Wyciek danych przez Web i komunikator

Dane mogą być przesłane pocztą elektroniczną, w tym także za pomocą aplikacji webmail dostępnych w wielu portalach internetowych. Przed takimi atakami nie ochronią w pełni ani IPS-y, ani oprogramowanie antywirusowe, zadziała jedynie dedykowane narzędzie chroniące dane - Data Leakage Prevention. Inspekcja ruchu webowego pod kątem wycieku danych jest już częścią najnowszej wersji systemu FortiOS, obecnego w urządzeniach firmy FortiGate. Oprócz liderów rynku bezpieczeństwa, znanych w wielu polskich firmach (Symantec, McAfee), warto wspomnieć o produktach firmy Vericept oraz WorkShare.

Obecnie nie ma na rynku narzędzi, które dokonywałyby inspekcji DLP protokołu Gadu-Gadu, najpopularniejszego komunikatora w Polsce, więc nadal ten komunikator pozostaje istotną luką w bezpieczeństwie firm. To samo dotyczy Skype, którego ruch jest szyfrowany i nie poddaje się analizie. Jedynym rozsądnym rozwiązaniem jest blokada obu tych aplikacji. Jeśli firma ma korzystać z komunikatora łączącego się z siecią Gadu-Gadu, to może wykorzystać serwer Jabbera z opcją tzw. transportu do Gadu-Gadu. Wtedy wszystkie wiadomości można będzie sprawdzić za pomocą narzędzi kontroli już na serwerze Jabbera. Ponadto są już narzędzia do inspekcji wycieku danych poprzez Google Talk, które dobrze sprawdzą się w przypadku komunikatora bazującego na Jabberze, np. Tlen.pl.

Robak sieciowy w firmie

Zazwyczaj takie oprogramowanie zostaje ściągnięte przez stację roboczą zainfekowaną pierwszym składnikiem (downloaderem). Program antywirusowy bazujący na sygnaturach nie poradzi sobie z takim atakiem, gdyż składniki malware są bardzo często aktualizowane. Jedynie moduł HIPS wraz z analizatorem reputacji plików i adresów URL wychwyci kolejny z etapów - pobieranie złośliwego kodu i próba jego uruchomienia w systemie. Tutaj nowoczesne oprogramowanie antywirusowe wygrywa, reagując w początkowych stadiach infekcji sieci w firmie.

Sieciowy IPS zareaguje dopiero na etapie komunikacji zarażonej stacji roboczej z narzędziami zarządzania botnetem, gdy komplet złośliwego kodu już pracuje w zarażonej stacji roboczej. Typowe malware masowo zarażające komputery z Windows w domach i małych firmach jest wykrywane zarówno przez antywirusy bazujące na reputacji plików, jak i przez sieciowe IPS-y, w niektórych urządzeniach (Tipping Point z serii X) trzeba tylko włączyć odpowiednią opcję.