Jak zastawić pułapki na intruza

Przedstawiamy porady dla administratorów, którzy chcą wykryć atak intruza wewnątrz firmy. Atak ten może być trudny do wykrycia, ale zastosowanie naszych porad przyczyni się do zmniejszenia zagrożenia.

Atak przeprowadzony od wewnątrz jest znacznie prostszy do wykonania i może nieść o wiele gorsze skutki dla firmy. Nic dziwnego, że świadomi administratorzy próbują chronić swoje systemy również przed takimi atakami. Ponieważ intruzi wewnątrz firmy zazwyczaj są obdarzeni zaufaniem i posiadają dostęp do wewnętrznej infrastruktury, trudno wykryć ich niepożądane działania. Niemniej jednak podobnie jak drobni przestępcy, wpadają oni z powodu popełnionych błędów, robiąc rzeczy, które nie pasują do ich typowych czynności. Aby wykryć ich błędy, czasami trzeba wykorzystać cały arsenał środków.

Monitoruj ruch sieciowy

Większość kradzieży informacji wiąże się z transferem dużych ilości danych między nieautoryzowanymi do tego lokalizacjami. Dlatego należy wdrożyć narzędzia monitorujące ruch w sieci i zebrać statystyki określające normalną pracę wszystkich stacji roboczych i serwerów. Należy ustalić normalne kryteria ruchu, ilość danych w czasie, połączenia między stacjami roboczymi (w większości przypadków nie powinno ich być) oraz między serwerami. Określenie parametrów normalnego ruchu nie jest proste, ale należy to opracować, uwzględniając np. aktualizację systemów operacyjnych czy oprogramowania antywirusowego.

Przeglądaj logi systemowe

Często zapisy wskazujące na działanie intruza można znaleźć w logach systemowych. Niestety, nadal w wielu firmach nie zbiera się tych zapisów ani ich nie analizuje. Uruchomienie centralizowanego systemu zbierania i analizy zapisów wcale nie jest łatwe, ale jest niezbędne, by wykryć nieprawidłowości, które mogą wskazywać na atak intruza. Mogą to być nadmiernie częste logowania, próby zalogowania na nieistniejące lub zablokowanie konta, nietypowe godziny aktywności, które nie pasują do czasu pracy firmy.

Rejestruj dostęp do danych

Firmy, które potrafiły wykryć ataki od wewnątrz, zazwyczaj używały systemów rejestrujących dostęp do informacji. Najlepszym źródłem danych jest strumień zapisów z logów systemowych określający, kto wykonywał jakie czynności, z której stacji roboczej i na których obiektach. Praktycznie wszystkie nowoczesne systemy operacyjne posiadają taką opcję, należy zatem z niej skorzystać. Jeśli organizacja przetwarza wrażliwe dane (na przykład medyczne), należy obowiązkowo wdrożyć audyt i regularnie przeglądać jego wyniki.

Kontroluj obce nośniki

Intruzi często korzystają z obcych nośników i mogą wykorzystać przy tym płyty CD z oprogramowaniem i pamięci USB. Mogą wystąpić tutaj dwa schematy - podłączenie nośnika USB do firmowego komputera i skopiowanie danych z zasobów sieciowych na urządzenie przenośne albo skopiowanie danych na dysk lokalny i uruchomienie komputera z obcej płyty, a następnie przeniesienie danych na nośnik wymienny. Nośniki te mogą mieć znaczną pojemność, nawet rzędu terabajta.

Pierwszy schemat jest najprostszy i najczęściej spotykany. Aby go wykryć, należy analizować podłączane urządzenia USB, ale najlepszym rozwiązaniem jest wyłączenie dostępu do zewnętrznych, obcych pamięci USB.

Drugi schemat wymaga większej wiedzy po stronie intruza, ale zostawia znacznie mniej śladów - wygląda to tak jakby użytkownik "zaledwie" skopiował pliki na dysk lokalny. Znając problem, można to zrobić w taki sposób, by wyglądało to na działanie jakiegoś oprogramowania tworzącego pliki tymczasowe. Jedynym zabezpieczeniem przed podobnym procederem jest szyfrowanie całej zawartości dysku twardego. Zablokowanie dostępu do nośników USB nie rozwiązuje problemu, gdyż kopiowanie danych odbywa się po uruchomieniu komputera z CD, bez startu firmowego systemu operacyjnego.

Używaj narzędzi DLP

Bardzo często kradzione dane są wrażliwą informacją, która może być oznaczona i chroniona przez systemy DLP. Chociaż są to kosztowne rozwiązania, mogą pomóc przy identyfikacji prób nieuprawnionego dostępu. W przypadku wdrożenia DLP problemem jest niedostosowanie wielu z tych aplikacji do polskich standardów (na przykład brak rozróżniania cyfr PESEL czy polskiej fleksji). Należy także dobrze przemyśleć, które ze strategii ochrony wybrać - czy będzie to oprogramowanie zainstalowane na stacjach roboczych, czy urządzenie analizujące ruch sieciowy.

Szukaj narzędzi hackerskich

Wielu intruzów korzysta z powszechnie znanych narzędzi hackerskich, by za ich pomocą rozpoczynać rozpoznawanie sieci i przełamywanie zabezpieczeń. Niektóre z tych narzędzi są wykrywane przez oprogramowanie antywirusowe, ale należy się upewnić, czy odpowiednie opcje zostały włączone.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200