Jak sprawdzacie podatność firm na ataki socjotechniczne?

Wprowadziliśmy audyt formalno-organizacyjny, wykorzystujący procedury zgodne z wymaganiami ISO 27001. Takie spojrzenie na firmę wykazuje miejsca, które są podatne m.in. na ataki socjotechniczne, opierając się jedynie na informacjach o organizacji. Nie udowadniamy klientowi podatności na socjotechnikę grzebiąc w koszach na śmieci, lecz dajemy czytelne wskazówki o tym, że ze struktury i organizacji systemów w firmie wynikają określone zagrożenia. Informację tę zestawiamy z wynikami audytu innych składników infrastruktury, np. punktów styku sieci z Internetem, wskazując słabe punkty i propozycje poprawy bezpieczeństwa.

Jak wygląda trend w ochronie obrzeża sieci?

Od wielu lat rośnie odsetek firm, które wykorzystują zapory sieciowe. Obecnie firewall posiada niemal każda firma. Podobną tendencją była instalacja systemów antywirusowych, co dzisiaj też jest standardem. Potem pojawiły się rozwiązania IDS/IPS i wszystko wskazywało na to, że również te urządzenia zagoszczą na stałe w wielu firmach. Okazało się jednak, że klienci poszukiwali rozwiązania zintegrowanego. Rynek oddzielnych urządzeń IPS rozwija się słabiej, klienci wolą zapory z funkcją IPS.

Jak to wygląda w polskich firmach?

W przypadku małych firm, produkty liderów były często nadmiarowe na ich potrzeby, ale w klasie operatorskiej rynek jest dojrzały. Wśród liderów technologicznych są producenci, którzy przygotowali dedykowane urządzenia i dodali funkcjonalność IPS do zapór. Takie rozwiązania wykorzystuje się przy łączach rzędu 150 Mb/s z wykorzystaniem wysokiej dostępności.

Jak w takim razie operatorzy mogą chronić klientów?

Mogą np. monitorować zapowiedzi ataków. Uruchomiliśmy projekt, który nieustannie monitoruje przesyłany spam i instalowane złośliwe oprogramowanie. Badana jest komunikacja między komputerami tworzącymi botnet a serwerami zarządzającymi, wykrywamy przygotowania oraz początki akcji phishingu. W ten sposób możemy sprawnie ostrzegać klientów przed rozpoczęciem tego typu kampanii, informować o pojawiającym się złośliwym oprogramowaniu, kierowanym przeciw konkretnej firmie i pomagać w minimalizacji skutków ataku odmowy obsługi. Te ostatnie są dość istotne, warto przytoczyć przypadek Estonii, gdzie atak DDoS zablokował także serwisy bankowości elektronicznej, co prze-kładało się na realne straty.

Jak blokuje się ataki?

Ciekawą inicjatywą w ramach tzw. Abuse Forum jest BGP blackholing, który polega na selektywnym blokowaniu ruchu związanego z konkretnymi adresami IP. W jej ramach współpracuje wielu operatorów. Polega to na kontaktach i współpracy operacyjnej i na blokowaniu ataków na miejscu. Im wcześniej się taki atak rozpozna i zablokuje, tym działanie jest skuteczniejsze. Polskie Abuse Forum jest niesformalizowaną inicjatywą współpracy zespołów reagujących na zagrożenia, działającą u operatorów i dostawców treści. Forum to umawia się na pewne działania w sytuacji zagrożeń wielkoskalowych (obejmujących więcej niż jednego operatora). Centralnym punktem jest zazwyczaj router BGP, który może zostać nafaszerowany informacjami o adresach IP, aby niepożądany ruch został wysłany do tzw. czarnej dziury - stąd nazwa blackholing.