Как проводится расследование по нецелевому использованию интерната в компании
Под информационной безопасностью подразумевается защита от сетевых атак, утечки конфиденциальной информации и прочих угроз, приносящих убытки из-за нарушения непрерывности бизнеса и потери ценных цифровых активов компании.
Независимая газета, подводя итоги 2019 года, отмечает, что российские компании подвергаются кибератакам в полтора раза чаще, чем в среднем по миру. В зоне риска – финансовый и страховой сектор, госструктуры, промышленные и оборонные предприятия и любые иные организации, обладающие критически важными данными, инфраструктурой и влиянием.
Универсальный шлюз безопасности — ключевой элемент корпоративной системы информационной защиты. Он работает на границе между общедоступным интернетом и внутренней компьютерной сетью организации, поэтому межсетевой экран, или файрвол, — важная составляющая его функционала.
Помимо этого, в арсенале универсального шлюза безопасности (UTM) Traffic Inspector Next Generation есть VPN, система обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза. Современная информационная безопасность без этих составляющих немыслима.
Вторая важная задача универсального шлюза безопасности — борьба с нецелевым использованием интернета и, как следствие, рабочего времени. В 34% российских компаний доступ к соцсетям запрещен.
Отвлекают от работы также информационно-развлекательные порталы, реклама на сайтах и в почте (спам), мессенджеры. Согласно опросу hh.ru, 46% офисных работников ежедневно читают личную почту или новости, 33% общаются по частным вопросам в мессенджерах, а еще 26% тратят рабочее время на соцсети.
Источник: опрос hh.ru
Универсальный шлюз безопасности блокирует непрофильные ресурсы по ряду признаков: URL-адресу, содержимому сайтов (по анализу слов, присутствующих на странице), принадлежности к запрещенным категориям (правила уже заданы по умолчанию, но ими можно управлять). Кроме того, Traffic Inspector Next Generation умеет блокировать приложения вроде Skype и BitTorrent с помощью Layer 7-фильтрации и вести статистику — кто на какие сайты ходил и сколько провел там времени.
Нецелевое использование интернета приводит не только к потере времени, но и к потере данных. Зачастую сайты сомнительного содержания заражены вирусами.
По данным «Лаборатории Касперского», они в два раза чаще становятся источником атак, чем принесенные с собой «инфицированные» флешки. Это еще одна причина, почему нужно блокировать вредные онлайн-ресурсы.
Помимо основных целей универсальные шлюзы безопасности отвечают за предоставление пользователям стабильного интернета. В универсальном шлюзе безопасности (UTM) Traffic Inspector Next Generation за управление трафиком отвечает так называемый шейпер, который может ограничивать скорость интернета у каждого конкретного устройства и не допускать «просадку» общего канала по вине особо активных пользователей.
Балансировка трафика и переключение на запасные каналы при выходе основного из строя будут особенно востребованы там, где жизненно важно иметь бесперебойный интернет (например, на предприятиях банковской и телекоммуникационной сферы).
Отдельного упоминания заслуживают компании с распределенной сетью автономных офисов, например, ритейл-сети: как правило, количество сотрудников в них может превышать 1000 человек, при этом их IT-бюджеты и ИБ-персонал — одни из самых скромных на рынке (в пересчете на одного сотрудника). Для таких клиентов производители универсальных шлюзов безопасности обычно предлагают специально заточенные под них решения.
Смарт-Софт — не исключение.
- единая политика управления интернет-доступом для всех структурных подразделений;
- централизованное управление настройками маршрутизации, антивирусной защиты, сетевой защиты, контентной фильтрации и пр.;
- единая система отчетов, предоставляющая головному офису подробную статистику по удаленным офисам.
Как выбрать UTM-систему?
UTM-решение — это универсальный шлюз безопасности, собранный по принципу «все в одном». В сочетании с простотой развертывания оно привлекательно и для малого, и для среднего, и даже для крупного бизнеса, который заботится о том, чтобы стоимость владения и сроки возврата инвестиций в информационную безопасность были как можно меньше.
В отличие от классического способа, предполагающего покупку ряда отдельных устройств и их интеграцию, UTM-система — более экономичный и производительный вариант, основанный на трех постулатах:
- Многоуровневая защита в реальном времени.
- Универсальный фильтр, не пропускающий шпионские программы и вирусы.
- Защита от нежелательного контента.
Такой подход избавляет от больших вложений в «железо» и IT-специалистов, которые могут позволить себе лишь очень крупные высокотехнологичные компании.
Внедрение Traffic Inspector Next Generation в ООО «ОПТОСЕНС» позволило повысить степень защищённости компании с точки зрения информационной безопасности.
Сфера услуг (HoReCa)
Кафе, рестораны, отели и другие заведения, раздавая публично интернет, сталкиваются со следующими проблемами:
- Если не идентифицировать пользователей, проверяющие органы выпишут штраф в размере от 20 тысяч до 50 тысяч рублей.
- Если не защищать сеть, хакеры взломают ее и все, что в ней находится — от банковских карт посетителей до бухгалтерии предприятия.
- Если не управлять интернет-потоком, посетители будут недовольны его скоростью.
Преимущество универсального шлюза безопасности (UTM-системы) в том, что он комплексно решает все перечисленные проблемы: и идентификацию устройств по SMS, и фильтрацию контента и трафика, и разделение потоков, на которых «сидят» клиенты и сотрудники. Также обязательна защита устройств, подключенных к сети.
Защитите корпоративную сеть и оградите свой бизнес от потерь с Traffic Inspector Next Generation.
к содержанию ↑Как компании отслеживают использование интернета сотрудниками
Интернет считается одним из самых успешных бизнес-инструментов после телефона. Тем не менее, современная глобальная сеть может воспрепятствовать выполнению любой работы.
Почти все работники, имеющие доступ к интернету, используют его для персональных целей, как и корпоративный телефон. Но именно глобальная сеть заставляет производительность труда стремительно снижаться.
Как работники проводят своё время в онлайне?
Интернет — это миллион возможностей для развлечений. На работе они могут отнять много времени и существенно снизить производительность труда.
Распространённые способы «нецелевого использования» интернета:
Есть несколько причин, почему работники используют интернет нецелевым образом:
Многие работники считают, что небольшие перерывы для отдыха повышают их работоспособность. Человеку трудно оставаться сфокусированным на задачах 7-8 часов подряд, но небольшой отдых не оказывает никакого влияния на продуктивность труда.
Вред нецелевого использования интернета
После нескольких часов сидения в глобальной сети продуктивность работника может упасть до нуля. Кроме того, есть и прямые риски для компании:
Отслеживание активности сотрудников на работе позволит предотвратить нанесение компании ущерба, а также извлечь максимум из рабочего времени коллектива.
Проверка истории браузера
Каждый интернет-браузер, используемый для посещения глобальной сети, сохраняет историю просмотра сайтов, а также временные файлы — кукисы. Проверка истории браузера позволяет понять, каким именно способом используется интернет. В то же время, пользователю нетрудно «подчистить историю», чтобы скрыть нежелательную активность.
Проверка трафика
Понять, какие конкретно веб-сайты посещаются и когда можно, заглянув в саму сеть. Простейший способ сделать это — установить фаервол или просмотреть историю, затребовав её у провайдера.
Такой метод позволяет узнать, какие именно и когда сайты посещаются, сколько часов в день сотрудник проводит за чтением новостей. В то же время, данный метод не подходит для установления утечек, а также для выяснения, о чём общается с другими людьми пользователь.
к содержанию ↑Использование монитора активности
Специальные программные решения — самый эффективный, но и самый дорогой способ отслеживания активности работников. Данное программное обеспечение позволяет не только в режиме реального времени смотреть, чем занимается сотрудник, но и делать записи манипуляций.
Работодатель получит информацию о том, какие именно приложения и когда открывались, что конкретно делал человек в глобальной сети. Данные решения обеспечивают огромный массив информации, позволяя надёжно контролировать коллектив, избегать инсайдерских атак и угроз.
Тем не менее, высокая стоимость подобных программных решений может оказаться неподъёмной для маленьких компаний. Однако есть более доступные варианты с урезанным функционалом, которые вполне по карману небольшим фирмам.
Наилучшие способы контролировать использование интернета работниками
Почему работодатели отслеживают, чем занимаются их сотрудники? Кто-то стремится повысить эффективность труда, а кто-то — пытается защититься от утечек информации. Те, кто не согласен с таким подходом, скорее всего, уйдут, а на их место придут профессионалы, которых не смущает подобная «слежка».
Есть несколько способов защиты компании от нецелевого использования интернета и рисков:
Нужно помнить, что неприятности с персоналом периодически случаются, но сотрудников всё можно заставить работать эффективно. Полезно поставить себя на место подчинённого, чтобы понять его настроение. И не забывайте: персональные проблемы конкретной штатной единицы не должны тащить на дно всю компанию.
к содержанию ↑На какие ошибки сетевой безопасности в компаниях нужно обратить внимание и как их можно исправить?
TADетали
Как показывает практика компании Positive Technologies, ошибки сетевой безопасности встречаются в 90% организаций. Перечислим наиболее популярные промахи и способы их исправления.
Автор статьи: Алексей Леднев, старший специалист экспертного центра безопасности Positive Technologies (PT Expert Security Center)
Содержание
Семь распространенных проблем сетевой безопасности
Передача учетных данных в открытом виде
Многие компании до сих пор используют сетевые протоколы (HTTP, почтовые протоколы с отсутствием шифрования, LDAP и Telnet), в которых в открытом виде передаются учетные данные пользователей. Хранение важной информации в открытом виде на сетевых ресурсах специалисты Positive Technologies встречали в 44% организаций, информационные системы которых ими были проанализированы в 2018 году.
Проникнув в сеть, злоумышленник может перехватить важные учетные записи (например, бухгалтерии) или повысить свои привилегии для продолжения атаки.
Используя средства класса NTA (в частности, PT Network Attack Discovery (PT NAD)), можно проверить, передаются ли по сети учетные данные в открытом виде.
Устранить передачу учетных данных в открытом виде можно несколькими способами: в веб-серверах перейти с HTTP на HTTPS, в протоколе LDAP настроить клиенты на использование аутентификации через Kerberos или защищенной версии протокола LDAPS, в почтовых клиентах и серверах включить TLS. Также надо отказаться от протокола Telnet в пользу SSH и применять защищенные версии FTP — SFTP или FTPS.
Отправка нешифрованных почтовых сообщений
Следующая типичная ошибка — использование открытых почтовых протоколов на пути от сервера организации к внешнему почтовому серверу. Письма, циркулирующие в защищенном виде внутри сети, оказываются в интернете в открытом виде, и их может прочитать злоумышленник, имея доступ к внешнему сетевому трафику (например, через интернет-провайдера).
Для поиска незащищенной исходящей почты, которая передается во внешнюю сеть, можно воспользоваться в решении PT NAD фильтрами по протоколу SMTP, адресу источника и получателя. Для того, чтобы исключить зашифрованные соединения, необходимо добавить фильтр по команде STARTTLS. В результате могут быть обнаружены письма, переданные в открытом виде.
Возможные варианты устранения ошибки: настроить сервер на принудительное использование TLS, применять S/MIME и PGP.
Использование утилит для удаленного доступа
Сотрудники часто применяют утилиты для удаленного доступа (remote access tools, RAT), например, TeamViewer, Ammyy Admin, RMS. Если это разрешено внутренними политиками ИБ, то в случае, когда злоумышленник воспользуется этими же инструментами, отличить нелегитимное их использование от легитимного будет сложно.
Обнаружить подключения через TeamViewer также можно с помощью PT NAD. Для этого необходимо воспользоваться фильтром по одноименному протоколу, который позволит выявить такие сетевые сессии. Еще один механизм выявления случаев использования RAT — предустановленные правила.
Если в организации запрещено использование утилит удаленного управления, то в случае обнаружения подобных подключений специалисту по ИБ стоит провести расследование, чтобы установить источник активности.
Рекомендации по устранению нарушения: контролировать использование утилит удаленного управления, разграничить права локальных пользователей на рабочих станциях, ввести политику белых списков для ПО.
Применение широковещательных протоколов LLMNR и NetBIOS
Еще одна проблема настроек сетей организаций — использование подверженных спуфингу протоколов LLMNR и NetBIOS. Данные протоколы позволяют за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS-сервера.
Эти протоколы также автоматически используются при недоступности DNS. В случае проникновения злоумышленника во внутреннюю сеть компании, он сможет провести атаку типа «человек посередине» (англ.
man in the middle, MITM). Злоумышленник может ответить на широковещательный запрос и тем самым перенаправить запросы жертвы на подконтрольный злоумышленнику сервер.
Проведение данной атаки позволит перехватить аутентификационные данные.
Чтобы выявить использование данных протоколов необходимо в PT NAD воспользоваться виджетом «Прикладные протоколы». С его помощью можно обнаружить использование LLMNR и NBNS. Добавив их к фильтру, можно найти всех клиентов, которые отправляли по ним запросы.
Как устранить подобную ошибку? Это можно сделать за счет отключения LLMNR и NetBIOS. Однако если в инфраструктуре имеются узлы под управлением Windows XP или Windows 2000, то отключение NetBIOS может сказаться на их работоспособности.
Неверное конфигурирование сетей
Перечислим наиболее частые ошибки, связанные с неверным конфигурированием работы сети:
1. Излишне доверительные отношения между подсетями.
Сюда относятся проблемы разграничения доступа между подсетями, при которых становится возможен несанкционированный сетевой доступ между внутренними подсетями организации. В результате злоумышленник при компрометации небольшой части сети может беспрепятственно взять под контроль ключевые узлы всей сети.
2. Доступ узлов инфраструктуры ко внешним DNS-серверам.
При использовании внутренней системы доменных имен DNS-запросы должны обрабатываться только на собственных DNS-серверах организации. Если DNS на клиентах сконфигурирован неверно, то в случае запроса к публичному DNS-серверу существует риск утечки внутренних доменных имен, а также обход фильтрации известных адресов командных серверов вредоносного ПО.
3. Без необходимости открытые для внешней сети сетевые порты и сервисы (например, базы данных). В этом случае у злоумышленника появляются большие возможности для проведения атаки. Так, например, из-за хранения сведений в незащищенной базе данных, в сеть утекли данные пациентов скорой помощи из Подмосковья [1] .
Чтобы выявить такие ошибки, нужно воспользоваться вкладкой PT NAD «Сетевые связи» и попробовать найти соединения из подсети DMZ (сегмент сети, содержащий общедоступные сервисы) в пользовательскую подсеть. Для этого необходимо настроить фильтр по подсетям.
В результате можно обнаружить нежелательную сетевую связь и сканирование утилитой nmap, что служит индикатором проводившейся сетевой разведки.
В ходе проведения одной из таких проверок специалисты Positive Technologies также увидели активное использование служебных протоколов, попытку эксплуатации уязвимости EternalBlue, ставшей причиной нашумевшей эпидемии WannaCry, и DNS-запросы к серверам Google, исходящие от сегмента пользователей.
Устранить ошибки можно следующим образом: настроить access control list (ACL) на сетевом оборудовании для корректного разграничения прав доступа между подсетями, сконфигурировать межсетевой экраны (они должны работать не только на границе с внешней сетью, но и между внутренними подсетями организации), а также запретить изменения сетевых настроек пользователей.
Неконтролируемое применение инструментов сокрытия трафика
Инструментами сокрытия трафика могут быть VPN, Tor, шифрующие proxy и другие зашифрованные туннели. Их неконтролируемое использование может привести к потере контроля за контентом, передаваемым в туннелированном трафике.
А в случае компрометации домашнего компьютера сотрудника злоумышленник может получить зашифрованный туннель во внутреннюю сеть организации.
В выявлении использования этих средств с помощью PT NAD также помогут фильтры: по репутационному списку tor-relays, который содержит актуальные адреса узлов сети Tor, и фильтром по протоколу TLS, так как Tor маскируется под него. Использованный в подозрительной сессии TLS-сертификат автоматически сгенерирован, что является индикатором соединения сети Tor.
Для обнаружения VPN и других туннелей можно воспользоваться фильтром по ключевому слову PPTP (Point-to-Point Protocol), а для обнаружения SOCKS5-трафика — уже знакомым фильтром по протоколу. Так, например, можно найти VPN-сессию с внешним хостом и множество подключений по SOCKS5.
Методы решения данной проблемы были уже рассмотрены ранее. Справиться поможет:
1. разграничение прав локальных пользователей,
2. политика белых списков для ПО,
3. настройка сетевого экрана,
4. закрытие сетевых портов.
Нецелевое использование систем
Нецелевое использование систем увеличивает нагрузку на вычислительные системы и каналы передачи информации, а также влечет за собой риск установки вредоносного ПО.
Выявить майнеры пользователям PT NAD поможет репутационный список miners, в который попадают адреса известных майнинг-пулов, а также узлов блокчейна различных криптовалют. В результате можно увидеть большое количество DNS-запросов, что свидетельствует о работе криптомайнера. Еще одним индикатором его работы могут служить сработавшие правила.
С BitTorrent и онлайн-играми все еще проще — для поиска торрент-трафика нужно воспользоваться фильтром по протоколу BitTorrent, а для онлайн-игр — по серверам популярных онлайн-игр. Это помогает вычислить сотрудников, использующих свое рабочее время не так, как хотелось бы работодателю.
Средства противодействия почти те же, что и в пунктах выше:
3. обновление антивируса и его базы.
Следующая
