В современном мире информационных технологий очень большое внимание уделяется защите от внешних атак. Однако, по данным исследований, наибольшую угрозу представляют атаки «изнутри»: на их долю приходится более 60% всех зарегистрированных случаев.

Откуда истекают угрозы? В некоторых случаях угрозой являются очень сложные схемы проникновения хакеров. Но в большинстве случаев это – злонамеренные действия сотрудников организации, ныне работающих или уже уволенных, но по какой-то причине имеющих доступ к системам организации.

Самыми распространенными мотивами для злонамеренных действий сотрудников являются:

• экономический (с целью материального обогащения);
• эмоциональный (акт мести, психическое расстройство и т.д.).

Если злонамеренные действия сотрудников организации еще можно отследить и привлечь их к ответственности, то к уже уволенному сотруднику применить какие-то санкции без суда невозможно, а вину еще нужно будет доказать.

Но как происходит, что уволенный сотрудник имеет доступ к системе? Самые распространенные сценарии таковы:

• в организации осуществляется доступ к системам под одной и той же учетной записью многими сотрудниками. Более того, очень часто такая учетная запись имеет максимальный уровень прав доступа;
• перед увольнением сотрудник создает себе «лазейки» для того, что бы иметь доступ к системам, будучи уже за пределами организации. Например, создает дополнительные учетные записи, которые могут быть похожи на системные или на учетные записи других сотрудников, открывает порты или создает исключающие правила на пограничных сетевых устройствах и т.п.;
• после увольнения сотрудника не были отключены/удалены несколько его учетных записей, из-под которых он имел доступ к системам организации.

Это происходит по причине халатности либо недостаточного опыта ИТ-специалистов, которые несли ответственность за отключеине учетных записей всех систем, на которые экс-сотрудник имел права доступа.

Рис. 1. Статистика атак и уязвимостей

Все перечисленные сценарии вполне реальны, и очень часто именно они становятся фундаментом для злонамеренных действий. Ведь сотрудник, работающий с конкретными системами, знает специфику их защиты, уровень подготовки и ответственности ИТ-администраторов. Чтобы отследить такие действия, требуется выполнять постоянную проверку конфигураций конечных устройств, устройств, обеспечивающих безопасность; проверять логи со всех этих устройств, отслеживать взаимосвязь между событиями, происходящими на разных устройствах. Если в небольших организациях подобный объем работ не очень велик и может быть выполнен силами уже работающих специалистов, то в средних и крупных компаниях это невозможно. Даже в небольших организациях потребуется выделить дополнительные трудовые ресурсы для решения подобной задачи. При этом нет гарантий, что работа будет выполнена в полном объеме и добросовестно. В любом случае, самую большую роль играет человеческий фактор – чем больше объем работы, чем она рутиннее, тем больше ошибок может быть допущено. А каждая ошибка может стать критичной.

Как решить эти задачи, как минимизировать риск злонамеренных действий «изнутри»?

Выявление сценариев злонамеренных действий

К счастью для ИТ-специалистов, существуют эффективные решения, которые предназначены для выявления сценариев злонамеренных действий, как внутренних, так и внешних. Данные системы могут обрабатывать тысячи событий в секунду, эффективно находить взаимосвязь между событиями с десятков, сотен устройств и реагировать на инциденты. При этом информация, полученная от таких систем, может быть понятна даже неспециалисту.

На мировом рынке SIEM-систем (Security Information and Event Manager) представлено много продуктов, которые способны справиться с подобными задачами, но не все из них охватывают полный комплекс решений по обеспечению безопасности. Одним из лучших в этой области является ArcSight ESM – продукт компании ArcSight, признанного мирового лидера в этой области.

Работа ArcSight ESM основана на том, что сообщения от различных устройств, требующих мониторинга (серверов, рабочих станций, маршрутизаторов, сетевых экранов и т.д.), приводятся к единому общему формату, а затем сохраняются в базе данных ArcSight. Делается это с помощью Smart Connector – программного обеспечения ArcSight, которое является одним из ключевых компонентов системы ArcSight ESM и предназначено не только для сбора и безопасной пересылки сообщений от устройств в систему, но и для выполнения фильтрации и агрегации сообщений и запуска программных сценариев (скриптов) на самих устройствах. На данный момент компания ArcSight предлагает более 275 Smart Connector для различных типов систем таких производителей, как Microsoft, Cisco, Juniper, IBM, Novell, Oracle, HP, Snort, Symantec и т.д. Если же какая-то система не входит в этот список, то для решения этой проблемы существует Flex connector, который выполняет те же задачи, что и Smart Connector, но может быть настроен под любую особенность логирования практически любой системы.

Полученные данные о событиях обрабатываются при помощи мощного механизма корреляции. Используя различные ресурсы, такие как фильтры, правила и др., он анализирует не одно событие, а целый поток, и может логически связать события, происходящие на многих устройствах, в единую картину.

Приведем простой пример. Допустим, за небольшой промежуток времени получено два сообщения среднего приоритета о входе в систему одной и той же учетной записи. На основании того, что подобный вход (под одной и той же учетной записью), выполнен с различных IP-адресов за небольшой промежуток времени, эти два события система связывает логически, расценивает как единое событие и создает на их основании одно коррелированное событие с высоким приоритетом об использовании одной учетной записи несколькими пользователями.

После анализа поступающих событий система может высылать уведомления о найденном инциденте, выполнять программы или сценарии, создавать или добавлять инциденты в систему учета и расследования инцидентов. При использовании решения ArcSight TRM система сама может принимать меры по устранению влияния источника атак на ресурсы организации.

Система ArcSight позволяет, в соответствии со специфическими требованиями, создавать т.н. «приборные панели» (Dashboard), позволяющие отслеживать события в режиме реального времени, представлять их в виде таблиц, схем, циклограмм, графиков и т.п., привязывать их географически к загружаемым картам, создавать исторические отчеты любого уровня сложности. Вывод отчетов и информации, отображаемой на приборных панелях, можно сделать настолько понятным и простым, что любой пользователь ArcSight ESM, даже без высокой технической квалификации, поймет, что происходит атака на информационные ресурсы компании, и сможет оперативно локализовать проблему.

Для ArcSight ESM разработаны различные фильтры и правила, предназначенные для выявления сетевых атак, попыток взлома систем и мошенничества в банковской отрасли, отслеживания неавторизованных или злонамеренных действий пользователей и т.д. Внедрение данного решения позволит подготовиться к аудиту на соответствие требованиям регуляторов таких стандартов как:

• PCI DSS
• FISMA
• HIPAA
• ISO/IEC 27002:2005
• IT Governance
• JSOX
• NERC
• Sarbanes-Oxley
• SB 1386

В заключение следует отметить, что правильно настроенная система ArcSight ESM позволяет организации уменьшить штат аналитиков и аудиторов, освободить системных администраторов от рутинной работы по изучению событий, и привлекать их лишь для того, чтобы расследовать конкретные инциденты. Эта система, при надлежащем внедрении, способна качественнее и быстрее справляться с выявлением всевозможных угроз, чем десятки специально нанятых для этого специалистов, поскольку ее сильной стороной является то, что она создает полную целостную картину безопасности организации, объединяя и анализируя события из сотен разнотипных устройств.