Закінчився звичайний робочий день, вісім-дев'ятій годині вечора. Більшість співробітників офісу давно розійшлися по домівках, майже у всіх кімнатах погашений світло, охорона тихо дрімає біля входу. Лише в деяких кімнатах ще світяться екрани моніторів і чути характерний стукіт клавіатури. Мало хто дійсно засидівся за роботою, більшість же або ріжеться по корпоративній сітці в комп'ютерні ігри, або за відсутності начальства заліз в Internet. Марне для компанії, але, в принципі, нешкідливе і загальноприйняте явище. Але зустрічаються і зовсім інші затрималися на роботі співробітники, які в цей час намагаються підібрати паролі і проникнути на різні комп'ютери власної компанії з метою отримання будь-якої цінної для них інформації.
Закінчився звичайний робочий день, вісім-дев'ятій годині вечора. Більшість співробітників офісу давно розійшлися по домівках, майже у всіх кімнатах погашений світло, охорона тихо дрімає біля входу. Лише в деяких кімнатах ще світяться екрани моніторів і чути характерний стукіт клавіатури. Мало хто дійсно засидівся за роботою, більшість же або ріжеться по корпоративній сітці в комп'ютерні ігри, або за відсутності начальства заліз в Internet. Марне для компанії, але, в принципі, нешкідливе і загальноприйняте явище. Але зустрічаються і зовсім інші затрималися на роботі співробітники, які в цей час намагаються підібрати паролі і проникнути на різні комп'ютери власної компанії з метою отримання будь-якої цінної для них інформації.
Погодьтеся, практично в будь-який більш-менш великій компанії є такі надмірно цікаві співробітники. А інформація, яку вони можуть виявити, може представляти дуже великий інтерес як для конкурентів, так і просто для нечистоплотних особистостей. На сьогоднішній день, практично всі захисні ресурси кинуті на відображення зовнішніх атак - міжмережеві захисту, фільтри, програми охорони периметра ... Все такі методи спрямовані на те, щоб перешкодити зловмиснику проникнути у внутрішню мережу організації. А що робити, коли ворог вже знаходиться всередині мережі та до того ж знає частина корпоративних паролів?
внутрішні атаки
Запобігання внутрішніх атак.
Сама природа внутрішнього нападу робить його важким для відображення: як, з одного боку, забезпечити співробітників доступом до необхідної для роботи інформації, але з іншого, захистити критично важливі інформаційні ресурси компанії? Забезпечення службовців доступом до необхідних програм і даних, і тільки до необхідних безпосередньо для їх роботи, є найбільшою проблемою в захисті від внутрішніх нападів. Друга головна проблема з нападами такого виду - то, що вони дуже часто полегшуються через те, що зловмисник міг випадково (або спеціально) дізнатися неналежні йому паролі і отримати незаконний доступ до інших ресурсів. Запобігання внутрішніх нападів включає як належне розподіл прав облікових записів і використання внутрішніх мережевих захистів, так і навчання всього персоналу навичкам комп'ютерної безпеки (чого тільки варті поширені звички співробітників обмінюватися паролями «щоб не забути» з сусідами по кімнаті або записувати паролі на нижній стороні клавіатури) , і фізичні заходи захисту.
Права облікових записів і їх зміна.
Основна проблема - це права облікового запису. Невідповідні або невідповідні права облікового запису - перший крок до отримання неправомірного доступу до секретних даних. На перший погляд, розв'язати цю проблему просто, але в дійсності, справи йдуть набагато складніше. Необхідно точно оцінити, які користувачі дійсно потребують доступу до кожного конкретного ресурсу. Установка прав облікового запису - свого роду мистецтво. Дайте людині занадто багато свободи, і ви отримаєте потенційно небезпечного для компанії співробітника, урежьте його права, і він не зможе нормально виконувати свою роботу, що призведе до фінансових збитків для вашої компанії.
Дуже часто системні адміністратори навіть не в курсі, яку саме роботу виконує певний співробітник. І, оскільки вони неправильно тлумачать вимоги для його роботи, права доступу службовця встановлюються неналежним чином. Щоб уникати цього, пропонується кілька простих кроків. Для початку, необхідно обговорити цю проблему з кожним керівником відділу організації. Ці зустрічі мають використовуватися, щоб точно визначити, який рівень доступу необхідна різним співробітникам. Ще одна сторона таких зустрічей - уникнути в майбутньому претензій до себе з боку начальства через те, що, припустимо, бухгалтер Марія Іванівна скаржиться, що не може завантажити в Internet свій улюблений сайт з кулінарії - можна посилатися на рішення керівництва, що для її роботи доступ до цього сайту не передбачений.
Як тільки необхідні права визначені, вони повинні бути здійснені на практиці. Структура і розподіл привілеїв облікових записів повинні бути формалізовані в політиці захисту організації. Необхідно розіслати всім співробітникам повідомлення про їхні повноваження доступу і процедури, по якій ці права можуть бути змінені. Будь-які зміни передбачених прав повинні надаватися в письмовому вигляді за певною формою, підписаної керівництвом. У запиті повинно формально запитуватися зміна прав доступу. Ця форма повинна містити П.І.Б. службовця, відділ, необхідний доступ, і пояснення того, з якої причини необхідна зміна існуючого рівня доступу співробітника. І хоч у кого - то така «гестапівська» практика може викликати невдоволення, але така система, з одного боку, забезпечує достатню гнучкість в межах організації в цілому, і при цьому, підтримує високу ступінь централізованого управління правами доступу.