Olimpiada w Soczi a bezpieczeństwo systemów IT

Komentarz eksperta Dell

W następstwie ataków terrorystycznych w Wołgogradzie z końca grudnia, Sekretarz Obrony USA, Chuck Hagel, zadzwonił do swojego rosyjskiego odpowiednika Siergieja Szojgu i zadeklarował pomoc w zapewnieniu bezpieczeństwa w trakcie Igrzysk Olimpijskich w Soczi. Jednakże tak prestiżowe wydarzenia jak Olimpiada są nie tylko czasem wzmożonej ochrony fizycznej obywateli, gości i mienia, ale również czasem, gdy cyberprzestępcy i haktywiści stają się bardziej aktywni niż zwykle, narażając bezpieczeństwo systemów IT na dodatkowe obciążenia.

Podczas dużych imprez ataki na jakie narażone są firmy można podzielić na dwie obszerne kategorie. Jedna kategoria obejmuje ataki ze strony aktywistów, którzy chcą wykorzystać okazję do zaistnienia w przestrzeni publicznej powodując zakłócenia porządku. Haktywiści lub cyberprzestępcy kierują się zwykle przesłankami politycznymi i wykorzystują techniki, takie jak ataki powodujące odmowę realizacji usługi, przejmowanie stron internetowych i dokonywanie na nich aktów wandalizmu lub umieszczanie oprogramowania typu koń trojański.

Do drugiej kategorii należą cyberprzestępcy, którzy chcą pozostać nie widoczni dla systemu detekcji i uzyskać dostęp do różnych organizacji w celu kradzieży pieniędzy lub własności intelektualnej. Często spotykaną praktyką jest rozsyłanie poczty elektronicznej, tzw. phishing, która zawiera odwołanie do określonej strony lub załącznik. Są to zwykle strony, na których przeglądarka i oprogramowanie poddawane jest obróbce za pomocą różnych technik.

Listy elektroniczne typu phishing mogą wyglądać bardzo przekonująco i trudno je odróżnić od wiarygodnych wiadomości mailowych. „Wygraj bilety na Olimpijski finał konkurencji alpejskich”, na przykład, może okazać się zbyt dużą pokusa dla pracownika, aby nie otworzyć niechcianej poczty i nie kliknąć na link, narażając w ten sposób swój komputer, smartfon, czy inne urządzenie. Napastnik będzie chciał następnie uzyskać dalszy dostęp poprzez przechwycenie właściwych danych dostępowych, szczególnie tych, należących do administratorów, którzy posiadają dostęp wyższego rzędu do ważnych systemów, umożliwiając napastnikom poruszanie się w sieci poprzez zwykłe logowanie, które - oczywiście - jeszcze trudniej jest wykryć.

Zagrożenia, które znajdują się w sieciach, komputerach czy innych urządzeniach mogą być zarówno widoczne jak i nie widoczne obrębie danej organizacji. Ponadto, zjawiska, takie jak BYOD, duże dane, chmura, media społecznościowe, masowe korzystanie z internetu i aplikacje na urządzeniach przenośnych sprawiają, że szefowanie IT stają przed jeszcze większym wyzwaniem.

Oto pięć kwestii, jak pięć kół olimpijskich, które można potraktować jako rozgrzewkę przed Igrzyskami Olimpijskimi.

1. Zmniejszyć liczbę punktów dostępu do sieci w celu lepszego wykrywania nietypowych zachowań. Zapobieganie jest ważne, ale wykrywanie odgrywa kluczową rolę. Skuteczne logowanie i monitorowanie stanowi klucz do ustalenia typowych zachowań od nietypowych. Gdy firma rozumie istotę zagadnienia, dużo prostsze staje się identyfikowanie zachowań niestandardowych, takich jak ponadnormatywne pozyskiwanie informacji lub nietypowe żądania dostępu.

2. Przed Igrzyskami należy dokonać oceny odporności infrastruktury – wdrożyć solidne zarządzanie aktualizacjami i prawami dostępu w celu zminimalizowania zagrożenia ze strony rozpoznanych słabych punktów. Należy upewnić się, że użytkownicy mają dostęp tylko do tych aplikacji i danych, które są niezbędne do realizacji ich zadań. Kontrolowanie dostępu do konta użytkownika końcowego i uprzywilejowanego stanowi podstawę każdego dobrego projektu zarządzania tożsamościami i dostępem (IAM).

3. Przeprowadzić standaryzację zapory i systemów zapobiegania włamaniom (IPS), jako element architektury bezpieczeństwa sieci w firmie – należy rozważyć wprowadzenie zapory nowej generacji. Należy starannie wybrać rozwiązanie i upewnić się, czy posiada ono detekcję technik unikania wykrycia i możliwość śledzenia całego ruchu bez względu na port i protokół, łącznie z ruchem szyfrowanym za pomocą protokołu SSL.

Wszystkie systemy zapobiegania włamaniom przeznaczone są do ochrony przed znanymi wzorcami zachowań w sieci. Jednakże, nierozerwalną cechą technologii jest to, że może ona reagować tylko na te ataki, które potrafi rozpoznać. Fałszywy kod jest głównym problemem i można oszukać tradycyjne wykrywacze IPS tak, aby przepuściły dane informacje. Firmy mogą osiągnąć wyższy poziom bezpieczeństwa sieci poprzez przyjęcie systemu IPS, który korzysta z technik zapobiegających unikom i normalizujących dane w celu wykrycia i zablokowania zaawansowanych technik uniku i pozorowania zanim uda się przestępcom wtargnąć do sieci. Ostatnim, ale ważnym zagadnieniem jest kwestia skanowania zarówno ruchu przychodzącego jak i wychodzącego, bez względu na porty i protokoły. Ta kwestia jest często pomijana przez niektóre rozwiązania IPS koncentrujące się na ruchu przychodzącym. Dlatego też nie ma żadnego środka zaradczego, gdy zagrożenie fizycznie znajduje się już wewnątrz systemu, lub gdy firmy już naraziły system na szwank.

4. Identyfikowanie, maksymalizowanie ochrony i strzeżenie kluczowych zasobów informacji. Żadnych korzyści nie przyniesie rozwiązanie, które kosztuje więcej niż warte są informacje, których strzeże. Cyberprzestępcy przeprowadzają precyzyjne ataki i dlatego wymaga to precyzyjnej obrony.

5. Szerzenie wiedzy, zachęcanie do czujności i opracowywanie procedur dla pracowników. Pracownicy często sami otwierają napastnikom wirtualne wrota ponieważ nie są tego świadomi. Wraz ze wzrostem poziomu cyberprzestępczości, jak również ze wzrostem liczby pracowników mobilnych i coraz szerszą obecnością trendu BYOD, jeszcze ważniejszym staje się edukowanie pracowników w kwestii roli, jaką mają odegrać, aby zapewnić, że w sposób bezwiedny nie narażą siebie i firmy na zagrożenie. W celu zapewnienia rzetelnej i wszechstronnej ochrony, należy upewnić się, że pracownicy są świadomi stopnia prawdopodobieństwa, że w pewnym momencie mogą stać się celem ataków i muszą zachować czujność przez cały czas. Należy przeszkolić pracowników w kwestii tego, co stanowi dane wrażliwe oraz jak rozpoznać atak i uniknąć go. Kwestią szczególnie istotną staje się zapewnienie znajomości przez pracowników stosownych procedur dotyczących dostępu do informacji służbowych i ich ochrony.

Zarządzanie szerokością pasma oferuje dodatkowy wgląd w ruch w sieci i w aplikacjach. Podczas ważnych zawodów sportowych lub wydarzeń kulturalnych może wystąpić problem z wydajnością sieci ze względu na zwiększone zapotrzebowanie na pasmo wynikające z przesyłania filmów i oglądania telewizji. Zamiast podejmować szeroko zakrojone kroki, takie jak blokowanie YouTube czy BBC iPlayer, niektóre zapory oferują narzędzia do zarządzania szerokością pasma, które identyfikują i kontrolują ruch w sieci, tak że pierwszeństwo ma ruch o znaczeniu krytycznym dla firm i zgodny z regułami, na przykład SalesForce.com i aplikacje do telekonferencji.

Systemy IT nigdy nie będą odporne na ataki - zalecenia mające na celu poprawę bezpieczeństwa zdają się nie kończyć. Walka z natarczywym sprawcą, który chciałby wejść w posiadanie własności danej firmy jest bardzo dużym wyzwaniem. Jedynym sposobem wydaje się być posiadanie wielu rozwiązań, gdyż pojedyncze zabezpieczenia nie są w stanie wygrać tej walki. Należy jednak pamiętać o edukowaniu pracowników, jako obowiązkowej części tego przedsięwzięcia, gdyż pomoże to zmniejszyć ryzyko, jakie niesie ze sobą czynnik ludzki.

Autorem komentarza jest Florian Malecki, Dell Software EMEA

Źródło: DELL