Не Полагайтесь На Сотрудников Для Защиты От Утечки Данных

Вредоносное ПО становится все более изощренным и агрессивным, и обозреватель Роб Эндерле говорит, что не всегда можно рассчитывать на то, что сотрудники смогут бороться с ним.

Он предлагает свой план противодействия этой угрозе.

Данные компании взломаны, а ваши руководители разводят руками и делают вид, что ни в чем не виноваты.

Именно эта фраза пришла мне на ум на днях во время завтрака в RSA с сотрудниками подразделения безопасности Intel, где я случайно услышал историю, описанную ниже.

Мои уши насторожились, когда я услышал слово «подводная охота», которое было ключом к реальной истории, рассказанной одним из руководителей Intel. Подводная охота («подводная охота») — нападение на конкретного сотрудника компании с целью хищения его персональных данных и/или нарушения работы его оборудования.

Судя по всему, этот руководитель получил электронное письмо с PDF-документом от подозрительного китайского аспиранта.

В письме содержалась личная информация о программе непрерывного образования, в которой руководитель ранее участвовал, а также достаточно конкретной информации о школе, чтобы письмо выглядело подлинным.

Вас попросили проверить прикрепленную диссертацию в формате PDF. Хотя предупреждений о возможной опасности PDF-файла не было и он казался безобидным, получатель не стал его открывать, а отправил в лабораторию McAfee на тестирование.

Не умышленно! Согласно отчету лаборатории, файл содержал множество экземпляров ранее невиданного вредоносного ПО.

Другими словами, хакеры не только нацелены на конкретного руководителя, но и разработали специальный пакет, уникальность которого не позволяла системам обнаружения вредоносного ПО идентифицировать его как опасный.

Нас давно предупреждали, что PDF-файлы особенно опасны, но, судя по описанному событию, даже промежуточные исправления программного обеспечения не устранили угрозу.

Больше всего меня пугает то, что эта вредоносная программа была написана специально для «охоты» на руководителя охранной компании.

Главными целями в этом отношении являются руководители охранных компаний, поскольку украденная у них информация может обеспечить доступ ко всем клиентам компании.

В критических ситуациях нельзя полагаться на сотрудников В данном конкретном случае руководитель поступил правильно, но сколько его коллег в той или иной компании получили подобное почтовое вложение? И главный вопрос: сколько из них открыли персональные вложения, адресованные лично им, и сколько из этих компаний сейчас в результате взломано? Мы знаем, что компьютеры наших детей очень уязвимы для взлома, а поскольку наши компьютеры и устройства часто находятся в одной сети, наши системы также могут быть взломаны.

Тогда мы можем стать носителями, если случайно вернем эти системы обратно в офис.

Если предположить, что мы достаточно осторожны, чтобы сканировать эти машины, прежде чем разрешить им доступ в сеть, сканирование часто не может обнаружить уникальные вредоносные программы, написанные специально для компрометации конкретных сотрудников.

А поскольку мы знаем, что наши собственные лидеры не столь осторожны, вероятность взлома крайне близка к неизбежной.

«Золотой час» Ребята из Intel рассказали о «золотом часе», то есть о том, сколько времени проходит от момента взлома до момента, когда его необходимо выявить и устранить.

Другой парень за столом говорил о том, что крупные банки теперь должны осуществлять мгновенные переводы средств, а это означает, что стандартный льготный период, который позволял банкам проверять транзакции, скоро будет отменен, и «нигерийские принцы», которые так щедры на свои на фиктивные деньги скоро сможете разбогатеть за счет своих.

Если бы мы подумали о возможности того, что взлом уже произошел, наш подход к безопасности кардинально изменился бы.

Сейчас мы сосредоточены на предотвращении угроз, но очевидно, что этого недостаточно.

Если вы знаете, что в вашей компании уже действует вредоносный объект, то вы будете уделять больше внимания агрессивному выявлению угроз (McAfee SIEM), реагированию на них (Invotas) и повышению информационной безопасности (Varonis).

Другими словами, если в вашем доме уже есть грабители, менять замки уже поздно.

Вместо этого пришло время прятать ценные вещи и искать методы устранения незваных гостей.

То же самое верно и в нашем случае: если мы принимаем как факт, что наша безопасность была скомпрометирована, то мы должны сначала попытаться гарантировать, что наша интеллектуальная собственность не окажется там, где мы этого не хотим, а затем сосредоточиться на выявлении и устранении Не авторизованный доступ.

Технология SIEM (Информация о безопасности и управление событиями), интегрированная в универсальную консоль (поставляемая Intel/MacAfee), в сочетании с системой автоматического реагирования, поставляемой Invotas, дает вам оружие для изгнания злоумышленников, одновременно защищая IP-адреса от Varonis. гарантирует, что у вас будет достаточно времени, чтобы принять меры, прежде чем ваши ценности будут украдены.

Оптимальная система защиты от утечки данных включает 3 уровня защиты.

Хотя я знаю, что Sony использовала некоторые из этих инструментов после того, как они были взломаны, мне еще предстоит найти кого-нибудь, кто установил бы именно эту комбинацию.

Я считаю, что вам нужны все три компонента — SIEM, автоматизированное реагирование на угрозы и автоматическая защита неструктурированных данных — чтобы гарантировать, что у вас есть время и возможность справляться с растущим числом вторжений.

Я перечислил этих поставщиков выше, потому что я знаком с ними и время от времени работаю с ними, а также потому, что они являются хорошими вариантами для начала (McAfee, Invotas и Varonis).

Я выбрал McAfee из-за их связи с Intel и соответствующего изменения стратегии, чтобы сосредоточиться на взаимодействии, Invotas — поскольку они кажутся наиболее агрессивными с точки зрения реагирования на угрозы, и Варонис – потому что сегодня они лучшие в области защиты неструктурированных данных.

Однако не менее важным для идеального сочетания, очевидно, будет обеспечение эффективного взаимодействия отдельных компонентов (особенно первых двух).

В течение следующих нескольких недель я собираюсь найти кого-нибудь, кто уже установил этот набор инструментов, и сообщить вам, какой на самом деле может быть идеальная комбинация решений.

Тем временем вам следует напомнить всем вашим менеджерам и ИТ-персоналу, чтобы они воздерживались от открытия вложений, отправленных неизвестными лицами или тех, которые они не ожидали получить (в случае, если они имитируют электронное письмо от известного лица) на чем-либо, кроме выделенный изолированный компьютер – если только они не хотят прославиться в своей компании.

А если они откроют вложение (особенно PDF), которого не ожидали, им придется отправить его на анализ в службу безопасности.

Если бы это было безобидно, отлично.

В противном случае специалисты по безопасности должны немедленно начать процесс устранения ущерба и убедиться, что событие изолировано и не может повториться.

У меня такое ощущение, что это будет плохое десятилетие для руководителей службы безопасности (CSO).

Роб Эндерле Роб Андерле — президент и главный аналитик Enderle Group. Ранее он работал старшим научным сотрудником в Forrester Research и Giga Information Group. Ранее он работал в IBM, занимая должности в сфере внутреннего аудита, конкурентного анализа, маркетинга, финансов и безопасности.

В настоящее время Шон пишет о новых технологиях, безопасности и Linux для различных изданий, а также появляется на национальных телевизионных новостных каналах, включая CNBC, FOX, Bloomberg и NPR. Теги: #Большие данные #информационная безопасность #взлом серверов #пользовательские данные #информационная безопасность