Polityki dotycz膮ce bezpiecze艅stwa: nadu偶ywanie zasob贸w

Wed艂ug bada艅 przeprowadzonych w Europie i Stanach Zjednoczonych, pracownicy firm trac膮 do 30% swojego czasu pracy na prywatne sprawy. Mno偶膮c liczb臋 godzin sp臋dzanych na wykonywaniu czynno艣ci niezwi膮zanych z prac膮 przez 艣redni koszt godziny roboczej, analitycy oszacowali, 偶e firmy trac膮 z tego tytu艂u miliony dolar贸w rocznie. Straty po艣rednie mog膮 by膰 jeszcze wy偶sze. Je偶eli tacy pracownicy - nieumy艣lnie b膮d藕 nie - pomagaj膮 w przeprowadzeniu atak贸w hakerskich i kradzie偶y to偶samo艣ci, szkodz膮 reputacji lub naruszaj膮 prawo autorskie, koszty te mog膮 by膰 nawet wy偶sze.      

Pracownicy cz臋sto wykorzystuj膮 komputery biurowe, aby komunikowa膰 si臋 za po艣rednictwem portali spo艂eczno艣ciowych, udost臋pnia膰 odsy艂acze do rozrywki online lub pobiera膰 pliki z podejrzanych zasob贸w. Jednocze艣nie, portale spo艂eczno艣ciowe s膮 aktywnie wykorzystywane przez cyberprzest臋pc贸w do przeprowadzania atak贸w phishingowych i rozprzestrzeniania szkodliwego oprogramowania. Wiele prywatnych blog贸w, stron oferuj膮cych rozrywk臋 oraz serwis贸w wsp贸艂dzielenia plik贸w, serwis贸w 艣ledzenia torrent贸w oraz pobieranych z nich plik贸w jest zainfekowanych szkodliwym oprogramowaniem. Has艂a do kont e-mail s膮 regularnie 艂amane i kradzione.

Artyku艂 ten opisuje kilka problem贸w, jakie mog膮 wynikn膮膰 z niew艂a艣ciwego wykorzystywania komputer贸w biurowych, i pokazuje, w jaki spos贸b mo偶na zapobiec podobnym incydentom w sieci korporacyjnej.  

Ataki ukierunkowane

Zagro偶enia, z jakimi sykaj膮 si臋 u偶ytkownicy ka偶dego dnia, zwykle s膮 przeznaczone dla "odbiorc贸w" masowych, dlatego zainstalowane na ich komputerach rozwi膮zanie antywirusowe w zupe艂no艣ci poradzi sobie z odparciem wi臋kszo艣ci atak贸w. Inaczej jest w przypadku atak贸w ukierunkowanych: s膮 przeprowadzane ukradkiem, cz臋sto z zastosowaniem niestandardowego podej艣cia; s膮 niezwykle wyrafinowane i dobrze zorganizowane. W celu osi膮gni臋cia swoich cel贸w oszu艣ci stosuj膮 najskuteczniejsz膮 bro艅, przy pomocy kt贸rej mog膮 wykorzysta膰 istniej膮ca luk臋 w oprogramowaniu lub portalu spo艂eczno艣ciowym.    

Socjotechnika

W 2009 roku ponad 20 najwi臋kszych firm z bran偶y oprogramowania, takich jak Google, Adobe, Juniper oraz Yahoo, pad艂o ofiar膮 ataku ukierunkowanego Operation Aurora. W jednej z odmian tego ataku pracownicy firmy zostali zwabieni na szkodliwe strony za po艣rednictwem portali spo艂eczno艣ciowych i komunikator贸w internetowych. Przy pomocy socjotechniki oszu艣ci zapoznawali si臋 ze swoimi potencjalnymi ofiarami, zdobywali ich zaufanie i robili wszystko, co niezb臋dne, aby zmusi膰 swoje ofiary do klikni臋cia odsy艂acza. Do艣wiadczenie pokazuje, 偶e w tym celu wystarczy:       

  1. Zebra膰 z portali spo艂eczno艣ciowych powszechnie dost臋pne informacje na temat u偶ytkownika, jego zainteresowa艅, preferencji i kontakt贸w;
  2. Stworzy膰 konto w oparciu o zainteresowania ofiary i jej dane osobowe (rok i miejsce urodzenia, szko艂a, uczelnia wy偶sza);
  3. Zosta膰 "przyjacielem" os贸b z listy kontakt贸w ofiary;
  4. Skontaktowa膰 si臋 z ofiar膮 przy pomocy stworzonej wcze艣niej "przykrywki".

 

Gdy konto zostanie tak precyzyjnie przygotowane, istnieje du偶a szansa, 偶e potencjalne ofiary klikn膮 podejrzany odsy艂acz. Je偶eli ofiara nie chwyci przyn臋ty, oszust mo偶e zastosowa膰 bardziej wyrafinowany chwyt, w艂amuj膮c si臋 na konto u偶ytkownika, do kt贸rego ofiara ma pe艂ne zaufanie, i wysy艂aj膮c stamt膮d odsy艂acze. Cz臋sto nie jest to wcale trudne, szczeg贸lnie gdy zaufane kontakty ofiary obejmuj膮 potencjalnie podatne na wykorzystanie kategorie u偶ytkownik贸w - osoby starsze, dzieci i m艂odzie偶.    

W ataku ukierunkowanym odsy艂acz zazwyczaj prowadzi ofiar臋 na stron臋, kt贸ra zawiera zestaw exploit贸w 0-day pozwalaj膮cych przest臋pcom uzyska膰 dost臋p do podatnych na ataki komputer贸w. Nie ma w膮tpliwo艣ci, 偶e komunikuj膮c si臋 za po艣rednictwem portali spo艂eczno艣ciowych z komputera firmowego, pracownicy mog膮 nie艣wiadomie pom贸c hakerom przenikn膮膰 do sieci korporacyjnej.   

Ataki typu "Watering Hole"

Niemniej gro藕ne od atak贸w ukierunkowanych za po艣rednictwem portali spo艂eczno艣ciowych s膮 ataki typu "Watering Hole". Ataki te polegaj膮 na zidentyfikowaniu i zainfekowaniu stron, kt贸re s膮 najcz臋艣ciej odwiedzane przez pracownik贸w firmy. Ostatnio zainfekowana zosta艂a strona ameryka艅skiego ministra pracy, przypuszcza si臋 jednak, 偶e prawdziwym celem ataku by艂 Departament Energii: przest臋pcy pr贸bowali zainfekowa膰 komputery pracownik贸w Departamentu Energii, kt贸rzy regularnie odwiedzali stron臋 Ministerstwa Pracy.    

Gdy pracownik atakowanej firmy otwiera zainfekowan膮 stron臋, zaimplementowany na stronie kod ukradkowo przekierowuje przegl膮dark臋 na szkodliw膮 stron臋, kt贸ra zawiera zestaw exploit贸w 0-day. Umieszczone na zainfekowanych stronach internetowych szkodliwe oprogramowanie, np. skrypt serwera, cz臋sto dzia艂a w spos贸b selektywny, tak aby zaimplementowa膰 szkodliwy kod na stronach wysy艂anych do u偶ytkownika, kt贸ry jest najistotniejsz膮 osob膮 dla atakowanej firmy. Dzi臋ki temu oszu艣ci mog膮 ukry膰 atak ukierunkowany przed firmami antywirusowymi i ekspertami z dziedziny bezpiecze艅stwa IT.  

Oszu艣ci pr贸buj膮 infekowa膰 zaufane, legalne strony. W takich przypadkach nawet gdy u偶ytkownicy musz膮 wykona膰 dodatkowe kroki w celu uruchomienia exploita - w艂膮czy膰 JavaScript, zezwoli膰 na wykonywanie appleta Javy w celu potwierdzenia wyj膮tku w polityce bezpiecze艅stwa itd. - istnieje mo偶liwo艣膰, 偶e nie艣wiadomie klikn膮 "Zezw贸l" oraz "Potwierd藕". 

Ochrona

Nie ma w膮tpliwo艣ci, 偶e u偶ytkownicy odgrywaj膮 wa偶n膮 rol臋 w atakach ukierunkowanych - niechc膮co pozwalaj膮 oszustom zaatakowa膰 system. Niestety, obecnie nie istnieje 偶adna technologia, kt贸ra mog艂aby wyeliminowa膰 b艂膮d ludzki w dziedzinie ochrony sieci korporacyjnej. Jednak wzmocnienie polityk bezpiecze艅stwa kilkoma istotnymi technologiami zapewnia skuteczn膮 ochron臋 przed atakami ukierunkowanymi poprzez zwalczanie ich na ka偶dym etapie - od pierwszej pr贸by wykorzystania luki po pr贸by naruszenia bezpiecze艅stwa sieci. 

Ochrona przed exploitami

Poniewa偶 ataki ukierunkowane wykorzystuj膮 unikatowe szkodliwe oprogramowanie, wykrywanie oparte na sygnaturach nie wystarczy do zidentyfikowania wykorzystywanego niebezpiecznego kodu. Jednak programy antywirusowe od dawna posiadaj膮 do swojej dyspozycji szerszy arsena艂 broni ni偶 samo wykrywanie oparte na sygnaturach. Technologia automatycznej ochrony przed exploitami, kt贸ra wykorzystuje mechanizmy DEP i ASLR, metody analizy heurystycznej oraz kontrola kodu wykonywalnego, potrafi膮 zablokowa膰 uruchomienie niebezpiecznego kodu, gdy wykorzystuje on luk臋 0-day.       

Gdyby oszustom uda艂o si臋 zaatakowa膰 system - za po艣rednictwem exploita lub szkodliwego oprogramowania uruchomionego przez u偶ytkownika - kontrola ruchu sieciowego oraz kontrola aplikacji pomo偶e zapobiec dalszej penetracji sieci korporacyjnej.

Kontrola ruchu sieciowego

Po tym, jak szkodliwy kod (trojan lub kod pow艂oki exploita) przedostanie si臋 do systemu, zazwyczaj pr贸buje wykona膰 nast臋puj膮ce dzia艂ania (jedno lub wi臋cej):

  • ustanowi膰 po艂膮czenie z centrum kontroli (po艂膮czenie wychodz膮ce),
  • otworzy膰 porty dla po艂膮cze艅 przychodz膮cych,
  • pobra膰 dodatkowe modu艂y,
  • zaimplementowa膰 szkodliwy kod w innych procesach w celu utrzymania po艂膮czenia z centrum kontroli,
  • zebra膰 informacje dotycz膮ce sieci, jej system贸w oraz u偶ytkownik贸w,
  • wysy艂a膰 zebrane informacje (adresy IT, nazwy i konta komputer贸w, loginy, has艂a itd.) do serwera oszust贸w.

Po po艂膮czeniu si臋 z systemem oszu艣ci pr贸buj膮 zebra膰 informacje o nim oraz o sieci korporacyjnej, w kt贸rej zlokalizowany jest komputer. W celu zebrania informacji lokalnych oszu艣ci nie potrzebuj膮 dodatkowych przywilej贸w - lista uruchomionych proces贸w, zainstalowanego oprogramowania i 艂at, po艂膮czonych u偶ytkownik贸w itd. mo偶e zosta膰 do艣膰 艂atwo znaleziona. Informacje dotycz膮ce sieci korporacyjnej - wyszukiwanie innych podatnych na ataki system贸w, systemy ochrony, foldery wsp贸艂dzielone, us艂ugi sieciowe, serwery itd. - s膮 zbierane przy u偶yciu specjalnych skrypt贸w i narz臋dzi potrafi膮cych zamaskowa膰 swoj膮 aktywno艣膰 oraz obej艣膰 systemy bezpiecze艅stwa. Wszystkie te informacje s膮 wysy艂ane cyberprzest臋pcom za po艣rednictwem internetu do analizy, zanim zostanie przygotowany kolejny etap ataku.           

Przy u偶yciu technologii kontroli ruchu sieciowego (zapora sieciowa, IPS / IDS) administratorzy systemu oraz specjali艣ci ds. bezpiecze艅stwa IT mog膮 nie tylko zablokowa膰 niebezpieczn膮 aktywno艣膰 sieciow膮, ale r贸wnie偶 wykry膰 wszelkie przypadki w艂amania do sieci korporacyjnej. Zapora sieciowa oraz IPS / IDS potrafi膮:

  • Zablokowa膰 po艂膮czenia przychodz膮ce i wychodz膮ce
    • wed艂ug portu,
    • wed艂ug nazwy domeny i adresu IP,
    • wed艂ug protoko艂u;
  • Wygenerowa膰 analiz臋 statystyczn膮 ruchu (Net flow) w celu zidentyfikowania anomalii;
  • Zebra膰 podejrzany ruch sieciowy do dalszej analizy;
  • Wykrywa膰/blokowa膰:
    • polecenia wychodz膮ce lub podobne dane wyj艣ciowe wysy艂ane za po艣rednictwem internetu,
    • pobrane z internetu podejrzane pliki (dodatkowe modu艂y szkodliwego oprogramowania),
    • transmisje poufnych informacji (adresy IP, loginy, nazwy komputer贸w, dokumenty korporacyjne, numery kart kredytowych itd.).

Zapora sieciowa oraz IPS / IDS potrafi膮 wykrywa膰 anomalie w sposobie interakcji w臋z艂贸w sieci, jak tylko szkodliwy kod b臋dzie pr贸bowa艂 skontaktowa膰 si臋 z centrum kontroli, lub aktywnie skanowa膰 sie膰 korporacyjn膮 w poszukiwaniu innych system贸w, otwartych port贸w, wsp贸艂dzielonych folder贸w itd. To wykrywanie anomalii pozwala ekspertom IT szybko zareagowa膰 na zagro偶enie, zapobiegaj膮c dalszej penetracji, kt贸ra mog艂aby naruszy膰 bezpiecze艅stwo sieci korporacyjnej.      

Kontrola aplikacji

Po uzyskaniu dost臋pu do atakowanego systemu cyberprzest臋pcy d膮偶膮 do skonsolidowania swojego sukcesu: do systemu pobierane s膮 dodatkowe modu艂y i narz臋dzia, a szkodliwy kod zapewniaj膮cy po艂膮czenie z centrum kontroli jest cz臋sto w艂膮czany do zaufanych proces贸w, takich jak .exe, csrss.exe, smss.exe itd. 

Kontrola aplikacji mo偶e zablokowa膰 uruchomienie i pobranie niezaufanych program贸w i modu艂贸w z zestawu hakerskiego oszusta, a polityki HIPS nale偶y stosowa膰 w celu zablokowania niestandardowego - i potencjalnie niebezpiecznego - zachowania ze strony legalnego oprogramowania. Na przyk艂ad, przegl膮darki nie powinny otwiera膰 port贸w dla po艂膮cze艅 przychodz膮cych, proces贸w systemowych (explorer.exe, csrss.exe, smss.exe itd.), a inne aplikacje (calc.exe, notepad.exe itd.) nie powinny by膰 pod艂膮czane do zewn臋trznych serwer贸w i rozprzestrzenia膰 szkodliwego kodu do innych zaufanych proces贸w - takie zachowanie powinno by膰 zakazane.      

Aby uniemo偶liwi膰 przest臋pcom przej臋cie kontroli nad systemem, specjali艣ci ds. bezpiecze艅stwa IT powinni:

  • uniemo偶liwi膰 zaufanym lub potencjalnie podatnym na ataki programom zaimplementowanie kodu w innych procesach,
  • ogranicza膰 dost臋p aplikacji jedynie do krytycznych zasob贸w systemowych i plik贸w;
  • blokowa膰 potencjalnie niebezpieczne funkcje, kt贸re nie stanowi膮 funkcji domy艣lnej aplikacji (dost臋p sieciowy, instalacja sterownik贸w, tworzenie zrzut贸w ekranu, dost臋p do kamery sieciowej lub mikrofonu itd.).

Systemy wymagaj膮ce najwy偶szego poziomu ochrony powinny by膰 chronione przy u偶yciu trybu domy艣lnej odmowy (ang. Default Deny), blokuj膮cego uruchomienie dowolnego programu, kt贸ry nie znajduje si臋 na bia艂ej li艣cie przechowywanej lokalnie lub w chmurze.   

Szyfrowanie plik贸w

Je偶eli oszu艣ci przejm膮 kontrol臋 nad systemem i wnikn膮 do sieci korporacyjnej, mog膮 pr贸bowa膰 znale藕膰 i przes艂a膰 wa偶ne pliki, kt贸re zawieraj膮 cenne informacje:  

  • dokumenty firmowe, w tym polityki bezpiecze艅stwa,
  • pliki zawieraj膮ce dane uwierzytelniaj膮ce,
  • pliki konfiguracyjne,
  • kody 藕r贸d艂owe,
  • klucze prywatne.

Informacje te mo偶na znale藕膰 na g艂贸wnej maszynie ofiary jak r贸wnie偶 w otwartych folderach sieciowych w innych systemach. Aby zapobiec wyciekowi poufnych danych, specjali艣ci ds. bezpiecze艅stwa IT powinni wykorzystywa膰 szyfrowanie pliku/dysku, kt贸re mo偶e ograniczy膰 lokalny dost臋p do poufnych (chronionych) informacji. Dane s膮 r贸wnie偶 przesy艂ane w formie zaszyfrowanej. Nawet je艣li przest臋pcom uda si臋 co艣 pobra膰, nie b臋d膮 mogli odczyta膰 zawarto艣ci zaszyfrowanych plik贸w.   

Polityki dotycz膮ce bezpiecze艅stwa

呕adna z wy偶ej wymienionych technologii nie jest w stanie sama skutecznie zapobiega膰 atakom ukierunkowanym. Ochrona sieci korporacyjnej wymaga dobrej integracji i dok艂adnego dostrojenia wszystkich tych technologii.

Jednak administratorzy systemu i specjali艣ci ds. bezpiecze艅stwa IT powinni r贸wnie偶 wykorzystywa膰 administracyjne 艣rodki ochrony:

  • Edukacja u偶ytkownik贸w: wszyscy u偶ytkownicy musz膮:
    • zna膰 i stosowa膰 firmowe polityki bezpiecze艅stwa,
    • rozumie膰 mo偶liwe konsekwencje zagro偶e艅 internetowych, takich jak phishing, socjotechnika czy szkodliwe strony,
    • informowa膰 personel odpowiedzialny za bezpiecze艅stwo o wszelkich incydentach;
  • Kontrola nad prawami i przywilejami dost臋pu u偶ytkownik贸w:
    • wszystkie prawa i przywileje powinny by膰 przyznawane tylko wtedy, gdy jest to konieczne,
    • wszystkie prawa i przywileje (dost臋pu) nadane u偶ytkownikom powinny by膰 odnotowane;
  • Skanowanie systemu w celu wykrycia luk w zabezpieczeniach oraz niewykorzystywanych us艂ug sieciowych:
    • wykrywanie i analiza podatnych na ataki us艂ug sieciowych i aplikacji,
    • aktualizacja podatnych na ataki komponent贸w i aplikacji. Je偶eli aktualizacja nie jest dost臋pna, korzystanie z podatnego na ataki oprogramowania powinno zosta膰 ograniczone lub wstrzymane.

Wiele z tych dzia艂a艅 mo偶na zautomatyzowa膰. Na przyk艂ad, je艣li zostan膮 naruszone polityki bezpiecze艅stwa, specjalne oprogramowanie poka偶e u偶ytkownikowi komunikat ostrzegawczy. Technologia zarz膮dzania systemami mo偶e by膰 wykorzystywana do szukania us艂ug sieciowych i nieautoryzowanych urz膮dze艅, luk w zabezpieczeniach oraz automatycznych aktualizacji aplikacji zawieraj膮cych luki. 

Wnioski

Nadu偶ywanie zasob贸w firmowych mo偶e prowadzi膰 zar贸wno do bezpo艣rednich strat finansowych jak i powa偶nych incydent贸w naruszenia bezpiecze艅stwa IT. Podczas komunikowania si臋 na portalach spo艂eczno艣ciowych lub przegl膮dania stron internetowych na komputerze firmowym pracownicy mog膮 bezwiednie sta膰 si臋 ofiarami i nie艣wiadomymi wsp贸lnikami przest臋pc贸w, kt贸rzy planuj膮 ataki ukierunkowane.    

W drugiej cz臋艣ci artyku艂u opiszemy incydent, w kt贸rym wykorzystano prywatny e-mail, oprogramowanie i nielicencjonowane tre艣ci w sieci korporacyjnej oraz przedstawimy 艣rodki ochrony przed takimi incydentami. 

殴ród艂o:
Kaspersky Lab