Этот пост представляет собой мой перевод статьи, описывающей случаи нарушения информационной безопасности привилегированными пользователями. Оригинальный текст расположен
здесь.
Итак сама статья (часть 1):
Это худший ночной кошмар CIO: вам звонят из Business Software Alliance (BSA) и сообщают, что часть программного обеспечения Microsoft, которое вы используете, может быть пиратским.
Вы проводите расследование и находите, что мало того, что ваше программное обеспечение незаконно, так оно еще и было продано вам компанией, которой тайно владеет и управляет никто иной как ваш ИТ-администратор, которому вы доверяете свою ИТ-инфраструктуру уже более 7 лет. Дальше больше, начав разбираться в деятельности этого администратора, вы обнаруживаете платный порно-сайт, развернутый на одном из корпоративных серверов. Также вы обнаруживаете, что он загрузил не менее 400 номеров кредитных карт ваших клиентов с сервера онлайн-коммерции вашей организации.
И самое страшное: это единственный человек, владеющий административными паролями к большинству систем.
Думаете такого не может быть ? На самом деле это произошло с крупной (годовой оборот 250 млн.$) ритейл-компанией из Пенсильвании. Компания держит информацию об этом инциденте в секрете, данные удалось получить от консалтинговой компании, нанятой для расследования данного инцидента.
Несмотря на то, что в прессе периодически появляются сообщения об ИТ-специалистах, организовавших саботаж (например,
история с Terry Childs, администратором сети города Сан-Франциско) большинство компаний стараются сохранить подобные случаи в секрете от широкой общественности.
Ежегодный
отчет журнала CSO, секретной службы США (U.S. Secret Service) и CERT (проект Software Engineering Institute at Carnegie Mellon University) показывает, что три четверти компаний, которые становятся жертвами инсайдеров, решают вопрос внутри и не «выносят сор из избы». Так что то, что становится известным, это лишь вершина айсберга.
Однако, сохраняя все в тайне, такие компании лишают других возможности извлечь уроки из произошедшего. CERT в свою очередь пытается заполнить эту брешь. Эта организация занимается изучением инсайдерских угроз с 2001 г, за это время удалось собрать данные по более чем 400 случаям. В своем последнем отчете 2009 года Common Sense Guide to Prevention and Detection of Insider Threats" (
PDF), содержащем анализ более чем 250 случаев, CERT определяет некоторые наиболее типовые ошибки, которые совершают компании, к которым относятся: недостаточные проверки при приеме на работу, недостаточный мониторинг и контроль привилегий доступа, игнорирование типичных настораживающих индикаторов в поведении персонала.
Угрозы, исходящие от привилегированных ИТ-пользователей, наиболее сложные в обнаружении, т.к. часто их преступная активность выглядит также как и рядовые операции, выполняемые ими каждый день в рамках своих служебных обязанностей. Они постоянно редактируют или создают какие-то скрипты, правят код и пишут программы, это не является какой-либо аномалией. Они очень точно знают слабые места в безопасности организации и знают как замести следы. Нельзя полагаться только на технологии или какую-то одну превентивную меру, для того чтобы защититься от злоумышленника в лице ИТ-специалиста. Здесь необходимо взглянуть на всю картину шире.
Следует не только следить за тем, что они делают в Интернет, но за тем, что происходит на их рабочем месте (их поведение, общение с коллегами, высказывания и пр.)
В этой статье Computerworld публикует некоторые из историй, которые никогда не были широко освещены в прессе.
Пиратское программное обеспечение и не только
История с компанией-ритейлерем из Пенсильвании произошла в начале 2008 г. Все началось с пришедшего в компанию уведомления от BSA о том, что производитель программного обеспечения, компания Microsoft, обнаружила нарушения лицензионных соглашений.
Microsoft отследила сделку по продаже подозрительного программного обеспечения и вышла на системного администратора этой компании (назовем его Эд). Компания-консультант, которая была тайно нанята, для того чтобы расследовать инцидент, обнаружила, что Эд продал через свою компанию своему же работодателю пиратское программное обеспечение от таких производителей, как Microsoft, Adobe и SAP на сумму более чем 500 тыс. долларов.
Расследование также выявило стабильно высокий уровень сетевого трафика, что скорее было бы характерно для продолжительной сетевой атаки. Источником сетевой активности как оказалось был один из серверов компании, на котором было обнаружено более чем 50 тыс. порнографических фотографий и более 2,5 тыс. видео-роликов.
Вдобавок, в результате изучения рабочей станции Эда был обнаружен excel-файл, содержащий сотни номеров кредитных карт, полученных с сайта, используемого компанией для осуществления онлайн-коммерции. Несмотря на то, что ничто не указывало на то, что эти номера были как-то использованы, сам факт нахождения этой информации на рабочей станции Эда указывал на его желание либо воспользоваться ей в личных целях либо перепродать заинтересованным лицам.
Финансовый директор, получивший телефонный звонок из BSA, и другие представители высшего менеджмента стали опасаться того, что Эд может что-то предпринять в случае возможной конфронтации. Он был единственным человеком, который владел административными паролями, включая пароли для роутеров/маршрутизаторов сетевого ядра, сетевых свитчей, корпоративного VPN, HR-системы, почтового сервера, Windows Active Directory, рабочих станций Windows.
Это означало, что Эд «держал в заложниках» практически все ключевые бизнес-процессы компании, включая корпоративный веб-сервер, электронную почту, систему финансовой отчетности и бухгалтерию, он что называется владел «ключами от королевства».
В итоге руководство компании и нанятые консультанты смогли придумать производственную задачу, которая потребовала от Эда совершить многочасовой ночной перелет в Калифорнию. Длительный перелет дал команде консультантов временнOе окно приблизительно в 5 часов, в течение которого Эд фактически не мог получить доступ к системе.
Работая как можно быстрее, команда «прошерстила» всю сеть и полностью сбросила все пароли. Когда Эд приземлился в Калифорнии его уже ждал операционный директор компании, который вручил ему уведомление о немедленном увольнении.
Последствия для компании
По приблизительным оценкам инцидент стоил компании порядка 250 - 300 тыс.$, в которые включены стоимость работы привлеченных консультантов, стоимость авиабилетов для Эда, расходы на судебный процесс против бывшего ИТ-администратора, стоимость найма временного сетевого администратора и нового CIO, а также стоимость легализации приобретенного пиратского программного обеспечения.
Превентивные меры
Что могло бы предотвратить этот инцидент ?
Во-первых, конечно же, как минимум еще один человек должен был знать все пароли. Хотя в данном случае куда более определяющим фактором стало отсутствие системы разделения полномочий. У ритейлера была небольшая ИТ-команда из 6 человек и Эду были доверены как обязанности по администрированию, так и по обеспечению безопасности, что означало, что он фактически должен был контролировать сам себя.
Разделение полномочий как правило представляет собой довольно сложную задачу в компаниях с небольшим количеством ИТ-персонала. В данном случае рекомендуется вести мониторинг всего, включая анализ логов, сетевого трафика, изменений в конфигурации систем, и поручать этот мониторинг кому-то другому кроме системного администратора или его руководителя. Также очень важно, чтобы ИТ-персонал понимал, что за ним «наблюдают».
Во-вторых, компания не проводила досконального изучения анкетных данных Эда (background check). По данным исследования CERT, порядка 30% инсайдеров, совершивших саботаж, имели в прошлом (до принятия на работу) проблемы с законом. На самом деле любые несоответствия (фальсификации) анкетных данных, даже самые безобидные, должны сразу вызывать настороженность. Несмотря на то, что компания провела проверку Эда на предмет возможных прошлых конфликтов с законом (он был чист), не была проведена необходимая проверка других сведений из его резюме, некоторые из которых как позже выяснилось были фальшивыми (например, у него не было степени MBA как он утверждал в своем резюме).
Ну и в-третьих поведение Эда также должно было вызвать настороженность. С окружающими он вел себя так, будто бы он всегда был умнее всех остальных. Он был самоуверен, дерзок и крайне пренебрежительно относился к другим людям.
В CERT выяснили, что злоумышленники часто оказываются довольно асоциальными личностями. Практически нет ни одного случая, в котором после обнаружения преступления окружающие бы говорили: «Не могу поверить — он был таким милым парнем».
...
Это пока все. Продолжение следует...
P.S. На картинке, если кто не узнал, Вейн Найт (Wayne Knight) в роли Денниса Недри (Dennis Nedry), главного программиста парка юрского периода.