Борьба с инсайдерами

StaffCop

StaffCop Enterprise

        Приветствем Вас! Сегодня мы решили рассмотреть замечательный документ за авторством Дэвида Бизула под названием «Руководство по обработке инцидентов, связанных с дейтсвиями инсайдеров». Инсайдеры — это внутренние злоумышленники, которые используют внутреннюю ( и, как правило, конфиденциальную) информацию компании для собственного заработка, часто подвергая риску компанию, информацией которой они так беззастенчиво пользуются. В документе рассмотрено 6 основных этапов обработки таких инцидентов и мы кратко, но ёмко рассмотрим каждый из них. Что ж, приступим!

        Этап первый — Подготовка. Для того, чтобы успешно разрешать подобные инциденты, нужны быть к ним готовым. Это сильно сэкономит вам время и максимизирует вашу эффективность. Шаги по подготовке максимально просты:

  • У вас должен быть налаженный, чёткий контакт с юридическим отделом, с подразделением, ответственным по связям с общественностью и кадровой службой. Это позволит вам контролировать ситуацию, в процессе обработке инцидента.
  • У вас обязательно должна быть централизованная система сбора журналов регистрации событий. Таким образом, вы обеспечите максимальный охват проблемных зон и сможете быстрее определять инциденты ИБ.
  • Распределение допусков и их ревизия должны быть чётко отлажены. Нужно не только предоставлять сотрудникам те допуски, которые им необходимы, но и своевременно убирать те, которые перестали быть таковыми.
  • У вас должна быть обеспечена строгая аутентификация в соответствии с уровнем риска для бизнес-приложений. Это позволит сократить количество происшествий.

        Следующим пунктом будет Выявление. Вы определяете наличие инцидента, его масштабы и сразу подключаете ответственных. К сожалению, злоупотребления инсайдеров весьма непросто раскрыть, для этого необходимы строгие системы контроля за действиями сотрудников и постоянная профилактическая работа со стороны офицеров безопасности. Тут у нас есть два вида идентификации — техническая и персональная.

  • Техническая идентификация: с помощью имеющихся у вас инструментов отслеживающих корреляции событий или детекторов вторжения. Ваша система должна обнаруживать отклонения в поведении сотрудников и выявлять попытки взлома любой системы.
  • Персональная или личностная идентификация: о подозрительных событиях или нарушениях могут узнать: руководитель(при правильной системе контроля), подразделения собственной безопасности, коллеги(как наиболее вовлечённые в рабочие вопросы), внешние партнёры (выявившие поддельные операции со стороны вашей компании).

        Третий шаг — Снижение воздействия. На этом шаге вы должны уменьшить последствия произошедшего. Важным здесь будет наличие письменных разрешений от ответственных/уполномоченных лиц и рекомендации юридического отдела. Вы привлекаете людей, которые способны помочь в данной ситуации, которые могут предпринять необходимые шаги. Как было сказано выше, это могут быть кадровые службы, юридический отдел, служба по связям с общественностью и руководители отдела/группы в которой был обнаружен инсайдер.

        Подозреваемому должно быть разъяснено, что было обнаружено и какую ответственность это повлечет за собой. В этом могут помочь непосредственные руководители, руководство компании, технические специалисты или служба безопасности. Одновременно с этим, в зависимости от того, разрешается ли инсайдеру продолжать работу вы либо понижаете его привилегии до минимально необходимых и достаточных для разрешённой работы, либо полностью отключаете доступ, в том числе удалённый и конфискуете все устройства, токены и ключи.

        Может быть два варианта развития событий при обнаружении инцидента. Вариант первый — подозрительная активность. В этом случае вам нужно будет провести расследование, включающее в себя экспертизу устройств, которыми пользовался предполагаемый инсайдер и произвести исследование журналов регистрации событий из различных источников.

        Вариант второй — вредоносная активность. Если мошеннические действия подтверждены фактами, то обращайтесь в полицию и позвольте юридическому от делу и правоохранительным органам собрать доказательства и помогайте им, при необходимости. Если же инцидент может вызвать нежелательные последствия, о нём должно быть поставлено в известность высшее руководство и проведён анализ возможных последствий.

        Следующий этап — Исправление. На этом этапе вы не только исправляете последствия произошедшего, но и предпринимаете действия, чтобы избежать повторения ситуации в будущем. То есть, вы принимаете дисциплинарные меры в отношении инсайдера, по возможности, отменяете все вредоносные операции и, наконец, вы закрываете все уязвимости, которыми воспользовался инсайдер.

        Предпоследний этап — Восстановление. Здесь происходит уведомление всех заинтересованных сторон о произошедшем. В заинтересованные стороны включаются как партнеры, клиенты, так и сотрудники вашего предприятия. Сотрудники должны быть поставлены в известность для того, чтобы они понимали, что вы контролируете ситуацию, контролируете их действия и подобные инциденты будут пресечены, а виновные наказаны. К тому же вы вовлекаете сотрудников в жизнь компании, повышая их осведомленность и напоминаете о правилах информационной безопасности, тем самым, проводя профилактику инцидентов ИБ.

        Заключительный этап заключается в составлении выводов на основе произошедшего. Вы должны предоставить отчёт заинтересованным лицам( как правило, это руководство) в котором вы должны указать, что произошло, какие мероприятия производились (причем с указанием времени), какие в итоге оказались эффективными, а какие нет. Кроме того, обязательно нужно указать какие последствия вызвал произошедший инцидент.

        Выводы, которые вы должны сделать из всего, что произошло, очень просты: как нужно изменить процесс регулирования прав доступа, как можно улучшить защитные меры и как улучшить профилактику подобных событий.

        Надеемся, Вам было интересно и эта статья поможет вам в вашей рабочей деятельности.