Trojan zamiast kreta

Przestępcy coraz rzadziej potrzebują współpracowników wewnątrz firmy, by wykraść z niej informacje. Trojany są skuteczne, tańsze i trudne do wykrycia. Działy IT muszą dostosować politykę bezpieczeństwa do nowych zagrożeń.

Każde przedsiębiorstwo musi brać pod uwagę możliwość kradzieży informacji. Może ona nastąpić na skutek działań lub zaniechań pracowników albo po ataku z zewnątrz. Aby zabezpieczyć się przed takim atakiem, należy rozpocząć poszukiwania najważniejszego z obiektów - celu, czyli informacji, którymi może być zainteresowany napastnik. Do poszukiwania miejsc, w których występuje zagrożenie wyciekiem informacji, można wykorzystać narzędzia DLP (Data Leak Prevention).

Wbrew powszechnym opiniom najsilniejszą stroną oprogramowania DLP nie jest blokowanie działań użytkownika, ale rozpoznawanie komunikacji w firmie. Program taki potrafi określić, gdzie się znajdują pliki z dokumentami oznaczonymi jako poufne, ale także w jaki sposób one krążą w firmie, kto i kiedy je przekazuje i jak są przetwarzanie. Zadaniem dobrze wdrożonego DLP nie jest zatem blokowanie komunikacji, ale rozpoznanie kanałów obiegu informacji w organizacji. Efektem działania może być znalezienie na ogólnodostępnym miejscu sieciowym dokumentów, których tam być nie powinno.

Mechanizm ataku

Do kradzieży poufnej informacji z firm wykorzystuje się obecnie niemal wyłącznie złośliwe oprogramowanie. Jest to o wiele tańsze od werbunku pracownika, możliwe do przeprowadzenia zdalnie i zostawia niewiele śladów.

Atak może przebiegać według następującego scenariusza:

1. Napastnik podczas rozpoznania celu określa, że ofiara ma dostęp do zasobu, który go interesuje.

2. Następuje przygotowanie złośliwego oprogramowania, konia trojańskiego.

3. Komputer ofiary zostaje zarażony, oprogramowanie działa i oczekuje na zalogowanie użytkownika.

4. Podczas logowania przechwycone zostaje hasło.

5. Koń trojański informuje serwer kontrolujący o przechwyceniu hasła.

6. Napastnik, wykorzystując konia trojańskiego i wbudowany w nim moduł proxy, loguje się do docelowego serwisu za pomocą skradzionego hasła.

7. Wszystkie połączenia są inicjowane przez stację roboczą ofiary, chociaż pracownik nie ma z tym nic wspólnego.

"Śledzenie przepływu informacji umożliwia wykrycie niepoprawnie zidentyfikowanych procesów" - mówi Grzegorz Mucha, konsultant ds. technologii w firmie RSA. "Przykład stanowi składowanie ważnych dokumentów na ogólnodostępnym udziale sieciowym po to, by przesłać je między departamentami A i B, zamiast wykorzystania bezpiecznego medium. Poprawnym działaniem w przypadku wykrycia niechronionych poufnych plików nie jest natychmiastowe karanie użytkowników, ale rozpoznanie, dlaczego dokumenty zostały złożone właśnie tam".

Może być wiele przyczyn, dla których pracownicy kopiują pliki np. do publicznego zasobu sieciowego. Być może przy opracowywaniu obiegu dokumentów w firmie pominięto jeden z procesów biznesowych. Może wykorzystywany model komunikacji jest zbyt kłopotliwy i nie przystaje do potrzeb firmy. Inną przyczyną jest fakt, że ludzie są niedoszkoleni lub dział IT nie pomaga biznesowi w sprawnej komunikacji. Zastosowane zabezpieczenia mogły zostać źle dostrojone i w praktyce wygodniej je omijać. Albo bardziej banalnie: w organizacji nie ma łatwo dostępnych narzędzi przeznaczonych do bezpiecznego transferu plików.

W większości przypadków występuje więcej niż jedna przyczyna, dlatego warto rozpoznać wszystkie z nich. Jeśli pracownicy będą mieli łatwe w użyciu narzędzia do transferu dokumentów i będą wyszkoleni, aby z nich prawidłowo korzystać, prawdopodobieństwo przypadkowego pozostawienia poufnego dokumentu w publicznie dostępnym zasobie będzie o wiele mniejsze.

Dziwne połączenia sieciowe

Oprócz rozpoznania anomalii związanych z położeniem plików w nieoczekiwanych lokalizacjach lub przenoszenia w sposób, którego nikt by się nie spodziewał, należy rozważyć monitorowanie ruchu sieciowego. Trzeba przy tym nie tyle dużo inwestować w rozwiązania i systemy zapobiegania włamaniom IPS (Intrusion Prevention System), co raczej poszukiwać rodzajów aktywności, odbiegających od firmowych standardów.

W ten sposób można poszukiwać symptomów wskazujących na działanie złośliwego oprogramowania albo zamiar zestawienia połączenia przez włamywacza przy użyciu nietypowych narzędzi. Jeśli niestandardowe połączenia dotyczą komputerów osoby zajmującej wysokie stanowisko, to mogło dojść do ataku kierowanego z użyciem zaawansowanego oprogramowania szpiegującego. Podobnie diagnozuje się taką sytuację w przypadku administratorów, ale należy uwzględnić typową dla pracowników tego działu aktywność związaną z testowaniem nowego oprogramowania.

Skorelowanie zgłoszeń dotyczących ruchu sieciowego z informacjami pozyskanymi z aplikacji DLP (Data Loss Prevention) umożliwia wykrycie ataków polegających na wyprowadzeniu dokumentów drogą elektroniczną za pomocą złośliwego oprogramowania nawet wtedy, gdy ruch odbywa się w szyfrowanym tunelu SSL.

Warto także analizować ruch związany z połączeniami do serwerów, które są węzłami sieci Tor. Sieć ta służy do anonimowych połączeń do internetu, ale może także posłużyć napastnikom do zamaskowania rzeczywistego miejsca docelowego połączeń. Do tych samych celów służą otwarte i anonimowe .


TOP 200