Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Big Data i bezpieczeństwo

Big Data i bezpieczeństwo

Analiza dużej ilości danych od początku była stosowana do wykrywania anomalii. Specjaliści ds. bezpieczeństwa systemów IT analizowali tylko strumień logów z zarządzanych urządzeń. Wykrywano w ten sposób typowe komunikaty błędów, nieudane próby logowania, symptomy awarii sprzętowych lub odstępstwa od reguł.

Najczęściej spotykanym atakiem jest przejęcie tożsamości pracownika. Napastnik z zewnątrz za pomocą złośliwego oprogramowania przejmuje parametry uwierzytelnienia pracownika i loguje się do firmowych zasobów, a następnie przystępuje do kradzieży dostępnych w firmie informacji. Każdy atak zostawia po sobie ślady i specjalne narzędzia umożliwiają wykrycie zdarzeń, które z dużym prawdopodobieństwem na niego wskazują. Kluczem do rozwiązania problemu jest analiza odstępstw od zachowań, które są normalne dla danego użytkownika. Należy uwzględnić różnice w sposobie dostępu, czasie, miejscu czy urządzeniu, ale także w wykorzystywanych przez użytkownika aplikacjach.

Obrona systemu IT

Po zebraniu informacji przez systemy zabezpieczające i dokonaniu oceny ryzyka połączenia można podjąć działania zapobiegawcze. Pierwszym jest wprowadzenie dodatkowego uwierzytelnienia, takiego jak zestaw pytanie-odpowiedź. Metoda bardzo tania, dzięki niej można utrudnić dostęp zwykłym włamywaczom, nie obciąża użytkowników dodatkową pracą.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Kwanty od OVHCloud dla edukacji
  • Cyberobrona? Mamy w planach
Gdzie ktoś naprawdę jest?

Na każdy z parametrów, z których potem zostanie wyliczony współczynnik określający ryzyko, może składać się wiele informacji cząstkowych. Na przykład przy określaniu położenia pracownika firmy można wykorzystać informacje z:

- geolokalizacji IP,

- adresacji firmowych oddziałów,

- systemu obsługi firmowych delegacji,

- historii połączeń pracownika,

- jego dotychczasowego profilu pracy,

- międzynarodowej sieci wymiany informacji o adresach IP wykorzystywanych do włamań,

- statycznych zapisów, tworzonych niekiedy przez administratorów sieci.

Yael Villa mówi: "Nawet jeśli każda ze składowych oceny ma identyczną wagę (co nie musi być prawdą), to kilka przesłanek występujących jednocześnie daje większą pewność ustalenia oczekiwanego parametru, jakim w tym przypadku jest położenie geograficzne. Jeśli dwa połączenia pochodzące z różnych miejsc globu występują jednocześnie, prawdopodobieństwo poprawnego oznaczenia wynosi 50%. Informacja na temat służbowych wyjazdów pracownika zwiększa to prawdopodobieństwo do 2/3. Dodanie informacji o kolejnym zalogowaniu z bezpiecznego oddziału firmy, w którym pracownik regularnie bywa, a także o korzystaniu z VPN, podwyższa prawdopodobieństwo poprawnej oceny do 95%. Informacja o lokalizacji będzie z kolei jednym ze składników oceny ryzyka danego połączenia. Mechanizm ten działa podobnie".

Wyższym poziomem bezpieczeństwa charakteryzuje się hasło SMS wysłane na telefon komórkowy pracownika. W ten sposób można stwierdzić, że połączenie jest inicjowane przez osobę, która ma przy sobie telefon komórkowy zarejestrowany w systemie. W dobie złośliwego oprogramowania dla platform mobilnych, nie zawsze to stwierdzenie jest prawdą, dlatego nawet tak uwierzytelnione połączenie nadal ma niezerowy współczynnik oceny ryzyka.

Kolejnym sposobem zapobiegawczym jest ograniczenie dostępu do zasobów. Pracownik korzystający z firmowego komputera spełniającego ostre normy zabezpieczeń i połączonego ze znanej lokalizacji będzie mógł mieć dostęp do kompletu zasobów przyznanych mu do pracy, a z nieznanego tabletu dołączonego do publicznego hotspota na lotnisku dostęp będzie ograniczony zgodnie z zapisami polityki bezpieczeństwa.

Niektóre połączenia powinny być blokowane od razu.

"Jeśli połączenie pochodzi z dalekowschodnich adresów IP, poprzednie logowanie z tego adresu przed chwilą było nieudane, a do tego prawowity użytkownik konta poprawnie zalogował się pięć minut wcześniej z europejskiego oddziału firmy na firmowym laptopie, przebywa tu od dwóch dni i ma odpowiedni wpis w systemie obsługującym firmowe delegacje, to znaczy, że najprawdopodobniej mamy do czynienia z próbą włamania. Połączenie z obcego adresu należy odrzucić, a sam adres może być wpisany na czarną listę, która posłuży do odfiltrowania ataków w przyszłości" - mówi Yael Villa, CTO firmy RSA.

Sprzężenie zwrotne

System zaprogramowany na stałe wg najlepszych nawet reguł nie spełni podstawowego warunku - nie będzie mógł się dostosować do zmieniających się wzorców normalnych zachowań osób, które się z nim łączą. Niezbędne jest wprowadzenie sprzężenia zwrotnego, które automatycznie może korygować wzorce, by nadążały za zmianami. Jeśli pracownik firmy uda się w delegację, gdzie będzie pracować z własnego laptopa zamiast korporacyjnej stacji roboczej, przy pierwszym logowaniu system najprawdopodobniej zażąda dodatkowego uwierzytelnienia. Za drugim być może zrobi to samo, ale przy kolejnym logowaniu dostosuje wzór zachowania użytkownika i uwzględni zmiany. Można zmieniać więcej niż jeden parametr wpływający na ocenę ryzyka, gdyż każdy z nich jest analizowany osobno przy obliczaniu wynikowej wartości, według której podejmowane są działania zaradcze. Bez pętli sprzężenia zwrotnego niemożliwe jest spełnienie wymagań stawianych przez biznes.

Informacje: im więcej, tym lepiej

Ocena ryzyka połączeń działa tym lepiej, im więcej informacji uda się dostarczyć do silnika analizującego profile. Oznacza to, że wymiana informacji dotyczących np. adresów IP używanych do ataków może pomóc w odpowiedzi firmy na takie zagrożenia.

Tak Yael Villa wyjaśnia działanie sieci wymiany informacji: "Jeśli w jednej instytucji finansowej z kryteriów oceny ryzyka wynika, że dany adres IP jest wykorzystywany do włamań, to tę informację można przekazać innym firmom, by zwiększyć skuteczność obrony. Utworzenie takiej sieci radykalnie usprawni obronę przed działaniami internetowych napastników, którzy i tak wymieniają się informacjami o celach i metodach ataków".

Jak określić ryzyko?

Jaki to adres i miejsce?

Do każdego z adresów IP można przypisać region, z którego połączenie pochodzi. Jeśli odnotowano następujące szybko po sobie połączenia z dwóch różnych kontynentów, to przynajmniej jedno z nich oznacza próbę włamania. Do ustalenia lokalizacji można uzupełnić informacje pozyskane z adresu IP o dodatkowe dane z firmowych aplikacji do rozliczania delegacji służbowych, z logów VPN lub połączeń z innego oddziału. Można także posłużyć się historią połączeń. Jeśli pracownik poprzedniego dnia łączył się z oddziału firmy, a teraz nawiązuje połączenie z tego samego kraju, to prawdopodobieństwo, że tam się znajduje, jest wyższe niż w przypadku nieznanej dotąd lokalizacji.

W ten sposób buduje się profil dla każdego z pracowników. Jeśli połączenie przychodzi z adresu IP właściwego dla profilu, będzie miało niski współczynnik oceny ryzyka. Ten drugi adres pochodzący z nieznanej lokalizacji o bardzo niskim prawdopodobieństwie wystąpienia może trafić na czarną listę.

Która godzina?

W większości przedsiębiorstw pracownicy rozpoczynają i kończą pracę o ustalonych godzinach, więc można wykorzystać ten fakt przy ocenie ryzyka danego połączenia. Sporządzenie profilu dla każdego użytkownika sprawi, że będzie można wykryć odstępstwo od typowych dla niego godzin i łatwiej wykryć kradzież danych uwierzytelnienia i nieautoryzowane połączenie poza godzinami pracy. Nie każdy pracownik działa tak samo, nie zawsze można wprowadzić proste ograniczenie godzin, w których jego konto może się zalogować do sieci. Profilowanie działa zawsze, w tym także dla pracowników, którzy często podróżują do krajów w innej strefie czasowej.

Zalogowany na chwilę czy na kilka godzin?

Kolejnym parametrem jest długość sesji. Jeśli dane konto zwykle loguje się na chwilę, by pobrać e-maile synchronizowane do urządzenia przenośnego i natychmiast się wylogowuje, każda dłuższa sesja może oznaczać naruszenie bezpieczeństwa. To samo dotyczy bardzo krótkich sesji związanych z kontem pracownika, który zazwyczaj jest zalogowany na okres godzin pracy. Być może włamywacz wykorzystał którąś z podatności i zainstalował złośliwe oprogramowanie, a po udanym ataku się wylogował.

Co to za urządzenie?

Parametrem do oceny ryzyka danego połączenia może być informacja o urządzeniu. Jeśli jest to zarządzany komputer, firmowy smartfon lub tablet, ryzyko jest znacznie mniejsze, niż przy nieznanym urządzeniu. Nie oznacza to, że połączenie z nieznanego urządzenia należy natychmiast odrzucić, trzeba jedynie ocenić ryzyko, zależnie od profilu użytkownika. Pracownik, który korzysta z różnych komputerów i tabletów, będzie miał inny profil od osoby pracującej z firmowego laptopa.

Co pracownik robi?

Dodatkowych informacji, które mogą pomóc przy wykrywaniu nadużyć, może dostarczyć stacja robocza. Można monitorować różne parametry, takie jak lista procesów systemowych, czy nawet liczba otwartych portów TCP/UDP. Ten ostatni parametr umożliwia czasami wykrycie złośliwego oprogramowania i niektórych ataków. Jednak nie zawsze otwarcie dużej liczby portów lub inicjowanie wielu połączeń oznacza, że dzieje się coś złego. Profil związany z liczbą portów lub połączeń należy opracować dla każdego z pracowników z osobna - otwarcie 200 portów system powinien traktować jako odstępstwo od normy.

Jak się wylogował?

W ocenie ryzyka przyszłych połączeń należy uwzględnić powód wylogowania. Inaczej traktować zakończenie sesji przez wydanie komendy: "Wyloguj", "Rozłącz" lub "Zamknij system", inaczej w przypadku rozłączenia połączenia sieciowego, a jeszcze inaczej, gdy zainterweniowały rozwiązania bezpieczeństwa, które wykryły symptomy ataku. Parametry sesji mogą posłużyć do identyfikacji połączeń związanych z potencjalnym naruszeniem bezpieczeństwa firmowej sieci.

Zapomniał hasła, czy właśnie ktoś to hasło łamie?

Ważnym parametrem jest liczba nieudanych prób zalogowania, przy czym należy uwzględnić także liczbę prób, która upłynęła od ostatniego udanego zalogowania w sesji o niskim poziomie ryzyka. Niektóre aplikacje mają także "duży licznik", który zlicza błędne logowanie. Tak można wykryć próby włamania metodą kolejnych podejść, gdy włamywacz zna szablon, według którego są tworzone hasła.

Czy adres IP nie jest na czarnej liście?

Włamywacze często inicjują połączenia z grupy maszyn, np. zainfekowanych złośliwym oprogramowaniem z opcją serwera pośredniczącego (proxy). Gdyby adres IP związany z taką grupą udało się wykryć, systemy IT będą mogły podjąć działania zapobiegawcze jeszcze przed ostatecznym nawiązaniem połączenia i przed próbą uwierzytelnienia użytkownika. Informacje na temat sesji charakteryzujących się wysokim ryzykiem można przełożyć na bazę danych adresów IP, tworząc czarną listę. Każde połączenie z adresu zapisanego na czarnej liście będzie miało przypisaną wysoką wartość ryzyka, co przełoży się na zastosowanie różnych zabezpieczeń.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas