Jak zapobiec infiltracji firmy

Kradzież informacji z firmy wydaje się mało prawdopodobne, ale to tylko pozory. Dzisiejsze szpiegostwo opiera się na kradzieży informacji drogą elektroniczną, niekiedy wspomagając się socjotechniką.

Jedną z metod kradzieży informacji z firmy było wysłanie specjalisty, który za pomocą sztuczek socjotechnicznych doprowadzał do podłączenia swojego laptopa do firmowej sieci. Zazwyczaj pod pozorem chęci skorzystania z internetu osoba taka dokonywała rozpoznania sieci i atakowała podatne serwery, pozyskując informacje - była w uprzywilejowanej sytuacji, gdyż połączyła się do sieci lokalnej, omijając firewall. Podstawową radą była ochrona sieci firmowej przed infiltracją polegającą na podłączeniu obcego komputera oraz wydzielenie specjalnej sieci tylko dla gości. Aby usprawnić ochronę przed obcymi urządzeniami, powstały rozwiązania kontrolujące dostęp do sieci lokalnej (NAC - Network Access Control), przy czym szybko rozszerzono ich funkcjonalność o kwarantannę komputerów, które nie spełniają wymagań dostępu do firmowych zasobów (np. nie mają zainstalowanych aktualizacji czy oprogramowania antywirusowego). Metoda jest popularna do dziś, przy czym najważniejsze podejścia zakładają kontrolę połączeń za pomocą przełączników, instalację agenta na stacji roboczej oraz manipulacje protokołem ARP. Istnieją także rozwiązania NAC rozwijane w modelu open source i dostępne za darmo -Packetfence oraz FreeNAC. W homogenicznych sieciach z systemami Microsoftu można wdrożyć opcję NAP.

Skradziony wydruk

Jeszcze starszym sposobem pozyskania informacji z firmy było zabranie leżących wydruków przy drukarce sieciowej. Lenistwo i inne słabości ludzkie sprawiają, że do dziś w wielu firmach przy drukarce można znaleźć próbne wydruki, zawierające niekiedy istotne informacje. Aby zminimalizować ryzyko, warto umieszczać drukarki sieciowe w miejscach, do których nie mają dostępu goście firmy, wdrożyć narzędzia zarządzania kolejką wydruku, wprowadzić rejestrowanie wydruków w centralizowanym systemie. Istnieją narzędzia, które oferują znakowanie każdej wydrukowanej strony, a także wydruk na poczekaniu na wybranym przez użytkownika urządzeniu po uwierzytelnieniu do drukarki. Procedurą, która zmniejszy ryzyko, jest także umieszczenie niszczarki tuż przy drukarce.

Pozostawiony dokument

Podobną taktyką jest poszukiwanie dokumentów, które zostały odłożone do publicznych zasobów dyskowych. Szkolenie pracowników jest bardzo pomocne, dodatkowo firma może zdecydować się na wdrożenie systemu DLP (Data Leak/Loss Prevention). Chociaż system taki ma za zadanie przeciwdziałać wyciekom informacji za pomocą typowych mediów, świetnie sprawdzi się także przy poszukiwaniu "osieroconych" kopii dokumentów. Korzystne jest wdrożenie firmowego systemu obiegu dokumentów, który uporządkuje położenie plików i sposób ich przetwarzania. W połączeniu z dobrym szkoleniem i wdrożonym systemem DLP można minimalizować ryzyko przypadkowego pozostawienia dokumentów na publicznie dostępnych zasobach. Ponadto należy pamiętać, że określenie "zasób publicznie dostępny" oznacza, że zasób ten może być wykorzystany przez pracownika, nie oznacza to możliwości dostępu dla kogoś spoza firmy.

Obcy pendrive ze złośliwym oprogramowaniem

Jednym z najprostszych sposobów infekcji firmy jest przygotowanie kilku niewielkich dysków wymiennych USB, z umieszczonym na nim złośliwym oprogramowaniem wykorzystującym niezałataną podatność Windows, a następnie porzucenie ich na firmowym parkingu. Metoda ta jest na tyle skuteczna, że warto od razu wprowadzić środki zaradcze. Aby zmniejszyć ryzyko infekcji tą drogą, należy wdrożyć specjalizowane oprogramowanie, które potrafi zarządzać nośnikami USB. Oprogramowanie to umożliwi przechowywanie danych na pendrive'ach w szyfrowanym kontenerze, dzięki czemu są one nieczytelne poza firmą, a niezaszyfrowana informacja nie przedostaje się do komputerów firmowych. Radykalnym sposobem, który niekiedy się sprawdza, jest całkowite wyłączenie obsługi USB na poziomie systemu operacyjnego i sprzętu - typowi pracownicy zadaniowi w ogóle nie potrzebują wysyłać informacji na nośnikach wymiennych.

Krótki poradnik

Przedstawiamy krótki poradnik, który wskaże szybkie działania zapobiegawcze, odpowiadające na potrzebę w dziedzinie bezpieczeństwa.

Pracownicy kontraktowi - Klasyfikacja informacji, oprogramowanie udostępniane czasowo za pomocą wirtualizacji desktopowej, ograniczanie dostępu do zasobów.

Obce konta w firmowej sieci IT - Regularne audyty bezpieczeństwa, system centralizowanego zarządzania tożsamością.

Atak przez Wi-Fi - Ochrona sieci bezprzewodowej, rezygnacja z tego medium komunikacji.

Kradzież hasła - Dwuskładnikowe uwierzytelnienie, monitoring logowania.

Podłączenie obcego urządzenia - Podsieć dla gości, NAC, audyty sieci firmowej.

Złośliwe oprogramowanie - Ochrona antywirusowa stacji roboczych i serwerów, IPS, kontrola ruchu sieciowego, użycie cienkiego klienta przy dobrze zabezpieczonych serwerach terminalowych.

Kradzież laptopa lub telefonu - Szyfrowanie danych, możliwość zdalnego "wyczyszczenia" urządzenia.

Obcy pendrive/płyta CD - Orogramowanie ochronne, wyłączenie obsługi USB, kontrola nośników wymiennych.

Pozyskanie dokumentów z drukarki - Szkolenia pracowników, system kontrolowanego wydruku, niszczarka przy drukarce.

Pliki na publicznym zasobie, wysłanie dokumentów pocztą - DLP, szkolenia pracowników.

Wysłanie dokumentu pocztą elektroniczną poza firmę - szkolenia pracowników, DLP, rejestracja ruchu wiadomości poczty elektronicznej.

Przejęcie kontroli przez stopniową elewację przywilejów - segmentacja sieci, analiza ruchu, systemy detekcji intruzów.

Socjotechnika i pozyskanie informacji od pracowników - szkolenia w zakresie bezpieczeństwa, analiza podejrzanych zachowań pracowników.

Włamanie przez sieć - dobrze skonfigurowana zapora sieciowa, kontrola ruchu sieciowego.

Kradzież dokumentów papierowych - kontrola dostępu do pomieszczeń, zasady pracy z dokumentami, zasady archiwizacji i niszczenia.

Złote porady bezpieczeństwa

Niemiecki Federalny Urząd Ochrony Konstytucji prowadzi ciekawy projekt związany z ochroną między innymi przed szpiegostwem przemysłowym. Pośród działań prewencyjnych wymienia się uniwersalne porady pod nazwą "Złote reguły prewencji", które warto zastosować w każdej firmie:

- nie czekać, aż firma będzie celem szpiegostwa, przeciwdziałać aktywnie;

- aktualne informacje przekazywać tylko kompetentnym partnerom;

- wprowadzić ochronę informacji jako część strategii prowadzenia organizacji;

- analizować informacje i standardy bezpieczeństwa, wdrażać najlepsze praktyki;

- aktualizować, realizować założenia polityki bezpieczeństwa i dokładnie ich przestrzegać;

- wybrać informacje istotne dla przyszłości firmy i na nich koncentrować środki ochrony;

- kontrolować przestrzeganie reguł bezpieczeństwa, a za wszelkie incydenty powinny grozić sankcje;

- wdrożyć system wykrywania wycieków informacji dotyczących wysoko rozwiniętych technologii;

- śledzić zdarzenia; te, które są niejednoznaczne lub wprost wskazują na naruszenie bezpieczeństwa, raportować do stosownych urzędów, prosząc o pomoc;

- traktować ochronę informacji jako nie tylko taktyczny, ale także strategiczny czynnik sukcesu.

Zbudować ludzki firewall

Jednym z zagrożeń związanych z infiltracją firmy są działania socjotechniczne. Ochrona przed nimi jest trudna, gdyż wykorzystują ludzkie słabości i przyzwyczajenia. Aby minimalizować ryzyko, należy przygotować pracowników firmy pod kątem odparcia ataku socjotechnicznego. Oznacza to także szkolenie personelu, obejmujące ochronę informacji firmowych przed światem zewnętrznym. W ich zakresie powinny znaleźć się instrukcje:

- dla pracowników - związane z kontrolą dostępu do pomieszczeń firmy;

- dla pracowników, zwłaszcza handlowców - jak powinni reagować na próby wypytywania o informacje z firmy;

- rozmów z osobami podającymi się za dziennikarzy branżowych;

- bezpiecznego publikowania informacji o firmie w internecie;

- upubliczniania szczegółów technicznych i technologicznych oraz programów marketingowych produktu;

- powstrzymywania się od dyskusji technologicznych, a także na tematy objęte tajemnicą handlową na konferencjach - szczególnie dotyczy to pracowników innych firm, osób postronnych i tych, którzy podają się za dziennikarzy;

- analizy treści ogłoszeń zatrudnienia nowych pracowników przed umieszczeniem w prasie; należy unikać szczegółów dotyczących zakresu wymaganych umiejętności, w tym obsługi specjalistycznego sprzętu i oprogramowania;

- obchodzenia się z nieaktualną dokumentacją i nieudanymi prototypami;

- kontroli dostępu do kopiarek;

- kontroli dostępu do podsieci dla gości.


TOP 200