Trojan zamiast kreta

Do monitorowania ruchu SSL w poszukiwaniu złośliwego oprogramowania oraz innych ataków nadają się urządzenia, które przejmują sesję SSL z wykorzystaniem uznanego w firmie certyfikatu, przesyłają strumień do inspekcji, a następnie inicjują zaszyfrowane połączenie do miejsca docelowego. Niestety, technologia ta wiąże się z dokładnym sprawdzeniem informacji, co może naruszać prywatność pracowników, dlatego firma powinna być do tego bardzo dobrze przygotowana, także od strony prawnej. Nie oznacza to jednak, że musi naruszać prywatność pracowników - należy opracować strategię, która będzie minimalizować zagrożenie.

Działaniem, które można podjąć od zaraz, jest zakaz połączeń SSL poza serwisami uznanymi za bezpieczne. Przy klasyfikacji należy kierować się nie tyle portami sieciowymi, ile ich zawartością. Klasyfikację ruchu na podstawie zawartości mogą prowadzić niemal wszystkie dzisiejsze zapory sieciowe z inspekcją pakietów. Na liście dozwolonych serwisów SSL można zostawić serwisy bankowości online, platformy kupna-sprzedaży, takie jak Allegro, niektóre sieci społecznościowe oraz inne usługi, o których wiadomo, że nie będą stanowić zagrożenia dla firmy.

Przygotowania prawne i organizacyjne

Obrona przed wyciekiem danych musi wiązać się z uświadomieniem użytkowników, że ich działania mogą być monitorowane. Pierwszym krokiem jest zatem zapewnienie środków prawnych w tym celu. Niezbędne będzie zdefiniowanie, co wolno, a czego nie i jakich narzędzi firma ma zamiar użyć. Od strony użytkownika wprowadzenie monitorowania i blokady niepożądanego ruchu powinno wiązać się z komunikatami, które będą informować o fakcie kontroli połączeń i ich ewentualnej blokady.

Razem ze zmianami technicznymi należy zmodyfikować także procedury obsługi incydentów. Na pewno pojawią się incydenty nowe, np. związane z podejrzeniem wyprowadzenia informacji poza firmę lub ataków na firewall od wewnątrz. Ponadto przy atakach złośliwego oprogramowania należy postępować inaczej niż przy incydentach związanych z działaniem pracowników. W tym drugim przypadku dopóki nie wyciekają krytyczne dane, warto poczekać i udokumentować aktywność, gdyż zablokowanie połączeń może stanowić ostrzeżenie dla napastnika, że jego działanie zostało właśnie wykryte. Wtedy zapewne uruchomi ukryte połączenia rezerwowe, być może kopie tego samego konia trojańskiego zainstalowane na innych stacjach, a całą pracę trzeba będzie wykonać ponownie.

"Jeśli nie chodzi o informacje krytyczne dla firmy, przed zablokowaniem połączeń należy rozpoznać, skąd się wzięło złośliwe oprogramowanie na danej stacji roboczej i upewnić się, czy nie zostało zainstalowane na innych komputerach w firmowej sieci" - zaleca Grzegorz Mucha. "Po zebraniu materiałów, które będą miały wartość dowodową dla policji czy prokuratury, można takie połączenia zablokować, a konia trojańskiego usunąć. Organizacja powinna mieć opracowaną procedurę obsługi wspomnianych zdarzeń. Pracownicy powinni wiedzieć, kogo powiadomić i w jaki sposób zbierać wartościowe dla policji i sądów materiały" - dodaje.

Zasada przywilejów koniecznych

Podstawą do ograniczenia zasięgu ewentualnych ataków jest przyznawanie tak niskich uprawnień do systemu, jak to jest niezbędne do wykonania zadania. Zazwyczaj pracownicy mają zbyt wysokie uprawnienia, ponadto obserwuje się ich kumulowanie w miarę wydłużania się stażu pracy w firmie. Jest to szczególnie istotne w przypadku instytucji o długiej ścieżce awansu, w której nie przykłada się wagi do odbierania zbędnych uprawnień po zmianie stanowiska pracy. Przykładem błędu w nadawaniu uprawnień jest sytuacja, w której jedna osoba ma prawo do wprowadzenia transakcji pochodzącej z poprzedniego stanowiska oraz prawo jej zatwierdzenia i wykonania, pochodzące z późniejszego okresu kariery.

"Oprócz nadmiernych i narastających uprawnień występuje również inne zjawisko, związane z pozycją danej osoby w strukturze organizacyjnej przedsiębiorstwa" - ostrzega Tomasz Jarmuł z działu Enterprise Security firmy HP. "Im wyżej dana osoba znajduje się w firmowej hierarchii, tym wyższe ma przywileje, chociaż wcale nie są one jej potrzebne do pracy. Należy zerwać z podobnym podejściem, wprowadzając nadawanie uprawnień zgodnie z rzeczywistymi potrzebami, ale tak, by pracownicy nie byli zmuszeni do obchodzenia zabezpieczeń. Metoda ta jest skuteczna: znaczną część ataków byłoby o wiele trudniej przeprowadzić, gdyby uprawnienia nadawano zgodnie z zasadą przywilejów koniecznych" - tłumaczy Jarmuł.

Znaleźć złoty środek

Działy bezpieczeństwa IT mają tendencję do skupiania się na zagadnieniach sieciowych, przy czym stacje robocze traktuje się po macoszemu. Z drugiej strony objęcie silną ochroną wszystkich obiektów w sieci prowadzi do wzrostu kosztów. Wyjściem jest zastosowanie metod zarządzania bazujących na ryzyku, dzięki czemu pewne działania, związane z ochroną mało ważnych zasobów, będzie można zaniechać.

"Nie trzeba monitorować wszystkiego, co znajduje się w firmie" - wyjaśnia Tomasz Jarmuł. "Należy ocenić ryzyko, znaleźć miejsca z cennymi zasobami i te zasoby szczególnie chronić. Trzeba odciąć od nich nieupoważnionych pracowników, zastosować powszechnie dostępną technologię, dopilnować egzekwowania uprawnień, nadawanych i odbieranych zgodnie z rolami i zadaniami danej osoby".

Reguły nadawania i odwoływania uprawnień są pierwszym krokiem w kierunku ograniczenia zasięgu potencjalnego ataku. Związane z tym procedury poważnie utrudnią przeprowadzenie ataku związanego np. z użyciem konta osoby, która nie jest już pracownikiem lub zmieniła stanowisko, ale nadal ma zbędne już uprawnienia do wrażliwych zasobów.

Prywatność pracownika

Trudno dziś wyobrazić sobie firmę, w której pracownicy nie korzystają z internetu, także w celach prywatnych. Oprócz dostępu do kont bankowości elektronicznej korzystają oni z usług innych instytucji do celów osobistych, a zatem deszyfrowanie takich połączeń byłoby naruszeniem prywatności pracownika. Aby rozwiązać problem, należy opracować listę połączeń do serwisów bankowości online i podobnych usług, a następnie pomijać je przy deszyfrowaniu. Należy dołożyć wszelkich starań, by nie utracić zaufania pracownika, gdyż od tego do lekceważenia zasad bezpieczeństwa lub nawet wrogich wobec firmy działań droga jest krótka.

Sieci społecznościowe zazwyczaj minimalizują wykorzystywanie połączeń SSL do logowania, a zatem reszta treści jest dostępna w sposób otwarty. Oznacza to, że inspekcja SSL do sieci takich jak Facebook czy Nk.pl nie przynosi niczego więcej poza tym, co może przynieść prosty nasłuch nieszyfrowanego ruchu HTTP.

Jeśli przedsiębiorstwo rozważa zakaz korzystania z internetu do celów prywatnych, musi również wziąć pod uwagę radykalny spadek wydajności pracy pracownika. Ubiegłoroczne ankiety przeprowadzone przez Cisco w pełni potwierdzają badania z 2008 r. zlecone przez AT&T, w których ponad połowa z 25 tys. badanych przyznała, że korzystanie z różnych serwisów internetowych podwyższa wydajność pracy.

Bestiariusz firmowy

Niektórzy pracownicy mogą przynieść firmie wielkie straty, przyczyniając się do wycieku danych. Jak ich rozpoznać?

Roztrzepaniec

Niesumienny pracownik niższego szczebla, który niecelowo przyczynia się do utraty danych. Jego nonszalanckie podejście do reguł bezpieczeństwa wynika z ogólnej beztroski i roztrzepania - nawet mimo najszczerszych chęci. Pracownik taki jest łatwym celem niekierowanego ataku, np. phishingowego. Często naraża firmę na utratę danych, gubi nośniki, komputery i telefony, a co najmniej wynosi dokumenty do domu lub w służbowe delegacje. Skutki beztroski takich pracowników mogą być porównywalne do szpiegostwa przemysłowego, ale można im zapobiec za pomocą prostych środków technicznych. Wystarczy zabezpieczyć kilka kanałów wycieku informacji, by zredukować ryzyko. Gdy Roztrzepaniec nie będzie mógł skopiować jakiejś informacji do domu, by nad nią pracować, poprosi o pomoc w help desku, gdzie wytłumaczą mu, dlaczego jest to zabronione. Niekiedy kilka razy na miesiąc.

Naiwniak

Jest to osoba, która powodowana dobrymi chęciami chce pomóc wszystkim, włącznie z intruzem. Pracownik taki wykona każde polecenie otrzymane przez telefon, jeśli tylko intruz zastosuje proste sztuczki socjotechniczne. Jeśli ktoś przedstawił się jako menedżer oddziału, poprosił o wysłanie kopii ważnego dokumentu na prywatny adres e-mail i był przy tym dostatecznie przekonujący, to Naiwniak wszystko mu wyśle. Nieważne, kim naprawdę jest ten "menedżer", ważne, że potrzebował pomocy i ją otrzymał. Jedyną receptą na Naiwniaka jest dobre szkolenie z socjotechniki i opracowanie łatwych procedur działania.

Zarówno Roztrzepaniec, jak i Naiwniak mogą powodować wyciek danych, ale nie robią tego celowo. Nie można tego powiedzieć o następnych grupach ludzi.

Sabotażysta

Jest to pracownik, który ze względów osobistych postanowił szkodzić firmie. Powodów może być wiele - niska płaca, niska pozycja w hierarchii, brak "firmowych dodatków": laptopa, samochodu albo sekretarki. Sabotażysta nie planuje szybkiego opuszczenia firmy, ponadto jego celem jest szkodzenie organizacji jako takiej. Zatem jeśli kradnie informacje, to myśli głównie o tym, by dostarczyć ją do mediów lub organizacji kryminalnych. Nie musi być przy tym zainteresowany dodatkowym zarobkiem, chce się po prostu na firmie odegrać. Jeśli nie ukradnie informacji, spożytkuje swoją energię gdzie indziej, np. produkując oczerniające firmę informacje i dostarczając je do mediów czy agencji rządowych lub składając donosy do urzędów skarbowych. Sabotażystę trzeba zwolnić.

Wynosiciel

Pracownik ten zamierza opuścić firmę, ale jeszcze o tym nie powiedział swojemu menedżerowi ani współpracownikom. Zazwyczaj kopiuje wszystkie bazy danych, do których ma dostęp, całą dokumentację techniczną, dosłownie wszystko, co da radę wziąć. Często nie zdaje sobie nawet sprawy z wartości tych danych i nie ukrywa faktu, że takie dane posiada. Nie waha się z nich skorzystać dla własnej korzyści, ale robi to już po opuszczeniu firmy, ponadto sam decyduje, co ukraść. Gdy napotka na problemy techniczne z kradzieżą jakiejś porcji danych, nie prosi innych o pomoc. Jego działania są niezorganizowane, niekiedy nie potrafi nawet sprawnie skorzystać z posiadanej przez siebie porcji informacji dla własnych korzyści. W odróżnieniu od następnych kategorii ludzi, nie kontaktuje się z odbiorcą informacji i nie zamierza uczynić wielkich szkód. Po prostu bierze informacje ze sobą.

Wtyczka

Jeśli pracownik, który chce ukraść informacje z firmy, skontaktuje się z potencjalnym odbiorcą (konkurencją, dziennikarzami, organizacjami kryminalnymi lub rządowymi) i uzgodni z nim listę oczekiwanych dokumentów, spowoduje o wiele gorsze straty, niż działając samodzielnie. Jego wartość dla zleceniodawcy czy status finansowy zależą od integralności i wagi skradzionych informacji. Wtyczką może być pracownik różnych szczebli, który ma na celu pozyskanie informacji, by ją potem sprzedać lub wywiązać się z innych zobowiązań wobec zewnętrznych podmiotów. W wielu przypadkach jest to pracownik niegdyś lojalny, ale obecnie zwerbowany lub przekupiony. Po złej stronie mocy zrobi, co tylko może, by uzyskać potrzebne informacje, nawet jeśli ma użyć technik hakerskich lub łapówek. Wtyczką może być nawet członek zarządu firmy.

Kret

Najgroźniejszym nielojalnym pracownikiem jest Kret, który podkopuje bezpieczeństwo firmowego ogródka. Zostaje tam wprowadzony w ramach szpiegostwa militarnego lub przemysłowego - stąd nazwa, pochodząca z powieści szpiegowskich. Zazwyczaj zasiedlenie Kreta odbywa się razem z przedstawieniem lukratywnej oferty pracy dla istniejącego admina. Dział HR otrzymuje dobrą propozycję następcy, którego trzeba przeszkolić. Podczas szkolenia nowy następca szybko zyskuje uprawnienia, kradnie informacje, a następnie znika, nie pozostawiając śladów ani po sobie, ani po agencji rekrutacyjnej, która rzekomo go znalazła na potrzeby organizacji. Administrator traci swoją pracę, a firma - informację. Kret jest szczególnie groźny, gdyż jego wiedza wystarcza do obejścia niemal wszystkich zabezpieczeń, a gdy potrzebne są dodatkowe środki techniczne lub wiedza ściśle hakerska, taka osoba jest w tej dziedzinie ekspertem. Kretem może być także pracownik od początku wynajęty na potrzeby długotrwałego pozyskiwania informacji, może być nim nawet oficer bezpieczeństwa lub szef IT.


TOP 200