Рекомендации для соблюдения баланса в работе с внешними угрозами и инсайдерскими рисками
modern security, security, защита ит-инфраструктуры, информационная безопасность, инцидентная поддержка, персональные данные
Сообщество в сфере безопасности постоянно переживает изменения и расширяется, а участники делятся собственным опытом друг с другом для улучшения защиты от киберугроз во всем мире. В последней публикации из серии блога «Voice of the Community» приведена беседа продакт-маркетолога Microsoft Натальи Годылы с вице-президентом и директором по информационной безопасности Rockwell Automation Доуном Каппелли. В этом посте Доун говорит о том, как важно включить в ваш план кибербезопасности инсайдерские риски.
Наталья: С какой самой главной сложностью приходится сталкиваться организации в процессе устранения инсайдерских рисков?
Доун: Самая главная сложность – это привлечь внимание к инсайдерскому риску. Все мы слышали о группе хакеров-вымогателей, перекрывших работу Colonial Pipeline. Мы также постоянно слышим о атаках программ-вымогателей, которые воруют и разглашают интеллектуальную собственность (IP) организаций. Но мы довольно редко слышим об инсайдерских угрозах. Со времен Эдварда Сноудена у нас не было зафиксировано серьезных случаев инсайдерской угрозы, поэтому получить поддержку для программы инсайдерского риска порой бывает довольно сложно. Но я уверяю, что инсайдерские угрозы продолжают существовать. Продукты интеллектуальной собственности все так же воруют, а системы – саботируют. Вопрос лишь в том, обнаруживаются ли такие угрозу – занимаются ли компании их поиском?
Наталья: Как вы оцениваете успешность реализации программы инсайдерского риска?
Доун: Во-первых, мы измеряем свой успех значимыми фактическими случаями. Например, ситуация, когда один из сотрудников собирается уволиться и перейти работать в компанию к конкуренту. Нам удалось поймать его на копировании конфиденциальной информации, которую он явно собирался забрать с собой при увольнении, и получить ее обратно.
Во-вторых, мы измеряем успешность программы, оценивая продуктивность команды в целом. Каждому сотруднику присваивается индивидуальная оценка риска, основанная на подозрительной или аномальной активности, а также на контекстных данных, например, если он покидает компанию. Каждый день мы начинаем анализ с верхней части списка сотрудников (с максимальным риском) и постепенно спускаемся вниз. Мы смотрим, сколько случаев не имели поврежденных результатов – это означает, что мы зря теряем время. Следовательно, мы должны скорректировать наши модели риска, чтобы исключить случаи ложной тревоги.
Мы также следим за сокращением случаев, потому что мы уделяем много внимания сдерживанию, коммуникации и осведомленности, а также случаям по конкретным бизнес-единицам и регионам. Мы проводим целевые кампании и обучение для конкретных бизнес-единиц или типов сотрудников, регионов или стран, а затем проверяем эффективность их собственной работы над сокращением количества случаев.
Наталья: Чем измерение внутренних угроз отличается от измерения внешних угроз?
Доун: С точки зрения оценки внешнего риска вам необходимо сделать то же самое – посмотреть, работают ли ваши внешние средства контроля и блокируют ли они серьезные угрозы. Наша группа реагирования на инциденты компьютерной безопасности (CSIRT) выбирает время для сдерживания и время для устранения. Мы также должны измерить, сколько времени потребуется, чтобы ответить и восстановить IP, занятый инсайдерами.
Кстати, мне нравится использовать термин «инсайдерский риск» вместо «инсайдерская угроза», потому что, по нашим наблюдениям, самая подозрительная инсайдерская деятельность, которую мы обнаруживаем и на которую реагируем, не является преднамеренно злонамеренной. Особенно во время COVID-19 мы наблюдаем все больше случаев, когда сотрудники все чаще беспокоятся о резервном копировании данных своего компьютера. Поэтому они извлекают свой личный жесткий диск и используют его для создания резервной копии. Это делается из благих побуждений, но мы все равно должны устранить риск. Уже на следующей неделе таких сотрудников может переманить конкурент, и мы не можем допустить, чтобы наша конфиденциальная информация была скопирована к ним на съемный носитель или в персональное облачное хранилище.
Наталья: Как вы балансируете между защитой от внешних угроз и управлением внутренними рисками?
Доун: Вы должны учитывать и то, и другое. Следует заниматься моделированием угроз для внешних угроз и внутренних рисков и соответственно расставлять приоритеты для средств контроля безопасности. Инсайдер может делать все то же самое, что что и злоумышленник из внешней среды. Недавно в средствах массовой информации был опубликован случай, когда кто-то пытался подкупить инсайдера, чтобы тот подключил зараженный USB-накопитель для распространения вредоносного ПО в сети компании или открыл зараженное вложение в электронном письме для распространения вредоносного ПО. Злоумышленник из внешней среды может проникнуть внутрь организации и сделать то, что он хочет, намного проще через инсайдера.
Мы используем структуру кибербезопасности (CSF) Национального института стандартов и технологий (NIST) для нашей программы безопасности, а также для разработки целостной программы безопасности, которая охватывает как внешние, так и внутренние риски безопасности. Например, мы определяем наши критически важные активы и тех, кто должен иметь к ним доступ, включая инсайдеров и третьих лиц. Мы защищаем эти активы от несанкционированного доступа, в том числе от инсайдеров и посторонних. Мы обнаруживаем аномальное или подозрительное поведение внутренних и внешних нарушителей. Мы реагируем на все инциденты и при необходимости занимаемся восстановлением. У нас есть свой набор разных процессов, команд и технологий для нашей программы инсайдерских рисков, но мы также используем многие из тех инструментов, которые используются и в CSIRT. Например, наши инструменты управления информацией и событиями безопасности (SIEM) и Microsoft Office 365.
Наталья: Какие лучшие практики вы бы рекомендовали для управления данными и защиты информации?
Доун: Не рассматривайте вопрос инсайдерских угроз только с точки зрения интеллектуальной собственности. Существует также угроза инсайдерского кибер-саботажа. Это означает, что вам необходимо обнаруживать такие действия, как загрузка инсайдерами инструментов взлома или саботаж исходного кода вашего продукта, и реагировать на них.
Подумайте вот о чем: внешний злоумышленник должен проникнуть в сеть, выяснить, где находится среда разработки, получить доступ, необходимый для компрометации исходного кода или среды разработки, внедрить вредоносный код или бэкдор в продукт. И сделать все это нужно незаметно. Инсайдеру сделать все это намного проще, потому что он знает, где находится среда разработки, у него есть доступ к ней, и он знает, как работают процессы разработки.
Рассматривая разные типы угроз я бы не стал говорить, что вам нужно уделять больше внимания кибербезопасности, чем IP; вам нужно одинаково сосредоточиться на всех направлениях. Смягчение и обнаружение различаются для кражи IP и саботажа. Для выявления кражи IP мы ищем не людей, пытающихся загрузить вредоносное ПО, а факты саботажа. Процессы реагирования также различаются в зависимости от вектора угрозы.
Наталья: Кто и как должен участвовать в управлении и снижении инсайдерских рисков?
Доун: Для вашей программы инсайдерских рисков должен быть назначен владелец. На мой взгляд, это должен быть директор по информационной безопасности (CISO). HR – ключевой участник виртуальной команды инсайдерского риска. Счастливые люди обычно не совершают саботаж. Это сотрудники, которые злятся и расстроены, и они, как правило, привлекают внимание HR. Каждый сотрудник отдела HR в Rockwell ежегодно проходит обязательный тренинг по инсайдерским рискам, чтобы знать, на что следует обращать внимание.
Юрист – еще один важный участник команды. Мы не можем случайным образом извлекать чужие компьютеры и проводить судебно-медицинскую экспертизу без уважительной причины, особенно в свете всех мировых правил конфиденциальности. Команда по расследованию инсайдерских рисков входит в состав нашего юридического отдела и работает с юристами, HR-сотрудниками и менеджерами. В любом случае, связанном с использованием личной информации, а также в любом случае, произошедшем в Европе, мы обращаемся к нашему директору по конфиденциальности и проверяем, соблюдаются ли с нашей стороны все законы о конфиденциальности. В некоторых странах нам также приходится обращаться в производственный совет и сообщать им, что мы проводим расследование в отношении сотрудника. Группа безопасности отвечает за все средства контроля – превентивные, детективные – технологии и модели рисков.
Наталья: Чего нам следует ожидать дальше в мире регулирования данных?
Доун: Конфиденциальность – самая большая проблема. Производственные советы в Европе становятся сильнее и работают все усерднее. Они защищают конфиденциальность своих коллег, а процессы проверки конфиденциальности усложняют развертывание технологии мониторинга.
В нынешней среде киберугроз мы должны выяснить, как совместить безопасность и конфиденциальность. Мой совет компаниям, работающим в Европе, – обращаться в производственные советы, как только вы задумаетесь о покупке новой технологии. Включайте их в процессы и соблюдайте абсолютную прозрачность. Не ждите, пока вы будете готовы к развертыванию.
Наталья: Как такие достижения, как облачные вычисления и искусственный интеллект, изменят ландшафт рисков?
Доун: У нас есть облачная среда, и наши сотрудники используют ее для разработки продуктов. С самого начала группа по работе с инсайдерскими рисками заботилась постоянной поддержке процессов моделирования угроз для окружающей среды. Мы изучаем всю CSF NIST для этой облачной среды и смотрим на нее с точки зрения как внешних, так и внутренних рисков.
Компании используют эмпирические объективные данные для создания и обучения моделей искусственного интеллекта для своих продуктов. Возникает вопрос: «Есть ли у вас механизм выявления инсайдера, который намеренно хочет изменить ваши модели или специально внедрить что-то вредное в ваши модели искусственного интеллекта, чтобы впоследствии сбить его с правильного курса?» При любом типе угрозы задайтесь вопросом, может ли инсайдер способствовать этому типу атаки. Инсайдер может нанести такой же вред, что и посторонний, однако ему это будет сделать намного проще.