2020-01-14
142
Рассмотрим несколько характерных случаев, наглядно демонстрирующих типичные инциденты, связанные с деятельностью пользователей. Все описанные ниже случаи взяты из практики и с весьма высокой степенью вероятности могут возникнуть и в организации ОК «БОР».
Случай 1. Многопоточная закачка
Сценарий. Сотрудник загружает из Интернета утилиту для многопоточного сохранения контента указанных сайтов. Указав несколько сайтов, он запускает утилиту в фоновом режиме. В результате сбоя утилита начинает выдавать 500-700 запросов в секунду в непрерывном цикле, что приводит к ситуации DoS на корпоративном прокси-сервере.
Анализ. В данном случае злой умысел со стороны сотрудника отсутствует, однако анализ ситуации показал, что применение данной утилиты не требуется для решения производственных задач. Кроме того, утилита не проходила никаких тестов со стороны администраторов сети и ее применение не было согласовано с ними, что, собственно, и привело к данной ситуации.
Решение проблемы. В политике безопасности вводится запрет на установку программного обеспечения, активно взаимодействующего с Интернетом, без согласования с администраторами и службой безопасности. После этого проводятся технические мероприятия для поиска и удаления подобных программ и блокировки их последующей установки.
|
|
|
Случай 2. Электронная почта
Сценарий. Желая поздравить с Новым годом коллег, сотрудник составляет базу рассылки из 1500 адресов, после чего создает письмо с Flash-мультфильмом размером в 1,5 Мбайт и запускает рассылку. Подобные операции производят также его коллеги, рассылая поздравительные письма с вложенными картинками, Flash-роликами и звуковыми файлами. В результате создается ситуация DoS на почтовом сервере и блокируется прием-отправка деловой корреспонденции.
Анализ. Это типичный пример нецелевого использования корпоративной электронной почты, обычно подобные проблемы возникают перед праздниками. Наиболее характерно данная ситуация проявляется в больших сетях (более 500 пользователей).
Решение проблемы. Технически решить подобную проблему очень сложно, так как ограничения на объем письма и количество писем в единицу времени не всегда приемлемы и малоэффективны при большом количестве пользователей. Наиболее действенная мера — разработка правил использования корпоративного почтового сервера и доведение этих правил до сведения всех пользователей.
Случай 3. Средства анализа сети
Сценарий. Недавно принятый на работу молодой программист для самообразования загружает из Интернета сканер сетевой безопасности XSpider. Для изучения его работы он выставляет настройки по максимуму и в качестве цели указывает адрес одного из корпоративных серверов. В результате средства защиты сервера регистрируют атаку, замедляется время реакции сервера на запросы пользователей.
|
|
|
Анализ. В данном случае злой умысел отсутствует, так как установивший данную программу пользователь сети не имел четкого представления о возможных последствиях.
Решение проблемы. В политике безопасности вводится раздел, категорически запрещающий установку и использование на рабочих местах пользователей средств активного и пассивного исследования сети, генераторов сетевых пакетов, сканеров безопасности и иных средств. Согласно данному положению применение подобных инструментов разрешается только администраторам сети и специалистам по защите информации.
Случай 4. Почтовый вирус
Сценарий. Пользователь получает письмо, содержащее явные аномалии (отправителем и получателем письма является сам пользователь, текст письма не соответствует деловой переписке или отсутствует). К письму приложен архив с неким приложением. Несмотря на инструктаж, любопытство оказывается сильнее, пользователь сохраняет архив на диск, распаковывает и запускает файл, который оказывается новой разновидностью почтового червя.
Анализ. Технические меры в данном случае бесполезны. Тот факт, что пользователь получил письмо, свидетельствует о том, что применяемый почтовый антивирус и антивирус на ПК пользователя не детектируют данную разновидность вируса.
Решение проблемы. Обучение пользователей и разработка планов проведения мероприятий в случае появления в сети почтового или сетевого червя.
Случай 5. Несанкционированное подключение модема
Сценарий. Пользователь несанкционированно подключает к своему компьютеру сотовый телефон и выходит в Интернет через GPRS-соединение. В ходе работы в Интернете на его компьютер проникает сетевой червь, который в дальнейшем пытается заразить другие компьютеры в рамках ЛВС.
Анализ. Сотовые телефоны с GPRS очень распространены, поэтому организовать точку несанкционированного подключения не составляет труда. Опасность такого подключения очень велика, так как оно не контролируется администраторами и не защищено брандмауэром.
Решение проблемы. У данной проблемы имеется два решения: техническое и административное. Для эффективной защиты необходимо применять оба: с одной стороны, политика безопасности должна строжайше запрещать пользователям подключение модемов или сотовых телефонов для выхода в Интернет, а с другой — необходимо предпринимать технические меры для блокирования такой возможности (привилегии и политики безопасности, средства мониторинга).
Случай 6. Зараженный ноутбук
Сценарий. Пользователю выдается служебный ноутбук, который он берет с собой в командировку. Там он подключается к сети, и его компьютер заражается сетевым червем. По возвращении он подключается к ЛВС, и его ноутбук становится источником заражения сети.
Анализ. Данная ситуация достаточно распространена, то есть в этом случае вирус проникает в сеть путем подключения к сети зараженного мобильного компьютера (ноутбука, КПК). Проблема усугубляется наличием в современных ноутбуках Wi-Fi-адаптеров.
Решение проблемы. Данная проблема не имеет однозначного решения. Хорошие результаты достигаются в случае установки на ноутбук антивируса и брандмауэра, причем установка производится администраторами, а пользователю строжайше запрещается их отключать или переконфигурировать.
Случай 7. Работа с электронной почтой в обход корпоративного почтового сервера
Сценарий. Пользователь заводит один или несколько почтовых ящиков в Интернете и использует их в обход корпоративного почтового сервера. В результате он получает письмо с вирусом, и его компьютер в дальнейшем становится источником заражения ЛВС.
|
|
|
Анализ. Это весьма распространенная ситуация. Корпоративный сервер достаточно легко защитить, установив на нем систему почтовых фильтров и антивирус (как вариант — несколько антивирусов). Работа в обход почтового сервера открывает неконтролируемую администраторами брешь в защите сети. Вышесказанное относится также к средствам онлайновых коммуникаций типа ICQ, MSN Messanger и их аналогов.
Решение проблемы. Наиболее эффективное решение — запрет для сотрудников компании на использование посторонних почтовых ящиков. С одной стороны, данный шаг кажется драконовской мерой, с другой — закрывает канал утечки информации и устраняет один из основных источников проникновения вредоносных программ в сеть.
