Monday, August 21st, 2017

Защитите Вашу сеть от пользователей-мошенников

Published on Январь 29, 2009 by   ·   Комментариев нет

IT отделы тратят огромное количество времени, усилий и денег на защиту от внешних угроз – тех которые исходят из Internet или через удаленный доступ – но иногда забывают о вреде, который могут нанести авторизованные пользователи, которые решили немного смошенничать (перехитрить сетевые политики безопасности для каких-либо собственных нужд).

Как часто обнаруживается в рассказываемых историях, что большие убытки наносят кражи работников, чем кражи, совершенные ворами. Некоторые компании, возможно, удивились бы, узнав, что вероятность проблем от внутренних пользователей ничуть не меньше, а то и больше чем от хакеров из Internet. Бывает, что это случайность; неопытные пользователи могут случайно открыть веб сайт, который выполняет вредоносный код, или невинно загрузить программу, которую они посчитают полезной в работе, и которая содержит шпионское ПО. Или открыть почтовое вложение, которое содержит вирусы, или подключат к сети компании свои лэптопы, которые содержат вредоносные программы, полученные по незащищенному Internet соединению дома или в отеле. Они обычно не осознают, что своими действиями они нарушают политику безопасности.

Пользователь-мошенник же осознает, что он/она нарушает сетевые политики и часто имеет некоторые технические познания. Это не означает, что его намерения – разрушить сеть или осуществить атаку. Обычно пользователь-нарушитель просто хочет преодолеть механизм безопасности, потому что он мешает ему – однако осуществление этого ведет к неожиданным последствиям, которые могут быть разрушительны для Вашей сети.

Что делают пользователи-нарушители

Пользователи-нарушители сознательно пренебрегают правилами, которые они считают глупыми или которые, по их мнению, должны выполняться глупыми пользователями, не имеющих компьютерных навыков, а не ими. Типичный пользователь-нарушитель может:

  • Подключить беспроводную точку доступа в Ethernet разъем в его офисе без разрешения ИТ отдела для того, чтобы взять свой ноутбук в комнату отдыха и побродить по Internet.
  • Отключить антивирусное ПО на компьютере компании, потому что оно замедляет работу компьютера или не позволяет запустить его любимую (лично загруженную) программу.
  • Использовать учетную запись и пароль другого работника (который он взломал или узнал с помощью техники социальной инженерии)  для получения доступа к файлам и программам, к которым он не может получить доступ из-под своей учетной записи.
  • Использовать хакерские утилиты для поднятия уровня своих привилегий, чтобы установить какое-либо ПО или осуществить другие действия, не разрешенные его уровню привилегий.
  • Установить игры или другое «безобидное» ПО без разрешения.
  • Загрузить на рабочий компьютер данные или программы, принесенные из дома на дискетах, компакт-дисках или USB флэш дисках.
  • Скопировать данные компании на съемное устройство и взять его домой для работы.

Сам по себе пользователь-нарушитель это кадровая проблема, а вот исправление ущерба, нанесенного такими пользователями – проблема техническая. И, возможно, хуже всего, когда такой пользователь — начальник. В этом случае Вам придется применить технологические решения для защиты сети, так как дисциплинарные взыскания здесь уже не подходят.

Почему опасны пользователи-нарушители?

Какой вред могут нанести пользователи-нарушители? Огромный! Помещение в сеть компании точки беспроводного доступа не защищенной корпоративным брандмауэром открывает внутреннюю сеть для взломщиков, использующих беспроводные устройства, и другим внешним воздействиям. Отключение антивирусной защиты и других механизмов защиты компьютера может привести к тому, что те вредоносные программы, от которых Вы были защищены, проникнут в Вашу сеть. Использование чьих-то учетных записей приводит к неправильному определению  действий каждого из пользователей и может привести к обвинению не того пользователя в нарушении политик безопасности. Работа пользователя с повышенным уровнем привилегий может нанести какой угодно вред и представляет собой уязвимость в безопасности, которую может использовать взломщик. Установленные без разрешения программы и документы могут содержать шпионские модули, вирусы и другое вредоносное ПО. Вынос данных за пределы компании может привести к их краже секретов производства или может даже возникнуть угроза штрафов или уголовной ответственности за нарушение таких норм законодательства как HIPAA, GLB и т.д.

Отслеживание пользователей-нарушителей

Первый шаг – это обнаружение того, что нарушитель делает. Это означает постоянный мониторинг. Вы можете обнаружить точки беспроводного доступа с помощью программ обнаружения беспроводых сетей, таких как NetStumbler (http://www.netstumbler.com/). Она свободно распространяема и существуют версии и для операционных систем ноутбуков и для PocketPC (позже эта версия стала называться MiniStumbler). Вы также можете использовать GPS устройство для создания карты, отображающей физическое расположение точек беспроводного доступа нарушителей. Еще Вы можете купить отдельные устройства – определители беспроводных сетей, такие как, например, Kensington’s WiFi Finder.

Сканеры уязвимостей, такие как GFI LANguard (http://www.gfi.com/lannetscan/) могут определять, какие службы и приложения (например, антивирусное ПО или установленные без разрешения программы) запущены на компьютерах в сети, а также определить, установлены ли самые последние обновления и пакеты исправлений. Также они могут определять уязвимости, создаваемые параметрами реестра, который нарушитель, возможно, изменил, а также некоторые сканеры уязвимостей могут определять подключенные USB устройства.

Вы можете определить использование нарушителем чужого пароля, применяя встроенные в Windows средства аудита входа пользователей в систему и отслеживая подключения под, по вашему мнению, скомпрометированной учетной записью. Также Вы можете вести аудит доступа к файлам и папкам для того, чтобы определить к чему нарушитель получает доступ.

Вы можете использовать сниффер пакетов или анализатор протоколов для изучения содержимого пакетов, поступающих с компьютера предполагаемого нарушителя. Примерами таких программ являются Sniffer Pro (http://www.snifferpro.co.uk/) и Ethereal (http://www.ethereal.com/).

Журналы Вашего брандмауэра сообщат Вам о том, посещал ли нарушитель опасные веб сайты, загружал ли он ПО из Internet, через пиринговые сети, обменивался ли файлами через Интернет пейджеры и т.д. Вы даже можете установить клавиатурного шпиона (программного или аппаратное устройство) на компьютер предполагаемого нарушителя для того, чтобы записывать все, что он набирает; это может быть дополнено программой для создания снимков экрана, что позволит Вам знать его действия в графических интерфейсах. Одна из программ, которая совмещает эти функции — Activity Monitor 3.8 от компании SoftActivity (http://www.softactivity.com/). Она также создает отчет об установленных на компьютер программах. Программа устанавливается на Ваш компьютер, который будет станцией мониторинга, а на компьютер нарушителя устанавливается агент. Вы даже можете отслеживать сразу несколько компьютеров.

Защита от нарушителей

Всегда лучше предпринять профилактические меры, чем потом решать возникшие проблемы, и эти меры таковы:

  • Создайте беспроводную сеть, которую контролируете Вы. Зачастую, работники подключают точки беспроводного доступа только потому, что это единственный путь получить беспроводное соединение на рабочем месте. Как уже было сказано, наиболее уязвимы для атак через беспроводные сети те компании, которые не имеют беспроводных сетей, только по этой причине. Вы можете установить точку доступа в демилитаризованной зоне, а значит те, кто подключится к ней будут иметь доступ к Internet, но не получат доступа к внутренним ресурсам, если у них не создано VPN соединение. Также Вы можете применить дополнительные методы защиты беспроводных соединений, как, например шифрование WPA и фильтрацию по MAC адресам, отключите широковещательную рассылку SSID и смените административные умолчания – этого работники, подключающие свои точки доступа, скорее всего не сделают.
  • Если же пользователи все-равно устанавливают собственные точки доступа, Вы можете использовать IPsec в Вашей сети и создать групповую политику, которая требует IPSec для подключения к критически важным серверам. К тому же трафик будет иметь некоторую защиту, гуляя по воздуху.
  • Можете использовать программные решения, как, например, Airwave (http://www.airwave.com/) для автоматического оповещения о появлении новой точки беспроводного доступа и определения ее местоположения.
  • Можете предотвратить использование дискет и флэш накопителей  для копирования данных удалением дисководов и отключением USB портов, или используя продукт типа GFI’s Portable Storage Control (PSC) для контроля наличия доступа к дисководу и USB накопителям у конкретного пользователя (http://www.gfi.com/lanpsc/)
  • Регулярно запускайте сканирование компьютеров на уязвимости для определения ПО, которое создает угрозу безопасности.
  • Используйте многофакторную аутентификацию (смарт-карты или маркеры или биометрию) для затруднения использования чужого пароля кем-нибудь из нарушителей.

Итог

Пользователи-нарушители могут создать угрозу Вашей сети, но Вы можете использовать различные средства для предотвращения и обнаружения их действий, которые могут угрожать безопасности.

Источник www.windowsecurity.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]