Прямая явная угроза IT-инфраструктуре

Часть 2

(Начало в №27)


Темные силы их злобно гнетут

В любом случае, ключевой момент - мотивы и план действий внутреннего саботажника. Как утверждают специалисты, самым главным мотивом к проведению диверсии со стороны служащего является месть. Более того, стычки с начальством или коллегами на работе только катализируют деструктивную активность разъяренных сотрудников. Именно подобные инциденты часто встречаются на практике - и, думается, такие примеры известны значительной части наших читателей.

Аналитики CERT выяснили, что в 92% случаев саботажу предшествует неприятный инцидент или целая серия таких инцидентов на работе. Что это может быть? В 47% случаев - увольнение, в 20% - ссора с нынешними или бывшими коллегами, 13% - перевод в должности или, наоборот, отсутствие долгожданного повышения. Таким образом, 85% всех внутренних компьютерных диверсантов рассержены на кого-то, кого они ассоциируют с компанией. В 57% случаев сослуживцы инсайдера характеризовали его как чрезвычайно рассерженного и раздраженного человека.

Итак, 84% злоумышленников руководствуются (хотя бы частично) местью. В 41% случаев они хотят донести свою ярость до обидчика, в 12% требуют признания собственной значимости и уважения к себе, в 12% выражают свое несогласие с политикой компании, а еще в 12% - несогласие с культурой компании. В общем, в 57% случаев сотрудники руководствуются более чем одним мотивом.

Чтобы упредить разрушительные действия, требуется, прежде всего, выявить инсайдера. Как мы уже сказали, сотрудник, задумавший, например, отомстить компании, старается вести себя "как положено" и заранее планирует свои действия. С этой стороны он выделяется разве что низкой производительностью труда. Выручает психологический момент. Рассерженный служащий может угрожать начальству или сослуживцам, например, по электронной почте или заранее делиться своими мыслями "в курилке" с кем-то из коллег. То есть очень часто информация о том, что работник собирается навредить компании, где-то или у кого-то есть. Не стоит также забывать, что саботажу часто предшествуют споры с начальством и коллегами, а, следовательно, раздражительность или нервозность в поведении сотрудника.

Статистика CERT говорит, что 62% инсайдеров продумывают свои действия заблаговременно. В 47% случаев они совершают подготовительные действия, например, крадут резервные копии конфиденциальных данных. В 27% - конструируют и проверяют механизм атаки, например, логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т.д. При этом в 37% случаев активность сотрудников вполне можно заметить: 67% подготовительных действий заметно в режиме online, 11% - offline, 22% - и так, и так. В 31% случаев у других людей есть информация о планах диверсанта. Из них 64% - у коллег, 21% - у друзей, 14% - у членов семьи, а еще 14% - у сообщников.

Все по тем же данным CERT, 57% инсайдеров имеют права администратора в системе во время работы, из них 85% на момент совершения диверсии уже лишились прежних широких полномочий на доступ к корпоративной среде. Если рассмотреть последнюю категорию злоумышленников более детально, то окажется:

  • 38% недобросовестных служащих были уволены (или уволились сами) и их учетная запись была заблокирована;
  • 27% были уволены (или ушли сами), но их учетная запись осталась дееспособной;
  • 12% остались работать в компании и, следовательно, по-прежнему являлись авторизованными пользователями, но уже с уменьшенными полномочиями;
  • 8% были уволены (или уволились сами), но сохранили доступ к корпоративной среде, правда, с ограниченными правами.

Вдобавок к этому, 33% инсайдеров были взяты на работу сразу с правами привилегированных пользователей, но 60% из них не имели таких широких полномочий на момент совершения диверсии. Авторизованный доступ к внутренней сети организации во время совершения деструктивных действий имели только 43% злоумышленников.


Против лома...

Что касается осуществления самой атаки, то 61% саботажников предпочитает простые и незамысловатые механизмы, например, команды пользователя, обмен информацией, использование физических уязвимостей безопасности. Оставшиеся 39% инсайдеров применяют более изощренные методы атаки: собственные программы или сценарии, автономные агенты и т.д. В 60% случаев злоумышленники компрометируют учетные записи, чтобы с их помощью потом провести атаку. В 33% инцидентах это компрометация имени пользователя и пароля; в 20% - неавторизованное создание новой учетной записи. В 92% случаев заметить подозрительную активность в данной сфере до момента совершения диверсии почти невозможно.

Но проведенную атаку еще нужно заметить - ведь не всегда система реагирует моментально. Часто бывает так, что, к примеру, какие-то данные оказались видоизменены, а последствия наступают лишь через определенное время. Как в этом случае вычислить виновного? Практика показывает, что помочь в этом могут только журналы системных событий. При этом надо учитывать, что злоумышленник сделает все возможное и невозможное, чтобы скрыть свою личность, предстать кем-то другим или как-то запутать следы. Однако во многих случаях инсайдера могут вычислить другие служащие, не имеющие с безопасностью IT-инфраструктуры ничего общего.

Если перевести эти данные на язык цифр, то получится, что 63% атак было замечено лишь потому, что в системе появились сильные отклонения. В 42% случаев система вовсе вышла из строя. При этом в 70% инцидентов злоумышленника удается вычислить по журналам системных событий, в 33% - по IP-адресу диверсанта, в 28% - по телефонным записям, в 24% - по имени пользователя, в 13% - за счет процедур аудита.

В тех же случаях, когда используются журналы системных событий, чаще всего нужно исследовать журнал событий удаленного доступа (73%). За ним с большим опозданием следуют журнал доступа к файлам (37%), журнал изменения системных файлов (37%), журналы приложений и баз данных (30%), почтовые журналы (13%). В общем, в 31% случаев для идентификации злоумышленника используются сразу несколько журналов.

В 76% инцидентов внутренние диверсанты пытаются скрыть всю личность (31%), действия (12%) или одновременно и то, и другое (33%). Саботажники могут модифицировать или удалить журналы событий, создавать скрытые входы в систему и неавторизованные учетные записи, подделывать свой IP-адрес.

(Окончание следует)

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Номер: 

28 за 2005 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!