Jak wygląda współczesny Świat zabezpieczeń w firmach?
Na przestrzeni kilkunastu ostatnich lat, a także dzisiaj, pojęcie „Bezpieczna sieć IT” w wielu firmach kojarzone jest najczęściej z dobrą zaporą sieciową, która chroni organizację przed zewnętrznymi zagrożeniami z Internetu, oprogramowaniem antywirusowym/antymalware instalowanym na komputerach, inteligentnym systemem proxy do wyłapywania niechcianych e-maili lub monitorowania komunikacji z zarażonymi witrynami/linkami. Jest też nadal odsetek firm, które uważają, że oprogramowanie do backupu wystarcza i na wypadek uszkodzenia danych bądź spustoszenia będzie ich możliwe przywrócenie. Dla większości tych firm taki poziom zabezpieczeń jest wystarczający i najczęściej spełnia swoją rolę/zadania. Są też takie firmy, które implementują bardziej zaawansowane systemy, aby mogły sprostać w jak największym stopniu w wykrywaniu zagrożeń. Są to takie systemy jak: SIEM, IDM/IAM, PIM/PAM/PSM, DAM, WAF, DLP czy NAC. Wszystkie o dziwo mają skróty trzyliterowe i doskonale sprawdzają się w wąskiej dziedzinie.
Prezentowany powyżej model ochrony można porównać do miasta obudowanego obwarowaniami, do którego wejścia i wyjścia oraz dodatkowo na murach strzegą strażnicy. Każdy strażnik ma swój „trzyliterowy odpowiednik” i dzielnie broni swojego terenu.
Mamy hermetycznie zabezpieczone wnętrze, zatem czy możemy czuć się bezpiecznie? Czy jest jakiś inny sposób, aby wydobyć informacje z firmy, która jest tak mocno przecież chroniona? Jak się okazuje jest i o dziwo bardzo skuteczny, z którym mało które oprogramowanie na rynku potrafi sobie poradzić. Otóż tym poważnym zagrożeniem są sami pracownicy, którzy mogą mieć autoryzowany dostęp do sieci firmowej, niektórzy nawet zza zapory sieciowej. Pojawia się też coraz więcej urządzeń IoT (z ang. Internet of Things – Internet rzeczy), które są coraz częściej używane w firmach, a które mogą być też łatwym źródłem ataku i furtką do firmy (cyfrowym koniem trojańskim). Przykład takiego urządzenia i zagrożeń jakie może wywołać opisaliśmy w artykule tutaj.
Faktem też jest, że firmy najczęściej koncentrują się na zagrożeniach zewnętrznych takich jak cyberprzestępczość, ataki sponsorowane przez zewnętrzne organizacje lub państwa i haktywistów, a nie uwzględniają zagrożeń wewnętrznych.
Co to jest zagrożenie wewnętrzne (Insider Threat)?
W materiałach wielu firm informatycznych oferujących oprogramowanie do bezpieczeństwa IT spotkamy się z pojęciem „Insider Threat”. Co tak naprawdę ono oznacza?
Insider Threat to ogólne określenie zagrożenia dla bezpieczeństwa organizacji lub danych pochodzących z wewnątrz organizacji. Takie zagrożenia są zwykle przypisywane pracownikom lub byłym pracownikom, ale mogą również pochodzić od stron trzecich, w tym od kontrahentów, pracowników tymczasowych lub klientów. W dobie dzisiejszego rozwoju urządzeń IoT zagrożeniem wewnętrznym może być także ukryte lub niezidentyfikowane wcześniej urządzenie umieszczone w firmie, które stara się podpiąć do sieci korporacyjnej wewnątrz organizacji lub co najgorsze jest podpięte i komunikuje się z Internetem – taki Cyfrowy Koń Trojański.
Aby jak najbardziej zobrazować zagrożenie wewnętrzne posłużymy się dwoma przykładami: pracownikiem oraz urządzeniem IoT.
Klasycznym przykładem pierwszego zagrożenia jest oszustwo przeprowadzone przez amerykańskich braci Eddiego i Tommy’ego Tiptona, którzy wykorzystali poufną wiedzę i fizyczny dostęp do systemów informatycznych w celu zwiększenia prawdopodobieństwa wygrania loterii w stanie Iowa. Eddie Tipton, członek zespołu ds. Bezpieczeństwa IT w firmie loteryjnej zapewnił, że firma jego brata dostarczyła system kamer CCTV, który monitorował komputer, który był używany do generowania losowo losów w loterii.
W rezultacie udało im się sfałszować oprogramowanie kamery CCTV tak, aby kamera monitorująca komputer loterii nagrywała tylko jedną minutę na każde 10, co oznaczało, że Eddie był w stanie uzyskać dostęp do komputera niezauważony i aby w tym czasie mógł uruchomić skrypt, który zmniejszał liczbę możliwych kombinacji wygrywających na stosunkowo małą liczbę w określonym dniu.
Drugi przypadek opisuje zhakowane kasyno w USA, do którego dostęp do sieci od wewnątrz uzyskano przez zhakowanie urządzenia IoT ( inteligentnego termostatu w akwarium w lobby kasyna, który był połączony z Internetem).
Hakerzy wykorzystali lukę w termostacie, aby uzyskać dostęp do lokalnej sieci. Kiedy mogli się podpiąć do sieci, uzyskali dostęp do bazy danych hazardzistów i “wyciągnęli ją przez sieć, z termostatu i przesłali do chmury”. Więcej szczegółów na: https://thehackernews.com/2018/04/iot-hacking-thermometer.html
Jakie wyróżniamy rodzaje zagrożeń wewnętrznych?
Rodzaje zagrożeń wewnętrznych mogą przybierać różne formy, ale zagrożenia można zakwalifikować jako złośliwe lub przypadkowe.
Zagrożenia przypadkowe odnoszą się do sytuacji, w których uszkodzenie lub utrata danych nastąpiło w wyniku nieświadomego działania osoby, nieposiadającej złych intencji. Na przykład pracownika, który przypadkowo usunął ważny plik, stał się ofiarą próby wyłudzenia informacji (phishing) lub nieumyślnie udostępnił więcej danych partnerowi biznesowemu niż jest to zgodne z polityką firmy lub wymaganiami prawnymi.
Zagrożenia złośliwe odnoszą się do celowych prób uzyskania dostępu do danych, systemów lub infrastruktury informatycznej organizacji, które także potencjalnie mogą zniszczyć reputację organizacji i wywołać duże straty pieniężne. Tego typu zagrożenia wewnętrzne są często przypisywane niezadowolonym pracownikom lub byłym pracownikom, którzy uważają, że organizacja ich skrzywdziła w jakiś sposób, a zatem czują się usprawiedliwieni w poszukiwaniu zemsty. Osoby posiadające cenną wiedzą na temat firmy (lub uprzywilejowane uprawnienia) mogą również stać się zagrożeniem, gdy zostaną wykorzystane przez złośliwych oprawców albo motywem działań są korzyści finansowe lub szantaż. Na tych pracowników powinniśmy uważać w szczególności i monitorować ich pracę stosując zasadę podwójnego zaufania.
Chociaż nie jest tak powszechne, ale zagrożeniem złośliwym może być również haker – zwany także black hat lub cracker’em – może to być pracownik konkurencyjnej firmy lub członek organizacji aktywistycznej, która sprzeciwia się firmie. W takich sytuacjach potencjalny atakujący infiltruje firmę, szukając zatrudnienia lub udając pracownika, sprzedawcę, kuriera lub inną zaufana trzecią stronę. Gdy atakujący uzyska fizyczny dostęp do sieci, szuka sposobów na przeprowadzenie ataku. Może także podrzucić w takiej firmie Cyfrowego Konia Trojańskiego, który na pewno będzie niezauważalny i niewykrywalny wewnątrz firmy, a będzie mógł szpiegować, czy nawet próbować przejąć inne systemy.
Jakie są symptomy wystąpienia zagrożenia wewnętrznego?
Złośliwa aktywność związana z zagrożeniem wewnętrznym zwykle występuje w czterech etapach lub fazach.
Po pierwsze, użytkownik wewnętrzny uzyskuje dostęp do docelowego systemu lub sieci. Następnie, w środku, atakujący bada naturę systemu lub sieci, aby dowiedzieć się gdzie znajdują się wrażliwe punkty i gdzie może wyrządzić najwięcej szkód przy najmniejszym wysiłku. Następnie atakujący przejmuje stację roboczą, z której można przeprowadzić atak. W końcu następuje faktyczna eksfiltracja lub zniszczenie danych. Atak i jego fazy w środowisku Microsoft opisaliśmy w kampanii CYBER KILLCHAIN
Świadomość i szkolenia – czy to jedyne lekarstwo na problem?
Szkody wyrządzone przez zagrożenie wewnętrzne mogą przybierać różne formy, w tym:
- Wprowadzić złośliwe oprogramowanie do sieci, wirusy, robaki lub konie trojańskie;
- Wykraść informacje lub tajemnice korporacyjne;
- Wykonać oszustwo finansowe;
- Wykonać uszkodzenie lub usunięcie danych;
- Wykonać zmianę lub uszkodzenie danych;
- Przeprowadzić kradzież tożsamości wobec osób w przedsiębiorstwie.
Wiele organizacji zaczęło opracowywać programy o zagrożeniach wewnętrznych, wdrażając kroki mające na celu ograniczenie zagrożeń wewnętrznych przez przestrzeganie ustalonych najlepszych praktyk w zakresie bezpieczeństwa, szkolenia pracowników i monitorowanie bezpieczeństwa.
Wykrywanie i zapobieganie zagrożeniom z wewnątrz
Wykrywanie i ochrona przed zagrożeniami wewnętrznymi najczęściej pociąga za sobą wprowadzenie takich środków, jak implementacja oprogramowania do skanowania programów szpiegujących (antymalware), programów antywirusowych, zapór ogniowych oraz rygorystycznych procedur tworzenia kopii zapasowych i archiwizacji danych. Zalecanym krokiem jest także przeprowadzanie cyklicznych audytów i testów penetracyjnych.
Lecz same te metody nie wystarczą w skutecznym zapobieganiu zagrożeniom.
Co zrobić, aby zminimalizować ryzyko zagrożeń wewnętrznych?
Zapobieganie zagrożeniom wewnętrznym zaczyna się od edukacji pracowników, bo to oni najczęściej są pierwszym ogniwem w całym łańcuchu. Pracownicy muszą rozumieć potencjalne konsekwencje ryzykownych zachowań, takich jak dzielenie haseł i udostępnianie innych poufnych informacji.
Wdrożenie odpowiednich procedur, w przypadku kiedy pracownicy odchodzą z firmy, jest również niezwykle ważne, aby uniemożliwić byłym pracownikom uzyskanie dostępu do systemu. Dla pracowników spoza IT oznacza to natychmiastowe usunięcie lub wyłączenie kont użytkowników. Dla pracowników IT wyłączenie konta użytkownika może być niewystarczające. Należy również zmienić wszelkie hasła administracyjne w infrastrukturze IT, do których miał dostęp były pracownik.
W przypadku użycia technologii IoT w firmie najlepszym sposobem ochrony jest podłączenie do sieci tylko niezbędnych urządzeń i umieszczenie ich za dedykowaną zaporą sieciową. Współcześni producenci urządzeń IoT skupiają się na zapewnieniu ich jak największej wydajności, natomiast małą uwagę przykuwają do ich odpowiedniego zabezpieczenia.
Ponadto powinniśmy często aktualizować ich systemy operacyjne i oprogramowanie, korzystać z dobrego produktu zabezpieczającego, który chroni wszystkie urządzenia w sieci, a co najważniejsze, uczy się o produktach IoT – ich zachowania w sieci.
Zastosowanie sztucznej inteligencji (uczenie maszynowe, monitorowanie behawioralne, analiza anomalii) jest ważnym narzędziem do wykrywania i łagodzenia zagrożeń wewnętrznych. Przede wszystkim dobry system bezpieczeństwa powinien się uczyć na bieżąco zachowania ludzi, maszyn oraz sieci i nakładać na to odpowiednie wzorce matematyczne. Były pracownik o złych intencjach może próbować zdalnie uzyskać dostęp do systemów docelowych, poza normalnymi godzinami pracy. Nowe urządzenie wpięte w sieć może wysyłać dziwne zapytania lub próbować przejąć inne urządzenia wykorzystując podatności. W związku z tym ważne jest, aby audytować i przeglądać nieudane próby logowania, szczególnie te, które występują w dziwnych porach, monitorować dziwne połączenia pomiędzy urządzeniami oraz wiele innych zdarzeń, o którym napiszemy w osobnych artykułach na naszym portalu..