Велиян Димитров

Аномалната активност на потребителите

Откриване на опити за източване на данни

<В бюлетин на списание IDG, в статията “Когато служителите напускат“ (http://expert.idg.bg/isecurity/number_532) обясних, че днес е много лесно за служителите от дадена компания да копират данните и информацията, които принадлежат на работодателя им. Поради което между деветата и тринадесетата седмица на финансовото тримесечие обикновено се наблюдават пикове на анормална активност на потребителите.
Което ще рече, че те извършват действия, които не са характерни за служебните им ангажименти. Какво става по това време в дигиталните вселени на компаниите? Как се откриват опити за източване на данни?
Анормалната активност изчезва  в края на последната седмица в много случаи. Защото служителите си изясняват статута в компанията и се успокояват, казва Рихит Гупта, президент на предлагащата услуги по сигурността в облак компания Palerra.

Необичайното поведение включва един или всички разпространени предупредителни знаци – масово изнасяне на базова информация, достъп до части от мрежата, които те обикновено не посещават, промяна на информационни обекти, изтриване на различни елементи. При това те правят тези неща от дома си или в офиса в събота следобед.

Дерек Лин обяснява подробно технологията, чрез която се откриват аномалии в поведението на потребителите.

Заплахите за сигурността на данните от вътрешни хора в компаниите са по-големи от останалите

Вярвате ли или не!

Рисковете от тях надхвърлят тези от външните злонамерени актьори. Служители, временно наети по договори, бизнес партньори или гости на компанията. Те често имат директен достъп до системите, мрежите и данните и. Тези вътрешни хора ежедневно работят с чувствителни за организацията системи. Лесно могат да откраднат конфиденциална информация или индустриално ноу хау. Без да бъдат открити.

Откриване на компрометираното устройство

В същото време екипът по сигурността има задължението да открива и осъществява превенция на инцидентите по сигурността в мрежата на организацията. Необходимо е светкавично да отговори на текущите атаки срещу мрежата. Бързо да разследва и да предотврати или изолира инцидентите по сигурността. Това е необходимо за намаляване на щетите.

За целта най-често се използват продуктите за управление на журналните записи, означавани със SIEM. Те нормализират и минимизират събираните данни. След което генерират индикатори за компрометиране (IoC, Indicators Of Compromise). IoC трябва да се разследват в оперативен порядък. Без подобен инструмент тази дейност е трудоемка и е невъзможно да се реагира адекватно.

Обстановката се усложнява от комплексната архитектура на системата от информационни и комуникационни технологии (ИКТ). Независимо дали включва приложения, файлови системи или сървърни ферми. Тези елементи от архитектурата на ИКТ на организацията може да са разположени върху

  • работни станции,
  • лаптопи,
  • в облака,
  • при контрагенти,
  • в мобилни устройства
  • и къде ли още не.

Бързото откриване на компрометираното устройство ще предотврати процеса, който изследователите наричат lateral movement. Това е навлизането на зловредния софтуер в останалите части от компютърната мрежа. След като веднъж е бил позициониран в някоя от крайните точки. Въпросното компрометирано устройство.