Dziesięć ułatwień

Dziesięć ułatwień
dla cyberprzestępców
SOLIDNA
OCHRONA
FIRMY
ZB UD O WA N A
WE WŁAŚCIWY SPOSÓB
Dziesięć ułatwień dla cyberprzestępców
Dziesięć ułatwień dla cyberprzestępców
Przed zapoznaniem się z niniejszym dokumentem zachęcamy do przeczytania białej kart opracowanej
przez Kaspersky Lab – "Punkt końcowy znów w centrum uwagi".
Dokument "Punkt końcowy znów w centrum uwagi" przedstawia prawdziwy cel
dzisiejszych cyberprzestępców - punkt końcowy lub pracownik. Natomiast ta biała karta skupia się
na opisie tego, jak nieświadomie działy IT ułatwiają cyberprzestępcom dostęp do systemów i danych
poprzez serię nieporozumień i fałszywych założeń.
Konieczność dostępu użytkownika końcowego do zasobów Internetu i wszystkich sposobów
komunikacji, które on oferuje, są stale wysokie. Konieczność korzystania z tych samych środków
komunikacji w firmach również ciągle wzrasta. Mobilność pracowników i danych firmowych stanowi
obecnie coraz większe wyzwanie, a nadążanie za gwałtownie rosnącym zagrożeniem
cyberprzestępczością jest trudne.
W rezultacie wiele działów IT staje się nieświadomie wspólnikami cyberprzestępców, często w wyniku
braku wystarczającej wiedzy i zrozumienia tematu. Dokument ten opisuje różne sposoby,
w jakie działy IT firmy ułatwiają popełnienie cyberprzestępstwa w ich środowisku, a także klika
podpowiedzi jak uniknąć ustawicznego popełniania, niebezpiecznych dla firmy, błędów.
Omawiamy tu dziesięć rodzajów działań, wykonywanych przez pracowników IT, które przyczyniają się
do popełnienia cyberprzestępstwa i oferujemy rozwiązania opierające się na badaniach firm trzecich
oraz analizie ekspertów Kaspersky Lab. Jak Twoja firma sprosta tym ciągłym pułapkom?
Ułatwienie 1
Założenie, że dane są scentralizowane
Biorąc pod uwagę fakt, że kadry kierownicze w większości korporacji posiadają jedną kopię maili
na używanych przez siebie smartfonach (iPhone, BlackBerry, itd.), drugą na laptopach, a trzecią
na mailowym serwerze firmowym. To wyraźnie pokazuje, że dwa razy więcej danych
jest przechowywanych poza obrębem centrum danych firmy, niż wewnątrz. Ponad to, liczne urządzenia
przenośne USB, płyty CD, kopie zapasowe, rozwiązania opierające się na technologii "chmury",
wymiana danych z partnerami biznesowymi, sprawiają, że ilość danych poza firmą jest większa
niż można przypuszczać.
Zdajemy sobie sprawę, że dane nie są scentralizowane, ale działy IT firmy traktują je, jakby
rzeczywiście były. Z jakiego innego powodu tracilibyśmy dysproporcjonalnie czas i pieniądze
na wzmocnienie ochrony obszaru centrum danych poprzez takie technologie jak uwierzytelnianie,
zarządzanie dostępem, zapora sieciowa, zabezpieczenie przed włamaniem do sieci, itp.? Nie można
powiedzieć, że którakolwiek z tych technologii nie jest istotna. Zdecydowanie są ważne. Jednak,
należy skoncentrować się na tym, gdzie przechowywane są obecnie dane firmy; nie tylko w centrum,
ale poza nim, na punkcie końcowym.
Dane nie znajdują się w hermetycznych silosach (repozytoriach taśmowych). Ale swobodnie
przemieszczają się poza centrum przetwarzania danych. Badania przeprowadzone
przez firmę IDS wykazują, że komputery stacjonarne/laptopy stanowią najpoważniejszy problem
dla systemów Data Loss Prevention (DLP; Zapobiegania utracie danych). Punkt końcowy stanowi
bardziej bezpośrednie zagrożenie utraty danych. Wyniki badania IDS wykazują, że mobilność jest głównym
czynnikiem powodującym nowe wydatki na ochronę, co sugeruje, że coraz więcej firm zwraca
na nią uwagę i wzmacnia środki bezpieczeństwa poza obrębem ich centrali.
1
Dziesięć ułatwień dla cyberprzestępców
Ułatwienie 2
Niedocenienie wartości danych znajdujących się na urządzeniach mobilnych
Nasz czas jest bardzo cenny. Spędzamy niezliczone godziny tworząc raporty i analizując dane,
aby podejmować właściwe decyzje biznesowe. Poświęcamy weekendy na korespondencje mailową
i przygotowując prezentacje. Podchodzimy z należytą starannością do każdej sytuacji sprzyjającej
rozwojowi naszej firmy, która często wymaga podejmowania szybkich decyzji; wszystko to generuje
duże ilości danych znajdujących się na systemach urządzeń przenośnych.
Jednak działy IT traktują laptopa jak szklaną butelkę z sokiem. Gdy urządzenie zostanie zgubione
lub skradzione, ubezpieczenie obejmie tylko wartość pustej butelki, pomijając wszystkie cenne dane,
które znajdowały się na urządzeniu.
W związku z tym, systemy ochrony dla urządzeń mobilnych zwykle określają wartość urządzenia,
zamiast brać pod uwagę wartość danych. Należy jednak pamiętać, że najczęściej wartość danych
na urządzeniu przekracza wartość samego urządzenia, nierzadko setki razy.
Korzystanie z zarządzanych rozwiązań antywirusowych, antywłamaniowych i technologii ochrony
prywatności dla urządzeń mobilnych stanowi dobry początek zapewnienia ochrony dla znajdujących się
na nich danych.
Obecnie w firmach pojawiła się tendencja, aby umożliwić użytkownikom - rozpoczynającym pracę
na stanowiskach kierowniczych - dokonanie swobodnego wyboru marki i modelu przy zakupie
strategicznych urządzeń mobilnych, takich jak laptop czy smartfon, których będą używać.
Wzrastająca ilość iPhonów wykorzystywanych w sieciach firmowych jest tu najlepszym przykładem.
Niestety, większość ludzi biznesu i branży komputerowej bardziej skupia się na oszczędności kosztów
i czasu przy wymianie urządzenia na nowe, niż wartości danych, które się na nim znajdowały.
Pracownicy są wyposażeni w urządzenia zgodne z ich własnym wyborem, a nie urządzenia, które
są zoptymalizowane pod kątem zarządzania rozwiązaniem antywirusowym, antywłamaniowym
i technologią ochrony prywatności. Efektem tego jest zwiększenie różnorodności urządzeń, systemów
operacyjnych, nośników, profilów ochrony i innych technologii w firmowej sieci wewnętrznej. W przypadku
organizacji z ograniczonym personelem zapewniającym bezpieczeństwo, zagwarantowanie ochrony
na różnych platformach może przekroczyć ich możliwości.
Ułatwienie 3
Podejście do laptopów i urządzeń mobilnych, jako aktywów firmy, które nigdy nie są wykorzystywane do celów osobistych, przy mylnym założeniu, że dane przedsiębiorstwa nie znajdą się
na domowych systemach pracowników
Klika lat temu, sieci firmowe miały solidnie określone granice. Stosowana technologia ochrony jasno
określała co jest wewnątrz, a co na zewnątrz sieci, niczym fosa średniowiecznego zamku. Urządzenia
zewnętrzne były uznawane za niezaufane, a te wewnątrz sieci korzystały z ochrony firmowej zapory
sieciowej, jak zamki z murów obronnych.
Obecnie firmy na całym świecie widzą wzrastające korzyści z pracy zdalnych lub mobilnych pracowników.
Postępy w technologii mobilnej pozwoliły firmom na stworzenie "stale osiągalnego" pracownika, który,
podczas podróży, ma pełny dostęp do istotnych zasobów firmy, takich jak aplikacje, dokumenty i poczta
elektroniczna w dowolnym miejscu na świecie. Wiąże się to z poręcznym urządzeniem.
Pracownicy wyjeżdżający na delegacje mają dostęp do firmowej sieci i danych na poczekalniach lotnisk,
hotelach i podczas lotu nawiązując niezabezpieczone połączenia z Internetem. W rezultacie, zwykły
dzień roboczy nie jest już ograniczony sztywnymi godzinami. Ludzie pracują korzystając z najbardziej
aktualnych informacji, odpowiadają bezpośrednio za kontakty z klientami oraz wykonują codzienne
zadania - przez całą dobę. Jednakże, środowisko to wykształciło nową lukę w firmie, która może być
celem pojawiających się zagrożeń (Na podstawie badań firmy IDC "Mobile Security"
(Ochrona urządzeń mobilnych)).
2
Dziesięć ułatwień dla cyberprzestępców
Polityka ochrony dla laptopów znacznie różni się od tej dedykowanej na komputery stacjonarne.
Komputery stacjonarne, które są używane tylko w miejscu pracy, często nie potrzebują określonych
technologii, takich jak indywidualne zapory sieciowe. Jednak laptopy wymagają świadomego podejścia
odpowiedniej strategii.
Gdy wraz z pracownikiem opuszczają względnie bezpieczną sieć firmową, automatycznie powinna
włączyć się na nich rozszerzona ochrona. Elementy ochrony - takie jak włączenia zapory sieciowej,
wyłączenie niezabezpieczonych hasłem połączeń nawiązywanych poprzez Bluetooth i sieci
bezprzewodowe, a także zwiększenie kontroli urządzeń USB - powinny być uruchamiane od razu,
gdy laptop znajdzie się poza firmową siecią wewnętrzną.
Ułatwienie 5
Adaptacja mediów społecznościowych bez odpowiedniej ochrony
Portale społecznościowe stały się powszechne. Jest to nowa technologia niezbędna do rozwoju
niejednego segmentu biznesowego. Wykorzystywana w prawidłowy sposób, może być ogromnie
pomocna. Dziesięć lat temu, presja spoczywająca na działach IT ograniczała się do obsługi połączenia
internetowego. Następnie zakres obowiązków poszerzył się o firmową pocztę e-mail i komunikatory
internetowe. Każdy z tych elementów w końcu stał się istotnym narzędziem biznesowym. Media
społecznościowe są kolejnym wyzwaniem i należy się do niego przygotować.
Wiele firm zmaga się z pytaniem, jak odpowiedzialnie udostępnić swoim pracownikom narzędzia
Web 2.0 bez konieczności poświęcenia bezpieczeństwa i odstępstw od obowiązujących przepisów
prawnych. Media społecznościowe i technologie Web 2.0, wykorzystywane właściwie, mogą
zwiększyć kolaborację firmy, jej wydajność oraz przychody. Należy rozważyć, jak firma powinna podejść
do mediów społecznościowych w sposób bezpieczny, gdyż, z kilkoma wyjątkami, wprowadzenie zakazu
korzystania z mediów społecznościowych okaże się niepraktyczne.
Sytuacja wymaga wprowadzenia formalnej polityki kontroli dostępu i zarządzania mediami
społecznościowymi. Na przykład, jeżeli firma chroni swoją sieć przed atakami szkodliwego
oprogramowania, ale nie kontroluje logowania do portali społecznościowych, to jeden pracownik
przez nieuwagę może doprowadzić do zainfekowania złośliwym oprogramowaniem całej sieci firmowej
i spowodować znaczne straty ekonomiczne, bezpośrednio lub pośrednio. Portale społecznościowe mogą
również doprowadzić do wycieku danych spowodowanym przez samych pracowników, którzy dobrowolnie
dzielą się informacjami z niepowołanymi osobami.
Z wyjątkiem niektórych, dobrze kontrolowanych środowisk akademickich, zakaz korzystania z mediów
społecznościowych jest bezcelowy. Bardziej praktycznym podejściem jest zastosowanie technologii,
które ściśle monitorują ruch, podczas korzystania z serwisów społecznościowych i blokuje znane
szkodliwe strony.
Ułatwienie 6
Skupienie się na ochronie kontra wykrywanie i reakcja na zagrożenie
Analiza wszechstronności schematów ochrony obejmuje wiele aspektów. Te podstawowe to ochrona,
wykrywanie i reakcja na zagrożenie. Bardzo często zdarza się, że produkty antywirusowe nie są w ogóle
analizowane i traktuje się je jak zwykły towar, automatycznie odnawiając co roku. W rezultacie jakość
wykrywania i reagowania nie są również rozpatrywane. Jak wykazaliśmy, te czynniki są nieodzownymi
elementami strategii bezpieczeństwa. W firmie konieczne jest wprowadzenie szerokiego zakresu
ochrony, charakteryzującej się wydajnością, łatwością zarządzania i wdrażania oraz fachową
pomocą techniczną.
3
Dziesięć ułatwień dla cyberprzestępców
Wiele firm skłania się do nowszych technologii zabezpieczeń, takich jak DLP (Ochrona przed wyciekami informacji), szyfrowanie, itp. Mimo, że są to bardzo przydatne narzędzia, to ogólna liczba
wypadków i infekcji szkodliwym oprogramowaniem nadal wzrasta. Badanie przeprowadzone przez
firmę IDC wykazały, że 46 procent firm doświadczyło wzrostu wystąpień złośliwego oprogramowania,
podczas gdy tylko 16 procent odnotowało ich spadek. W środowisku SMB (Server Message
Block)(500 - 2499 pracowników) odnotowano największą różnicę, 44 procent widzi wzrost ilości
złośliwego oprogramowania, a jedynie 7 procent jego spadek.
Oznacza to, że szkodliwe programy nadal wymykają się tym udoskonalonym środkom zapobiegawczym, pokazując że większy nacisk należy położyć na wykrywanie i możliwości reakcji. Działy IT
zainwestowały w mechanizmy ochrony na bramce serwera, ale szeroko otworzyły drzwi pracownikom
do surfowania w sieci, bez odpowiednich mechanizmów zapewniających wykrywanie cyberprzestępców i skutecznego ich blokowania.
Ze względu na to, że dzisiejszym celem cyberprzestępców jest punkt końcowy, należy wdrożyć
solidną technologię wykrywania i reakcji właśnie na punkcie końcowym. Ma to na celu zapewnienie
ochrony przed złośliwym oprogramowaniem zaprojektowanym przez cyberprzestępców do kradzieży
danych, informacji uwierzytelniających i profitów firmy.
Ułatwienie 7
Nieświadomość powagi zagrożenia
Świadomość użytkownika końcowego i wyszkolenie go są bardzo ważne, niezależnie od przyjętego
poziomu ochrony informacji. Na przykład, trzeba nauczyć pracowników jak bronić się przed szkodliwym kodem - tzn. jak bezpiecznie surfować, unikać zagrożeń typu spyware i scareware (fałszywe
programy antywirusowe), zwracać uwagę na załączniki dołączone do korespondencji. Polityka
ochrony haseł powinna być powszechnie znana i egzekwowana. A sposób korzystania z Internetu
musi być jasno określony, monitorowany i konsekwentnie przestrzegany.
Poznanie znaczenia zagrożeń, skutków ich działania i sposobów rozprzestrzeniania się, pomaga
zachować czujność i powstrzymuje użytkowników od podejmowania błędnych decyzji, które mogą
zainfekować ich punkt końcowy. Stałe promowanie znaczenia ochrony jest niezbędne by pracownicy
byli wciąż na bieżąco z tym zagadnieniem i pozostawali bezpieczni.
Równie ważne jest by pracownicy działu IT byli dobrze przeszkoleni w zakresie bieżących technologii
działania zagrożeń i ich ukierunkowania, aby podejmować świadome decyzje związane z ochroną i
technologiami zapobiegania infekcjom.
Ułatwienie 8
Niezgłaszanie włamań
Mimo, że ilość naruszeń bezpieczeństwa przez cyberprzestępców wzrosła ponad 23%, a koszty z tym
związane wzrosły ponad dwukrotnie, to jest to tylko wierzchołek góry lodowej. Dane te, udostępnione
przez Centralne Biuro Śledcze (FBI), są niezgodne ze stanem faktycznym, gdyż firmy zazwyczaj nie zgłaszają tego rodzaju włamań. Najzwyczajniej nie chcąc, aby świat dowiedział się, że zostały
okradzione, w obawie, że wartość ich akcji i marki oraz reputacja na tym ucierpią.
Choć takie tłumienie się jest naturalne, jego wynikiem jest zaciemnienie faktycznego wzrostu liczby
zagrożeń w Internecie. Niezgłaszanie włamań daje innym firmom mylne wrażenie zmniejszenia się
niebezpieczeństwa ze strony szkodliwego oprogramowania i przekonanie, że wzrost cyberprzestępczości jest zdecydowanie przesadzony. W rzeczywistości zagrożenie wzrosło o ponad 23% - FBI po
prostu nie może tego dokładnie ocenić, ze względu na nieudokumentowane włamania, które
występują codziennie.
Firmy bardzo skorzystałyby, wiedząc, że takie włamania występują, jak zostały popełnione, i jak mogłyby chronić się przed podobnym atakiem.
4
Dziesięć ułatwień dla cyberprzestępców
Ułatwienie 9
Uzależnienie od reguł
Postępowanie zgodne z przepisami i ochrona zasobów IT nie zawsze idą w parze. Można postępować zgodnie z regulaminem, a mimo to być niechronionym. Wiele firm postrzega ochronę przed
szkodliwym oprogramowaniem jako jeden z punktów na liście do odhaczenia: "Muszę ją mieć
i muszę ją uaktualniać, ale to wszystko co mam do zrobienia."
Zgodność z przepisami wiąże się często z "odgórnym" podejściem. Określa to jednakowe podejście
do typowych szablonów. Firma powinna zwracać uwagę na swoje produkty i procesy, by przekonać
się czy może wpaść w sieć schematów.
Z drugiej strony, ochrona jest sprawą marginalną jeżeli jest właściwie wdrożona. Niezależnie czy wybiera się oprogramowanie jakie ma być zainstalowane w firmie czy planuje się strukturę nowej
sieci firmowej, należy zawsze uwzględnić elementy zabezpieczające. Na przykład, jeśli podczas
projektowania architektury produktu, wstępne podejście pozwoli na dobre opisanie komunikacji,
lokalizacji, wersji, i tak dalej, to pozwoli też na opisanie elementów ochrony, które muszą być
wbudowane w aplikację od pierwszego momentu. Elementy ochrony powinny być wciąż rozwijane
i w razie konieczności poprawiane podczas całego procesu.
Postępowanie zgodnie z regułami może stanowić iluzję bezpieczeństwa dla tych, którzy nie rozumieją zawiłości zabezpieczenia cyfrowego świata biznesu. Samo przestrzeganie regulaminu nie jest
wystarczające.
Ułatwienie 10
Założenie, że wszystko jest w porządku
Chociaż systemy mogą być „kuloodporne”, ostatecznie to ludzie je eksploatują. W wielu przypadkach, problem pojawia się w wyniku czynnika ludzkiego - prostego, niewinnego błędu lub braku
odpowiedniej wiedzy i dobrych przyzwyczajeń. Personel firmy powinien być przeszkolony w zakresie:
zarządzania danymi, postępowania w przypadku zaistnienia określonych sytuacji, działania zgodnie
z jasnymi i obejmującymi całą firmę politykami i procedurami ochrony, unikania szkodliwych programów dzięki dokładności i ostrożności, a jeżeli szkodliwe oprogramowanie przeniknie już do sieci prawidłowego działania zabezpieczającego dane i zapobiegającego dalszym stratom.
Rozważ dokładnie prawdopodobieństwo naruszenia bezpieczeństwa w Twojej firmie. Nie wszystko
jest jak należy.
Razem możemy lepiej zabezpieczyć świat biznesu - aby istotne dane nie wpadły w niepowołane ręce.
Podsumowanie
Każdego dnia cyberprzestępcy znajdują nowe sposoby infiltracji punktów końcowych w firmie
wyłącznie w celu kradzieży danych i pieniędzy. Zgodnie z raportem SANS.org zatytułowanym “The
Top Cyber Security Risks”, firmy tracą codziennie tysiące dolarów sądząc, że są dobrze zabezpieczone.
5
Razem możemy lepiej zabezpieczyć świat biznesu -
aby istotne dane nie wpadły w niepowołane ręce
Kaspersky Lab Polska
ul. Krótka 27A
0 801 000 215, +48 34 368 18 14
[email protected]
www.kaspersky.pl
www.threatpost.com