Zaměřte se na vnitřního nepřítele

Strach z odcizení firemních dat nebo jejich nepředvídaného úniku prostřednictvím zaměstnanců (respektive osob, kter


Strach z odcizení firemních dat nebo jejich nepředvídaného úniku
prostřednictvím zaměstnanců (respektive osob, které k nim mají přístup) je
důvodem, proč se řada IT manažerů neustále uprostřed noci probouzí hrůzou ze
spaní. A evidentně má proč.

Detekce a zastavení takových úniků je enormní výzvou, obzvláště pak pro velké
organizace se široce distribuovanými datovými sklady a sítěmi," říká Andreas
Wuchner-Bruhl, šéf globální IT bezpečnosti ve společnosti Novartis Pharma, což
je švýcarský výrobce léků s ročním obratem 25 miliard dolarů.
"V dnešní době je tento problém dokonce ještě složitější, neboť interní hrozbu
už nepředstavují jen nespokojení či zlomyslní zaměstnanci," dodává
Wuchner-Bruhl. Jde také o nedbalé pracovníky, hackery z vnějšího prostředí,
kteří se chovají jako důvěryhodní uživatelé, či o další osoby s přístupem do
podnikových sítí zvnějšku, jako jsou dodavatelé, partneři a poskytovatelé
služeb.
Výsledkem je, že firmy musejí hledat nové pohledy na celou škálu vnitřních
hrozeb a přijít na to, jaké nové technologie, procesy a administrační kontroly
je třeba implementovat, aby se s nimi mohly vypořádat. "Bezpečnostní
specialisté rádi budí dojem, že mají vše pod kontrolou," říká Wuchner-Bruhl.
"Faktem ale zůstává, že v oblasti ohrožení zevnitř toho mnoho ještě vůbec
netušíme."
Wuchner-Bruhl patří mezi stále rostoucí počet bezpečnostních manažerů, kteří
přemýšlejí, jaké další možnosti kontroly jsou potřebné v době, kdy se objem
interních útoků na korporátní informační systémy zvyšuje. V mnoha největších
finančních institucích už takové útoky dokonce překonaly externí útoky vyplývá
to z letošního červnového průzkumu 2005 Global Security Survey společnosti
Deloitte Touche Tohmatsu. Při dotazování ve společnostech patřících do žebříčku
Fortune 100 34 % respondentů tvrdilo, že v posledních 12 měsících u nich došlo
k vnitřnímu útoku. O rok dříve to přitom bylo jen 14 %. Pro porovnání, za
poslední rok hlásí tyto instituce jen 26 % externích útoků.
"Útoky insiderů (tedy lidí napadajících informační systém zvnitřku) je obtížné
zachytit, neboť jde o oprávněné uživatele, využívající však legitimní přístup k
nepatřičným účelům," říká Pete Lindstrom, analytik společnosti Spire Security.
"Mají obvykle větší dopad, neboť se jedná o vnitřního uživatele s přístupem do
sítě, který ví, kde se cenné informace nacházejí."

Poznejte nepřítele
"Pochopit, že v případě toho, kdo představuje vnitřní riziko, nejde jen o
nabručeného zaměstnance, je dobrým odrazovým můstkem pro řešení problému,"
vysvětluje Jonathan Bingham, CTO společnosti Intrusic, dodavatele
bezpečnostních produktů. "Velmi často jsou sofistikovanější vnitřní útoky
prováděny lidmi, kteří zcizí práva legitimních uživatelů a poté je využijí pro
získání přístupu k vysoce cenným údajům," říká Bingham. Například selektivně
umístěné utajené programy typu trojský kůň byly začátkem tohoto roku použity
pro sběr uživatelských jmen a hesel vysoce privilegovaných uživatelů ve více
než 300 významných firmách ve Velké Británii. Oprávnění pak byla hackery
zneužita k získání přístupu k důležitým systémům. Vzhledem k tomu, že takové
cílené útoky generují mnohem menší provoz než masové útoky, je podle uživatelů
obtížnější je detekovat pomocí tradičních antivirových řešení a nástrojů pro
filtrování elektronické pošty.
Rostoucí míra vzájemného propojení podnikových sítí rovněž znamená, že to není
jen samotný zaměstnanec, kdo má přístup k internímu majetku. "Může nastat
situace, kdy člověk, který legitimní přístup na jediný den, umístí zadní vrátka
do našeho systému a později se přes něj naloguje," říká Jeff Nigriny, šéf
bezpečnosti ve firmě Exostar, provozující business-to-business portál pro
letecký průmysl. "Rozpoznání událostí a znamení indikujících takové aktivity
vyžaduje hlubší analýzu síťového provozu a chování než většina tradičních
bezpečnostních technologií zatím nabízí," dodává Nigriny.
Jeho firma využívá hardwarové zařízení Intrusic s označením Zephon za účelem
analýzy síťového provozu na úrovních paketů, relací, hostitele a prostředí.
"Takový monitoring dovoluje organizacím identifikovat podezřelé interní
aktivity v síti, jako jsou datové toky plynoucí v nesprávném směru, servery,
jež data pohlcují, namísto aby je produkovaly, či počítače komunikující
navzájem tam, kde takové přenosy dat nikdy před tím neexistovaly," popisuje
Bingham.
Zlomyslní insideři využívají síťové zdroje nepatrně odlišným způsobem než běžní
uživatelé. A nástroj společnosti Intrusic je navržen tak, aby právě takový
"ilegální pohyb rafinovaného jednotlivce v rámci sítě detekoval," dodává
Bingham.
"Hledá hlouběji, ve 2. a 3. vrstvě. Nestará se přitom, o jakou aplikaci jde,"
říká Nigriny. Nástroj může být využit pro identifikaci problémů tak
rozmanitých, jako je špatně nakonfigurovaný firewall, zaměstnanec stahující
pornografii nebo někdo, kdo se pokouší uploadovat důvěrná data na externí
server v HTTP streamu.

Co vychází ven
"Filtrování odchozího provozu je dalším způsobem, jak zjistit, zda chráněná
data neopouštějí hranice podniku ilegálním způsobem," říká Jeff Karafa, šéf
bezpečnosti v bance Community Bank of Dearborn. Banka využívá hardwarové
zařízení společnosti Reconnex, aby prozkoumala odchozí firemní e-maily, zprávy
instant messagingu nebo webové zprávy, zda se nejedná o tajná data, jako jsou
čísla zákaznických účtů.
Technologie iGuard od Reconnexu využívá podobně jako další produkty v této
třídě kombinaci exaktního srovnávání dat, kontextové analýzy a informace o
stanovených pravidlech, aby administrátora varovala, pokud specifické části
chráněných informací procházejí sítí. Taková varování mohou být užitečná pro
identifikaci jak zlomyslných úniků, tak těch náhodných nebo vzniklých nějakým
nedopatřením například když zaměstnanec posílá soubor obsahující důvěrné
informace na svůj osobní e-mail, aby s nimi mohl pracovat doma.
Objem dat, která prosakují takovým způsobem, může být překvapivý, říká Karafa.
"Mysleli jsme si, že pokud jde o detekci úniků, jsme na tom dobře," dodává.
Potom však banka otestovala nástroj pro filtrování ochozích dat (na odchodu ze
sítě) a zjistila, kolik citlivých informací jí proklouzlo (často jako důsledek
omylů zaměstnanců). V jednom případě byl dokonce přistižen zaměstnanec, jenž
posílal informace o účtu zákazníka dřívějšímu pracovníkovi, a byl za to
okamžitě propuštěn. "Když nám byla tato data prezentována, znamenalo to pro nás
dosti velké ponaučení," připouští Karafa, který nástroj Reconnexu využívá také
pro monitorování zvyklostí zaměstnanců při surfování na webu.
"Avšak nástroje pro monitoring obsahu nejsou vždy dostatečně škálovatelné a
jsou i omezeně použitelné v prostředí, kde je síťový provoz šifrován,"
upozorňuje Wuchner-Bruhl. Uvažuje o tom, že by mohl používat technologie pro
DRM (Digital Rights Management), aby za účelem kontroly, kdo k nim přistupuje a
jak jsou informace využívány, označil důvěrná data a intelektuální vlastnictví.
DRM nástroje, jež nabízejí výrobci jako Microsoft, Authentica a Liquid
Machines, jsou navrženy tak, aby firmám umožnily sledovat, jak jsou data
využívána, a zabránit zaměstnancům, kteří nemají patřičná oprávnění, aby je
četli, měnili, kopírovali, tiskli či přeposílali.

Pro peníze
"Coby primární hnací mechanismus rostoucího počtu útoků ze strany insiderů se
jeví finanční motivy," říká Bingham. Jedním z příkladů tohoto trendu je krádež
informací o zhruba 60 tisících klientech Bank of America okruhem lidí z New
Jersey, zabývajících se krádežemi dat (ti už před tím odcizili informace z
dalších tří velkých bank Wachovia, Commerce Bancorp a PNC Bank). Mezi členy
této skupiny patřilo i sedm dřívějších zaměstnanců z uvedených čtyř bank.

Plány dopředu
Většina vnitřních útoků je přitom plánována dopředu a lze jim zabránit, pokud
jsou na místě patřičné kontroly. Vyplývá to ze zprávy vydané v květnu
organizacemi U.S. Secret Service a CERT Coordination Center. Například správné
praktiky při správě konfigurací umožňují firmám identifikovat neautorizované
změny v softwaru nebo vytváření neautorizovaných účtů pro vzdálený přístup,
které jsou zpravidla předzvěstí potíží. Oddělit funkce systémových
administrátorů a privilegovaných uživatelů prý patří mezi další způsoby, jak
zajistit, že žádná osoba nemá nekontrolovaný přístup k významným síťovým
zdrojům.
Je také důležité zavést správné procesy pro zamezení síťového přístupu v
případě, když některý zaměstnanec ve firmě končí, poznamenává výše uvedená
zpráva, která je založena na průzkumu 49 útoků ze strany vnitřních uživatelů
prostřednictvím počítačových systémů, jež proběhly v letech1996-2002.
Mnohé z vnitřních útoků jsou podle CERT nadále dílem nespokojených zaměstnanců
a dřívějších pracovníků, kteří i po svém odchodu nadále mají přístup do
podnikových systémů. V mnoha případech jsou spouštěcím mechanismem takových
útoků negativní pracovní zkušenosti, které mohly být řešeny pomocí formálních
procesů v oblasti lidských zdrojů zaměřených na problémy pracovníků. Firmy
musejí také využívat nástroje pro kontrolu přístupů a přidělování účtů, aby
identifikovaly a případně uzavřely "osiřelé účty", které zůstávají po odchodu
či propuštění zaměstnanců. Selhání při blokaci takových účtů dává někdejším
pracovníkům jistý přístup do podnikové infrastruktury.
"Pokud přijde řeč na rizika spojená s insidery, pak jsou školení, posilování
povědomí uživatelů a administrativní opatření možná stejně důležitá jako výše
zmíněné technologie," myslí si Kim Milfordová, manažerka bezpečnosti na
University of Rochester.

Sociální inženýrství
Hackeři z vnějšího prostředí využívají stále častěji metody sociálního
inženýrství, jako jsou falešné e-maily a webové stránky, aby lidi nalákali k
odhalení citlivých informací a uživatelských oprávnění. Tyto aktivity,
označované jako phishing a pharming, nyní patří podle průzkumu Deloitte mezi
nejvíce znepokojivé bezpečnostní problémy finančních institucí.
"Účinnost takových metod na neškolené uživatele může být alarmující," varuje
Jason Jones, webmaster jedné z univerzit v Texasu, která si nepřeje být
jmenována. V testu prováděném začátkem tohoto roku dokázal Jones a jeho tým
nasbírat autentizační oprávnění od 90 % oslovených jedinců, a to použitím
falešných e-mailů a webových stránek navržených tak, aby vypadaly, jako kdyby
pocházely od univerzitního týmu pro IT bezpečnost.
"Vzdělávání a školení zaměstnanců ohledně těchto problémů je klíčem k úspěchu,"
říká Milfordová. "Je také životně důležité, aby pracovníci znali bezpečnostní
pravidla i následky zneužití podnikových dat či síťových zdrojů,"doplňuje
Wuchner-Bruhl.
"Technologická opatření jsou ale stejně tak důležitá," říká Milfordová. Mezi
ta, která shledala užitečnými, patří kontrolní nástroje, jež si vynucují
dodržování pravidel nejnižších práv, což znamená, že neposkytnou uživatelům
větší přístupová práva, než skutečně potřebují. Oblíbila si také nástroje,
které využívají IP restrikce pro omezení přístupu ke chráněným informacím a
uchovávají logy pro monitorování neúspěšných pokusů o přístup.
Navíc pak Milfordová obhajuje použití metody, již označuje za "pravidlo mrkve a
hole". "Hůl může představovat komplexní a vyčerpávající politika a její silné
prosazování. Mrkev pak může mít podobu pobídek pro absolvování bezpečnostního
školení, což může v konečném důsledku vést k povýšení nebo lepší příležitosti
kariérního rozvoje," popisuje Milfordová. Zplnomocnění pracovníků organizace na
všech úrovních, aby se učili pravidla bezpečnosti a prováděli kroky k ochraně
zdrojů společnosti v rámci svých možností, je podle Milfordové klíčem k úspěchu.


Útoky jsou jednoduché, velmi jednoduché
Navzdory výši škod, jež mohou být útokem insidera způsobeny, nevyžaduje jejich
provedení podle bezpečnostních expertů příliš mnoho důvtipu.
Většina tradičnějších útoků včetně těch způsobených nespokojenými zaměstnanci
je často výsledkem selhání podniků, jelikož opomenou zrušit práva pro síťový
přístup poté, co byl zaměstnanec propuštěn nebo co odešel z firmy, tvrdí se v
květnové zprávě zveřejněné organizacemi U.S. Secret Service a CERT Coordination
Center.
U 49 zkoumaných incidentů byly těmito insidery systémoví administrátoři nebo
privilegovaní uživatelé, kteří se v síti vyznali a dobře věděli, kde se
důležitá informace nachází. Nepotřebovali tedy většinou provádět skenovací
aktivity nebo sofistikované programování, aby se ke klíčovým datům dostali.
Často byly při útocích využity spíše díry v procesech (jako třeba neschopnost
posoudit, kdo má mít přístup ke kritické informaci) než v technologickém
zázemí, upozorňují experti. Dokonce i úspěch relativně sofistikovaných útoků
zvenčí, kdy se cizí uživatelé vydávali za důvěryhodné insidery, vysoce závisí
na lidském faktoru. "Existuje také mnoho poměrně přímočarých cest, jakými mohou
být data vynesena z podniku bez toho, aby o tom kdokoliv věděl," říká Andreas
Wuchner-Bruhl, šéf bezpečnosti ve firmě Novartis Pharma. Patří mezi ně využití
přenosů souborů, posílání dat v e-mailových přílohách či uploading dat do
vzdálených systémů. "Všeobecná dostupnost úložných zařízení s vysokou kapacitou
a malým formátem, jako jsou USB paměti, CD či handheldy, lidem velmi
zjednodušuje možnost stáhnout velký objem dat a jednoduše odejít s nepatrným
rizikem, že budou vysledováni," dodává Wuchner-Bruhl.


Následky útoků vnitřními nepřáteli
V průzkumu objednaném společností Mazu Networks uvedli dotázaní bezpečnostní
profesionálové, kteří za sebou měli zkušenost s interním porušením bezpečnosti,
následující
důsledky:
Výpadek obchodního systému, který má pro firmu kritický význam 40 %
Poškození nebo ztráta dat 38 %
Krádež intelektuálního vlastnictví 17 %
Stejní bezpečnostní profesionálové uvádějí, že v posledních 12 měsících nalezli
v síti následující typy zranitelností:
Aktivní uživatelské účty, které náležely bývalým zaměstnancům 46 %
Špatně nakonfigurovaní hostitelské systémy či síťové prvky 44 %
Nezabezpečené bezdrátové přístupové body 31 %
Síťové uzly s aktivními hesly typu default 26 %









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.