Bojujte proti vnitřním hrozbám pomocí nástrojů, které již máte

22. 10. 2011

Sdílet

Běžné bezpečnostní nástroje, již používané mnoha firmami, se mohou současně stát i efektivními prostředky ke zjištění zlodějů korporátních dat a sabotérů, uvádějí výzkumníci z Carnegie Mellonova Institutu softwarového inženýrství.

Bezpečnostní kvíz: Jak dobře znáte vnitřní hrozby? „Jde jen o to, IT pracovníkům říci, aby hledali něco nového pomocí současného nástroje,“ tvrdí Michael Hanley, člen technického týmu CERT (Computer Emergency Response Team) uvedeného institutu.

S cílem vytvářet lepší vyhodnocení vnitřní hrozby, systémů detekce vniknutí, analýz e-mailového serveru, analýz protokolů aplikačního serveru a analýz protokolu NetFlow lze koncentrovat úsilí na nalezení osob zodpovědných za krádeže a poškození korporátních dat a nasazení malwaru, který může poškodit síťovou infrastrukturu.

Například analýza dat posbíraná těmito nástroji může filtrovat podezřelé aktivity, jako je použití sítí VPN k přenosům velkého množství dat ze sítě mimo pracovní dobu. Pokud síťový analytik takové chování zaznamená, může ho označit jako možný indikátor zlého chování.

 

Komplexní rozbor

Firmy však potřebují získat zástupce z různých oddělení – IT, IS, personální oddělení, ekonomické oddělení – k identifikaci druhů chování, které mohou naznačovat, že nějaký zaměstnanec jedná jako záškodník.

Poté jsou přizváni analytici obeznámení s již používanými nástroji, kteří zjistí, jakým druhem relevantních informací mohou přispět. „Jde jen o to, říci jim, aby hledali něco nového pomocí současného nástroje. Je potřeba jim pomoci vyladit svou perspektivu,“ tvrdí Hanley. Pokud jsou tito analytici upozorněni, jak podezřelé chování vypadá, mohou nastavit sadu kontrol k rozeznávání těchto příznaků.

Například není zvláštní, že správci systému celý den stahují a odesílají určitý kód. U vědců zase není divné, že kopírují data na USB disky a zasílají informace spolupracovníkům. Ale stejná aktivita v kombinaci s její realizací mimo pracovní dobu někým, na koho bylo upozorněno, může stupeň podezření zvýšit.

Pokud například personalista zjistí osobu, která stáhla na svůj stolní počítač nástroje pro hackery, „měl by být systém IDS nakonfigurován tak, že zašle příslušné upozornění, když tato osoba bude odesílat informace mimo korporátní sítě,“ tvrdí Dawn Capelliová, členka technického týmu Carnegie Mellonova Institutu softwarového inženýrství.

 

Kritická situace při výpovědi

Dalším případem může být, když zaměstnanec podá výpověď z pracovního poměru. Informace LDAP o tom, kdy budou dotyčné osobě zrušena přístupová oprávnění, společně s monitorováním e-mailových aktivit, může přinést důkazy zasílání citlivých dat e-mailem ven, pokračuje Capelliová. V takovém případě lze nastavit blacklisty adres, kam by mohl zaměstnanec odesílat e-maily.

„Většina nevhodného chování zaměstnanců se děje během 30 posledních dnů před jejich odchodem z firmy,“ uvádí Capelliová. U těchto pracovníků mohou být zapnuty nástroje pro analýzu protokolů, aby byly vyhledávány kritické záznamy jako e-maily s přílohami, zasílané konkurentům, do cizích zemí nebo na bezplatné e-mailové účty.

Existují různé typy hrozeb včetně sabotáže, při které mohou správci sítě po propuštění z práce zaútočit s využitím nástrojů, které sami nakonfigurovali před svým odchodem. „Nelze sledovat všechno, co dělají všichni zaměstnanci,“ vysvětluje Capelliová.

Firmy mohou použít nástroje pro řízení změn, aby viděly, zda byly do počítačů, ke kterým měli tito zaměstnanci přístup, umístěny skripty na provozní úrovni. Kód může být nasazen do strojů, kde je software v režimu údržby, a díky tomu je méně podrobně sledován.

U administrátorů by měli vyšetřovatelé prozkoumat vytvořené účty, zda jsou legitimní.

 

Data kradou i technicky nezdatní

Také personál nepatřící do týmu IT by měl být při odchodu z firmy sledován. Inženýři, programátoři, vědci a osoby z prodeje si pravděpodobně budou s sebou chtít vzít věci, které vytvořili a považují je za své vlastní, varuje Capelliová. „Zpravidla však nepoužívají propracované metody pro skrývání toho, co dělají,“ uvádí.

Prostě jen mohou odnést toto duševní vlastnictví na svých noteboocích nebo na USB discích. V případě notebooků mohou softwaroví agenti uvědomit firmu, že byly určité informace stahovány na vyměnitelné disky, vypáleny na disky CD nebo zkopírovány celé disky. Firmy potřebují implementované zásady chránící před takovými aktivitami a potřebují je důsledně vynucovat.

bitcoin_skoleni

„Tým CERT vyvinul open source nástroj nazývaný SiLK (System for Internet-Level Knowledge), který pomáhá analyzovat data NetFlow a hledat indikátory na základě chování v rámci množství nashromážděných dat NetFlow,“ uvádí Hanley.

CERT také pracuje na nové studii o tom, co dělají zaměstnanci vs. co udělají osoby zvenčí, jakmile se dostanou dovnitř. Prolomení zvenčí může vyžadovat více důmyslnosti, takže to, co útočníci provedou po úspěšném vniknutí, může být také důmyslnější než činnosti zaměstnanců.