Отпуск по обмену: сотрудник на курорт, хакер в компанию
Продумайте политику использования учетных записей
Иногда есть необходимость на время отпуска передать часть полномочий одного сотрудника другому — это может касаться доступа в систему, возможности вносить в нее изменения, принятия решений. Часто способы, которыми это осуществляется, далеки от лучших практик.
- Сотрудники просто передают друг другу данные учетной записи.
- Создаются «общие» учетки с широким кругом полномочий.
- Замещающему сотруднику дают дополнительные права, которые потом забывают отозвать.
Такой подход чреват злоупотреблениями — например, ситуациями, когда пользователи сами визируют свои документы и согласовывают свои заявки. А главное, избыточные права — это повышенные риски в случае компрометации учетной записи. Это один из самых популярных векторов атак, и в начале года специалисты центра противодействия кибератакам Solar JSOC наблюдали аномальный рост таких инцидентов: 14% приходилось на несанкционированный доступ к информационным системам и сервисам, еще 6% — на компрометацию учетных записей. К концу полугодия мы увидели реакцию со стороны компаний: тренд на наведение порядка в политиках и принципах управлений доступом.
Советуем следовать этому тренду — сформулировать и четко соблюдать процедуры предоставления и отзыва привилегий. Автоматизировать это процесс помогают системы IdM/IGA, которые облегчают работу с учетками, обеспечивают исполнение внутренних регламентов и минимизируют проблему избыточных полномочий. В «Соларе» этот класс решений представляет Solar inRights, а PAM‑система Solar SafeInspect помогает управлять привилегированными учетными записями, то есть доступами пользователей, которые имеют доступ к средствам ИБ и сетевой инфраструктуре, а значит, представляют особый интерес для злоумышленников.
Напоминайте сотрудникам основы кибергигиены и соблюдайте их сами
Киберпреступники умело манипулируют нашими эмоциями, вынуждая совершать ошибки из страха, под давлением авторитета или поддавшись спешке. Одна из популярных в последнее время фишинговых схем — письмо или сообщение от лица высшего руководства компании, в котором жертву либо предупреждают о скором звонке из органов власти, либо пугают уголовным разбирательством. Нейросети помогают преступникам быть максимально убедительными — создавать аудио и видео‑дипфейки.
О том, что сотрудник компании находится в отпуске, мошенники могут узнать из соцсетей. А это значит, что можно воспользоваться ситуацией, надавив на два рычага: ограниченная коммуникация с остальной командой и срочность.
Аккаунт‑менеджер, загорая на пляже, получает сообщение от руководителя о том, что перед отпуском он отправил неправильные документы, и теперь может сорваться большой контракт! Необходимо срочно сообщить данные для входа в систему, чтобы коллеги могли исправить ошибку.
В это время руководитель небольшой компании, отдыхая в горах, слушает голосовое сообщение от бухгалтера: «Нужно срочно заплатить подрядчику, а деньги за заказ поступят только через неделю, пришлите перевод!».
А сотрудник юридического отдела трудился в офисе за двоих, пока в отпуске был его коллега, и в очередной рабочий вторник он получил емейл от напарника — тот просил прислать ему на личную почту конфиденциальные документы, чтобы немного поработать прямо из бассейна.
Чтобы наши герои не поддались на уловки киберпреступников, необходимы два условия. Во‑первых, они должны быть в курсе распространенных мошеннических схем и уметь распознавать подозрительные письма и сообщения. Во‑вторых, небезопасные практики не должны быть в компании в порядке вещей, даже если они ускоряют процессы. Если иногда руководитель просит скинуть конфиденциальный документ в личный мессенджер, а коллеги делятся данными учетных записей друг с другом, злоумышленнику будет проще убедить сделать это еще раз — но уже не в интересах компании.
Рекомендуем регулярно напоминать сотрудникам о базовых принципах цифровой безопасности, повышать их осведомленность о механиках социальной инженерии, а также контролировать доступ и взаимодействие с неструктурированными данными, среди которых могут быть чувствительные файлы, письма и изображения. В этом помогают решения класса Data Access Governance, например, Solar DAG.
Разделяйте личное и рабочее
Даже самый усердный работник хоть раз позволял себе на минутку отвлечься на личные дела в рабочее время. В отпускной сезон может возникнуть искушение, например, посмотреть цены на билеты, почитать отзывы об отеле или повыбирать купальник на маркетплейсе, особенно если на глаза попался баннер с выгодным предложением.
Лояльному руководителю ничто человеческое не чуждо, и нарушение трудовой дисциплины можно было бы простить. Однако в погоне за скидками сотрудник может перейти по подозрительной ссылке на вредоносный сайт с рабочего устройства в корпоративной сети. Другой вариант — он скомпрометирует свои личные профили, а злоумышленник использует эти данные для дальнейшей атаки на компанию.
Лучше не ограничиваться внушениями, а обеспечить сетевую безопасность с помощью соответствующих ИБ‑решений. В нашем портфеле есть шлюз веб‑безопасности Solar webProxy. Он разграничивает доступ сотрудников к веб-ресурсам, защищает от веб-угроз и блокирует утечки конфиденциальной информации через веб-канал.
Обращайте внимание на аномальное поведение
С помощью утекших данных, подбора пароля или нарушения политик ИБ хакер может завладеть инсайдерским доступом. И вот в вашей сети, казалось бы, зарегистрированный пользователь с понятным уровнем доступа и привилегиями, а на деле — злоумышленник, который уже начал делать свое черное дело. А настоящий пользователь находится в отпуске, и поэтому на то, чтобы заметить этот нежелательный обмен, уходит слишком много времени.
Поэтому важно отслеживать любые отклонения от нормального поведения — активность в нерабочие часы или во время отпуска, резко возросшее число контактов с коллегами, с которыми обычно пользователь не взаимодействует, операции с большим объемом информации — перемещение, копирование, удаление файлов.
Мониторить и реагировать на угрозы информационной безопасности, в том числе перехватывать конфиденциальные данные, чтобы предотвратить утечку, позволяют DLP‑системы — комплексное решение для противодействия и расследования таких инцидентов. В нашем решении Solar Dozor есть аналитический модуль, который умеет строить индивидуальные профили поведения, автоматически выявлять поведенческие аномалии, выявлять опасные массовые тенденции и искать взаимосвязи между ними и событиями ИБ, а также много другое.
Надеемся, что советы были полезны. Не оплачивайте киберпреступникам отпуск на островах — пусть лучше отдохнут от своей противоправной деятельности!
