали, что к 2019 году глобальный ущерб от нарушений безопасности составит 2,1 триллиона долларов США, а по данным исследования Cost of a Data Breach за 2015 год, средняя стоимость ущерба от нарушений безопасности возросла до 3,79 миллиона долларов. Давайте трезво смотреть на вещи: нарушения безопасности никуда не денутся и будут приводить к большим потерям. Возможно, вам стоит попробовать UBA, потому что это работает.
