Журнал "Information Security/ Информационная безопасность" #1, 2021

В таком случае хранение ключевой информации будет осуществляться в следующих контейнерах: l на серверной стороне, все операции с ключами выполняются на сервере; l контейнер в специализированном модуле внутри устройства – Trusted Plat- form Module. Использование подобных решений счи- тается менее безопасным, чем съемные аппаратные защищенные носители, одна- ко эти решения наиболее гибкие и подхо- дят для описанной нештатной ситуации. После замены ключевого носителя виртуальную смарт-карту можно отклю- чить. Таким образом, даже в случае утери или поломки ключевого носителя простоя в бизнес-процессах компании не будет. Угрозы отказа от авторства действий, приведших к инциденту Спорные ситуации в случае сбоя критичного ресурса При любой работе с ИТ-ресурсами со стороны привилегированных пользова- телей всегда существует риск ошибок из-за человеческого фактора. Сами дей- ствия при этом могут привести к сбою критичного ресурса. Даже при работе непосредственно в помещении организации бывает сложно разобраться, что же произошло и кто является ответственным за сбой. В слу- чае удаленного доступа ситуация услож- няется многократно. Подобные разборы инцидентов не только негативно сказы- ваются на рабочей атмосфере, когда происходят попытки обвинить невинов- ных, но и тратят много времени специа- листов на непродуктивные действия. Использование SIEM, вероятно, поз- волит узнать, кто подключался к ресурсу, но вряд ли позволит точно определить ответственного, не говоря уже об отсут- ствии данных о последовательности дей- ствий, которые привели к сбою. Однако при использовании решений класса Privileged Access Manage- ment (PAM) все подключения привилегированных пользователей к критичным ресурсам фиксируются в различных форматах (видео- и текстовая запись, снимки экрана, нажатия клавиш, переданные файлы). Далее, используя записи действий, всегда можно оперативно определить, какая последовательность действий привела к сбою, выявить ответственного за инцидент и определить фактор преднамеренности. Попытка уйти от ответственности Бывают ситуации, когда в компании работает инсайдер – внутренний зло- умышленник, который целенаправлен- но осуществил действия, приведшие к сбою или нарушению работы крити- ческого ресурса. Сама по себе задача выявления ответственного уже является сложной, однако с помощью решения класса PAM можно оперативно найти виновного. При попытке привлечь сотрудника к ответственности он может сказать, что у него были украдены соответствую- щие данные для доступа к его учетной записи. Ни для кого не секрет, что парольная аутентификация очень уязви- ма для угрозы разглашения, а сам факт разглашения может быть выявлен уже после инцидента. Очевидно, что в такой ситуации любой руководитель может задуматься о том, что сотрудник действительно невиновен, а произошедшее – просто неудачное стечение обстоятельств. Для нейтрализации данной угрозы рекомендуется совместно с решением PAM использовать решения для 2FA сотрудников. Тогда, если сотрудник действительно является инсайдером и имел место инцидент, ему будет тяжело уйти от ответственности. Если все-таки сотрудник заявит, что у него украли телефон, на котором стоит генератор одноразовых паролей, ему будет задан логичный вопрос: "Почему вы оперативно не уведомили об этом службу безопасности?" Заключение Рассмотрев дополнительные угрозы, возникающие или обостряющиеся при удаленной работе, необходимо еще раз обратить внимание на то, что угрозы информационной безопасности эволю- ционируют с развитием ИТ-технологий и способов их применения. Злоумышлен- ники адаптируются и всегда ищут новые способы нелегального заработка. Пока системы защиты полностью не пере- строены под новые реалии, киберпре- ступники могут воспользоваться вашими слабостями и "лазейками" в своих целях. Сегодня удаленный формат работы проч- но вошел в нашу жизнь и даже легализован (регламентирован) на государственном уровне. Руководство многих компаний закрепляет такой формат работы за неко- торыми категориями сотрудников, принимая соответствующие управленческие решения. Следовательно, у специалистов по инфор- мационной безопасности есть еще одна возможность вдумчиво и без спешки оце- нить, насколько имеющаяся система защи- ты готова противостоять современным вызовам. l • 23 КОНТРОЛЬ ДОСТУПА www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама