Tým CERT (Computer Emergency Response Team) z Carnegie-Mellon University definuje „zlomyslného insidera“ takto: Jde o současného nebo bývalého zaměstnance, smluvního nebo obchodního partnera, který má či měl autorizovaný přístup do korporátní sítě, systému či k firemním datům a úmyslně zneužil tento přístup způsobem, který negativně ovlivnil tajnost, integritu nebo dostupnost informací nebo informačních systémů organizace.
Jednoznačná hrozba
To potvrzují také nedávné průzkumy. Organizace e-Crime Watch v rámci průzkumu v roce 2009 vyzpovídala 523 firem a zjistila, že 51 % z těchto subjektů již má zkušenost s nějakou formou útoku od insidera. O tři roky dříve toto číslo přitom činilo „jen“ 39 %. Lze navíc předpokládat, že některé společnosti tyto útoky buďto nepřiznaly, nebo vůbec neodhalily, takže je reálné číslo pravděpodobně ještě mnohem vyšší.
Další průzkum, tentokrát s názvem 2011 CyberSecurity Watch Survey, byl proveden magazínem CSO a sponzorován společností Deloitte. Odhalil skutečnost, že i navzdory vyššímu počtu útoků pocházejících z vnějších entit stojí za většinou problémů v podnicích rafinované útoky zevnitř.
Hromadící se hrozby kyberprostoru, v němž vnější subjekty využívají softwarové zranitelnosti, odcizené počítače a sociální inženýrství k útokům na sítě korporací, jsou v dnešní době předmětem mnoha debat. Celou řadu respondentů, kteří se podíleli na průzkumu „2011 CyberSecurity Watch Survey“, přesto daleko více znepokojují potenciálně zlomyslní interní pracovníci.
Celkem 58 % z 607 respondentů připisuje většinu útoků, kterým museli v nedávné minulosti čelit, nezasvěceným osobám bez autorizovaného přístupu k síťovým řešením či datům. Útoky zlomyslných interních pracovníků skrývajících se za zaměstnanci či dodavateli služeb s autorizovaným přístupem převládaly u 21 % dotázaných. I navzdory tomu však 33 % účastníků výzkumu, tedy o 8 % více než v loňském roce, považuje útoky zevnitř za daleko ničivější.
Rozličné nástroje i motivace
Interní hrozby také získávají na sofistikovanosti – značí to alespoň počet interních útoků využívajících rootkity nebo další sofistikované nástroje. Tento ukazatel totiž z loňských 9 % vzrostl na 22 %. Vinu na tom nese snadnější dostupnost takových řešení a zvyšující se podíl automatizace.
Nejenže je odstranění škod napáchaných útoky zevnitř obvykle finančně mnohem náročnější, podle průzkumu tyto útoky navíc způsobují ještě další následky, které je často těžké kvantifikovat a ve finální fázi i kompenzovat. K nejzákeřnějším patří pošramocená reputace společnosti, kritické selhání systému a ztráta důvěrných či utajovaných informací.
Organizace, které nevěnují hrozbě od insiderů adekvátní pozornost s přirozeným důsledkem podnikání ve vysoce konkurenčním prostředí, musejí otevřít oči a uvědomit si vážnost tohoto problému. Škála těchto hrozeb je pestrá a riziko hrozí stejně tak od nespokojeného zaměstnance (který mohl očekávat zvýšení platu či povýšení, jehož se mu nedostalo, a nyní hodlá sabotovat produkci) až po obchodního partnera (jenž hodlá zcizit citlivá korporátní data a prodat je konkurenci kvůli osobnímu obohacení).
Jsou dokonce evidovány i případy krádeže duševního vlastnictví zahraničními agenty tajných služeb. Kromě těchto záměrně škodlivých akcí jsou však společnosti výrazně ohroženy také nedbalostí a nechtěně škodlivou činností svých zaměstnanců.
Ty mohou nastat, pokud jednotlivci disponují více právy, než které ke své práci ve skutečnosti potřebují. Zaměstnanec s přístupem k citlivým korporátním datům tak může svou neuvážeností tyto informace dostat například na internet, což se pro firmu stavící na svém duševním vlastnictví rovná de facto katastrofě. Ve finále se tak organizace musejí chránit nejen proti zlomyslným insiderům, ale také bezohledným a nedbalým uživatelům.
Proč se riziko zvyšuje?
Za globálně vyšší hrozbou od insiderů stojí ne jeden, ale hned několik faktorů:
- Nízké ceny datových úložišť: Pokračující pád cen datových úložišť pro organizace často znamená, že je levnější uložit a archivovat veškerá data, než věnovat čas jejich třídění a rozhodnutí o tom, která data uchovat a která smazat. Takto jsou data vždy přístupná a pro potenciální škůdce nemusí být až takový problém je najít.
- Vyšší sofistikovanost útoků: Asi nepřekvapí, že za insider útoky stojí často jedinci vybavení technickými znalostmi. Pokud jsou ovšem natolik zruční, aby dokázali provést útok, znamená to, že svůj čin pravděpodobně také dokážou zamaskovat – ať už úpravou/smazáním logů nebo nějakým jiným způsobem.
- Vysoce distribuované prostředí: Dnešní zaměstnanci přistupují k datům a aplikacím prostřednictvím různých kanálů (Wi-Fi, Ethernet, 3G) z různých platforem (PC, Mac, tablet, chytré telefony…). Organizace musejí zajistit podporu všech těchto přístupových metod, aby neomezily produktivitu svých zaměstnanců, každý další kanál a platforma však přinášejí celou řadu nových potenciálních rizik, které je třeba brát v potaz. Když k tomu navíc připočítáte výpočetní modely jako cloud computing a outsourcing, jsou firemní data rozeseta prakticky všude…
- Nevědomost koncových uživatelů: Mnozí zaměstnanci nemají dostatečnou znalost firemních pravidel o využívání, sdílení a distribuci dat a informací. Může se tak stát, že uživatel pomocí e-mailu hromadně rozešle nepovolaným osobám citlivá korporátní data. Ačkoli nejde o záměrně škodlivou akci, důsledek pro firmu může být stejně katastrofální.
Kromě těchto obecných faktorů mohou riziko od insiderů zvýšit také nedostatečně ošetřené bezpečnostní faktory:
- Žádná komplexně sepsaná a přijatelná bezpečnostní pravidla: Všechny organizace by měly disponovat detailními bezpečnostními pravidly, která budou pravidelně revidována a dávána k přijetí každému zaměstnanci. Ačkoli jde o základní krok, společnosti jej často velkoryse přehlížejí. Mít sepsaná bezpečnostní pravidla nutně nezabrání insider útokům, rozhodně to však pomůže stanovit hranice mezi přijatelným a nepřijatelným zacházením s citlivými korporátními daty.
- Neefektivní správa privilegovaných uživatelů: Všechna IT prostředí mají své privilegované uživatele (admin, root apod.), kteří disponují přístupem ke klíčovým systémům, aplikacím a informacím. To neobnáší jen bezpečnostní riziko, ale také ztěžuje dosažení souladu se zákonnými ustanoveními. Sdílení administrátorského hesla je dalším častým problémem, který může vést k nežádoucímu přístupu k firemním systémům a informacím, neboť následně není možno určit, kdo konkrétně učinil tu kterou akci v tom kterém systému.
- Nevhodné přiřazování rolí a přístupových práv: Správa uživatelských rolí a práv je jednou z největších výzev, jimž mnohé IT organizace čelí. Přesahující role a duplikovaná či nekonzistentní oprávnění jsou častými problémy, které mohou rovněž vést k nežádoucímu přístupu a zneužití citlivých informací. Absence automatizovaného deprovisioningu může navíc způsobit, že se například bývalý (nespokojený) zaměstnanec dostane do firemních systémů, i když už v organizaci nepůsobí – zbytek si jistě dokážete domyslet sami…
- Špatná klasifikace informací a nedostatečné zajištění dodržování pravidel: Mnohé organizace ani netuší, kde mají všechny své citlivé informace. Často navíc disponují špatně definovanými a aplikovanými pravidly pro zacházení s tímto duševním vlastnictvím. Co je však nejhorší, spousta firem vůbec nemá žádné mechanizmy pro detekci a prevenci neautorizovaného přenosu a kopírování těchto citlivých dat.
- Slabá autentizace uživatelů: Přístup k vysoce citlivým informacím často vyžaduje pouze jednoduché ověření pomocí hesla, přičemž je ignorován kontext tohoto přístupu (např. to, kde se uživatel právě nachází), který může zvyšovat riziko útoku.
- Chabá správa identit: Efektivní ochrana proti nežádoucímu přístupu či využívání informací vyžaduje silnou kontrolu nad identitami, přístupem a způsobem využívání informací. Většina organizací disponuje jen některými kontrolními technologiemi, postrádá však jednotný a robustní mechanizmus pro co nejlepší ochranu svého duševního vlastnictví.
- Chybějí průběžný audit a dostatečná analýza: Mnohé společnosti nemají způsob, jak průběžně auditovat přístup, aby zajistily, že se dostává jen povolaným osobám a využívání informací je v souladu s nastavenými pravidly. A i když disponují vhodnými auditorskými nástroji, samotný objem generovaných dat v logu činí eventuální identifikaci bezpečnostních narušení a hrozeb extrémně složitou.
- Virtualizace a cloud computing: Nové výpočetní modely a platformy sice podnikům nabízejí významné výhody, zároveň však obnášejí další nezanedbatelné bezpečnostní výzvy.
Přínosy IAM
Nejvhodnějším řešením pro detekci hrozeb od insiderů je nasazení kvalitního systému IAM (Identity and Access Management) ve spojení s mechanizmem pro ochranu informací (DLP, Data Loss Protection). Pod tento systém spadá vše týkající se administrace jednotlivých identit – uživatelů – a způsobu využívání informací.
Vytvořením digitální identity po všechny zaměstnance, případně také obchodní partnery apod., celý proces IAM (Identity and Acces Management) teprve začíná. Tuto identitu je potřeba průběžně sledovat, udržovat a adekvátně měnit, aby odpovídala aktuálnímu stavu.
Jinými slovy je třeba dohlížet na tzv. access lifecycle neboli přístupový životní cyklus. Seznam technologií spadajících do kategorie identity managementu je dlouhý a zahrnuje kupříkladu nástroje pro správu hesel, software pro provisioning (proces tvorby identit, definování jejich přístupových práv a jejich zahrnutí do úložiště identit) a de-provisioning (proces odstraňování identity z úložiště identit a ukončení veškerých přístupových práv souvisejících s danou identitou), aplikace pro zajištění dodržování bezpečnostních pravidel, reportovací a monitorovací software a úložiště identit.
Nasazením systému IAM lze zajistit bezpečnost kritických IT zdrojů (včetně virtualizovaných a cloudových prostředí). Krom toho dostanete automatizace bezpečnostních mechanizmů a prvků pro zajištění souladu se zákonnými požadavky, čímž zvýšíte efektivitu auditů, které se zároveň stanou jednoduššími. S pomocí kvalitní sady IAM můžete jednoduše ošetřit všechny výše zmíněné rizikové a bezpečnostní faktory.
Technologie sama o sobě nestačí, organizace musejí přesto vyčlenit zdroje na monitorování systémů, sledování logů, kontrolu činností a správu systémů. Kombinací technologie a vhodných schopností lze však výrazně snížit riziko potenciálních insider útoků.
A výhody? Minimalizace bezpečnostních rizik, lepší a jednodušeji zajistitelný soulad se zákonnými požadavky, nižší administrativní výdaje a zvýšená efektivita a nakonec také bezstarostná kooperace s obchodními partnery.
Autor pracuje jako software engineering manager ve společnosti CA Technologies.
PŘEDPLATNÉ
ČLÁNKY DO MAILU