.svg "www.staffcop.ru")
Как защититься от действий инсайдеров с помощью Staffcop и Контур.PAM
Расскажем, как защититься от действий инсайдеров, используя Staffcop и Контур.PAM.
Чем опасны действия инсайдеров
Действия инсайдеров чаще всего приводят к утечкам данным, а также к другим инцидентам, например, взлому инфраструктуры и последующей приостановке работы компании. Из наиболее опасных последствий можно выделить три:
1) Репутационные риски. Утечка персональных данных клиентов или кандидатов подрывает доверие к компании. Часть из них может отказаться от дальнейшего взаимодействия. Если информация попадает в сеть и касается сотрудников, это способно привести к их увольнению и стать поводом для судебных исков.
2) Операционные риски. Взлом IT-инфраструктуры или потеря данных способны дестабилизировать ключевые бизнес-процессы. К примеру, удаление базы финансовых операций затруднит выплату зарплат, расчетов с партнерами и клиентами. Восстановление такой информации может занять недели, а то и месяцы.
3) Финансовые риски. Хакерские атаки и внутренние инциденты могут обернуться крупными убытками. Клиенты, чьи данные были скомпрометированы, вправе подать иск или прекратить сотрудничество. Кроме того, компании грозят штрафы. Так, с 30 мая 2025 года за незаконную передачу сведений о физических лицах в объеме от 1 до 10 тысяч записей ИП и юрлица могут быть оштрафованы на сумму от 3 до 5 млн рублей.
Как защититься от действий инсайдеров
Разграничить права доступа
Самый первый шаг — не давать инсайдерам доступа к лишней информации. Например, доступ к самой критичной финансовой информации важно давать не всем сотрудникам бухгалтерии, например, главному бухгалтеру.
Внутри PAM-системы можно настроить роли и каждой из них выдать ограниченное количество прав доступа. Например, пользователь с ролью «бухгалтер» получит доступ только к папкам с финансовой информацию, а пользователь с ролью «инженер DevOps» только к реестрам, в которых записаны данные о серверах. Можно выдать роль только на определенный период, например, на три дня, или назначить расписание, чтобы у пользователя доступ к ресурсам открывался только в пятницу в рабочие часы.
Настроить безопасный доступ
Для этого в PAM-системах используется мультифакторная аутентификация. При входе на ресурсы компании пользователю нужно не только ввести логин и пароль, но и использовать второй фактор — например, ввести код, полученный с помощью смс, уведомления, звонка.
Как это работает? Пользователь, подключаясь к конечной машине или ресурсу попадает на шлюз доступа — здесь начинает работу PAM-система. На шлюзе осуществляется проверка первого фактора, прав доступа к конкретной машине и проверка второго фактора. Если все три этапа пройдены — пользователь попадает на конечную машину.
Блокировать опасные сессии
Для этого можно использовать как Контур.PAM, так и Staffcop. С помощью Staffcop можно блокировать Windows-сессии, с помощью PAM можно заблокировать SSH- или RDP-сессии.
Для того, чтобы понять, какие сессии блокировать, в PAM и Staffcop фиксируются все действия пользователя на сервере — какие данные он копирует или удаляет, в какие папки заходит, какие команды вводит. Если администратор считает какое-либо действие подозрительным, то может заблокировать сессию.
Разница между сервисами в том, что Staffcop следит за действиями пользователей на их рабочих машинах, а PAM фиксирует, что делают привилегированные пользователи на серверах с критичной информацией.
Расследовать инциденты
Для решения этих задач из продуктов Контура подходит Staffcop Enterprise— система для расследования инцидентов внутренней информационной безопасности.
Она собирает и анализирует данные о действиях пользователей и передает их специалистам службы ИБ. В итоге с помощью решения можно осуществлять мониторинг действий сотрудников, выявлять и расследовать инциденты информационной безопасности, определять группы риска среди сотрудников, выявлять уязвимости в процессах передачи данных.