Obrazkowy atlas złych hakerów

Zły haker nr 8: Urażony pracownik

Obrazkowy atlas złych hakerów
Tym gatunkiem złego hakera kieruje chęć zemsty i poczucie niedoceniania. Może zrobić wiele rzeczy - od sprzedaży własności intelektualnej konkurencji (to w 2009 r. zdarzyło się firmie T-Mobile, kiedy urażony pracownik sprzedał dane klientów, którym niedługo kończyły się umowy), po wykasowanie baz danych przedsiębiorstwa. Zwykle bardzo trudno jest wyśledzić działalność tego rodzaju złych hakerów - dysponują oni prawami dostępu do systemów, mogą przechodzić przez kolejne poziomy zabezpieczeń, likwidując na koniec logi rejestrujące ich działania. Najlepszą obroną jest właściwy i konsekwentny rozdział obowiązków i uprawnień (np. oprogramowanie monitorujące instaluje administrator systemu, ale alerty są wysyłane do administratora bezpieczeństwa) oraz wykorzystanie rozwiązań chroniących przed atakami z wewnątrz sieci.

Poznaj swojego wroga

Żeby się skutecznie bronić, trzeba wiedzieć, kto, jak i po co nas atakuje. Jeśli sądzimy, że ochrona przed przepełnieniem bufora, porządnie załatany system i antywirus wystarczą, by czuć się bezpiecznie, to jesteśmy w błędzie.

Na przykład agenci APT mogą przejąć kontrolę nad całym środowiskiem przedsiębiorstwa. Kontrolować setki komputerów, znać wszystkie hasła, podsłuchiwać całą komunikację, także tę dotyczącą prób walki z nimi. "Advanced" w rozwinięciu Advanced Persistent Threat nie odnosi się do taktyki, tylko do strategii. Dlatego, żeby odpowiednio się bronić, trzeba podejść do tego także strategicznie. Jeśli mamy walczyć z APT, trzeba się mocno zastanowić, jaką taktykę stosować i kiedy.

Walka na froncie cyberwojny jest teoretycznie łatwiejsza. Na przykład, żeby obronić się przed Stuxnetem, wszystko, co trzeba zrobić, to załatać cztery dziury i odciąć porty USB.

Jeżeli motywem złego hakera jest tylko dostarczenie nam adware, to przecież nie musimy formatować maszyny, powtarzając tę czynność za każdym razem, kiedy znajdziemy kolejny program tego typu. Jednak, jeśli to nie adware a crimeware, to jedynym sposobem może być postawienie systemu na nowo plus załatanie dziury.

Użycie pułapek typu honeypot jest wartym rozważenia pomysłem na określenie, z jakim rodzajem ataków mamy do czynienia. Takie pułapki są też systemem wczesnego ostrzegania, dając nam czas na przygotowanie właściwej obrony. Przypuśćmy, że stawiamy jeden honeypot pełny popularnych gier, drugi zawierający "poufne" firmowe dane i trzeci z danymi wyglądającymi na tajemnice wojskowe. Intruz włamujący się do serwera z grami ma zupełnie inne motywy niż ten, który skoncentruje się na pozostałych dwóch. Kiedy więc natkniemy się na intruza lub malware, upewnijmy się, że znamy motywy atakującego, żebyśmy mogli właściwie zareagować.

Wykorzystano artykuł Rogera Grimesa z serwisu InfoWorld (IDG).


TOP 200