Угрозы для корпоративной сети и рекомендации по разработке корпоративной политики информационной безопасности
Реальные примеры инцидентов в корпоративной сети, связанных с действиями пользователей
Случай 1. Многопоточная закачка
Случай 3. Средства анализа сети
Случай 5. Несанкционированное подключение модема
Случай 7. Работа с электронной почтой в обход корпоративного почтового сервера
Разработка регламентирующих документов
Положение о коммерческой тайне
Корпоративная сеть большого предприятия может насчитывать сотни и тысячи компьютеров и, несмотря на технические меры защиты, весьма уязвима перед различными видами угроз. Как ни парадоксально это звучит, зачастую источником проблем являются пользователи ЛВС (локальных вычислительных сетей). Рассмотрим статистику инцидентов и несколько характерных случаев из практики.
Статистика инцидентов
Возьмем, к примеру, некоторую среднестатистическую корпоративную сеть, содержащую 500 компьютеров с электронной почтой и выходом в Интернет. Предположим, что сотрудники имеют привилегии уровня опытного пользователя, что позволяет им самостоятельно устанавливать программное обеспечение и изменять основные настройки компьютера. При этом считается, что электронная почта идет через корпоративный почтовый сервер, защищенный одним из популярных в нашей стране антивирусов, например AVP или DrWeb, а выход в Интернет осуществляется централизованно через корпоративный прокси-сервер и Firewall. В этом случае статистика инцидентов имеет вид, показанный на рис. 1.
Рис. 1. Статистика инцидентов
Естественно, это усредненная статистка, относящаяся к некоторой мифической сети, так как в любой реальной ЛВС эти цифры могут быть другими, поскольку зависят от множества факторов. Анализ причин инцидентов показывает картину, приведенную на рис. 2.
Рис. 2. Причины инцидентов
Как видно из диаграммы, основной причиной всевозможных инцидентов являются вредоносные программы различных типов. В эту категорию попадают вирусы, программы категории Malware (шпионские программы, модули отображения рекламы и прочее нежелательное ПО). Очень часто появление вредоносного ПО напрямую связано с действиями пользователя, например с посещением сайтов или с установкой программ непроизводственного назначения. Анализ процентного состава вредоносного ПО показывает следующую картину (рис. 3).
Рис. 3. Типы вредоносного ПО
Основная доля приходится на Trojan-Downloader, которые выполняют функции троянских загрузчиков вредоносного ПО. При этом следует отметить, что почтовые вирусы и сетевые черви не занимают лидирующих позиций, что в первую очередь связано с тем, что данная статистика получена в ЛВС, в которых применяется комплексная антивирусная защита и сетевые черви блокируются еще на уровне корпоративного почтового сервера.
На диаграмме, представленной на рис. 2, видно, что примерно 25% инцидентов приходится на действия пользователей, причем инцидент может возникнуть в случае умышленных действий (предполагающих наличие у пользователя ЛВС некоего злого умысла и плана для его реализации) или неумышленных. Анализ показывает, что подавляющее число связанных с деятельностью пользователей инцидентов вызвано именно неумышленными действиями. Оставшиеся 5% приходятся на категорию, названную хакерскими атаками, причем под хакерской атакой понимается в том числе и применение средств социальной инженерии.
Реальные примеры инцидентов в корпоративной сети, связанных с действиями пользователей
Рассмотрим несколько характерных случаев, наглядно демонстрирующих типичные инциденты, связанные с деятельностью пользователей. Все описанные ниже случаи взяты из практики и с весьма высокой степенью вероятности могут возникнуть в любой корпоративной сети.
Случай 1. Многопоточная закачка
Сценарий. Сотрудник К загружает из Интернета утилиту для многопоточного сохранения контента указанных сайтов. Указав несколько сайтов, он запускает утилиту в фоновом режиме. В результате сбоя утилита начинает выдавать 500-700 запросов в секунду в непрерывном цикле, что приводит к ситуации DoS на корпоративном прокси-сервере.
Анализ. В данном случае злой умысел со стороны сотрудника отсутствует, однако анализ ситуации показал, что применение данной утилиты не требуется для решения производственных задач. Кроме того, утилита не проходила никаких тестов со стороны администраторов сети и ее применение не было согласовано с ними, что, собственно, и привело к данной ситуации.
Решение проблемы. В корпоративной политике безопасности вводится запрет на установку программного обеспечения, активно взаимодействующего с Интернетом, без согласования с администраторами и службой безопасности. После этого проводятся технические мероприятия для поиска и удаления подобных программ и блокировки их последующей установки.
Случай 2. Электронная почта
Сценарий. Желая поздравить с Новым годом коллег, сотрудник К составляет базу рассылки из 1500 адресов, после чего создает письмо с Flash-мультфильмом размером в 1,5 Мбайт и запускает рассылку. Подобные операции производят также его коллеги, рассылая поздравительные письма с вложенными картинками, Flash-роликами и звуковыми файлами. В результате создается ситуация DoS на почтовом сервере и блокируется прием-отправка деловой корреспонденции.
Анализ. Это типичный пример нецелевого использования корпоративной электронной почты, обычно подобные проблемы возникают перед праздниками. Наиболее характерно данная ситуация проявляется в больших сетях (более 500 пользователей).
Решение проблемы. Технически решить подобную проблему очень сложно, так как ограничения на объем письма и количество писем в единицу времени не всегда приемлемы и малоэффективны при большом количестве пользователей. Наиболее действенная мера — разработка правил использования корпоративного почтового сервера и доведение этих правил до сведения всех пользователей.
Случай 3. Средства анализа сети
Сценарий. Недавно принятый на работу молодой программист для самообразования загружает из Интернета сканер сетевой безопасности XSpider. Для изучения его работы он выставляет настройки по максимуму и в качестве цели указывает адрес одного из корпоративных серверов. В результате средства защиты сервера регистрируют атаку, замедляется время реакции сервера на запросы пользователей.
Анализ. В данном случае злой умысел отсутствует, так как установивший данную программу пользователь сети не имел четкого представления о возможных последствиях.
Решение проблемы. В корпоративной политике безопасности вводится раздел, категорически запрещающий установку и использование на рабочих местах пользователей средств активного и пассивного исследования сети, генераторов сетевых пакетов, сканеров безопасности и иных средств. Согласно данному положению применение подобных инструментов разрешается только администраторам сети и специалистам по защите информации.
Случай 4. Почтовый вирус
Сценарий. Пользователь получает письмо, содержащее явные аномалии (отправителем и получателем письма является сам пользователь, текст письма не соответствует деловой переписке или отсутствует). К письму приложен архив с неким приложением. Несмотря на инструктаж, любопытство оказывается сильнее, пользователь сохраняет архив на диск, распаковывает и запускает файл, который оказывается новой разновидностью почтового червя.
Анализ. Технические меры в данном случае бесполезны. Тот факт, что пользователь получил письмо, свидетельствует о том, что применяемый почтовый антивирус и антивирус на ПК пользователя не детектируют данную разновидность вируса.
Решение проблемы. Обучение пользователей и разработка планов проведения мероприятий в случае появления в корпоративной сети почтового или сетевого червя.
Случай 5. Несанкционированное подключение модема
Сценарий. Пользователь несанкционированно подключает к своему компьютеру сотовый телефон и выходит в Интернет через GPRS-соединение. В ходе работы в Интернете на его компьютер проникает сетевой червь, который в дальнейшем пытается заразить другие компьютеры в рамках ЛВС.
Анализ. Сотовые телефоны с GPRS очень распространены, поэтому организовать точку несанкционированного подключения не составляет труда. Опасность такого подключения очень велика, так как оно не контролируется администраторами и не защищено корпоративным брандмауэром.
Решение проблемы. У данной проблемы имеется два решения: техническое и административное. Для эффективной защиты необходимо применять оба: с одной стороны, корпоративная политика безопасности должна строжайше запрещать пользователям подключение модемов или сотовых телефонов для выхода в Интернет, а с другой — необходимо предпринимать технические меры для блокирования такой возможности (привилегии и политики безопасности, средства мониторинга).
Случай 6. Зараженный ноутбук
Сценарий. Пользователю выдается служебный ноутбук, который он берет с собой в командировку. Там он подключается к сети, и его компьютер заражается сетевым червем. По возвращении он подключается к ЛВС, и его ноутбук становится источником заражения сети.
Анализ. Данная ситуация достаточно распространена, то есть в этом случае вирус проникает в сеть путем подключения к сети зараженного мобильного компьютера (ноутбука, КПК). Проблема усугубляется наличием в современных ноутбуках Wi-Fi-адаптеров.
Решение проблемы. Данная проблема не имеет однозначного решения. Хорошие результаты достигаются в случае установки на ноутбук антивируса и брандмауэра, причем установка производится администраторами, а пользователю строжайше запрещается их отключать или переконфигурировать.
Случай 7. Работа с электронной почтой в обход корпоративного почтового сервера
Сценарий. Пользователь заводит один или несколько почтовых ящиков в Интернете и использует их в обход корпоративного почтового сервера. В результате он получает письмо с вирусом, и его компьютер в дальнейшем становится источником заражения ЛВС.
Анализ. Это весьма распространенная ситуация. Корпоративный сервер достаточно легко защитить, установив на нем систему почтовых фильтров и антивирус (как вариант — несколько антивирусов). Работа в обход почтового сервера открывает неконтролируемую администраторами брешь в защите сети. Вышесказанное относится также к средствам онлайновых коммуникаций типа ICQ, MSN Messanger и их аналогов.
Решение проблемы. Наиболее эффективное решение — запрет для сотрудников компании на использование посторонних почтовых ящиков. С одной стороны, данный шаг кажется драконовской мерой, с другой — закрывает канал утечки информации и устраняет один из основных источников проникновения вредоносных программ в сеть.
Разработка регламентирующих документов
Как отмечалось в ходе анализа типовых проблем, возникающих в локальной сети предприятия, многие из них невозможно решить чисто техническими средствами — необходим набор внутрикорпоративных регламентирующих документов. Основными из них являются положение о коммерческой тайне и положение о защите информации.
Положение о коммерческой тайне
Положение о коммерческой тайне является основополагающим документом, в котором указано, какая информация считается коммерческой тайной фирмы. Данный документ обычно содержит несколько типовых разделов:
- общие положения — здесь размещаются вводная часть и ссылки на законы, на которых основано данное положение;
- основные понятия коммерческой тайны — подробное толкование всех терминов и понятий, в частности информации, составляющей коммерческую тайну, ноу-хау, режима коммерческой тайны, носителей коммерческой тайны;
- защита коммерческой тайны — это свод мероприятий и методик, которые применяются или могут применяться организацией для защиты коммерческой тайны. В этом разделе, как правило, описывается порядок получения доступа к коммерческой тайне и наказания за ее разглашение;
- перечень сведений, составляющих коммерческую тайну;
- специальные обязанности лиц, допущенных к коммерческой тайне и отвечающих за защиту коммерческой тайны.
С точки зрения защиты корпоративной сети интерес представляют последние два пункта. Во-первых, все, что касается структуры локальной сети, применяемых средств защиты и конфигурации этих средств должно быть объявлено информацией категории «строго конфиденциально». Соответственно в разделе об обязанности лиц, допущенных к коммерческой тайне, должна быть описана процедура подключения пользователя к ресурсам, содержащим информацию, представляющую коммерческую тайну. Идеальным вариантом является разработка унифицированной заявки на подключение, которая утверждается службой безопасности и непосредственным начальством пользователя. В этой заявке можно предусмотреть графу, заполняемую ИТ-специалистом, с отметкой о дате представления доступа. Ведение подобных заявок с их регистрацией и нумерацией позволяет установить жесткий порядок предоставления доступа к информации.
После разработки и утверждения положения о коммерческой тайне разрабатывается второй документ — положение о защите информации.
Положение о защите информации
Разработка данного документа должна производиться ИТ-специалистами (или специалистами службы безопасности с участием ИТ-специалистов). Этот документ регламентирует порядок работы пользователей в корпоративной сети и устанавливает их права и обязанности. Идеологически положение о защите информации опирается на положение о коммерческой тайне. Типовое положение о защите информации может содержать четыре основных пункта:
- общие положения, в которых описаны назначение документа и его состав;
- требования к процессу разработки и к внедрению ПО собственной разработки — регламентируют взаимоотношения разработчиков ПО и администраторов и описывают требования к программному обеспечению в плане информационной безопасности;
- требования к ПО сторонних разработчиков — здесь, помимо собственно требований, необходимо описание процедуры экспертизы и порядка ее проведения;
- обязанности персонала по обеспечению режима информационной безопасности при эксплуатации средств вычислительной техники, сетевых коммуникаций и программного обеспечения — это основной раздел, в котором подробно регламентируются все правила поведения пользователя в сети, порядок использования программных и аппаратных средств. Кроме того, в данном разделе регламентируется взаимодействие между пользователем и администраторами;
- действия должностных лиц в случае нарушения режима информационной безопасности — раздел содержит пошаговую схему, описывающую порядок действий в случае возникновения нештатных ситуаций или нарушений режима безопасности. Кроме того, в этом разделе описывается порядок отключения пользователя от предоставленных ему ресурсов сети в случае нарушений.
После разработки положения о защите информации оно доводится до всех сотрудников под расписку и назначаются сотрудники, ответственные за контроль над соблюдением утвержденного положения. Практика показывает, что очень хорошие результаты достигаются в случае формализации процедуры предоставления доступа ко всем ресурсам корпоративной сети через унифицированную заявку. В этом случае бланк заявки является приложением к положению о защите информации, а процедура оформления и выполнения заявки описывается в положении. Пример одной из применяемых в ОАО «Смоленскэнерго» заявок показан на рис. 4.
Рис. 4. Пример унифицированной заявки на доступ к ресурсам
Унификация заявок и процедуры предоставления доступа позволяет регистрировать заявки в базе данных, что, в свою очередь, помогает специалисту по защите информации узнать, какими привилегиями обладает любой из пользователей или какие пользователи имеют доступ к определенному ресурсу.
Выводы
В данной статье рассмотрены проблемы, связанные с информационной безопасностью корпоративной сети. Основное внимание уделено реальным инцидентам, связанным с деятельностью пользователей. Следует отметить, что описанные нормативные документы часто рассматриваются администраторами сети как ненужная формальность, однако они являются очень важной составляющей в организации безопасности корпоративной сети, поскольку регламентируют поведение пользователей и их взаимодействие с администраторами. Без данного документа невозможно как таковое проведение служебных расследований и наказание пользователей за грубые нарушения правил работы в сети. Кроме того, наличие утвержденной политики информационной безопасности сводит к минимуму конфликтные ситуации между пользователями и администраторами сети, поскольку и те и другие действуют в рамках единых нормативных документов.