Модели поведения нарушителей
Развернув систему мониторинга действий с конфиденциальной информацией, кроме наращивания функционала и аналитических возможностей, можно развиваться еще в двух направлениях. Первое — интеграция систем защиты от внутренних и внешних угроз. Инциденты последних лет показывают, что существует распределение ролей между внутренними и внешними злоумышленниками, и объединение информации из систем мониторинга внешних и внутренних угроз позволит обнаруживать факты таких комбинированных атак. Одной из точек соприкосновения внешней и внутренней безопасности является управление правами доступа, особенно в контексте симуляции производственной необходимости для увеличения прав нелояльными сотрудниками и саботажниками. Любые заявки на получение доступа к ресурсам, не предусмотренного служебными обязанностями, должны немедленно включать механизм аудита действий с этой информацией. Еще безопаснее решить вдруг возникшие задачи без открытия доступа к ресурсам.
Приведем пример из жизни. Системному администратору поступила заявка от начальника отдела маркетинга на открытие доступа к финансовой системе. В качестве обоснования заявки было приложено задание генерального директора на маркетинговые исследования процессов покупки товаров, производимых компанией. Поскольку финансовая система — один из самых охраняемых ресурсов и разрешение на доступ к ней дает генеральный директор, начальник отдела информационной безопасности на заявке написал альтернативное решение — доступа не давать, а выгрузить в специальную базу для анализа обезличенные (без указания клиентов) данные. В ответ на возражения главного маркетолога о том, что ему так работать неудобно, ему директором был задан вопрос "в лоб": "Зачем тебе названия клиентов — слить базу хочешь?" —после чего все пошли работать. Была ли это попытка организовать утечку информации, мы никогда не узнаем, но что бы это ни было, корпоративная финансовая система была защищена.
