Статья Несанкционированный доступ, часть 1: понятие, типы и первоисточники проблем

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Несанкционированный доступ к информации — проблема, которую не стоит недооценивать. Если к данным получает доступ кто-то кроме ответственных за работу с ними сотрудников, компанию обычно ждут весьма печальные последствия.


Учитывая, что объектом несанкционированных действий часто становятся персональные данные и сведения, имеющие статус коммерческой тайны, ущерб сложно переоценить. Чтобы рассказать обо всех основных аспектах НСД, статья разделена на две части. Первая посвящена классами и видам, а также причинам, по которым злоумышленники стремятся получить доступ к данным.

n0u85mc77sqw7zcco05wiulqxd2a4y2v.jpg

➡️ Что такое несанкционированный доступ

Несанкционированный доступ — это доступ к сведениям лица, которое не имеет права на просмотр и работу с данной информацией. Обычно речь идет о конфиденциальной информации, представляющей определенную ценность для компании, а потому интересной потенциальному злоумышленнику.

Кто получает несанкционированный доступ? Это может быть сотрудник, для которого работа с данной информацией не прописана корпоративными регламентами. А может быть хакер, использующий его исключительно с целью получения выгоды или для противоправных действий.

На первый взгляд, ситуация с внешним взломщиком опаснее проблемы с внутренним нарушителем правил. Однако последнюю не стоит недооценивать. Использование сотрудников компании — распространенный способ незаконного получения конфиденциальной информации.

В настоящее время существует достаточно большое количество угроз безопасности информации, в том числе связанных с попытками несанкционированного доступа (НСД). За любой попыткой НСД стоит нарушитель, который с помощью уязвимостей и/или ошибок проектирования и дефектов в ПО и средствах защиты информации реализует эти угрозы. Сама причина может быть разной, начиная от поиска финансовой выгоды, заканчивая «спортивным интересом» и самоутверждением самого нарушителя перед другими участниками. По моему мнению, большинство атак в общем случае представляют собой довольно типовые попытки НСД со стороны хакеров и в целом являются попытками нанести репутационный ущерб атакуемым.

Несанкционированный доступ — не цель злоумышленника, а лишь средство к ее достижению. Сам по себе он не наносит ущерба для компании, однако открывает широкие возможности для реализации угроз.

➡️ Последствия для компании

Реализация НСД может привести к нарушениям различного характера:

  • утечке значимой информации;
  • повреждению и уничтожению данных;
  • блокировке доступа к информации для сотрудников организации, например, с целью получения выкупа.

Потенциальные последствия для пострадавшей компании на этом не ограничиваются. Используя инвазивный способ доступа к информации, злоумышленник после проникновения в систему может внедрить в нее вредоносное ПО и добиться полного удаленного контроля. В результате возможны глобальные сбои в работе информационных систем компании.

Утечки данных, в свою очередь, ставят под угрозу коммерческий успех компании. Если речь идет о клиентской базе, то на конку оказывается уже корпоративная репутация.

Несанкционированный доступ к данным может происходить по разным причинам, таким как хакерские атаки, фишинг, использование слабых паролей или утеря устройств с доступом к информации. Наиболее опасными, на мой взгляд, являются хакерские атаки и фишинг. Хакеры могут использовать уникальные и современные методы для взлома системы и получения конфиденциальных данных. Фишинг, в свою очередь, включает манипуляцию пользователей для получения их личной информации, такой как пароли или банковские данные.

➡️ Разграничение прав доступа

Несанкционированный доступ (НСД) к информации предполагает, что кто-то предварительно продумал санкционированный. То есть определил классы информации и составил перечень принадлежащих к каждому классу данных. Далее определил круг лиц, которым необходимо иметь к ней доступ для выполнения своих служебных обязанностей и установил порядок предоставления этого доступа.

Как только мы спускаемся на уровень разграничения прав доступа на реальные конечные ресурсы, всплывает очень много нюансов: например, наличие создателей-владельцев и пользователей с полными привилегиями, позволяющие им самостоятельно управлять правами к созданным им ранее папкам и файлам без какого-либо участия администратора. Другими словами, владелец может сам предоставить доступ любому другому сотруднику, и несмотря на нахождение данных в закрытом каталоге, человек всё равно сможет получить несанкционированный доступ к информации по прямой ссылке. Данную ситуацию мы встречаем буквально у каждого первого заказчика во время проведения аудита рисков, так как очень мало кто разбирается в реальной схеме работы привилегий на файловых ресурсах, а встроенные стандартные средства управления не позволяют эффективно выявлять такие нюансы.

Если данные не классифицированы, а права доступа для сотрудников не разграничены, такая позиция вряд ли убережет компанию от несанкционированного доступа. Наоборот, задача потенциального хакера или просто нечистого на руку сотрудника становится существенно легче. Защитных мер по сути нет, а сам факт НСД может и вовсе оставаться незамеченным длительное время.

➡️ Каким бывает НСД

Понимание, что такое несанкционированный доступ, было бы неполным без типологии этого явления. Первая большая группа, как уже упоминалось выше, связана с сотрудниками компании и их привлечением с целью получения противоправного доступа к данным. Работники могут получить предложение о переходе к конкуренту с гораздо более выгодной зарплатой. Самые доверчивые или недовольные в этом случае с готовностью расскажут о секретах нынешнего работодателя прямо на имитации собеседования. Помимо поиска недобросовестных работников для использования в открытую, могут применяться и действия «в тёмную»: прослушивание и перехват аудиосигнала, наблюдение с целью получения данных.

Причинами несанкционированного доступа могут быть: некорректное разграничение полномочий в программном обеспечении, ошибки в работе самого ПО, его устаревшие версии, наличие уязвимостей и их эксплуатация злоумышленниками. Наиболее распространенные ─ злоупотребление служебными полномочиями и слабая защищенность ПО. На эти две причины приходится две трети всех инцидентов по информационной безопасности в части несанкционированного доступа.

Следующая большая группа вариантов несанкционированного доступа носит технический характер. Это взлом корпоративной электронной почты, веб-ресурсов и каких-либо информационных систем с целью получения данных. Для его реализации злоумышленники ищут уязвимости программного обеспечения и используют их, получая «зеленый свет» для копирования или модификации любой информации.

Опасность представляет и физический несанкционированный доступ к серверам и другому оборудованию. Разрабатывая меры защиты от НСД, стоит обязательно учитывать связанные с ним риски.

Среди распространенных причин несанкционированного доступа — ошибки конфигурации ИТ-систем, устройств и средств защиты. Даже если изначально, все системы и устройства были сконфигурированы по всем канонам лучших практик, то через некоторое время потребуется внесение изменений, исключений и множество других действий. Потому что этого будет требовать ИТ-инфраструктура и бизнес, а это в свою очередь создаст потенциальные «лазейки» для злоумышленников.

Еще один вид НСД связан с перехватом информации из SMS, мессенджеров, звонков и других внутрикорпоративных каналов связи. Технически это выполняется с помощью антенных систем, панорамных анализаторов, широкополосных усилителей и других средств.

Особую группу с точки зрения угроз НСД представляют собой легальные способы получения конфиденциальной информации. Источниками в этом случае могут выступать подрядчики и торговые партнеры, клиенты и даже конкуренты. Определенные выводы о стратегии компании можно сделать в ходе участия ее сотрудников в практических секциях различных конференций и других мероприятий. Собранные данные могут использоваться во вред компании, однако противостоять этому виду НСД сложно в силу того, что никаких противоправных действий в процессе не совершается.

Самыми распространенными причинами несанкционированного доступа являются человеческий фактор и использование ПО с известными уязвимостями, для которых существуют публичные эксплойты. В первом случае срабатывает фактор невнимательности пользователей и как следствие компрометация и движение злоумышленника по внутренней сети компании. После этого злоумышленник закрепляется уже в сети и начинает эксфильтрацию (выгрузку) конфиденциальной информации. Со вторым случаем все понятнее, составляют карту используемого ПО на внешних ресурсах компании и находят устаревшие сервисы, для которых существуют эксплойты. Далее происходит компрометация уязвимого ресурса и после уже продвижение во внутренней сети компании.

➡️ Итоги: предвидеть нельзя игнорировать

В случае с НСД идеальным вариантом для любой компании будет поставить запятую после «предвидеть». Несмотря на то, что заранее просчитать все варианты несанкционированного доступа невозможно. Попытаться определенно стоит.

НСД представляет опасность для организаций любой отрасли, размера и структуры. У крупного игрока рынка могут выкрасть сведения о готовящемся к запуску продукте, а у небольшого медцентра — медицинские данные клиентов. Для самих компаний последствия реализации любого способа несанкционированного доступа к информации будут слишком серьезны, чтобы игнорировать такую угрозу.

Для несанкционированного доступа злоумышленники используют обширный арсенал средств. Помимо уязвимостей ПО и разнокалиберного набора технических решений, весомая часть НСД происходит с привлечением сотрудников пострадавшей от него компании.

 
  • Теги
    взлом несанкционированный доступ права доступа
  • Сверху Снизу