Угрозы инсайдеров становятся все более серьезными. За последние несколько лет мы видим постоянный поток сообщений об инцидентах, связанных с нарушением своих обязательств и прав авторизованными пользователями, которые намеренно саботируют свою компанию и передают информацию конкурентам. Одновременно изменяется и бизнес-среда, которая все больше полагается на аутсорсинг, подрядные компании и сторонние технологические платформы, что приводит к тому, что ценная бизнес-информация становится доступной все большему количеству людей. В случае инсайдерских утечек контроль доступа и защита периметра не помогут, вредитель уже находится внутри периметра. Нужно что-то другое...
Вот пять шагов, которые необходимо предпринять для противодействия подобным угрозам:

• Разработать детальный процесс закрытия доступа в сеть сотруднику. Это кажется простым и очевидным вопросом, но множество организаций имеют "дыры" в этом процессе, что мешает закрыть определенные аккаунты или обнаружить и "обрубить" активное соединение в то время, когда сотрудник покидает организацию.
• Создать систему "сдержек и противовесов" для системных и сетевых администраторов. Административный доступ ко всем системам и устройствам следует предоставить более, чем одному человеку, но необходимо исключить совместное использование одних и тех же логинов и паролей, поскольку совместно используемый аккаунт сложно контролировать и аннулировать.
• Работать совместно с руководителями для идентификации недовольных сотрудников. IT-мониторинг и обнаружение нарушений должны рассматриваться как "воздушная поддержка" для усилий менеджмента "на земле" по идентификации людей, кто чем-то недоволен или уже занимается мошенничеством. Неправильное использование компьютерных ресурсов очень часто может быть связано с другим "странным" поведением на работе.
• Обратить внимание на аудит доступа к системам и сетевую активность перед увольнением сотрудника. Большая часть активности инсайдеров происходит в то время, когда сотрудник находится уже на пороге увольнения, и эта активность часто определяется путем проверки информации логов, включая традиционный Syslog, а также NetFlow и другие аналогичные технологии.
• IT не должны решать проблемы инсайдерских угроз в одиночку. Это междепартаментная проблема, которая требует взаимодействия между IT, HR, юристами и управлением компании. Только так можно идентифицировать "потенциально опасных" сотрудников, не нарушая при этом права людей на приватность.

С точки зрения технологий единственный путь предотвращения такого рода атак, это иметь возможность "видеть", что инсайдеры делают в сети, т.е. контролировать нестандартное сетевое поведение. Такое, как необычно большой объем передачи данных или попытки доступа в зоны ограниченного доступа. Более подробную информацию на эту тему можно получить здесь: http://www.lancope.com/solutions/security-operations/.