Защита информации от несанкционированного доступа

Сегодня информация — один из самых ценных ресурсов, и несанкционированный доступ к ней может нанести серьезный ущерб бизнесу. Утечки приводят к репутационным потерям, а в некоторых случаях и к юридическим последствиям.

В этой статье поговорим о том, как злоумышленники могут получить несанкционированный доступ к вашей информации и как от этого защититься.

Что такое несанкционированный доступ к информации

Несанкционированный доступ (НСД) – это получение доступа к системе, ресурсу или информации без разрешения владельца.

Нужно помнить, что угроза несанкционированного доступа порой исходит не только от внешних злоумышленников, но и от легитимных пользователей. Они могут непреднамеренно получить доступ к дополнительным данным из-за уязвимостей или ошибок конфигурации системы защиты. Также легитимные пользователи порой становятся одним из векторов атаки в случае фишинга или захвата учетных данных.

В чем опасность НСД

Утечка конфиденциальной информации

Пожалуй, наиболее распространенное следствие несанкционированного доступа. Мы очень часто слышим в новостях о разнообразных утечках — персональных данных, коммерческой тайны и закрытой финансовой информации. 

Публичная утечка наносит серьезный ущерб репутации компании и подрывает доверие ее клиентов. Однако даже если публичности удалось избежать, утечка коммерческой тайны или информации о разработках все равно угрожает бизнесу. 

Финансовые потери

Это бывает связано как с репутационном ущербом, так и с доступом злоумышленников к данным, от которых зависят бизнес-процессы. Например, несанкционированный доступ к базе клиентов и ее повреждение, уничтожение или утечка могут полностью остановить ваш бизнес. 

Также доступ к системам управления финансовыми операциями может привести к прямым финансовым потерям — например, к переводу денежных средств на счета злоумышленников.

Нарушение работы систем

Несанкционированный доступ злоумышленников к информационным системам становится причиной частичной или полной остановки их работы.

Довольно часто атаки развиваются по следующему сценарию: получение доступа — сбор ценной информации — вывод информационных систем и систем восстановления из строя — требование выкупа.

Но даже если резервные копии не подверглись атаке, восстановление займет какое-то время, в течение которого бизнес-процессы будут остановлены. Это также приводит к финансовым потерям: компания не получает прибыль, сотрудники не могут работать, а клиенты (если система ориентирована на них) недовольны и могут задумываться о поиске альтернативы.

Установка вредоносного ПО

Не всегда последствия несанкционированного доступа проявляют себя сразу. Злоумышленник может закрепиться в системе с постоянным доступом, а затем, например, внедрить вредоносный шпионский код. С его помощью злоумышленник может получать ценные данные напрямую из операционной системы и использовать их по своему усмотрению.

Другим результатом работы такого ПО может стать несанкционированное использование ресурсов — банальный майнинг, который будет эксплуатировать аппаратные ресурсы вашей организации. Это также косвенно наносит финансовый урон, ведь ваш бизнес платит за ресурсы, но не использует их.

Использование аккаунтов для атак

Шпионаж и саботаж

Как я упомянул выше, злоумышленники могут использовать вредоносное ПО для шпионажа за компанией или пользователем. Но шпионить можно также с помощью вполне обычных средств и протоколов (например, SSH- или RDP-подключения), если их использование не контролируется.

Также не стоит пренебрегать организацией подсистемы управления доступом и средствами защиты системы изнутри, чтобы избежать утечки инсайдерской информации.

Способы постороннего доступа к сведениям

Существует практически бесчисленное количество способов получить несанкционированный доступ к системе. Зачастую выбор подходящего зависит от набора технологий и архитектуры, которая применяется в системе.

Ниже обсудим самые распространенные векторы. Обратим особое внимание на то, какие риски могут быть реализованы из-за пределов контролируемой зоны, а какие требуют нахождения злоумышленника внутри нее.

Эксплуатация уязвимостей информационной системы

Этот способ чаще всего предполагает получение НСД при том, что злоумышленнику не обязательно находиться в контролируемой зоне организации. В данном случае он ищет в сервисах и службах информационной системы  уязвимости, которые доступны извне. Наличие критичных уязвимостей, для которых уже существуют готовые эксплойты, являются практически гарантированным способом получить доступ к системе. Зачастую это может быть реализовано даже без участия человека — с помощью автоматизированных скриптов и ботов (что становится еще более актуальным с развитием AI).

В результате мошенник получает постоянный доступ к системе, в том числе с правами администратора.

Подключение к сетям и устройствам

Этот способ может быть реализован и внутри информационной системы, и вне ее.  

Извне несанкционированный доступ можно получить также при помощи уязвимостей, а еще он бывает связан с ошибками конфигурации или ее отсутствием (например, стандартные реквизиты доступа к устройствам вида “admin-admin”).

Реализация изнутри часто связана с недостатками защиты компьютерных сетей, наличием устройств беспроводного подключения (например, гостевые Wi-Fi сети) или сетевых интерфейсов, к которым можно незаметно подключиться (недостаточный контроль доступа в контролируемой зоне).

Результатом такого доступа может стать перехват и сбор сетевого трафика, его перенаправление на узлы, которые контролируются нарушителем, перехват учетных данных и выполнение действий от лица пользователей (MITM-атаки).

Непосредственный доступ к устройствам и носителям

Речь про физический доступ к устройствам, который может быть реализован только из контролируемой зоны.

Последствием такого доступа может стать практически что угодно: получение доступа к компьютерам или серверам внутри организации, утечка или уничтожение конфиденциальной информации, неправомерное внесение изменений в систему, внедрение вредоносного ПО, реализация постоянного внешнего доступа (бэкдор).

Вредоносное ПО (вирусы, трояны, шпионы и др.)

Последствиями такого доступа становится закрепление злоумышленника в инфраструктуре и развитие его атаки на систему.

Намеренный вывод систем защиты из строя

Выше мы говорили о разных средствах защиты информации, но важно также не упускать еще один момент — отслеживание и предотвращение несанкционированного доступа к средствам защиты — как внутренним (например, средства защиты хостов), так и внешним (например, межсетевым экранам).

Если злоумышленник получит доступ к управлению средствами защиты, он сможет отключить их. Это существенно ослабит защиту и позволит реализовать дальнейшее развитие атаки.

Также он может использовать средства защиты против вас — перенастроить их, чтобы вы потеряли доступ к управлению собственной инфраструктурой. Это может привести к еще более серьезным последствиям, поскольку придется придумывать, как обойти специально спроектированные средства.

Такая атака может быть реализована как изнутри, так и из-за пределов контролируемой зоны. Все зависит от конфигурации средства защиты и наличия удаленного доступа.

Средства защиты от несанкционированного доступа

Основные функции специализированных средств защиты от несанкционированного доступа:

• идентификация и аутентификация,
• управление доступом,
• регистрация событий безопасности,
• ограничение программной среды,
• обеспечение целостности защищаемой информации,
• обеспечение доверенной загрузки операционных систем,
• защита целостности аппаратного обеспечения хостов.

В качестве примеров средств защиты от несанкционированного доступа можно привести:

• средства антивирусной защиты,
• средства шифрования информации,
• средства межсетевого экранирования,
• средства защиты от утечек,
• межсетевые экраны и средства обнаружения вторжений,
• средства централизованного сбора и анализа логов.

Средства защиты от НСД можно разделить на четыре категории в зависимости от того, в каком исполнении они реализованы, и от того, какие функции они выполняют.

Программные средства

Это специализированное ПО, которое защищает информацию и не содержит дополнительных аппаратных компонентов.

К программным средствам защиты от НСД можно отнести:

• средства защиты хостов и ОС,
• межсетевые экраны и средства обнаружения вторжений уровня хоста,
• средства антивирусной защиты,
• средства шифрования информации уровня хоста,
• решения класса Endpoint Detection & Response (EDR).

Однако на самом деле любая категория средств защиты, которые перечислены в предыдущем разделе, может быть представлена в виде программного или виртуального исполнения, и ее тоже можно отнести к программной реализации. Это позволяет использовать различные категории средств защиты, в том числе, в облачной инфраструктуре.

Также не стоит забывать, что многие функции защиты от НСД включены в операционную систему по умолчанию. Если на начальных этапах построения системы защиты нет возможности использовать специализированные средства, стоит ознакомиться с функционалом тех, что уже применяются вами.

Программно-аппаратные средства

В терминологии российских регуляторов информационной безопасности их еще называют программно-аппаратными комплексами (ПАК). Программно-аппаратный комплекс — это совокупность технических средств, системного и прикладного программного обеспечения, которые представляют собой единое средство защиты информации. 

Примеры таких средств:

• межсетевые экраны,
• криптографические шлюзы,
• системы сбора и анализа логов,
• системы обнаружения вторжений,
• средства доверенной загрузки.

Также программно-аппаратными средствами могут быть токены аутентификации или электронной подписи, поскольку зачастую для их использования требуется специализированное ПО.

Технические средства

Стоит упомянуть, что токены бывают и просто аппаратным устройством. Некоторые из них выполняют свои функции без использования дополнительного программного обеспечения. В таком случае их можно отнести к категории технических средств.

Однако чаще всего к техническим средствам относят те, которые выполняют защиту контролируемой зоны:

• средства видеонаблюдения,
• системы контроля и управления доступом,
• электронные замки,
• охранные сигнализации,
• средства борьбы с побочными электромагнитными излучениями и наводками (экранирование линий связи, специализированные сетевые фильтры генераторы помех и шума и пр.)

Криптографические средства

Они действуют в немного другой парадигме: «Если мы не можем препятствовать перехвату или утечке информации, сделаем ее бесполезной для злоумышленника».

Речь о средствах криптографической защиты, которые шифруют информацию таким образом, чтобы невозможно было восстановить ее без ключа шифрования. Такие средства могут использоваться в следующих сценариях:

• защита данных, которые передаются по каналам связи;
• защита информации, которая хранится на устройстве (например, шифрование носителей информации);
• обеспечение неотрекаемости (электронная подпись).

Как защититься от несанкционированного доступа

Мероприятия по защите от несанкционированного доступа можно сгруппировать по целям.

Предотвращение

Перечислю несколько примеров мероприятий, которые направлены на предотвращение НСД.

1. Регулярная установка обновлений безопасности. Позволит не допустить критических уязвимостей с известными эксплойтами, особенно в периметре вашей системы.
2. Обучение пользователей и регулярные фишинг-тесты. Как уже было сказано ранее, фишинг является одним из главных векторов атаки на системы. Осведомленность пользователей и их способность определять фишинговые рассылки является одним из самых главных параметров защищенности информационной системы.
3. Реализация контролируемой зоны. В рамках нее важно исключить пребывание посторонних. Должны быть реализованы меры физической безопасности: системы контроля и управления доступом, видеонаблюдение и охрана помещений.
4. Инвентаризация устройств и пользователей, отслеживание появления новых сущностей. Необходимо контролировать состав участников информационного взаимодействия внутри вашей системы (если в системе есть внешние пользователи, это касается в первую очередь служебной части инфраструктуры). Подключение новых устройств и создание учетных записей должно быть ограничено и контролироваться командой администрирования вашей системы.
5. Построение системы защиты. Последнее по порядку, но не по значению.
   Все критичные данные, компоненты и процессы должны быть защищены с использованием комплексной подсистемы информационной безопасности. Она может быть реализована с помощью специализированных средств защиты от несанкционированного доступа.
   

При этом важно обеспечить защиту как конечных хостов, так и компьютерных сетей в целом. Подсистема может быть построена, в том числе, с использованием средств защиты, о которых мы поговорили ранее.

Обнаружение 

К сожалению, идеальный сценарий недопущения НСД срабатывает не всегда.

Если злоумышленник все-таки получил доступ к системе, очень важно быстро это обнаружить и понять, к каким активам он мог иметь доступ. Далее следует предпринять шаги по нейтрализации его действий и принять меры, чтобы не допустить распространения его полномочий в системе.

С этим могут помочь:

• системы обнаружения и предотвращения вторжений (IPS), 
• логирование на всех элементах системы, где это возможно, 
• централизованный сбор и корреляция событий с помощью SIEM и системы предотвращения утечек (DLP). DLP также может помочь при наличии внутренних нарушителей, которые пытаются передавать данные за пределы контролируемого периметра.

Но все это бесполезно без специалистов и регламентированных процессов по отслеживанию и реагированию на события. Поэтому самым важным элементом, как и всегда, остаются специалисты, сопровождающие указанные решения. 

Ограничение 

Противостоять злоумышленнику также помогает ограничение его действий. Это очень важно для предотвращения угроз, в рамках которых злоумышленник потенциально может находиться внутри организации и передавать данные третьим лицам.

Тут все довольно просто на словах, но чаще всего оказывается сложно на деле. Для всех сотрудников в вашей системе необходимо реализовать принцип минимальных привилегий. Суть в том, чтобы предоставить им минимально необходимый доступ для выполнения рабочих задач.

В этом случае, если злоумышленник захватит управление той или иной сущностью, у него не будет слишком много полномочий. Он не сможет быстро перемещаться в инфраструктуре и, возможно, даже не получит доступа к каким-либо критичным данным. Исключение — несанкционированный доступ к учетным записям администраторов системы. Захват такой учетной записи может предоставить пользователю наибольшие привилегии, поэтому они должны быть максимально защищены.

Восстановление

Эта группа мер, пожалуй, не вполне относится к противодействию несанкционированному доступу. Однако о ней неоправданно часто забывают, поэтому я хочу включить ее в наш разговор. 

Иногда НСД может привести к наиболее неблагоприятному сценарию — частичной или полной неработоспособности системы, уничтожению или шифрованию данных и баз данных. В этом случае очень важно предусмотреть механизмы резервного копирования и восстановления. Они должны применяться для всех критичных компонентов, от которых зависит работоспособность вашей системы и бизнеса.

Там, где это возможно, резервные копии должны быть изолированы от системы и неизменяемы (read-only). Тогда в случае несанкционированного доступа они не окажутся подвержены повреждению.

При этом также важно заранее определить процесс восстановления в случае нештатных ситуаций. Необходимо регулярно проверять работоспособность создаваемых резервных копий и мониторить скорость восстановления. Это является ключом к успеху в случае возникновения реальной необходимости.

Как организовать защиту от НСД

Организацию защиты от несанкционированного доступа также можно разделить на несколько областей.

Контроль допуска в помещения

Как мы обсудили выше, первое, о чем необходимо позаботиться при защите информационной системы, — организация контролируемой зоны. Этот этап включает в себя определение границ, в которых мы можем контролировать пребывание посторонних лиц и реализацию мер, которые помогут это сделать — охрана помещений, эшелонированная система доступа, системы контроля и управления доступом, видеонаблюдение.

Идентификация и аутентификация пользователей

Чаще всего при входе в систему пользователь проходит идентификацию и аутентификацию. Поэтому очень важно обеспечить защиту на этом этапе. Причем защитить необходимо не только саму систему, но и учетные записи пользователей, чтобы снизить вероятность их кражи.

Перечислю методы защиты, которые могут быть реализованы на этом этапе.

1. Построение централизованной системы идентификации. Так управлять механизмами гораздо проще, чем если каждый сервис будет иметь собственную реализацию, базу пользователей и политики. Помочь здесь может интеграция с контроллером домена, а также протоколы SAML, OAuth 2.0, OpenID Connect.
2. Отключение стандартных учетных записей, блокировка неиспользуемых учетных записей. Тут все просто: таких учетных записей не должно быть в системе. Обычно они остаются после увольнения сотрудника, но важно также не забывать о служебных учетных записях и их отключении, если они больше не требуются.

Защита устройств и конечных точек 

Еще один компонент подсистемы информационной безопасности, в качестве которого чаще всего рассматриваются специализированные программные и программно-аппаратные средства защиты информации. О них мы уже поговорили ранее.

Контроль доступа с внешних устройств 

Помимо защиты компонентов в пределах контролируемой зоны, очень важно предусмотреть защиту за ее пределами. В эру глобальной цифровизации очень трудно представить бизнес, который не предполагает возможности удаленного доступа к корпоративным системам.

Именно поэтому очень важно предусмотреть защиту удаленных подключений. С этим могут помочь различные средства защиты. Например, решение класса Mobile Device Management (MDM) или контроль удаленных подключений с использованием Client-to-site VPN, который может быть реализован, например, на NGFW.

Обнаружение попыток НСД 

Это один из критичных вопросов, связанных с защитой от НСД. А главным инструментом, который помогает реализовать его, является логирование.

В рамках подсистемы логирования очень важно определить маркеры, которые могут сигнализировать о попытках несанкционированного доступа. К таковым можно отнести:

• неуспешные попытки входа, особенно множественные (перебор паролей);
• аномально успешные попытки входа (например, интерактивный вход УЗ, который предназначен для API);
• вход в систему в нетипичное время;
• вход с незнакомых устройств/IP (особенно с другой геопозицией).

Этот список можно продолжать бесконечно: именно вы как владелец системы должны определить сценарии, которые будут считаться аномальными.

Инструментами, которые помогают реализовать меры по обнаружению попыток НСД, являются IDS/IPS (могут быть в составе NGFW), системы логирования, системы централизованного сбора и анализа логов (SIEM).

Контроль допуска к разным уровням информации

Метод защиты, который является неотъемлемой частью реализации надежной подсистемы защиты информации.

Согласно принципу минимальных привилегий, не следует выделять учетным записям и устройствам те права, которые им не требуются в рамках выполнения возложенных на них задач. Чтобы реализовать надежную систему управления доступом, не стоит изобретать собственные политики управления доступами. Лучше придерживаться стандартных моделей:

• дискреционный контроль доступа (DAC),
• мандатный контроль доступа (MAC),
• ролевой контроль доступа (RBAC),
• атрибутный контроль доступа (ABAC).

Большинство специализированных средств защиты от несанкционированного доступа уже содержат инструменты, которые позволяют их реализовать.

Резервное копирование и восстановление

Может помочь при самом негативном сценарии, когда несанкционированный доступ произошел, и злоумышленнику удалось частично или полностью нарушить работу системы. Реализуется как специализированными средствами резервного копирования, так и встроенными средствами, которые есть в составе большинства операционных систем и платформ.

Мониторинг работы защитных систем

Внедрение системы защиты — это очень важно. Однако не следует забывать о контроле их работоспособности, ведь злоумышленник может попросту отключить ее. Поэтому также очень важно внедрить мониторинг штатной работы средств защиты. 

Большинство средств защиты для конечных устройств поддерживает инструменты централизованного управления. Если в вашей системе много хостов, всегда рекомендуется использовать такие средства, чтобы снизить нагрузку на команду администрирования.

Безопасность во время миграций и ремонтных работ

Каждая система может функционировать в разных режимах. Чаще всего встречаются следующие два:

• штатный, когда все системы, компоненты и средства защиты функционируют корректно;
• профилактический, когда часть систем отключены или работают частично.

Профилактический режим чаще всего используют в процессе обновлений, миграций, обслуживания системы и других случаях, когда требуется отклонение от стандартного ежедневного процесса работы.

Нужно помнить, что в такие моменты система может оказаться особенно уязвима для несанкционированного доступа и атак злоумышленников. Зачастую требуется приостановить именно системы обеспечения информационной безопасности, так как нужно выдать дополнительные доступы администраторам, подрядчикам или вендорам. А еще иногда нужно временно отключить межсетевой экран, чтобы обеспечить связность с другим контуром.

Важно заранее оценивать риски, прорабатывать четкий план действий перед началом работ и не забывать, что в такие моменты система может быть наиболее уязвима. Это поможет снизить вероятность несанкционированного доступа к вашей системе.

Надежный способ защиты от НСД

Один из способов снизить вероятность несанкционированного доступа к системе — передать провайдеру часть функций по защите информации. Мы в Selectel выполняем необходимые меры по защите разных уровней инфраструктуры в своей зоне ответственности, поэтому можно не беспокоиться об их защите.

Выполнение мер подтверждается актами, сертификатами и аттестатами. Ознакомиться с ними, а также со схемой разграничения ответственности можно на странице посвященной безопасности в Selectel или в руководстве по обеспечению безопасности при использовании продуктов Selectel.

Кроме выполнения мер в своей зоне ответственности, мы можем предоставить вам дополнительные средства, с помощью которых может быть реализована защита информации от несанкционированного доступа:

• Средства защиты серверов и операционных систем
• Межсетевые экраны нового поколения
• Сервис ГОСТ-VPN
• Средства WAF
• Анализ уязвимостей 

Заключение

Мы подробно обсудили несанкционированный доступ: определили, в чем его опасность, разобрались со способами его реализации и способами ему противодействовать.

Помните, что обеспечение информационной безопасности должно быть комплексным и непрерывным. Злоумышленники всегда ищут самый простой способ подобраться к системе защиты, и если пренебречь каким-либо ее компонентом, именно он может стать причиной несанкционированного доступа. Поэтому всегда необходимо поддерживать высокий уровень защищенности на всех участках инфраструктуры.