За последние лет десять кто только не напоминал о том, что информационная безопасность должна быть сквозной и интегрированной во всю ИТ-инфраструктуру. Несмотря на это большинство компаний продолжают строить «крепости» с мощными стенами по периметру (FW, IPS, контентная фильтрация, AV и т. д.). Внешние нарушители — снаружи крепости (хорошо бы все ворота заложить кирпичом от греха подальше, да бизнес не разрешает). Мирные жители — наши пользователи — внутри. Среди них попадаются и внутренние нарушители. Борьба с ними — огромная комплексная проблема, которую не решить одними лишь техническими средствами или оргмерами, так что это тема для отдельного разговора.
Обычные пользователи могут оказаться если не источниками, то проводниками многих угроз ИБ, среднегодовые потери от которых зачастую превышают последствия действий инсайдеров. Буквально за пару дней до написания этой статьи у одного из наших клиентов случилась беда: бухгалтер запустила файл из вложения в письме с незнакомого адреса. Вирус зашифровал все базы «1С». Бэкапы — двухнедельной давности. Главбух в предынфарктном состоянии. Проще всего свалить вину на «этих теток из бухгалтерии». Но если пользователей никто не обучил и не защитил, то в чем их вина? Так что все вопросы — к «безопаснику».
Имея опыт как построения корпоративных систем ИБ и обучения пользователей, так и тестирования на проникновение, в том числе с помощью методов социальной инженерии, мы можем взглянуть на проблему в обоих ракурсах. В данной статье собран ряд полезных, на наш взгляд, советов по снижению рисков ИБ от атак, в которых сотрудники компании используются злоумышленником как инструменты для проникновения в корпоративную сеть.
Обучение пользователей
Задача не так проста, как кажется. Начать стоит не с подготовки обучающего курса, а с создания или обновления нормативной документации по ИБ: политики ИБ, регламентов использования корпоративных информационных ресурсов, съемных носителей, правил доступа в Интернет и т. д. При обучении следует руководствоваться этими документами, но не ограничиваться ими. Обучение можно совместить с ознакомлением с обновленной нормативной базой. Тогда подписывать лист ознакомления сотрудники будут осмысленно.
Предложение прочитать кипу бумаг и поставить подпись — необходимое условие привлечения сотрудника к ответственности в случае нарушения, но никак не обучение. Неплохой вариант — презентация. Обучающий курс можно записать на видео, чтобы не читать его каждому новому сотруднику. Не стоит помещать в презентацию для рядовых пользователей определение персональных данных из
Набирает популярность интерактивное обучение в формате флеш-игр. Их создание более трудоемко, чем классических презентаций, но материал запоминается лучше в разы. Можно найти компанию, которая разработает игру по вашему сценарию. Услуга — вполне бюджетная, но нужно подготовить максимально детальный сценарий: поскольку знаний в предметной области у таких компаний нет, вам придется самостоятельно исправлять кучу нелепейших ошибок.
Плакаты с правилами безопасности на производстве были обязательной частью наглядной агитации на любом советском заводе. Это хороший способ напомнить об основных правилах, и его стоит взять на вооружение. Можно купить готовые постеры с правилами ИБ или разработать самостоятельно. Не обязательно развешивать их на стенах. Их можно разместить, например, на корпоративном портале. Очень хорошо действует загрузка таких плакатов в качестве скринсейверов на рабочих станциях сотрудников — любой заблокированный компьютер становится стендом для повышения осведомленности.
Отдельная проблема — обучение VIP-пользователей, которым всегда некогда. При тестировании защищенности методами социальной инженерии мы часто видим парадоксальную картину: рядовые сотрудники немедленно сообщают в службу ИБ о подозрительной активности, а финансовый директор первым «кликает» на сомнительной ссылке в письме. Тут от «безопасника» требуется индивидуальный подход и большая настойчивость. В ряде случаев данная проблема может оказаться и вовсе нерешаемой. Что делать? Внедрять компенсационные контроли.
Преступление и наказание
Любое обучение должно повторяться регулярно и заканчиваться проверочными тестами. Сотрудника, нарушившего правила или не прошедшего очередное тестирование, следует отправить на переобучение.
Никакие нормы и правила не работают без контроля их исполнения и немедленной реакции на нарушения. В большинстве случаев сотрудник нарушает правила непреднамеренно — здесь можно ограничиться беседой и пересдачей тестов. Но рецидивисты и злостные нарушители должны караться нещадно, иначе вся система ИБ может рухнуть. Имеет смысл доводить до сотрудников факты наказания за невыполнение правил, чтобы они понимали всю серьезность контроля.
Ответственность за ряд нарушений ИБ может быть уголовной. Но если до этого и не доходит, вы должны заранее подготовиться к применению санкций к провинившемуся. Ведь даже уволить сотрудника за нарушение правил ИБ в полном соответствии с буквой закона — задача очень непростая.
На сотрудника надейся, но сам не плошай
По нашей статистике даже в организациях, где проводится обучение по ИБ,
К рабочим станциям пользователей стоит относиться как к уже скомпрометированным узлам и строить защиту исходя из этого. Выполнив несколько предлагаемых рекомендаций, можно уменьшить риски развития атаки внутри сети.
1. Обновляйте системы. Звучит банально, но это правило номер один. Следить нужно не только за обновлениями на машинах сотрудников, но и за всем тем, к чему они имеют доступ. Пару недель назад мы проводили внутренний пентест в пользовательском сегменте банка. Первое же сканирование обнаружило машину, не обновлявшуюся больше пяти лет. «Не honeypot ли это?», — подумал пентестер. Оказалось, нет, не honeypot, а узел, отвечающий за транзакции с ЦБ на миллиарды рублей... Если вас взламывает не АНБ, то полностью обновленная Windows уже станет проблемой для нарушителя. Да, в ряде случаев обновиться нельзя, но тогда по крайней мере изолируйте на уровне сети хост без «иммунитета». Про обновления антивируса на каждом узле, думаю, говорить не стоит.
2. Управляйте правами. Права пользователя должны ограничиваться минимально необходимыми (и не только на рабочей станции, но и на других узлах). Почему в упомянутом выше случае у рядового бухгалтера был доступ на запись к файлам баз «1С» на корпоративных серверах? Максимально формализуйте и контролируйте процессы выдачи и отзыва прав. Если есть возможность, присмотритесь к IdM.
3. Приберитесь в сети. Пентестерам-стажерам на внутреннем пентесте мы всегда рекомендуем начинать с поиска открытых сетевых шар. Очень часто администраторы выкладывают на них списки паролей, типовые образы Windows с зашитым паролем локального администратора, данные по сетевой топологии. Нередко там находится и информация, составляющая коммерческую тайну. Пройдитесь сканером по своей сети и уберите «помойки» и неиспользуемые сервисы на узлах.
4. Ограничивайте сетевой доступ. Компьютерная эпидемия сродни эпидемии обычной: чем больше потенциальных больных собираются вместе, тем быстрее распространяется болезнь. Используйте VLAN и ограничьте трафик между ними при помощи ACL. Современное сетевое оборудование позволяет создать отдельный «сетевой кокон» для каждой машины (см., например, технологию TrustSec). В таких условиях последствия компрометации отдельного узла существенно уменьшаются.
5. Ставьте себя на место нарушителя. Проверяйте своих пользователей, имитируя атаки на них. Рассылайте «фишинговые» письма и анализируйте реакцию. Пройдитесь по офису в поисках паролей под клавиатурой. Практика показывает, что таких проверок сотрудники боятся больше, чем атак реальных хакеров. Регулярные «учения» весьма положительно влияют на бдительность пользователей.
Эти простые рекомендации — компьютерная гигиена. Естественно, не помешают и сложные системы обнаружения вторжений, SIEM, DLP, но начинать надо с базовых вещей. Эпидемии дизентерии, выкашивавшие население Европы, победило не волшебное лекарство, а повсеместное внедрение центральной канализации и популяризация гигиены. Аналогичный подход стоит использовать и нам для защиты «мирных жителей» корпоративной компьютерной сети.
Автор статьи — руководитель отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет».
СПЕЦПРОЕКТ КОМПАНИИ «ИНФОСИСТЕМЫ ДЖЕТ»