Управление инцидентами безопасности: проблемы и их решения
Насыщенность рынка услуг заставляет бизнес бороться за клиентов, предлагая новые привлекательные продукты, повышая прозрачность своих процессов и одновременно придерживаясь российских и международных стандартов. При этом бизнес-процессы компаний все сильнее зависят от IT. Инциденты информационной безопасности (связанные с нарушением функционирования информационных систем, воздействием вредоносных программ, несанкционированным доступом или утечкой информации в результате предумышленных или случайных действий персонала и прочими факторами) ведут к значительным, в том числе и к прямым финансовым потерям, снижению доверия клиентов, партнеров, регулирующих органов.
Каталог DLP и Антифрод-решений и проектов
Как правило, компании подвергаются ущербу в результате инцидентов из-за слабой документированности и задержки с проведением (или даже отсутствием) таких основных мероприятий, как:
- обнаружения и регистрации инцидентов с определением ответственных по ним исполнителей;
- выработки эффективных решений, отработки инцидентов и устранения их последствий;
- анализа и устранения причин инцидентов;
- ведения профилактической работы с персоналом и в ИТ-инфраструктуре.
Добавим также отсутствие достоверной статистики инцидентов, баз знаний по типовым и наиболее эффективным решениям, удобных и надежных специализированных механизмов взаимодействия персонала при работе с инцидентами, критериев и механизмов оценки эффективности и планирования деятельности ответственных специалистов, затрат на проводимые мероприятия и персонал.[1]Метавселенная ВДНХ
Для кредитных организаций соблюдение стандартов безопасности переходит из разряда рекомендательных в разряд настоятельно необходимых. Утрата доверия клиентов, утечка информации, подрыв деловой репутации чреваты для них не только остановкой, но и потерей бизнеса. Только в США за 2009 г. по данным ITRC произошло более 356 случаев утечки информации, ущерб от которых превысил 1,8 млрд. долл. Россия по числу известных утечек информации занимает третье место в мире.
Финансовый сектор, следуя требованиям регуляторов, руководствуется в своей деятельности требованиями следующих отечественных и международных (или их национальных версий) стандартов информационной безопасности: PCI DSS, ISO 27001, ISO 27002 (ГОСТ 17799), NIST 800-61, ISO (ГОСТ) 18044, СТО БР ИББС, а также ФЗ-152. Выполнение требований стандартов ИБ в целом позволяет избежать санкций со стороны регуляторов, значительно снижает затраты компании на обеспечение и поддержание ИБ, минимизирует риски потери деловой репутации, повышает имидж компании, позволяет эффективно сотрудничать с международными компаниями, выстроить взаимодействие между подразделениями компании, облегчает процессы аудита, повышает лояльность и доверие клиентов.
Для решения перечисленных проблем и снижения ущерба компании в результате инцидента, а также выполнения требований регуляторов необходимо построение адаптированного процесса инцидент-менеджмента.
В соответствии с требованиями упомянутых выше стандартов управления ИБ, процесс инцидент-менеджмента должен содержать следующие основные подпроцессы:
- Обнаружение инцидентов с помощью различных источников.
- Классификация инцидента для определения параметров его создания и назначения задач.
- Корреляция инцидента с существующими зарегистрированными инцидентами, с незарегистрированными сообщениями в источниках обнаружения.
- Реагирование на инцидент, принятие мер по устранению инцидента и его последствий.
- Анализ инцидента по имеющимся данным, определение причин возникновения инцидента.
- Планирование мероприятий с целью предотвращения появления инцидента в дальнейшем.
Реализующая такой процесс система должна обеспечивать:
- Сбор информации от пользователей по различным каналам связи.
- Автоматический сбор в режиме реального времени событий с программных и аппаратных устройств.
- Анализ поступающих событий и автоматическую регистрацию инцидентов.
- Корреляцию инцидента (поиск взаимосвязей в уже созданных инцидентах).
- Классификацию инцидента (класс, приоритет, объект).
- Поддержку актуального штатного расписания.
- Назначение инцидента на определенную минимальную линию поддержки, способную решить инцидент (тем самым разгружая экспертные линии).
- Оповещение исполнителей о возникновении и назначении инцидента.
- Установку фиксированных сроков на решение инцидента (в соответствии с приоритетом) и отдельных его задач.
- Возможность эскалации решения инцидента.
- Подключение планов экстренного реагирования с заранее регламентированным списком действий.
- Возможность назначения отдельных задач в рамках инцидента на отдельных сотрудников или группы.
- Оповещение руководителей в случае нарушения сроков выполнения задач сотрудниками
- Учет вносимых изменений в информационных системах в ходе решения инцидентов.
- Оповещение пользователя о ходе решения инцидента по его обращению.
- Целостность процессов инцидента во избежание скрытия факта инцидента.
- Планирование мер во избежание повторного возникновения подобных инцидентов.
- Автоматическое уведомление руководителей и заинтересованных лиц о возникновении инцидента и его решении.
- Формирование статистики по типовым решениям подобных инцидентов.
- Построение подробных отчетов по системе инцидент-менеджента для оценки эффективности её работы и анализа KPI отдельных сотрудников и подразделения ИБ в целом.
Традиционно используемые для управления инцидентами отдельные решения типа SIEM и Service Desk даже в совокупности позволяют решить лишь незначительную часть из перечисленных задач.
Признаки того, что ваша компания в группе риска утечки данных
Проблема информационной безопасности сейчас актуальна как никогда. Согласно отчету IBM, 48% угроз безопасности связаны с деятельностью инсайдеров. Вместе с тем некоторые компании до сих пор пребывают в уверенности, что их эта тревожная статистика не коснется. Зачастую такое мнение ошибочно, поэтому аналитический центр Falcongaze подготовил список признаков того, что компании стоит озаботиться вопросом защиты от утечек данных.
Отсутствие корпоративной политики безопасности
Потенциальной угрозой для конфиденциальных данных является отсутствие корпоративной политики безопасности и режима коммерческой тайны. Политика позволит всем сотрудникам четко уяснить принципы и действия, обеспечивающие информационную безопасность в организации, а режим коммерческой тайны обеспечит функционирование этой политики в правовом поле. Создание проработанной политики безопасности — это переход от слов, зависших в воздухе, к задокументированным правилам и принципам.
Высокая ротация кадров и сокращения
В связи с продолжительными кризисными явлениями в последнее время в компаниях возросла ротация кадров. Другая проблема по той же причине — массовые сокращения. В таких условиях вероятность утечки данных возрастает в разы. Работники, недовольные увольнением, могут унести с собой конфиденциальную информацию, да и в целом текучка кадров отрицательно складывается на мотивации сотрудников. Компании решают эту проблему разными способами. Во-первых, это повышенное внимание к увольняющимся и пониженным в должности сотрудникам — контроль за их деятельностью на рабочих местах с помощью специализированного ПО, такого как SecureTower. Во-вторых, разъяснительные работы с персоналом. Важно напомнить работнику о подписанном соглашении о неразглашении коммерческой тайны, а также об ответственности, которую он понесет в случае нарушения обязательств и разглашения конфиденциальной информации. Сотрудник, знакомый со всеми возможными последствиями нарушения, вряд ли на него решится.
Мессенджеры, электронная почта, социальные сети
Современные технологии диктуют новые модели поведения работников в течение рабочего дня. Все большая часть рабочей коммуникации приходится на мессенджеры и социальные сети, а сотрудников, чья непосредственная деятельность не связана с онлайн-средой, можно пересчитать по пальцам. Если еще 10 лет назад работа в интернете была прерогативой людей в большинстве своем подкованных, а возможностей утечек в нем было на порядок меньше, то теперь угрозы в онлайн-пространстве стали куда более изощренными, а работники — все менее к ним подготовленными. Кроме того, почта и мессенджеры являются одними из основных каналов утечек данных, поэтому оставлять их неконтролируемыми — это все равно, что оставить без присмотра машину с включенным зажиганием.
Деловые поездки и командировки
Наличие в компании сотрудников, проводящих много времени на деловых встречах с клиентами и партнерами и часто отправляющихся в командировки, также является фактором риска. Работники нередко берут в деловые поездки корпоративные ноутбуки для проведения презентаций и использования в иных рабочих целях. Нередко такие поездки оборачиваются утечками информации с серьезными последствиями. Важно контролировать деятельность сотрудников, находящихся за пределами компании, при помощи специализированного программного обеспечения, работающего в автономном режиме. При наличии такого ПО на протяжении всей деловой поездки информация обо всех действия сотрудника на ноутбуке помещается в резервное хранилище. При подключении ноутбука к сети офицер безопасности компании имеет возможность получить полноценные сведения о том, не была ли нарушена корпоративная политика безопасности – например, в случае, если сотрудник в поездке отправлял конфиденциальные документы на USB-носитель, а политикой это запрещено.
Неконтролируемый документооборот
Очень важно ограничивать доступ к определенной информации для сотрудников, чья непосредственная работа с ней не связана, и контролировать документооборот в компании, пресекая попадание конфиденциальных сведений «не в те руки». Часто руководители не задумываются, насколько ценными могут быть те или иные данные, в то время как доступ к ним имеют все. Определившись с перечнем действительно важной и чувствительной информации и разграничив права доступа, следует вводить режим коммерческой тайны — это единственный действенный способ обеспечить конфиденциальность и, в случае чего, наказать виновных.
Помимо вышеперечисленных, существуют и другие признаки того, что защите от утечек информации стоит уделить особое внимание. Однако если во время чтения любого из пунктов вы вспомнили о своей компании, то вы однозначно в группе риска, а лучшее время, чтобы принять меры к обеспечению информационной безопасности, — сейчас.
Обеспечение безопасности на фоне конвергенции личных и рабочих учётных записей пользователей
Компания Gemalto в декабре 2016 года опубликовала результаты своего индекса Authentication and Identity Management Index, согласно которому 90% корпоративных ИТ-специалистов выражают определённые опасения по поводу того, что использование сотрудниками своих личных учётных данных для рабочих целей способно привести к компрометации безопасности. Однако учитывая, что две трети опрошенных (68%) не имеют никаких возражений против того, чтобы сотрудники в их компаниях использовали свои личные учётные записи от социальных сетей для доступа к корпоративным ресурсам, в своём исследовании Gemalto приходит к выводу, что наибольшим поводом для беспокойства для организаций является использование сотрудниками личных приложений (например, электронной почты).
Конвергенция личных и рабочих учётных записей
Корпоративный и потребительский миры становятся всё ближе друг к другу, и грань между ними постепенно стирается, при этом отделы ИТ-безопасности в корпорациях всё чаще вынуждены внедрять такие же методы аутентификации, которые обычно используются в потребительских сервисах, в том числе сканирование отпечатков пальцев или распознавание сетчатки глаза. Об этом сообщили шесть из десяти опрошенных (62%), при этом такое же число (63%) считает, что методы безопасности, разработанные для потребителей, обеспечивают достаточный для корпораций уровень защиты. Фактически более половины респондентов (52%) считает, что в течение ближайших трёх лет эти методы станут полностью неразличимы.
Влияние утечек данных в потребительской сфере на безопасность предприятий
Хищение персональных данных составляет 64% всех утечек данных, зафиксированных в мире[2], при этом продолжает расти число утечек в потребительских сервисах, в результате чего менять политики безопасности в части управления доступом приходится почти 9 из каждых десяти (89%) корпораций. Примерно на половине предприятий (49%) проводится дополнительное обучение сотрудников, что призвано снизить обеспокоенность руководства по поводу безопасности, 47% увеличили свои расходы на безопасность, и 44% выделили дополнительные ресурсы.
На используемый предприятиями подход к осуществлению аутентификации и управлению доступом во многом влияют ожидания сотрудников относительно практичности, удобства в использовании и мобильности сервисов. Примерно половина респондентов сообщила, что их предприятия увеличивают ресурсы и расходы на управление доступом. Увеличивается и количество внедрений соответствующих систем: 62% предполагают внедрить решения для строгой аутентификации в течение ближайших двух лет, что на 51% больше числа респондентов, заявивших о подобном намерении в прошлогоднем исследовании, при этом около 40% опрошенных заявили о намерении внедрить в ближайшие два года Intel Cloud SSO или IDaaS.
С точки зрения предприятий преимущества очевидны, при этом более девяти из десяти опрошенных (94%) используют двухфакторную аутентификацию для защиты по меньшей мере одного приложения, и почти все респонденты (96%) планируют использовать эту технологию в определённый момент в будущем.
Безопасность мобильных решений по-прежнему вызывает опасения
По мере того, как всё больше предприятий начинают использовать мобильные технологии, появляются и всё новые задачи, связанные с необходимостью защитить корпоративные ресурсы, но при этом и обеспечить дополнительную гибкость для сотрудников, которые работают не в офисе. Несмотря на увеличение числа предприятий, разрешающих своим сотрудникам работать в мобильном режиме, примерно треть (35%) организаций полностью перекрыла сотрудникам доступ с мобильных устройств к корпоративным ресурсам, и 9 из 10 (91%) частично ограничивают своим сотрудникам такой доступ. При этом респонденты из половины компаний (50%) подтверждают, что обеспечение безопасности является для них одним из основных опасений при внедрении мобильных технологий в рабочем окружении.
Для защиты от угроз, связанных с внедрением мобильных технологий, предприятия по-прежнему чаще всего полагаются на связку имён пользователей и паролей - в среднем примерно две трети пользователей в организациях респондентов прибегают именно к такому методу аутентификации. При этом, в настоящее время примерно 37% пользователей в организациях респондентов приходится применять двухфакторную аутентификацию для доступа к корпоративным ресурсам с мобильных устройств. Однако респонденты считают, что, как и в случае с доступом к ресурсам внутри офиса, в течение двух ближайших лет это число увеличится более чем до половины (56%).
Смотрите также:
"Совершенно очевидно, что современные потребительские тенденции оказывают огромное влияние на корпоративную безопасность – здесь уместно вспомнить самые различные аспекты, начиная с проблем использования одних и тех же учётных записей разными сотрудниками, и заканчивая практическими подходами к аутентификации, - говорит Франсуа Ласнье (François Lasnier), старший вице-президент по технологиям защиты учётных записей в Gemalto. – При этом компаниям важно удостовериться, что их данные не будут скомпрометированы в результате плохих личных привычек их сотрудников. Для нас весьма отрадно видеть увеличение числа внедрений двухфакторных методов аутентификации и повышение уровня самосознания в отношении управления облачным доступом, поскольку это наиболее эффективные решения, позволяющие компаниям обезопасить облачные ресурсы и защитить себя от внутренних и внешних угроз. Для руководителей ИТ-подразделений важно по-прежнему продолжать ставить вопросы обеспечения безопасности на повестку дня на уровне правления компании, последовательно добиваясь того, чтобы информационная безопасность была приоритетом для всех сотрудников организации".
Способы решения проблемы несанкционированного доступа в организациях
- Уход аутентификации пользователя по паролю для каждого пользователя и для каждой системы. Необходимо заменить ее на аутентификацию по токену или карте. Например, если пользователь ездит в командировку, то можно использовать одноразовые пароли, переданные по SMS.
По данным исследования компании Trustwave, 80% инцидентов в сфере информационной безопасности происходят в следствии использования ненадежных паролей. Глобальный отчет по безопасности компании Trustwave 2012 года посвящен уязвимым элементам в информационной безопасности компании. Авторы доклада исследовали более 300 инцидентов в 18 странах, произошедших в 2011 году. Доклад акцентирует внимание на продолжающемся росте кибератак, а также увеличению количества злоумышленников в сфере информационной безопасности. Большинство инцидентов возникает в следствии организационных и административных проблем. В ходе исследования было обнаружено, что 76% случаев нарушений произошло из-за уязвимости системы безопасности отделов, ответственных за системную поддержку и развитие компании. Большая часть исследования посвящена проблеме использования слабых паролей. По мнению специалистов Trustwave, 80% инцидентов происходит в следствии слабых паролей. Слабые пароли продолжают оставаться основным уязвимым местом, используемым злоумышленниками как в крупных, так и в небольших компаниях. По факту, использование слабых и стандартных паролей облегчает работу взломщиков для проникновения в информационные системы. Порой преступникам не требуется использование сложных, продуманных методов для взлома. По данным компании Trustwave, самым используемым паролем в сети является `Password1`(пароль1). В исследовании отмечено, что применение стандартных паролей присуще также при работе с серверами, сетевым оборудованием и различными устройствами пользователей. В своем исследовании компания Trustwave приводит список наиболее употребляемых паролей. Английское слово `Password` (пароль) употребляется в 5% случаях, а слово Welcome (приветствие) в 1.3% случаев. Стоит также обратить внимание на использование времен года и дат. Также одна из проблем заключается в том, что многие устройства и приложения используются с изначальными стандартными паролями, зачастую дающими полноту прав доступа, говорится в исследовании.
- Нужно провести аудит учета пользователей, сколько пользователей, когда они последний раз логинились, какова их активность и проанализировать всю эту информацию.
- Сокращение источников учетных записей. Нужен единый строгий перечень источников учетных записей для информационных систем.
- Если у компании есть региональная сеть, то нужно действовать централизовано, использовать сторгую аутентификацию, потому что иначе контролировать из центра это невозможно. Например, если у какого-то банка есть разветвленная сеть в регионах. Какие бы мы не выпускали приказы, люди все равно будут записывать свои пароли на бумажке и хранить у монитора. А вот управлять доступом пользователей к информационным системам из одного места можно. Кроме того, если система не объединена, информацию об инцидентах трудно собрать. Единая система это позволяет – она хранит все логи: кто, когда, куда зашел, и что там сделал.
Основные методы защиты от инсайда
- Знай своего сотрудника
- Учет мест хранения и способов обработки критичной информации
- Контроль каналов получения и распространения критичной информации
- Реализация процедур по выявлению и пресечению известных схем мошенничества
- Оценка возможных рисков при внедрении новых технологий, продуктов и услуг
- Повышение осведомленности работников в вопросах ИБ
Системы защиты от деятельности инсайдеров
- Использование системы защиты от утечки (DLP)
- Мониторинг запросов пользователей к БД
- Мониторинг обращений пользователей к общим каталогам
- Использование систем фрод-анализа для выявления внутренних мошенников
- Использование систем управления правами доступа
- Использование систем контроля за работой привилегированных пользователей
Средства выявления аномалий как элемент выявлений внутренних злоупотреблений
- Аномалии в запросах пользователя в АС
- Аномалии сетевой активности
- Аномалии в работе с приложениями
- Аномалии при работе с файлами, с устройствами внешнего хранения данных
- Аномалиив выполнении бизнес задач