Kto pierwszy dowiaduje się o skutecznym ataku na system IT...

W jaki sposób tajne służby zdobywają informacje o wyciekach informacji i atakach na infrastrukturę IT, zanim dowie się o tym fakcie administrator?

Ilość wycieków cennych i wrażliwych informacji, a także ataków na sieci komputerowe systematycznie rośnie. Organizacje najczęściej starają się ukryć potencjalny problem, zarówno przed konkurencją, jak i klientami. Nie wszystkie przypadki kradzieży wartościowych danych są nagłaśniane. Coraz częściej problemy związane z bezpieczeństwem są przekazywane organizacjom przez instytucje rządowe i tajne służby - przykładowo FBI, Interpol, CERT. Co ważne, incydenty bezpieczeństwa są wskazywane jeszcze zanim dział IT organizacji zorientuje się, że powstał problem. Niepokojący jest również fakt, że zazwyczaj problemy pojawiają się w organizacjach, wydających ogromne kwoty na bezpieczeństwo teleinformatyczne.

Metodyka działania

Służby monitorujące bezpieczeństwo, podchodzą do zagadnienia inaczej, niż zagrożone organizacje. Zagrożone organizacje skupiają się głównie na budowaniu mechanizmów obronnych i testowaniu zabezpieczeń. Nie ma możliwości przetestowania wszystkich sposobów ataków, przykładowo luk dnia zerowego. Służby z kolei posługują się metodologią zbliżoną do realizowanej przez cyberprzestępców. Agent pojawia się na odpowiednim forum w charakterze cyberprzestępcy. Wybierane są fora i inne strony, na których sprzedawane są skradzione numery kart kredytowych, dane klientów, zastrzeżone informacje i wiele innych cennych informacji. Następnie przeprowadzane jest monitorowanie podejrzanych ofert i transakcji, a czasami nawet dostęp do szczególnie chronionych części stron, na których dokonywane są transakcje. Służby posiadają informatorów, przeprowadzają rozmowy z ludźmi umieszczonymi w więzieniach, skazanymi za cyberprzestępczość. To wszystko powoduje, że dane z informacjami skradzionymi są dość łatwo widoczne i dostępne dla zaawansowanego technicznie personelu. Proces ten przeprowadzany jest praktycznie bez przerwy.

Zobacz również:

  • Rosyjscy hakerzy próbują zakłócać pracę ukraińskiej sieci energetycznej
  • Co to jest XSS? Wyjaśnienie na temat ataków typu cross-site scripting

Przekazaniu informacji o naruszeniu bezpieczeństwa, zazwyczaj towarzyszy dostarczenie uzyskanych danych wrażliwych, a także technicznych informacji typu adresy IP. Niektóre przypadki pokazują, że organizacja może otrzymać raport z analizą włamania, jeszcze przed podjęciem własnej analizy przypadku. Raporty i wnioski zawsze trafiają do wyższego szczebla kadry zarządzającej, nie bepośrednio działu IT. Niestety przekazanie informacji o znalezionym problemie, najczęściej nie jest przyjmowane z zadowoleniem przez zagrożoną organizację.

Firmy, którym przedstawiono dowody na wyciek informacji nie mają obowiązku współpracy ze służbami rządowymi. Wiele z nich przeprowadza analizę odwzorowującą przypadek, która może pomóc znaleźć sposób nieuprawnionego dostępu do wrażliwych informacji. Zdarzają się także sytuacje, gdy organizacje dotknięte zagrożeniem zgłaszają się do instytucji i służb rządowych, informując o możliwych wyciekach informacji. Głównym powodem jest chęć współpracy przy ustaleniu sprawcy, ale także forma ostrzeżenia klientów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200