Minimalizacja czynnika ludzkiego

W ostatnich latach wzrosła świadomość przedsiębiorstw dotycząca zagrożeń związanych z cyberatakami ukierunkowanymi na konkretne cele, wdrożono też szereg rozwiązań technicznych mających ograniczyć takie ryzyko. Jednak wyzwania pozostają, a najważniejsze z nich są nadal związane z błędami ludzkimi, socjotechniką oraz zagrożeniami z wewnątrz organizacji. Istnienie tych obszarów wskazuje, że specjaliści ds. bezpieczeństwa muszą brać pod uwagę nie tylko ochronę przed ryzykiem związanym z techniką, ale również przed ryzykiem czynnika ludzkiego. Dokonajmy zatem przeglądu obszaru „human risk” oraz możliwych do wdrożenia środków, które zmniejszą podatność przedsiębiorstw na tego rodzaju zagrożenia.

Socjotechnika od dawna była główną troską specjalistów zajmujących się bezpieczeństwem informatycznym. Niedawny przypadek przeanalizowany przez firmę FireEye pokazuje, w jaki sposób cyberprzestępcy wykorzystują socjotechnikę i media społecznościowe w celu zdobycia dostępu do sieci ofiary. Pod koniec kwietnia poinformowaliśmy o wykryciu operacji „Clandestine Fox” (http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html), w ramach której grupa przestępcza wykorzystała nową lukę w oprogramowaniu Internet Explorer do atakowania organizacji z sektora obronnego i finansowego. Po szybkim opublikowaniu przez firmę Microsoft patcha usuwającego tę podatność zauważyliśmy, że ci sami przestępcy zainicjowali nowy wektor ataku: media społecznościowe. W popularnym serwisie stworzyli fałszywy profil kobiety rzekomo pracującej w tej samej branży. Następnie kontaktowali się z pracownikami atakowanej firmy pod pozorem budowania kontaktów zawodowych i szukania możliwości zatrudnienia. W jednym przypadku po trzech tygodniach wymiany korespondencji „kandydatka” wysłała na osobisty adres mailowy pracownika skompresowane archiwum „.rar”, które oprócz pliku „.pdf” z jej rzekomym życiorysem zawierało również złośliwy kod. Ten incydent pokazuje nie tylko rozpowszechnianie socjotechniki w kampaniach cyberszpiegowskich, ale też w jakim zakresie atakujący wykorzystują znajomość zasad psychologii oraz błędów popełnianych przez pracowników. Wskazuje też na rolę mediów społecznościowych w prowadzeniu rekonesansu i angażowaniu pracowników atakowanych organizacji.

W celu zmniejszenia powodzenia ataku opartego o metody inżynierii społecznej sugerowane dla przedsiębiorstw kroki obejmują:

  • opracowanie i egzekwowanie zasad użycia prywatnego sprzętu pracowników do celów służbowych (trend BYOD),

  • zdefiniowanie zasad publikowania (lub niepublikowania) w mediach społecznościowych informacji na temat organizacji i jej działań,

  • stosowanie dwustopniowego uwierzytelniania w pracy i w internecie, szkolenie w zakresie ryzyka związanego z wykorzystywaniem mediów społecznościowych, zasobów ludzkich, urządzeń mobilnych, a zwłaszcza socjotechniki,

  • informowanie o bezpiecznych sposobach korzystania z mediów społecznościowych i zachowaniu ostrożności podczas klikania odnośników i pobierania plików,

  • wdrożenie i stosowanie bezpiecznych połączeń przy dostępie do danych wrażliwych.

Jakkolwiek socjotechnika ma zastosowanie w przypadku pracowników, którzy nie mają złych zamiarów, kolejna klasa zagrożeń dotyczy już osób, które mając dostęp do informacji, celowo szkodzą organizacji poprzez kradzież lub niszczenie danych. Mogą to być niezadowoleni pracownicy, osoby podatne na korupcję, aktywiści lub osoby kontrolowane przez służby wywiadowcze.

Firma FireEye pomagała kilku firmom atakowanym przez zorganizowane grupy cyberszpiegów, w których równocześnie obserwowano działania z wewnątrz. Przynajmniej w jednym przypadku prawdopodobnie doszło do zmowy obydwu tych stron.

Ponieważ w sieciach wewnętrznych przechowywana jest ogromna ilość informacji powielanych też na urządzeniach przenośnych, znacznie wzrosło ryzyko związane ze szpiegami dobrze ulokowanymi wewnątrz firmy. Według wyników ankiety (http://www.itgovernance.co.uk/download/Cyber-Watch-Survey- Report-FINAL.pdf) przeprowadzonej wśród szefów firm i specjalistów z obszaru IT ponad 50% respondentów uważała, że jest to zagrożenie poważniejsze od działań cyberprzestępców (27%) czy hakerów pozostających na usługach państw (12%).

Obrona przed zagrożeniami ze strony wrogich działań pracowników jest zasadniczo inna niż w przypadku inżynierii społecznej. Obejmuje ona:

  • ograniczanie uprawnień pracowników oraz grona osób mających dostęp do informacji wrażliwych,

  • programy edukacyjne budujące świadomość kierownictwa i personelu w zakresie rozpoznawania scenariuszy, w których firma może stanąć w obliczu zwiększonego zagrożenia ze strony pracowników,

  • wdrażanie systemów wykrywania zagrożeń opartych na analizie wzorców zachowań.

Stworzenie skutecznego programu ochrony informacji wymaga wzięcia pod uwagę ryzyka związanego z czynnikiem ludzkim i zastosowania adekwatnych środków przeciwdziałania w celu zmniejszenia zagrożeń związanych ze stosowaniem metod socjotechnicznych oraz zagrożeń pochodzących z wewnątrz firmy. Należy więc stosować kompleksowe podejście obejmujące zarówno rozwiązania techniczne, jak i procesy i procedury uwzględniające aspekty bezpieczeństwa, a także programy budowania świadomości pracowników.

Autorem jest Paweł Pietrzak, inżynier systemowy FireEye

DLP expert magazyn
DLP expert 2/2014


Tekst pochodzi z magazynu DLP expert 2/2014 (9)- który bezpłatnie można pobrać tutaj: https://www.dlp-expert.pl/magazine

Źródło: Redakcja