Есть вопрос?
Зайди на форум

Поиск на сайте: Advanced

Denix - новый дистрибутив Linux. Русификация Ubuntu и установка кодеков

dkws.org.ua
Форум сайта dkws.org.ua
 
Главная    ТемыТемы    АльбомАльбом    РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Инсайдеры наступают

 
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> Безопасность
 
Автор Сообщение
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Вт Апр 24, 2007 9:06 am    Заголовок сообщения: Инсайдеры наступают
Ответить с цитатой

Алексей Доля

25 января 2007 г

Успешный российский системный интегратор. Бизнес развивается. Прибыли растут. Руководство регулярно поднимает зарплату персоналу. Все работают с полной отдачей. Некоторые даже с огоньком. Идиллия? Да, но не надолго. Директор IT-департамента инициировал внедрение системы мониторинга почтового трафика. Создали базу контентной фильтрации. С ее помощью фильтр научился выявлять конфиденциальную информацию в почте без участия человека. В течение месяца все спокойно. Потом появились аномалии. Один из служащих повел себя подозрительно — фильтр просигнализировал об этом офицеру безопасности. Начали разбираться. Проверили несколько последних писем и ахнули! Менеджер по работе с клиентами пытался проводить контракты на поставку софта не через своего законного работодателя, а через им самим созданную подставную компанию. Слава богу, инсайдера вычислили заблаговременно — ущерба удалось избежать.

В описанной истории нет ни капли вымысла. Заинтересованный читатель без труда найдет в Интернете название системного интегратора, марку внедренной системы защиты, подробности об афере инсайдера и проведенном расследовании. Хотя такие инциденты придают огласке довольно редко, именно этот случай, к счастью, стал достоянием общественности. Но оставим в стороне восторги, связанные с удачным выявлением инсайдера, и не будем останавливаться на том, чем перспективы роста, хорошая зарплата и регулярные премии не устроили менеджера по продажам. Вместо этого мы сконцентрируемся на самом прагматичном вопросе: а может ли то же самое произойти в вашей компании?

В поисках ответа на столь злободневный вопрос опустим рассуждения о высоких материях, как, например, доверии или лояльности, и сразу обратимся к последней статистике. Это позволит, по крайней мере, взглянуть на проблему в целом и увидеть размах инсайдерской угрозы.
ФБР об инсайдерах
Прежде всего рассмотрим результаты исследования 2006 CSI/FBI Computer Crime and Security Survey. Справедливости ради отметим, что наши специалисты обычно скептически относятся к выводам Западных аналитиков. Ведь все мы прекрасно понимаем, что информационная безопасность (ИБ) в США и России — это, как говорят в Одессе, «две большие разницы». Тем не менее, на сей раз следует сделать исключение по двум причинам.

Во-первых, мы можем проследить корреляцию между статистикой ФБР и соответствующими выкладками российских аналитиков.

Во-вторых, американцы впервые в своем исследовании предложили респондентам открытый вопрос (без вариантов ответа). Надо сказать, полученные результаты оказались весьма неожиданными.

Вначале остановимся на ключевых выводах исследования 2006 CSI/FBI Computer Crime and Security Survey. Итак, вследствие реализации угроз ИБ почти три четверти (74%) всех финансовых потерь бизнеса вызваны четырьмя угрозами: утечкой конфиденциальной информации, кражей ноутбуков и мобильной техники, неавторизованным доступом и вирусными атаками. При этом большинство респондентов (68%) серьезно опасаются внутренних угроз.

Практически каждая пятая компания (19%) считает, что на долю инсайдеров приходится свыше 60% всего ущерба от угроз ИБ, а 7% респондентов убеждены, что инсайдеры несут ответственность более чем за 80% всех потерь. Кроме того, свыше одной трети респондентов (39%) винят инсайдеров более чем в 20% всех своих потерь, вызванных реализацией угроз ИБ. Однако такой высокий уровень опасности не мешает подавляющему большинству организаций (75%) замалчивать утечки и другие внутренние инциденты. Наконец, заключительный открытый вопрос показал, что наибольшей опасносждут именно со стороны инсайдерских атак, то есть от утечек персональной и конфиденциальной информации.

Довольно любопытно, что, вопреки маркетинговому давлению индустрии ИБ, аналитики ФБР зафиксировали снижение числа инцидентов ИБ и средних финансовых убытков каждой компании, нанесенных реализацией угроз ИБ. Другими словами, успешных атак стало меньше, а те, что все-таки достигли цели, стали менее опасными. Однако, перечисляя ключевые выводы исследования, мы уже указывали на озабоченность бизнеса проблемой инсайдеров.

За счет чего же тогда образуется столь позитивная динамика по совокупности всех угроз ИБ? Оказывается, за последний год более чем на 60% снизился ущерб от таких распространенных угроз, как неавторизованный доступ, вирусные атаки и атаки типа «отказ в обслуживании». Именно эти три кита снизили все агрегированные показатели и даже перевесили стремительный рост потерь от других угроз (например, потери в результате кражи ноутбуков и портативной техники, подскочившие на 65%).

Если посмотреть на структуру самых опасных угроз ИБ (диаграмма 1), то легко заметить, что вирусные атаки и неавторизованный доступ сохранили за собой первое и второе место по совокупному ущербу. Третье и четвертое места заняли соответственно кража ноутбуков и утечка конфиденциальной информации. Эти угрозы демонстрируют неприятную для бизнеса динамику. В то время как частота и средний ущерб от большинства угроз снижаются, как минимум, одна из этих угроз — кража мобильной техники — движется в прямо противоположном направлении. При этом аналитики ФБР отмечают, что кража классифицированной информации по числу инцидентов и причиняемому ущербу осталась примерно на том же самом уровне, что и в прошлом году. Между тем, согласно исследованию 2005 CSI/FBI Computer Crime and Security Survey, средний ущерб вследствие утечки составил для каждой компании $355,5 тыс. за год. Для сравнения: по сведениям того же источника, средний ежегодный ущерб от вирусной угрозы составляет менее $70 тыс.


Диаграмма 1.

По мнению аналитического центра InfoWatch, изменение структуры максимально опасных угроз вполне логично. Вирусные атаки и неавторизованный доступ сдают свои позиции: число инцидентов сокращается или, по крайне мере, не растет, а совокупные и средние убытки стабильно снижаются из года в год. Почему так происходит? Потому что бизнес уже научился более-менее эффективно противостоять вирусным атакам и неавторизованному доступу. Чтобы убедиться в этом, достаточно посмотреть на применяемые сегодня средства ИБ. Мы не станем приводить очередной рисунок из исследования ФБР, поскольку он практически не изменился за прошедшие годы. Отметим лишь, что 98% респондентов используют межсетевые экраны, 97% — антивирусы, 79% — антишпионские средства, 70% — серверные списки контроля доступа и 69% — системы обнаружения вторжений. Это самые популярные технологии ИБ, предназначенные для предотвращения вирусных атак и неавторизованного доступа. Между тем, средства для защиты от угроз, ставших новыми «лидерами» (утечка конфиденциальной информации и кража ноутбуков), далеко не так популярны.

Теперь ненадолго оставим отчет ФБР и обратимся к аналогичной российской статистике. Уже не один год в нашей стране тоже проводится масштабное исследование ИБ, в рамках которого компания InfoWatch опрашивает несколько сотен отечественных организаций. Анкетирование более 300 компаний, проведенное в 2005 году, показало, что российский бизнес так же, как и американский, довольно неплохо защищен от внешних угроз (диаграмма 2), причем популярностью пользуются все те же антивирусы, межсетевые экраны и средства контроля доступа.


Диаграмма 2.

Результаты российского исследования «Внутренние IT-угрозы в России ‘2005», представленные на диаграмме 2, демонстрируют интереснейший контраст. В то время как бизнес буквально забаррикадировался от внешних угроз, организации остаются почти полностью беззащитными перед угрозами внутренними. Таким образом, если инсайдер захочет продать кому-то конфиденциальную информацию или создать свою собственную подставную фирму, а потом обокрасть работодателя, то его ничто не остановит.
Узкое место
Но вернемся к исследованию ФБР. Комментируя объемы ущерба, причиненного каждой из названных выше четырех основных угроз, аналитики ФБР и Института компьютерной безопасности крайне скептически относятся к тому, что респонденты смогли более или менее точно определить объем убытков в связи с утечкой персональных данных или коммерческих секретов.

Дело в том, что такие инциденты имеют множество долгосрочных отрицательных последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение клиентской базы. Все это происходит постепенно и занимает недели и месяцы. А для выявления убытков в виде недополученной вследствие утечки прибыли требуется как минимум год. Так что внутренняя структура 74% всех финансовых потерь из-за угроз ИБ не поддается точному определению.

На такие же проблемы указывают результаты исследования «Внутренние IT-угрозы в России ‘2005»: подавляющее большинство отечественных организаций (62%) вообще затрудняются подсчитать ежегодное количество утечек информации из своей компании
(диаграмма 3).


Диаграмма 3.

Более того, как указывают эксперты InfoWatch, все четыре угрозы-лидера имеют очень тесную взаимосвязь, и, похоже, именно это упустили из виду аналитики ФБР. Например, похищение мобильного компьютера опасно именно тем, что может привести к утечке конфиденциальных сведений. По данным IDC, кража всего одного корпоративного ноутбука обходится компании в среднем в $4,6 тыс. за аппаратное обеспечение и $46 тыс. за потерянные конфиденциальные документы. Как видите, цифры говорят сами за себя.

Посмотрим теперь на угрозу вредоносных кодов. Широко известны случаи, когда для конкретной организации писались троянские программы, которые потом внедрялись в корпоративную сеть с помощью инсайдеров. Разумеется, это делалось только для того, чтобы выкрасть торговые секреты компании. Таким образом, налицо взаимосвязь четырех самых опасных угроз — на практике часто бывает невозможно отделить ущерб одной из этих угроз от остальных.

Вот почему названные угрозы нужно устранять одновременно, иначе 74% финансовых потерь очень быстро перетекут к угрозе, оставшейся без внимания специалистов ИБ.

В подтверждение этих слов следует рассмотреть финансовые убытки, причиненные компаниям в связи с реализацией внутренних угроз ИБ. К сожалению, российский бизнес пока не научился подсчитывать ущерб от подобных угроз, так что снова обратимся к исследованию ФБР. Прежде всего, лишь 32% респондентов полагают, что инсайдерские инциденты вообще не принесли им денежных потерь за прошедший год (диаграмма 4). Однако здесь снова нельзя обойти вниманием сомнения аналитиков ФБР и Института компьютерной безопасности по поводу точной оценки ущерба при реализации внутренних угроз, например, кражи конфиденциальной информации и злонамеренного использования информационных ресурсов фирмы.



Диаграмма 4. Принесли ли вам инсайдеры финансовый ущерб?

Посмотрим теперь на финансовые потери вследствие реализации внутренних угроз. На диаграмме 5 представлены результаты опроса, пересчитанные для тех респондентов, которые зафиксировали финансовые убытки из-за инсайдерских атак. Можно видеть, что почти для четверти организаций (28%) инсайдеры представляют не просто основную, а критическую угрозу ИБ. На их долю пришлось более 60% всего ущерба. Примерно для такой же группы респондентов (30%) инсайдеры являются главной угрозой ИБ — доля потерь от внутренних атак превышает 20%, но не дотягивает до 61%.



Диаграмма 5. Доля инсайдерских убытков в общем объеме финансовых потерь

Другими словами, инсайдерские инциденты, успешно реализовавшие угрозы ИБ, по-прежнему составляют одну из основных статей расхода компаний.
Что на самом деле волнует бизнес?
Наконец, в последнем исследовании ФБР был впервые представлен следующий открытый вопрос: «Как вы думаете, какой аспект обеспечения ИБ будет являться наиболее важным для вашей организации в течение ближайших двух лет?»

Код:
Ответы 426 респондентов просуммированы в таблице 1.
Проблема   Число респондентов
Защита данных   73
Совместимость с нормативными актами   63
Защита от утечек и кражи личности   58
Вирусы и черви   52
Управление рисками   47
Контроль доступа   43
Тренинги персонала   43
Безопасность беспроводных сетей   41
Защита от инсайдеров   38


Таблица 1. Главные проблемы ИБ на ближайшие два года

Между тем, детальный анализ ответов демонстрирует живописную картину. Несмотря на выводы аналитиков, касающиеся опасности таких угроз ИБ, как вирусные атаки и неавторизованный доступ, респонденты спокойно и уверенно указали, что больше всего их заботит именно защита данных от утечек и инсайдеров.

Посмотрим на первую строку в таблице — «Защита данных». Это и есть предотвращение той самой угрозы, которую в англоязычных странах называют data breach, а в России — «утечка информации». Далее следует совместимость с нормативными актами. Кроме того, респонденты отдельно указали американский закон SOX (SarbanesOxley Act of 2002), печально известный своим параграфом № 404, который требует от бизнеса организовать внутренний контроль и обеспечить целостность, защиту от искажения и гарантию конфиденциальности финансовой отчетности и информационных активов.

Эта проблема отнюдь не чужда российским компаниям, ведь у нас тоже есть Кодекс корпоративного управления ФСФР, Стандарт Центробанка по ИБ, закон «О персональных данных» и т. д. Далее, на третьей строчке таблицы, указана такая задача, как защита от кражи персональных данных, интеллектуальной собственности и т. п.

То есть респонденты напрямую выразили озабоченность проблемой утечек. Наконец, в десятку главных угроз вошла и защита от инсайдеров. Другими словами, респонденты самыми разными способами попытались донести до аналитиков свое беспокойство по поводу того, что в России принято называть «утечки и инсайдеры». Кстати, следует отдать должное аналитикам ФБР, весьма своевременно включившим открытый вопрос в свою анкету, — это позволило в значительной мере уточнить реальные страхи респондентов.
Заключение
Ну а теперь пришло время вернуться к вопросу, который мы поставили в самом начале статьи. Может ли та же самая история с инсайдером, решившим обокрасть своего работодателя через подставную фирму, произойти в вашей компании? Глубокий анализ статистики, представленной авторитетными российскими и американскими организациями, позволяет дать более или менее объективный ответ: к сожалению, это может случиться в любой компании. Причем инсайдер может использовать самые разнообразные средства и схемы.

Например, финансовое мошенничество (как раз случай с российским системным интегратором), кража и продажа торговых секретов (базы клиентов всегда в цене), троянские программы (чтобы «самому не подставляться») и т. п. Что же может воспрепятствовать угрозе? Ответ прост: система активного мониторинга действий служащих. Но, как показывает практика, бизнес еще не начал массовое внедрение подобных решений. Так что перед инсайдерами все равны.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Вт Апр 24, 2007 9:07 am    Заголовок сообщения:
Ответить с цитатой

Оригинал

http://citcity.ru/14874/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
Показать сообщения:   
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> Безопасность Часовой пояс: GMT
Страница 1 из 1
 Главная страница сайта
 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
© Колисниченко Денис