Ровное и бесперебойное течение бизнес-процессов организации зависит от целостности и доступности информации, находящейся в ИС и передаваемой по каналам связи. От сохранения ее конфиденциальности зависит не только положение на рынке и конкурентные преимущества, но и деловая репутация. Утечка данных приведет к потере имиджа, а если в Сеть попали персональные данные клиентов – к штрафам со стороны регуляторов. Это побуждает применять современные программные средства и технологии, предназначенные для защиты данных от несанкционированного доступа (НСД).

Объекты защиты и типы угроз

Реализуемая методика защиты данных от несанкционированного доступа должна учитывать место и способ хранения информации. В зависимости от этого выбирают средства обеспечения безопасности информации ограниченного доступа. 

Обычно конфиденциальные данные располагают:

• на компьютере пользователя, в локальной части, недоступной с другого компьютера без использования специальных протоколов или утилит;
• на сервере, в сетевых папках, где информация доступна всем пользователям, которые прошли процедуру авторизации и идентификации и чей доступ не ограничен;
• в базе данных, управляемой СУБД, на сервере или на облачном ресурсе;
• на сайте организации;
• на съемном носителе;
• на мобильном устройстве пользователя, работающего на удаленном доступе;
• на облачном ресурсе, используемом для хранения архива или в других целях.

Список угроз, от которых требуется защищать данные, очень велик. Раньше считалось, что веб-сайты относительно безопасны, им угрожают только DDoS-атаки или SQL-инъекции, но появляются новые угрозы. Так, недавно специалисты Wordfence установили, что хакеры целенаправленно атакуют сайты, работающие на WordPress. Хакеры с 18 тыс. IP-адресов произвели более 7,5 млн атак на 1,5 млн сайтов для поиска потенциально уязвимых ресурсов. Предполагается, что они ищут уязвимости, позволяющие перехватить контроль над сайтом. С утратой сайта утрачивается размещенная на нем информация.

Кроме новых угроз, актуальными остаются классические, перечень которых размещен на сайте ФСТЭК РФ. Защита данных от несанкционированного доступа необходима при реализации следующего:

• обход систем идентификации и аутентификации, подбор или похищение пароля, действия под чужим именем, в «маске», используя удаленно чужую учетную запись;
• перехват и подмена трафика (подделка платежных поручений, атака типа «злоумышленник посередине», когда внешний объект перехватывает обмен данными между двумя системами, это возможно при любой форме коммуникации – электронная почта, пользование социальными сетями);
• IP-спуфинг (подмена сетевых адресов);
• DDoS-атаки, приводящие к отказу в обслуживании и делающие веб-ресурс недоступным для посетителей и клиентов;
• атака приложений, внедрение в них SQL-инъекций;
• вредоносные программы;
• способы, связанные с использованием социального инжиниринга;
• неправомерные действия пользователя;
• нацеленные хакерские атаки, совершаемые с использованием ПО, предназначенного для выявления уязвимостей в программном коде.

Сложно уберечься от всех типов угроз, которые постоянно совершенствуются. Большинство угроз реализуются, когда владельцы информационной сети или сайта не уделяют внимания защите данных от несанкционированного доступа. 

Основные причины, которые делают НСД возможным:

• передаваемые по сети данные не подписывают электронной подписью. Становятся возможны перехват и подмена сообщений, искажение содержащейся в них информации, что приводит к принятию неверных управленческих решений;
• отсутствует алгоритм проверки подлинности участников сетевого соединения;
• политика безопасности компании не проработана, реализована не полностью или некорректно;
• не используются антивирусы, контроль доступа, системы обнаружения атак, позволяющие обеспечить защиту данных от НСД;
• наличие уязвимостей в операционных системах, программном обеспечении, СУБД и сетевых протоколах;
• непрофессионализм системных администраторов;
• отказ от использования сетевых фильтров;
• сбои в работе ИС, излишняя нагрузка на нее, понижающая производительность;
• использование ключей шифрования и паролей, имеющих уязвимости.

Эти риски приводят к:

• утечке информации;
• использовании документов, направленных не контрагентами, а третьими лицами, например, фиксировались случаи рассылки лжепредписаний от имени ЦБ РФ или Роскомнадзора;
• модификации содержимого документа или файла, данных. Это приводит к неверным решениям, а в случае получения подмененной некорректной информации от датчиков работоспособности оборудования может привести к аварии;
• блокировке доступа к документу, базе данных или сайту, что может вызвать затруднение или остановку работы организации.

Система защиты данных от НСД

Эксперты по информационной безопасности для защиты данных от несанкционированного доступа рекомендуют применять комплекс мер, во многом перекликающийся с требованиями ФСТЭК по защите данных от несанкционированного доступа. 

Среди основных мер:

• внедрение системы аутентификации и идентификации пользователей;
• установка менеджера паролей;
• использование модели дифференцированного доступа. В системы с наибольшим уровнем защиты от НСД рекомендуют внедрять верифицированный доступ, когда каждая операция в системе получает одобрение внешнего диспетчера;
• антивирусы;
• межсетевые экраны;
• шифрование файлов, папок и трафика;
• использование механизмов обнаружения и предотвращения вторжений;
• контроль содержимого интернет-трафика;
• применение программ протоколирования, отчета и мониторинга использования средств защиты администраторами и пользователями;
• запись в журнал учета действий пользователей и администраторов;
• использование программ единого управления информационной безопасностью.

Качество работы программ и их соответствие текущему уровню угроз должны проверяться периодически при помощи утилит-сканеров, выявляющих уязвимости.

Особое внимание должно уделяться борьбе с вирусами. Они быстро модифицируются, и штатные антивирусные программы не всегда могут выявить опасность, а проникновение в ИС программы, которая будет скрыто передавать данные третьим лицам, может оказаться более опасным, чем действия инсайдера. Банк данных антивирусной программы должен обновляться ежедневно, обращаясь к общим базам вирусных сигнатур.

Сканирование компьютеров оптимально проводить при помощи двух программных продуктов, в этом случае можно удостовериться, что проверены все рискованные ситуации, у одного антивируса могут быть сигнатуры вирусов, которых пока нет у другого. Обучение сотрудников основам антивирусной безопасности должно стать практикой организации.

Комплексное решение задач информационной безопасности обеспечивает DLP-система. «СёрчИнформ КИБ» контролирует максимальное число каналов передачи данных и предоставляет ИБ-службе компании большой набор инструментов для внутренних расследований. 

Сотрудники являются самым слабым звеном системы безопасности, их информированию о рисках и необходимости защиты от несанкционированного доступа нужно уделять повышенное внимание. Целесообразно проводить проверки знания правил безопасности, регулярную смену паролей. Работники должны быть уведомлены, что даже факт НСД к конфиденциальной информации, без ее распространения – основание для привлечения к дисциплинарной ответственности вплоть до увольнения.

Защита от угроз вне периметра ИС компании

Не все угрозы реализуются внутри информационного периметра организации. Систему защиты данных от несанкционированного доступа, начиная от замены паролей, заканчивая шифрованием, следует выстраивать на информационных объектах, к нему не относящихся. При качественной работе межсетевого экрана маловероятны успешные внешние атаки со стороны злоумышленников с базовым и средним потенциалом. Лица с высоким потенциалом обычно нацелены только на узкоспециализированные информационные ресурсы.

DDoS-атаки продолжают оставаться серьезной угрозой. При малопроизводительном пропускном канале даже 1000 обращений в секунду способны вызвать отказ в доступе к сайту, в работе электронной почты, VPN-сервиса, отдельных приложений. Парализация сайта и отвлечение ресурсов на ликвидацию атаки делает уязвимой общую систему безопасности, что позволяет реализовать другие механизмы несанкционированного доступа, например, при помощи инсайдера.

Организация – владелец сайта может прибегнуть к следующим методам обнаружения атак:

• сигнатурные – основанные на качественном анализе трафика, с выявлением необычных запросов или запросов, исходящих от нестандартных IP-адресов;
• статистические – базируются на количественном анализе трафика, выявляя неожиданное повышение количества запросов;
• гибридные – объединяющие преимущества двух предыдущих методов;
• реакционные – базирующиеся на получении информации о нестандартно медленной реакции ИС, недоступности ее сервисов.

Служба информационной безопасности организации должна иметь в своем распоряжении следующий план борьбы с атаками:

1. При получении информации о необычно медленной реакции системы срочно доложить руководителю службы.

2. Принять решение о прекращении, физическом или логическом, доступа к серверу, подвергающемуся атаке. Предварительно собрать всю возможную информацию о характере атаки, ее интенсивности, источниках, возможных целях, используя информацию журналов учета и SIEM-систем.

3. Использовать комплекс неактивных способов защиты: фильтрация адресов, протоколов, портов, увод цели атаки (доменного имени или IP-адреса) от других ресурсов сети. При выявлении организатора атаки можно попробовать воздействовать на него при помощи организационно-правовых мер, например, путем обращения в правоохранительные органы.

При устранении атаки важно не забывать, что часто они организуются в качестве дымовой завесы с тем, чтобы внешнее проникновение в информационную систему и несанкционированный доступ к данным оказались незамеченными.

***

Создание всеобъемлющей системы защиты невозможно, но при разработке комплекса мер и средств можно реализовать модель, которая устранит 90-95% рисков при невысоких бюджетных вложениях, если уделять время и внимание обучению персонала, своевременной замене паролей, обновлению программного обеспечения и мониторингу актуальных угроз.

26.11.2020