Jak zastawić pułapki na intruza

Jeśli takie narzędzia zostaną wykryte, należy podjąć decyzję, co dalej. Albo skonfrontować wyniki skanowania z relacją pracownika w obecności przełożonego, albo włączyć dokładne śledzenie poczynań tej osoby, by móc określić rzeczywiste zamierzenia oraz cel działań.

Używaj systemów IDS/IPS

Rozwiązania IDS/IPS potrafią wykryć ataki, gdy intruz korzysta ze znanych eksploitów albo wykorzystuje lukę w bezpieczeństwie, która jest już znana producentowi systemów. Kluczem do skutecznej ochrony jest odpowiednie umieszczenie systemów - albo na zarządzanych hostach, albo po drodze strumienia danych. Można połączyć działanie IPS-ów z monitoringiem ruchu, by wykryć anomalie. Należy jednak pamiętać, że nawet tak zaawansowane narzędzia nie zawsze wykryją atak, gdy intruz korzysta ze skradzionych danych uwierzytelnienia i sprytnie loguje się we właściwych interwałach czasowych.

Szukaj dziwnych plików

Intruzi często przechowują skradzione dane w dużych, skompresowanych zbiorach lub w plikach, które korzystają z nieużywanych w firmie formatów archiwów. Przykładem jest duże archiwum RAR, gdy cała firma korzysta z ZIP lub tar.gz. Takie pliki mogą być utworzone w różnych miejscach, ponadto należy skonfrontować ich obecność z załącznikami przesyłanymi pocztą elektroniczną lub plikami odkładanymi na firmowy serwer FTP (jeśli występuje).

Przeprowadzaj kompletne audyty działań pracowników

Firmy, które chcą chronić się przed intruzami wewnętrznymi, powinny przeprowadzać co pewien czas audyt poczynań pracowników. Warto skoncentrować się przede wszystkim na pracownikach wysokiego ryzyka, tymczasowych oraz na partnerach biznesowych. Audyt powinien obejmować przejrzenie lokalnych zapisów w logach, kontrolę w poszukiwaniu zapisów o nieautoryzowanych działaniach, wyszukiwania narzędzi hackerskich i podejrzanych plików. Jeśli firma dostarcza pracownikom laptopy i komputery domowe, należy okazjonalnie sprawdzać je pod kątem obecności nieautoryzowanych kopii firmowych danych. Kontrola musi objąć także nośniki przenośne, takie jak pendrivy.

Umieść honeypoty i dokumenty-pułapki

Honeypot służy do wykrywania i rejestrowania nieautoryzowanych prób dostępu do niego i jest tanim, ale silnym orężem przy wykrywaniu intruzów. Charakteryzuje się niewielkim odsetkiem fałszywych alarmów i potrafi wykryć także wiele infekcji złośliwym oprogramowaniem.

Praktyka pokazuje, że warto zainstalować przynajmniej jedną taką maszynę, która będzie rejestrowała próby zalogowania się do niej, zapisując informacje o intruzie, takie jak adres IP, login i hasło. Po instalacji niezbędne będzie odfiltrowanie fałszywych alarmów, pochodzących od serwerów aktualizacji lub narzędzi oprogramowania antywirusowego. Bardzo dobrym narzędziem jest specjalizowany pakiet, taki jak honeyd lub kfsensor. Należy pamiętać o zablokowaniu dostępu z tego komputera do Internetu oraz innych segmentów sieci wewnętrznej.

Oprócz honeypotów warto rozmieścić wiele dokumentów-pułapek w różnych miejscach. Dokumenty takie zawierają fałszywe dane, które nie powinny się znaleźć nigdzie indziej.

Niektóre firmy wprowadzają fałszywe zapisy o użytkownikach z unikatowymi nazwiskami, a następnie szukają tych zapisów poza oryginalnymi systemami. Podobnie dobrym pomysłem jest zmiana nazwy lokalnego administratora lub użytkownika root - każde zalogowanie na oryginalną nazwę jest wtedy podejrzane i powinno zostać zbadane.

Niebezpieczny stereotyp

Zagrożenie wewnętrzne zawsze przychodzi niespodziewanie. Powielany wszędzie stereotyp sfrustrowanego malkontenta, który kradnie dane po godzinach, jest fałszywy, bo intruzem może się okazać dynamiczny, powszechnie lubiany pracownik, obdarzony zaufaniem szefa, ale posiadający niejawne, lecz podejrzane powiązania. Szefowie, którzy bazują jedynie na swoich instynktach, mogą narażać firmę na ryzyko ataku, gdyż mają oni tendencję do pomijania niektórych formalności. Szefa można oszukać, z procedurami i systemami będzie to znacznie trudniejsze.

Rozmiar procederu jest nieznany

Oszacowanie rozmiaru problemu napotyka na trudności. Od lat cytuje się wyniki ankiet, które zdają się potwierdzać, że 80% ataków odbywa się od środka. Inne ankiety podają liczby rzędu 60-75%. Niestety, żadnych wiarygodnych statystyk dotyczących polskiego rynku nie opublikowano, gdyż wiele z tych zdarzeń nigdy nie było zgłaszanych.

W ankiecie CSI dotyczącej przestępstw komputerowych, intruzi wewnętrzni są odpowiedzialni za 43% ataków, ale 25% ankietowanych zgłasza fakt, że aż 60% strat w ich organizacji było spowodowanych atakami od środka. W innych amerykańskich ankietach, gdzie dodano także niezamierzone działania pracowników, odsetek strat wzrósł do 84%. Należy pamiętać, że pewną część tych ataków stanowią działania socjotechniczne.


TOP 200