Инсайдер в вашей компании: семь способов обнаружения

14 апрель, 2014 - 11:10Максим Голубев

Когда дело доходит до ИТ-безопасности, важно сбалансировать и смягчить риски со свободой сотрудников эффективно выполнять свою работу. В то время как сотрудники должны иметь возможность широко использовать Интернет без неоправданных ограничений, вы также должны убедиться, что ваша организация останется в безопасности.

Тенденция использования BYOD усложнила усилия корпораций сохранить данные в безопасности. Например, компании часто запрещают использование внешней веб-почты типа Yahoo или Gmail на рабочем месте. Но многие сотрудники используют их для своих личных целей, обычно входя в систему через личные смартфоны или ноутбуки, и тем самым подвергая корпоративные сети угрозам, не зависящим от компании.

На фоне всех этих действий в компании могут существовать и инсайдеры, действия которых направлены на нанесение финансового и информационного вреда компании.

Вот 7 шагов по поиску инсайдеров:

1) Сбор данных

С появлением больших объемов данных, организации все больше осознают ценность информации. Первым шагом в решении этой задачи является сбор данных, доступа, информации со шлюзов, IPS/IDS и логов с NetFlow или NETSTAT. Следует определить также и структуру данных. Например, при использовании баз данных или инструментов, таких как Hadoop может потребоваться структурирование хранения данных. Использование инструментов индексации, таких как Splunk или Elastic Search облегчают процесс индексирования через расширенную аналитику.

2) Использование аналитики обнаружения аномального трафика

Многие из явных признаков деятельности инсайдеров заключаются в аномальных действиях, которые они совершают для достижения своих целей. Раскрытие аномалий требует понимания обычного нормального поведения. Программное обеспечение для обнаружения аномалий будет наиболее полезным при настройке алгоритмов автоматического определения нормального поведения систем и пользователей.

3) Поиск необычного исходящего трафика

Журналы прокси пропускают большие объемы информации, которые могут использоваться для обнаружения деятельности инсайдеров на ранних стадиях. Обратите внимание на необычные URL, необычный исходящий трафик или высокий уровень трафика в нерабочее время суток.

4) Определить однородные группы пользователей

Инсайдер действует нетипично по сравнению с другими членами рабочей группы. Так определение этих однородных групп будет иметь большое значение, помогая вам обнаружить пользователей осуществляющих деятельность вне этих норм.

5) Группа Сравнений А – Необычный уровень трафика

Если деятельность инсайдера включает кражу информации, он часто может проявляться в передаче больших файлов. Данные Netstat или NetFlow могут быть чрезвычайно полезными в их обнаружении, нужно смотреть не только на пиковые нагрузки (т.к. продвинутые злоумышленники смогут находиться ниже критической отметки радара путем передачи большого количества мелких файлов), но и включать в проверку по IP и времени активности.

6) Группа Сравнений B – Необычные методы доступа

Расследования инсайдерской деятельности показывают, что вредоносные пользователи также демонстрируют привычку доступа к ресурсам с необычных устройств. Там, где большинство пользователей могут иногда использовать смартфон или планшет для доступа к ресурсам на рабочем месте, эти пользователи выделяются, часто предпочитая их с помощью настольного или портативного устройства. Попытки доступа к информации с нетипичных браузеров или ОС должны стать толчком для дальнейшего расследования.

7) Группа Сравнений C – Необычные часы работы

Инсайдеры также имеют склонность работать в нерабочее время, прикрываясь тем, что не успели завершить работу. Ваши журналы имеют отметки времени, обратите внимание на модели трафика, которые не соответствуют обычному рабочему дню или рабочей неделе.

Небольшие организации могут выполнить большинство из этих шагов с помощью обычных средств мониторинга. Но если ваша организация является более сложным механизмом, вы можете рассмотреть программы для автоматического обнаружения аномалий, которые работают путем определения «нормального» поведения ресурсов и пользователей, а затем выявляют исключения.

Инсайдер в вашей компании: 7 способов обнаружения