Téměř všechny úniky dat zahrnují použití legitimních přihlašovacích údajů. Ochrana před těmito „interními hrozbami“ vyžaduje schopnost odhalit situace, kdy kyberzločinci zneužívají ukradené přihlašovací údaje.
Tradiční síťové bezpečnostní nástroje však bohužel nejsou při identifikaci a zmírňování těchto hrozeb dostatečně účinné. Pro tento specifický účel byl proto navržen nový druh řešení, které dokáže analyzovat chování uživatelů a ukazuje se jako účinný.
Pojem „interní hrozba“ obvykle vyvolává představu nepoctivých zaměstnanců nebo smluvních či obchodních partnerů se zločinnými úmysly, kteří mají oprávnění pro přístup k firemním datům.
Tento termín se ale používá také v mnohem širším významu pro jakoukoli hrozbu nebo útok zneužívající přihlašovací údaje či výsady oprávněných zaměstnanců nebo dalších osob s interním přístupem.
Je pravdou, že mezi únikem dat a zaměstnanci či dalšími osobami s interním přístupem lze často nalézt spojitost. Kromě rozhněvaných jedinců a osob se zlými úmysly, kteří záměrně kradou informace, bývají často příčinami krádeže citlivých informací nesprávná konfigurace zabezpečení, nedbalost při dodržování firemních zásad, podlehnutí phishingovým útokům nebo útokům sociálního inženýrství a další neúmyslné jednání.
Největší a nejškodlivější úniky dat však bývají způsobené někým z vnějších hackerů, organizovaného zločinu, nepřátel vlády, konkurentů a hacktivistů. Přestože sami nejsou z řad osob s legitimním interním přístupem, závisejí tito zločinci téměř vždy na získání přihlašovacích údajů patřících někomu takovému, zejména někomu z okruhu osob s oprávněním správce.
Prvořadým cílem kyberzločince tedy je získat přihlašovací údaje pro jednotlivce s přístupem k citlivým datům. Jakmile se to podaří, začne podvodník předstírat privilegovanou interní osobu, vnikne do systému a zkopíruje informace podle svého záměru.
Ať už jde o osoby zvenčí nebo zevnitř, je neoprávněné nebo nedbalé používání přihlašovacích údajů a privilegií interní osoby společným jmenovatelem téměř všech kyberzločinů. Veškerá související rizika lze považovat za interní hrozbu.
Vzhledem k této širší definici interních hrozeb existuje mnoho aktivit spojených s použitím přihlašovacích údajů a aktivit uživatelů, které je nutné za účelem ochrany před kyberzločinem monitorovat.
Přinášíme zde seznam některých nejčastějších projevů, které naznačují použití ukradených přihlašovacích údajů a další nepovolené aktivity a interní jevy ukazující na hrozby. Řešení pro analýzu chování uživatelů by mělo všechny uvedené případy odhalit.
- Podezřelá posloupnost geolokace. Mnoho uživatelů pracuje z více vzdálených míst, jako jsou domovy, hotely, kiosky na letištích, satelitní pobočky a místa u zákazníků.
Pokud jde o účty použité k přihlášení ze vzdálených míst, potřebují podniky zjistit, zda jde o legitimní uživatele, nebo o vzdálené útočníky, kterým se podařilo získat platné přihlašovací údaje.
Sledování geolokace každého pokusu o přístup a ověřování, zda je fyzicky možné v daný čas připojení z tak vzdáleného místa, stejně jako ověření, co je normální chování legitimního vlastníka účtu, je kritické při zjišťování, jestli vzdálení hackeři ukradli a zneužili přihlašovací údaje uživatele.
- Kompromitovaný servisní účet. Servisní účty se používají operačními systémy a různými aplikacemi k vykonávání automatizovaných úloh na pozadí. Tyto účty se obvykle nemonitorují, mají vysoká přístupová práva a jsou neustále vystavené riziku útoku a kompromitace.
Jejich aktivita by se měla sledovat, aby se zajistilo, že nepřistupují k systémům, ke kterým by neměly, a nezasílají data neoprávněným příjemcům.
- Pokusy o krádež dat. Z úniku dat panuje v mnoha organizacích velká obava. Obtížnost detekce úniků dat roste s příchodem dalších technologií a metod pro přenosy dat.
Monitorování neobvyklého chování uživatelů, jako je přístup k datům, se kterými tento uživatel obvykle nepracuje, nebo přenosy dat do neobvyklých destinacích mohou odhalovat pokusy o krádež dat.
- Sdílení přihlašovacích údajů. Studie ukazují, že více než 20 % zaměstnanců sdílí svá hesla s někým dalším, přestože je to přísně zakázáno zásadami.
Monitoring současného, vzdáleného a neobvyklého použití uživatelských účtů může pomoci odhalit a zmírnit sdílení přihlašovacích údajů.
- Slídící uživatelé. Při hledání citlivých a cenných dat prohledávají ničemní interní uživatelé a externí zločinci korporátní systémy v naději, že najdou a získají informace, které budou moci prodat nebo použít pro vlastní zisk.
Detekce a zkoumání takového neobvyklého chování uživatelů může odvrátit hrozící kyberzločin.
- Odcházející zaměstnanec. Pracovníci, kteří se připravují opustit organizaci, mohou představovat bezpečnostní hrozbu. Přestože mohou představovat vysoké riziko krádeže dat a dokonce sabotáže, dokáže jejich akce vysledovat a detekovat podezřelé chování jen velmi málo nástrojů.
Bezpečnostní pracovníci musejí implementovat řešení navržená tak, aby specificky a automaticky sledovaly účty odcházejících zaměstnanců a upozornily na podezřelé chování.
- Zneužití privilegovaného účtu. Protože jsou privilegované účty vytouženou trofejí kyberzločinců, je monitorování jejich použití z hlediska neobvyklého chování nesmírně důležité.
Automatizovaný, vzdálený a simultánní přístup může indikovat interní hrozbu stejně jako neobvyklé časy přihlášení, přístup k nezvyklým systémům či nenormální přenosy dat.
- Neoprávněný přístup třetí strany (obchodní partneři a další dodavatelé). Smluvní strany, obchodní partneři a další poskytovatelé služeb mají často přístup k citlivým podnikovým datům.
Přesto však obvykle nepodléhají stejným bezpečnostním opatřením a zásadám jako hostitelský podnik. V důsledku toho může dojít k nakažení aplikací a zařízení malwarem navrženým k ukradení přihlašovacích údajů.
Je povinností zejména hostitelského podniku monitorovat chování všech uživatelů třetích stran.
- Chyby v konfiguraci sítě. Při monitorování normálního chování uživatelů může anomální jednání často odhalit nesprávnou konfiguraci zabezpečení. Například když zaměstnanec přistupuje k systému, který je mimo obvyklý vzorec jeho pracovní náplně, ukazuje to často na díru v bezpečnostních zásadách a nastaveních.
Včasná oprava chyb konfigurace může předejít bezprostředním i budoucím útokům.
Detekce interních hrozeb je v současném prostředí nezbytná. Je k ní zapotřebí pečlivého využití celé řady metod prevence počítačové kriminality. Ať už jde o zaměstnance se zlými úmysly, nebo o vnější útočníky využívající ukradené přihlašovací údaje, musejí být podniky v pohotovosti, ostražitě monitorovat dění a zaměřovat se interně na chování uživatelů a podezřelé aktivity. Jen tak mají šanci zmařit potenciální interní útoky.
Tento příspěvek vyšel v Security Worldu 1/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU