Новости

03.06.2021

Книга «Защита данных. От авторизации до аудита»

Книга подойдет для новичков в области информационной безопасности, сетевых администраторов и всех интересующихся. Она станет отправной точкой для карьеры в области защиты данных.

Наиболее актуальные темы:

• Принципы современной криптографии, включая симметричные и асимметричные алгоритмы, хеши и сертификаты.
• Многофакторная аутентификация и способы использования биометрических систем и аппаратных токенов для ее улучшения.
• Урегулирование вопросов защиты компьютерных систем и данных.
• Средства защиты от вредоносных программ, брандмауэры и системы обнаружения вторжений.
• Переполнение буфера, состояние гонки и другие уязвимости.

Аудит и отчетность


Когда вы успешно выполнили процессы идентификации, аутентификации и авторизации (или нет), необходимо отслеживать дальнейшие действия, происходящие в организации. Даже когда вы разрешили стороне доступ к ресурсам, вам все равно нужно убедиться, что пользователь соблюдает правила, особенно те, которые касаются безопасности, делового поведения и этики. То есть важно убедиться, что у вас есть возможность привлечь пользователей ваших систем к ответственности (рис. 4.1).

Привлечение кого-либо к ответственности означает, что лицо несет ответственность за свои действия. Сейчас это особенно важно, когда у многих организаций большой объем информации хранится в цифровой форме. Если вы не отслеживаете, как люди получают доступ к конфиденциальным данным, хранящимся в цифровом виде, возможен ущерб бизнесу, кража интеллектуальной собственности, кража личных данных и мошенничество. Кроме того, утечка данных может иметь юридические последствия для компании. Некоторые виды данных — например, медицинские и финансовые — в некоторых странах защищены законом. Например, в США есть два таких хорошо известных закона — это Закон 1996 года о переносимости и подотчетности медицинского страхования, который защищает медицинскую информацию, и Закон Сарбейнса — Оксли 2002 года, который защищает от корпоративного мошенничества.

Многие меры, которые вы применяете для обеспечения подотчетности, являются примерами аудита, то есть процесса проверки записей или информации организации. Аудит проводится с целью убедиться, что люди соблюдают законы, политику и другие правила административного контроля. Аудит также позволяет предотвратить атаки, например, когда компании — эмитенты кредитных карт регистрируют и проверяют покупки, которые вы делаете через свою учетную запись. Если вы решите купить полдюжины ноутбуков за один день, этот поступок может вызвать предупреждение в системе мониторинга компании, и компания может временно заблокировать любые покупки, сделанные с помощью вашей карты. В этой главе вы узнаете о подотчетности более подробно и увидите, как использовать аудит для ее реализации.

Отчетность


Чтобы привлечь людей к ответственности за свои действия, нужно отслеживать все действия в своей среде вплоть до их источников. Это означает, что нужно использовать процессы идентификации, аутентификации и авторизации, чтобы понять, с кем связано данное событие и какие разрешения позволили пользователю его выполнить.

Отчетность и связанные с ней инструменты аудита часто подвергаются критике. Кто-то может сказать, что внедрение методов слежки выглядит так, будто «Большой Брат следит за тобой». В некотором смысле это правда; если вы слишком сильно следите за людьми, атмосфера в коллективе может накалиться.

Но можно зайти слишком далеко и в другом направлении. Если у вас нет достаточных мер контроля, чтобы предотвратить нарушение ваших правил и злоупотребление ресурсами, вы столкнетесь с проблемами безопасности.

В примечании ниже приведен пример этого.

Часто сторонние организации требуют от вас ведения отчетности, но инициатива соблюдения этих требований должна исходить изнутри вашей организации. Например, когда в Соединенных Штатах компания обнаруживает нарушение, законы часто требуют от нее уведомить об этом лиц, чья информация была раскрыта. По состоянию на март 2018 года во всех 50 штатах США действуют законы о раскрытии информации о нарушениях.

Однако часто бывает так, что мало кто за пределами компании узнаёт о нарушениях, пока сама компания не уведомит об этом причастные стороны. Нетрудно понять, почему в подобных ситуациях у организации может возникнуть соблазн не говорить ничего об инциденте. Но если вы не соблюдаете требования закона, в конечном итоге это наверняка будет выявлено, и когда это произойдет, вы столкнетесь с более серьезными личными, деловыми и юридическими последствиями, чем если бы разрешили ситуацию правильно изначально.

Преимущества ведения отчетности с точки зрения безопасности


Когда вы привлекаете людей к ответственности, то можете обеспечить безопасность своей среды несколькими способами: путем применения принципов неоспоримости, путем сдерживания тех, кто планирует использовать ваши ресурсы не по назначению, а также обнаружения и предотвращения вторжений. Процессы, которые вы используете для обеспечения отчетности, также могут помочь вам в подготовке материалов для судебного разбирательства.

Неоспоримость

Термин «неоспоримость» относится к ситуации, когда человек не может отрицать, что он что-то сделал или заявил, так как у нас есть достаточные доказательства этого заявления или деяния. При организации ИБ вы можете добиться неоспоримости разными способами. Можно получить доказательства активности пользователя непосредственно из системных или сетевых журналов или восстановить такие доказательства с помощью цифровой судебной экспертизы системы или задействованных устройств.

Можно также использовать технологии шифрования, такие как хеш-функции, для цифровой подписи сообщения или файла. Подробнее о таких методах поговорим в главе 5, посвященной теме шифрования. Еще один пример — когда система подписывает каждое электронное письмо цифровой подписью, что делает невозможным отрицание того факта, что письмо пришло именно из этой системы.

Сдерживание

Отчетность также может оказаться отличным фактором сдерживания от ненадлежащего поведения в вашей среде. Если сотрудники знают, что вы следите за ними, и если вы сообщили им о возможном наказании за нарушение правил, им придется дважды подумать, прежде чем нарушать их.

Ключ к сдерживанию заключается в том, чтобы дать людям понять, что за свои действия придется нести ответственность. Обычно сдерживание достигается с помощью процессов аудита и мониторинга, которые описаны в разделе «Аудит» этой главы. Если ваши цели не будут ясно обозначены, ваше средство сдерживания потеряет большую часть своей силы.

Например, если в рамках вашей деятельности по мониторингу вы отслеживаете время доступа к бейджам и видите, когда ваши сотрудники входят в здание и выходят из него, то можете еженедельно сверять эти показания со временем, которое они указали в табеле учета рабочего времени, чтобы исключить незаконное добавление рабочего времени и дополнительные деньги. Поскольку сотрудники знают, что это проверяется, у них не возникнет желания подделывать табели учета рабочего времени. Это может показаться излишним, но компании и в самом деле часто используют такие методы, если у них много сотрудников, работающих в определенные смены, например в справочных службах службы технической поддержки.

Обнаружение и предотвращение вторжений

Выполняя аудит информации в своей среде, вы можете обнаруживать и предотвращать вторжения как в логическом, так и в физическом смысле. Если вы реализуете оповещения о необычных действиях и регулярно проверяете записанную информацию, у вас будет гораздо больше шансов обнаружить текущие атаки и предпосылки будущих атак.

В цифровых средах, где атаки могут происходить за доли секунды, стоило бы реализовать автоматизированные инструменты для осуществления мониторинга системы и предупреждений о любой странной активности. Такие инструменты можно разделить на две основные категории: системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS).

IDS — это строго инструмент мониторинга и оповещения, который уведомляет вас, когда происходит атака или другая нежелательная деятельность. IPS, которая часто работает на основе информации, получаемой из IDS, может принимать меры в ответ на события, происходящие в среде. В ответ на атаку по сети IPS может отклонить трафик от источника атаки. В главах 10 и 11 IDS и IPS описаны более подробно.

Допустимость записей

Если вы ведете записи для юридических целей, вы с большей вероятностью добьетесь их принятия, если они будут созданы регулируемой и последовательной системой отслеживания. Например, если вы планируете предоставить в суд цифровые доказательства, вам, вероятно, придется предоставить надежную и задокументированную цепочку хранения доказательств, чтобы суд их принял. Это означает, что вам необходимо иметь возможность отслеживать местонахождение улик и их перемещение, как именно они передавались от одного человека к другому и как они защищались во время хранения.

Ваши методы подотчетности для сбора доказательств должны обеспечивать сохранность данных на всех этапах, иначе ваши доказательства, скорее всего, будут больше похожи на домыслы, что в лучшем случае ослабит вашу позицию.

С полным содержанием статьи можно ознакомиться на сайте "Хабрахабр":

https://habr.com/ru/company/piter/blog/559396/


Комментарии: 0

Пока нет комментариев


Оставить комментарий






CAPTCHAОбновить изображение

Наберите текст, изображённый на картинке

Все поля обязательны к заполнению.

Перед публикацией комментарии проходят модерацию.