Совсем недавно казалось: пробле­мы корпоративной информационной безопасности близки к решению. Построена эшелонированная оборона на всех уровнях: компьютеры и серверы защищены антивирусами и HIPS, каналы передачи данных зашифрованы, права пользователям розданы, многофакторная система аутентификации прикрывает доступ, сетевые аномалии анализируются.

И вдруг за пару лет множественные атаки на корпоративные приложения, особенно банковские, повлекли за собой столько прямых убытков, сколько не смогли принести все хакеры и вирусы за десяток лет. И оказалось, что весь опыт защиты инфраструктуры практически неприменим при защите приложений. Методы типа «зашифровать и поставить антивирус» не помогают против нарушителей нового типа.

Нельзя лишить пользователя доступа к данным в корпоративном приложении и запретить ему операции с ними — он тогда не сможет работать. Поэтому для предотвращения злоупотреблений надо контролировать не доступ к данным, чему так долго и достаточно успешно учились защитники информации, а то, как информацией пользуются. Это совсем не похоже на институтские лекции по специальности «информационная безопасность». Чтобы защищать процессы, нужно понимать, что именно они автоматизируют, а значит — разбираться не только в технологиях, но и в основном бизнесе своей компании. Нарушитель, злоупотребляющий доступом к приложениям, выглядит как реальный и легальный пользователь системы, а зачастую — им и является на самом деле. Ведь, например, отличить нелегальную проводку или банковскую операцию может только специалист. Как же выделить из миллионов легальных процессов единицы нелегальных?

< ... >