Ograniczenie związane z serwowaniem wyłącznie sesji HTTP nie jest obecnie problemem, gdyż istnieje oprogramowanie, które przeprowadzi dowolne - także szyfrowane za pomocą SSL - połączenie TCP/IP o niezbyt wysokich wymaganiach odnośnie do pasma i opóźnień wewnątrz sesji HTTP. Warto pamiętać, że obecnie nawet najbardziej rozpowszechnione komputerowe konie trojańskie (w tym także ZeuS i jego nowe wydania) wykorzystują serwer pośredniczący, umożliwiając atakowanie wybranego celu za pomocą połączenia kierowanego przez maszynę ofiary.

Duże porcje danych, klasyfikacja stron

Aby skuteczniej wykrywać kradzież informacji z firmy na drodze elektronicznej, warto monitorować transfer danych, który odbywa się w standardowych sesjach, ale odbiega od zwyczajnego ruchu sieciowego, obserwowanego w firmie.

"Warto przyjrzeć się przypadkom nagłego wysyłania dużych porcji danych" - przypomina Grzegorz Mucha. "Należy korzystać z klasyfikacji stron webowych i na podstawie takiej listy pozbywać się fałszywych alarmów, koncentrując się na rzeczywiście istotnych zdarzeniach".

Obecnie praktycznie każda zaawansowana zapora sieciowa posiada moduł klasyfikacji odwiedzanych stron www. Warto go używać, a samą listę dozwolonych stron regularnie uaktualniać. Jeśli pracownicy łączą się często z nieklasyfikowaną stroną, należy ją sprawdzić - być może powstał nowy serwis, który nie stanowi zagrożenia dla organizacji, a zatem będzie można z czasem wprowadzić go na listę stron uznawanych za niestwarzające zagrożenia. Trzeba jednak zachować ostrożność i analizować także treść odwołań do danego serwisu, by wykryć wykorzystanie przejętego przez cyberprzestępców serwisu o dobrej reputacji.

Winny: koń trojański, a nie pracownik

Przy analizie ruchu sieciowego warto szukać także połączeń, które na pozór są zwykłymi sesjami HTTP/HTTPS, ale strona wysyłająca nie przedstawia się jako przeglądarka zainstalowana w danym komputerze. Niekiedy nagłówki są bardzo zbliżone, ale dotyczą innej wersji, niż naprawdę jest zainstalowana na danej stacji roboczej. Każda taka niezgodność jednoznacznie wskazuje na złośliwe oprogramowanie, przy czym zawsze należy sprawdzać, czy osoba korzystająca z zainfekowanego komputera rzeczywiście świadomie przyczyniła się do wycieku informacji. Zazwyczaj tak nie jest: specjaliści od pięciu lat biją na alarm, przedstawiając przykłady obecności złośliwego oprogramowania nawet w najbardziej strzeżonych sieciach korporacyjnych i militarnych.

"Wedle starej szkoły zarządzania incydentami reakcją na zgłoszenie wycieku informacji jest wyciągnięcie konsekwencji służbowych wobec osoby, która pracuje na podejrzanej stacji roboczej" - wyjaśnia Grzegorz Mucha. "Dzisiaj uznajemy, że podobne zdarzenia nie muszą być spowodowane przez pracownika firmy. Źródłem przecieku może być nie pracownik, ale koń trojański na jego komputerze".

Razem z analizą połączeń warto sprawdzać miejsca i godziny logowania do poszczególnych serwisów przez pracowników. Wykrycie połączeń w nietypowych godzinach, regularnie nawiązywanych sesji, logowania z lokalizacji, których pracownik nie odwiedza, zazwyczaj wskazuje na działanie złośliwego oprogramowania. Dobrych wskazówek może dostarczyć analizowanie odstępów czasowych między połączeniami, gdyż człowiek nigdy nie inicjuje z sekundową dokładnością. Tymczasem złośliwe oprogramowanie w większości przypadków robi to w regularnych odstępach czasu i są to drobne, krótkie połączenia, obejmujące niewielkie porcje danych.

Mocnym orężem specjalistów ds. bezpieczeństwa jest oprogramowanie, które potrafi zarejestrować duże ilości danych, a potem umożliwia dokładną analizę. Grzegorz Mucha mówi, że RSA ma na swoim koncie wdrożenia NetWitness, w których dane są gromadzone nawet w tempie 60 Gbit/s.

SSL pod lupą

Niemal wszystkie połączenia inicjowane przez złośliwe oprogramowanie są szyfrowane za pomocą SSL/TLS. Obecnie działy IT dysponują aplikacjami i urządzeniami, które potrafią rozpinać sesję SSL w taki sposób, by móc przeprowadzić inspekcję ruchu wewnątrz tego tunelu. Urządzenia te można podzielić na dwie grupy. Pierwsza z nich ma za zadanie chronić serwer www i posiada klucz prywatny serwera wgrany na urządzenie, by móc deszyfrować terminowane na serwerze połączenia SSL, druga monitoruje połączenia, które przez nie przechodzą, terminując je i ponownie nawiązując.