Обзор отчета по инсадерам от ESG и Vormetric

Нашел в сети еще один интересный отчет по инсайдерам от команий ESG и Vormetric:  "The Vormetric Insider Threat Report". Отчет датирован октябрем этого (пока еще 2013го) года основан на опросе 707 ИТ-профессионалов, ответственных за  информационную безопасность в своих организациях, объем доходов которых  находится в пределах от менее, чем $250 млн. до более, чем $20 млрд. В опросе участвовали специалисты из разных отраслей и государственных сегментов.

Итак, пока сообщество безопасников зацикливается на защите от вредоносных программ, инсайдеры и связанные с ними атаки остаются проблемой для многих организаций:

• Инсайдерские угрозы продолжают представлять из себя проблему. Большая часть организаций верит, что эти угрозы становятся всё более сложными для выявления и предотвращения, и поэтому они до сих пор уязвимы для угроз такого типа. Но почему? Показатели ИТ (такие, как количество пользователей, устройств, сетевых пакетов и т.д.), облачные вычисления и вредоносные программы позволяют инсайдерам оставлять незамеченными свои действия, представляя их в виде обычной деятельности.
• Статус-кво в безопасности не является хорошей практикой. Компании продолжают вкладывать средства в защиту периметра, межсетевые экраны, IDS/IPS-системы, антивирусную защиту.  Но эти средства защиты не подходят для защиты от инсайдеров и тех угроз, для которых уже имеется правомерный доступ к системам, опыт и понимание того, как можно легко обойти меры защиты и украсть важные данные, причинив при этом огромный ущерб.
• Передовые  организации направили вектор своего движения в сторону стратегий безопасности данных. Данные ESG показывают, что организации, заботящиеся о безопасности, увеличивают свои инвестиции в технологии гранулированного доступа к данным, шифрование, управление инфраструктурой ключей и интеллектуальную защиту данных. Это и есть ведущие показатели движения рынка в будущем. 

Выдержка из отчета:

Ниже приведен список потенциальных методов, используемых инсайдерами. Как вы считаете, насколько уязвима  ваша организация к каждому из них?

Как видно, в среднем половину ответов составляют ответы "Сильно уязвима" и "Отчасти уязвима", что является, на мой взгляд, важным показателем для того, чтобы начать всерьез рассматривать угрозы инсайда и защиты от них.

Сам отчет доступен здесь.

SANS. 17 Critical Controls

Сразу необходимо сказать, что речь идет не о достаточно широко известных SANS 20 Critical Security Controls, а о описанных в документе SANS. Information Risks & Risk Management. 

На самом деле, я бы назвал это чеклистом: утвердительный ответ на все вопросы может позволить говорить о надежности систем в разрезе информационной безопасности. От себя хочу заметить, что каждая из этих мер описана достаточно объемно. Понравилось обпределение политики ИБ, данное в раскрытии первого пункта:

Политика информационной безопасности - письменное соглашение, построенное вокруг защищаемых информационных активов организации и направленное против случайного или преднамеренного раскрытия, модификации или уничтожения таких информационных активов.(Wurzler, 2004)

17 критических мер защиты

1. Введена ли у вас политика информационной безопасности? Понятна и соблюдается ли она всеми сотрудниками, подрядчиками и другими лицами или организациями, имеющими доступ к вашей конфиденциальной информации?
2. Установлено ли антивирусное ПО на все системы?
3. Соблюдаются ли правила обновления ПО, включающие, как минимум, еженедельный мониторинг новостей вендоров или автоматические уведомления о доступности обновлений безопасности? Тестируете и устанавливаете ли вы критические обновления безопасности, как только это становится возможным (но не позднее, чем в течении 30 дней после выхода)?
4. Используются ли мобильные устройства, запрещенные устройства или программное обеспечение? Важен учет и управление такими активами.
5. Надежно ли (в плане информационной безопасности) настроены файерволлы, информационные системы и системы безопасности?
6. Тестируете ли вы свою систему безопасности (как минимум, ежегодно) для гарантированной эффективности технических средств защиты? Тестируете ли вы процедуры реагирования на инциденты (такие как взлом систем, вирусы, отказ в обслуживании)?
7. Можете ли вы восстановить ваши системы, пострадавшие от утечек данных, повреждения или сбоя в сетях в течении 24 часов (для критичных систем и операций, от которых зависите вы или ваши заказчики и партнеры)?
8. Все ли каналы удаленного доступа к внутренней сети защищены аутентификацией, шифруются и доступный из систем, которые защищены по меньшей мере так же, как ваша?
9. Основано ли управление правами доступа на принципе минимальных привилегий? Аннулируете ли вы права доступа и привилегии после того, как они больше не требуются (но не позднее, чем через 24 часа после любых изменений в правах доступа)?
10. Имеется ли у вас в организации квалифицированный персонал, занимающийся информационной безопасностью? Или занимаются ли управлением вашей информационной безопасностью организации, специализирующиеся на этом?
11. Если вам нужно обойти или отключить контроль информационной безопасности ( например, во время чрезвычайных ситуаций или тестирования мер защиты), всегда ли для этого запрашивается подтверждение более, чем одного человека и всегда ли защитные меры активируются обратно тогда, как только это становится возможным?
12. Всегда ли вы требуете от всех третьих лиц, которым вы доверяете свою конфиденциальную информацию, договор о защите такой информации, включающий гарантии использования защитных мер, по крайней мере эквивалентных мерам, принятых в вашей организации. Проводите ли вы аудит их соблюдения?
13. Внедрены ли у вас процессы, позволяющие отслеживать и регистрировать действия лиц, которые имеют доступ или контролируют конфиденциальную информацию и время такого доступа или контроля (например, соглашение о контроле)?
14. Храните ли вы конфиденциальную информацию не дольше, чем это необходимо; и если такая информация больше не требуется, уничтожается ли она при помощи технических средств, не позволяющих ее восстановить?
15. Внедрены ли у вас технические меры защиты для предотвращения несанкционированного доступа к компьютерам, сетям и данным в вашей организации?
16. Контролируете и отслеживаете ли вы  все изменения в вашей сети, чтобы быть уверенным в том, что она надежно защищена?
17. Участвует ли юридический отдел вашей организации в процессе проверки на соблюдение требованиям и установленным нормам регуляторов? 

Кстати, я отдельно уже приводил описание основных характеристик инсайдера из этого же документа. А они, в свою очередь, заимствованы из отчета Symantec по инсайдерским рискам.

Symantec. Основные характеристики инсайдеров.

В документе "Informarion Risks & Risk Management" из библиотеки SANS, о котором я уже говорил ранее, есть интересная информация по инсайдерам. Взята эта информация из отчета Symantec Behavioral Risk Indicators of Malicious Insider Theft of Intellectual Property: Misreading the Writing on the Wall. Ниже приведу данные из отчета, которые обозначены в SANS. Information Risks & Risk Management.

Symantec оценил угрозы кражи интеллектуальной собственности для компаний США в $250 млрд. в год и угрозы от преступлений в области информационной безопасности в $114 млрд. ежегодно. Позже, ФБР в своих отчетах подтвердило, что инсайдеры являются основным источником и инструментом конкурентов для кражи информации ограниченного доступа. Ниже изложены общие характеристики инсайдеров:

• Инсайдеры, ворующие интеллектуальную собственность, часто работают на технических должностях. Основные кражи интеллектуальной собственности совершены работниками-мужчинами, в среднем 37 лет, обычно инженерами, исследователями, менеджерами или разработчиками. Большая часть из них подписывала соглашение об интеллектуальной собственности. Это показывает, что исключительно политика, без понимания ее персоналом и эффективного применения, неэффективна.
• Обычно у инсайдера уже есть новая работа или предложение. Около 65% сотрудников, решивших украсть интеллектуальную собственность, уже имеют реальные предложения работы в компаниях-конкурентах либо открыли свой бизнес на момент кражи. Около 20% были завербованы посторонними лицами, заинтересованными в данной информации, а порядка 25% отдали полученную информацию в иностранные компании или в другие страны.
• Инсайдеры чаще всего воруют ту информацию, к которой имеют доступ. Инсайдеры воруют информацию, которую они знают и часто считают, что имеют права на эту информацию. Как факт, 75% инсайдеров украли информацию, к которой имели доступ.
• Коммерческая тайна - самый распространенный тип интеллектуальной собственности, воруемой инсайдерами. Как правило, коммерческая тайна воруется в 52% случаев. Бизнес-информация, такая как биллинговые данные, прайс-листы и прочая административная информация воруется в 30% случаев, исходные коды в 20%, несвободное ПО в 14%, информация о клиентах в 12% и бизнес-планы в 6% случаев.
• Инсайдеры используют технические средства, чтобы украсть информацию, но большинство краж обнаружены сотрудниками на нетехнических должностях. В большинстве случаев (54%) для кражи используются электронная почта, возможности удаленного доступа и сетевые протоколы передачи данных.
• Основные черты характера инсайдера способствуют увольнению и краже. Общие проблемы проявляются до факта кражи и, вероятно, способствуют мотивации к ней. Это подтверждает роль индивидуальных психологических наклонностей, стрессовых событий и беспокойного поведения как показателей инсайдерских рисков.
• Профессиональные неудачи могут ускорить принятие решения инсайдером украсть интеллектуальную собственность. Ускорение наступает тогда, когда сотрудник устает "думать об этом" и решает действовать или склоняет к этому кого-то другого. Часто это происходит после осознания профессиональной неудачи или неоправдавшихся ожиданий.