88-тистраничный отчет отвечает на многие интересные вопросы:
- что такое внутренняя угроза и кто такой инсайдер (в контексте ИБ)?
- насколько реальна внутренняя угроза?
- можно ли остановить инсайдеров?
- типы внутренних угроз (оказывается, утечки - не самая распространенная внутренняя проблема ;-)
- каковы лучшие практики по борьбе с инсайдерами и внутренними угрозами?
- Рассматривайте внутренние угрозы в контексте ИБ и управления рисками всей компании.
- Предусмотрите вопросы борьбы с внутренними угрозами в технических и организационных политиках ИБ.
- Проводите регулярно повышение осведомленности сотрудников.
- Мониторьте и реагируйте на подозрительное поведение, начиная с приема на работу.
- Предвосхищайте и управляйте негативными повседневными рабочими вопросами.
- Отслеживайте и защищайте оборудование.
- Внедряйте политики и практики управления паролями.
- Принцип разделения полномочий и минимума привилегий.
- Учитывайте внутренние угрозы при разработке ПО (SDLC).
- Обратите внимание на привилегированных пользователей.
- Контролируйте изменения в системе.
- Регистрируйте и мониторьте действия сотрудников.
- Эшелонированная оборона против удаленных атак.
- Деактивируйте учетную запись после увольнения сотрудника.
- Внедрите систему защищенного резервирования и восстановления данных.
- План реагирования на инциденты инсайдеров.
Нельзя сказать, что CERT придумал что-то новое, но они аккумулировали все разрозненные рекомендации в рамках единого подхода и опубликовали его.
ЗЫ. А вообще CERT ведет обширные исследование по части внутренних угроз и публикует их результаты на своем сайте.
Вещь. Спасибо.
ОтветитьУдалитьНоваторство, действительно, содержится только в способе изложения и собственной классификации внутренних угроз, причем кому-то она может показаться удобной, а кому-то нет. Но изложено красиво, не спорю:)
ОтветитьУдалитьОсталось дождаться столь же красивого развития темы "Сan insiders be stopped?", например в виде практческого исследования эффективности мер противодействия в различных компаниях. Причем интереснее нетехническая часть комплекса, например, мотивация. "Сколько" мотивировать? Ведь убывание предельной полезности вознаграждения (не только материального) и комфорта имеет место, так где остановиться? С этой точки зрения борьба с внутренними угрозами в значительной степени искусство управления, потому и интерсен опыт других. Например, относительный рост ИБ в компании на каждые 1000 рублей, доплаченных привилегированным пользователям:)
А какой толк от такого исследования? Ведь все очень субъективно и зависит от множества параметров. Врядли можно найти общие зависимости в этом вопросе.
ОтветитьУдалитьВ том-то и дело! Как говорил один герой у Стругацких, неинтересно решать задачу, для которой решение и без того имеется;) А здесь речь именно о нахождении общих черт в вопросе, который казалось бы, не предполагает таковых. Грубо говоря, формируем полный набор различных инструментов, и смотрим, у кого какой комплект оказался наиболее эффективным на практике, а по полученным результатам предлагаем своеобразный baseline для борцов с внутренними угрозами.
ОтветитьУдалитьЗЫ Вообще тема находжения зависимостей там, где их не предусмотрено, совсем не нова. Тот же Шнайер с его чувством безопасности, или аналогии (кстати, твои, по-моему, не помню точно) с животным миром.
Да я не про то ;-) У тебя положительный эффект от принятых мер может быть не самих мер, а от каких иных факторов, которые ты не учел в исследовании. Культурные особенности, уровень зрелости, отношение женщин и мужчин, наличие у руководства военного прошлого и т.п.
ОтветитьУдалитьЯ не исключаю, что скрытые зависимости есть. Не зря же теорию хаоса придумали. Но вот ее применение на практике, да еще и в ИБ, сопряжено с большими трудностями. По крайней мере пока...
Тамкто-то на банкире тему для диплома искал, вот надо предложить. Как знать, может вырастет свой Джон Нэш;)
ОтветитьУдалитьТот, кто искал, не потянет ;-)
ОтветитьУдалить