Czy Twój dział IT pomaga hakerom?

Włamania do firm i kradzieże danych są obecnie częstsze i bardziej kosztowne niż kiedykolwiek - wydaje się, że z rozwoju technologii w pierwszej kolejności korzystają przestępcy, którzy znajdują coraz to nowsze i bardziej innowacyjne sposoby na włamywanie się do systemów informatycznych. Ale czasami zdarza się, że internetowym kryminalistom nieświadomie pomagają ci, którzy powinni nas przed nimi chronić - czyli pracownicy działu IT.

Ta pomoc najczęściej polega na lekkomyślnym używaniu narzędzi do zdalnego zasobu do zasobów informatycznych lub po prostu źle przeprowadzonym wdrożeniu takich rozwiązań. Z opublikowanego niedawno raportu firmy Verizon dowiadujemy się np., że w aż 71% (z 700 przeanalizowanych) głośnych kradzieży danych w 2010 r. przestępcy wykorzystali właśnie dziurawe lub źle skonfigurowane aplikacje typu "remote-access" lub narzędzia do zdalnego aktualizowania platform serwerowych.

Zdalny dostęp - wygodnie i… niebezpiecznie?

Spadku popularności zdalnego dostępu spodziewać się nie powinniśmy - szczególnie, jeśli porównamy koszt korzystania z takich rozwiązań z kosztami wysyłania na miejsce (np. do odległego oddziału firmy) pracownika działu IT. Czy w tej sytuacji możliwe jest pogodzenie "zdalności" z bezpieczeństwem systemu i danych? Jednym z kluczowych czynników w kwestii zapewnienia bezpieczeństwa jest to, kto właściwie odpowiada za zabezpieczenie transmisji. Do wyboru mamy wiele różnych rozwiązań za zakresu zdalnego dostępu - ale generalnie dzielą się one na dwie podstawowe kategorie: aplikacje instalowane lokalnie oraz oferowane w modelu SaaS (software as a service).

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Ataki na protokół RDP - czy powinniśmy się ich obawiać?
  • Rosną wydatki na chmurę publiczną

SaaS w pewnych warunkach jest idealnym rozwiązaniem - co do tego nie ma wątpliwości. Ale warto pamiętać o tym, że narzędzia do zdalnego dostępu są dość specyficznym gatunkiem oprogramowania, które, w skrócie rzecz ujmując, daje zdalnemu użytkownikowi pełen dostęp do zasobów komputera. Jeśli pośrednikiem jest tu strona trzecia - czyli w tym przypadku dostawca usługi SaaS - to również on otrzymuje pełen dostęp. Innymi słowy - decydując się na korzystanie z narzędzi do zdalnego dostępu oferowanych w modelu chmurowym, de facto przenosisz całą firmę w chmurę.

System numerowanych miejsc

Narzędzia do zdalnego dostępu - wszystko jedno jakie - będą stanowiły najpoważniejsze zagrożenie dla firmy, jeśli użytkownicy będą z nich korzystali w modelu "numerowanych miejsc". To najpopularniejsze rozwiązanie - polega ono na tym, że użytkownicy dostają do dyspozycji na stałe powiązane ze sobą zestawy login + hasło. Zwykle są to niepowiązane z konkretnymi osobami konta w stylu Technik_1, admin_1 itp. Korzystanie z tego rozwiązania wiąże się z kilkoma zagrożeniami. Po pierwsze, taki zestaw można "zgubić" (tzn. ujawnić go osobom niepowołanym, np. wskutek pomyłki). Po drugie - jeśli konta nie są powiązane z konkretnymi użytkownikami, ktoś może z nich korzystać przez długi czas niepostrzeżenie. A po trzecie - wpisane na stałe hasła zwykle są rzadko aktualizowane, co dla firmy stanowi szczególnie duże zagrożenie w sytuacji, gdy znający je pracownicy zmieniają pracodawcę.

Aby ograniczyć te zagrożenia, należy przede wszystkim zmienić model zarządzania kontami - aktywnych kont do zdalnego dostępu powinno być dokładnie tyle, ile osób korzystających z takich rozwiązań w danym momencie i przede wszystkim powinny one być na stałe powiązane z użytkownikami. Do autoryzowania dostępu w tym modelu warto wykorzystać narzędzia oferowane przez usługi katalogowe (np. MS Active Directory) - umożliwiają one np. wykorzystanie do logowania się do zdalnych systemów tych samych loginów i haseł, które używane są do logowania się do lokalnej stacji roboczej (co eliminuje konieczność zapamiętywania dwóch zestawów haseł). Usługi katalogowe dodatkowe oferuje zaawansowane narzędzia do kontroli przywilejów - co z kolei pozwala na zniwelowania zagrożenia ze strony byłych pracowników (dostęp do określonych zasobów może być im automatycznie odbierany).

Powyższe sugestie mogą niektórym wydawać się oczywistościami - trzeba jednak pamiętać, że zdecydowana większość kradzieży danych dokonywana jest przez byłych lub obecnych pracowników. Zwykle powodem jest fakt, iż dana osoba miała dostęp do zbyt szerokich zasobów lub też po jej zwolnieniu nie zablokowano jej loginów i haseł. Wydaje się więc, że całkiem spora grupa menedżerów IT o tych "oczywistościach" nie ma pojęcia.

Połączenia sieciowe

Istnieje wiele sposobów na ustanowienie bezpieczne połączenia między pracownikiem działu IT a zdalną maszyną. Pierwszym krokiem na drodze do zapewnienia bezpiecznej transmisji powinno być upewnienie się, że połączenie od strony klienta nie jest prowadzone przez otwarte, nasłuchujące porty. Co więcej - należy upewnić się, że transmisja danych nie odbywa się za pośrednictwem bezpośredniego, nienadzorowanego połączenia peer-to-peer.

Oczywiście, musimy mieć świadomość, że stworzenie w 100% bezpiecznego, niemożliwego do sforsowania środowiska informatycznego jest właściwie nierealne. Warto jednak blokować wszelkie potencjalne drogi ataku i minimalizować zagrożenia. Najlepszą obroną w tym przypadku nie jest atak - jest nią doskonałe rozeznanie we własnych zasobach i globalna strategia zarządzania IT, umożliwiające stałe nadzorowanie i rozwijanie własnych zabezpieczeń.

Opracowano na podstawie tekstu "Is your IT support making you vulnerable to hackers?", przygotowanego dla magazynu Network World przez Nathana McNeilla, współzałożyciela i dyrektora ds. strategii firmy Bomgar Corp.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200