Nowe Technologie

Reputacja najlepszą ochroną przed cyberprzestępstwami

Ostatnia aktualizacja: 01.06.2013 18:03
Natura cyberprzestępczości ulega zmianom. Zjawisko nie jest już wyłącznie zmartwieniem dużych korporacji, organizacji i rządów – każda firma może być jej potencjalną ofiarą. Współcześni cyberprzestępcy są uzbrojeni w rosnący pakiet tanich, ogólnodostępnych narzędzi, a wykorzystują je w różnych celach, przede wszystkim dla korzyści finansowych, ale również dla osiągnięcia przewagi konkurencyjnej, a nawet z czystej złośliwości.
Reputacja najlepszą ochroną przed cyberprzestępstwami

Precyzyjnie ukierunkowane ataki, które obecnie są na porządku dziennym, spowodowały fundamentalną zmianę w sposobie prowadzenia wojny z cyberprzestępczością. Nowy rodzaj zaawansowanych zagrożeń typu APT (ang. Advanced Persistent Threats), korzystający z wyrafinowanych i niezwykle inteligentnych metod ataku, doprowadził do zmiany sposobu myślenia w organizacjach. Teraz optyka skupiona jest nie tylko na tym, by się bronić, ale także identyfikować z wyprzedzeniem sytuacje zagrożenia sieci.

  • Poziom wyrafinowania i skuteczności zagrożeń APT jest tak wysoki, że wiele organizacji już teraz znajduje się w niebezpieczeństwie, jednocześnie pozostając w zupełnej nieświadomości. Technologia oparta na analizie sygnatur dzisiaj już nie wystarczy, bo cyberprzestępcy omijają zabezpieczenia z niesłychaną ostrożnością i przebiegłością, a przesyłane przez nich złośliwe bloki danych (ang. malicious payload) potrafią unikać wykrycia tradycyjnymi metodami.
  • Wyrządzający szkody blok danych współczesnego złośliwego oprogramowania wymaga tylko jednego punktu wejścia do systemu docelowego i może być wprowadzany za pomocą całej gamy prostych technik. Wiele udanych ataków doszło do skutku dzięki misternie opracowanej wiadomości e-mail do jednego z pracowników, zawierającej złośliwy link. Pracownik klikający w taki link nieświadomie pozwala na instalowanie eksploitów, które mogą pozostać w uśpieniu lub uruchomić się niezwykle dyskretnie – tak, aby uniknąć wykrycia.

Rodzi się pytanie, jak organizacja może bronić się przed tak wyrafinowanymi, wręcz partyzanckimi atakami i jakie są sygnały wskazujące na to, że sieć jest w stanie zagrożenia?

W obronie przed atakami i w celu wykrycia sytuacji, w których już doszło do dywersyjnych działań, może pomóc strategia „reputacji i oceny punktowej klienta”. Reputacja i ocena punktowa (scoring) to dynamiczna technika zbierania i zestawiania ze sobą danych na temat bezpieczeństwa pozyskanych z sieci oraz porównywania ich z istniejącym punktem odniesienia (np. poprawnym wzorcem ruchu sieciowego). Analogią mógłby tu być świat ubezpieczeń i finansów, w którym oblicza się ryzyko dotyczące aktywności osób starających się o kredyt lub ubezpieczenie. Jest to podejście według którego reputacja ma niebagatelne znaczenie.

Główne typy postępowania i aktywności, które wpływają na reputację i scoring, to:

Próby połączeń

Nieudane próby połączenia mogą być sygnałem, że złośliwe oprogramowanie próbuje połączyć się z komputerem, który nie istnieje, ponieważ serwer macierzysty złośliwego oprogramowania został przeniesiony w celu uniknięcia wykrycia. Mogą oczywiście istnieć uzasadnione przyczyny, dla których jest on niedostępny, ale powtarzające się nieudane próby połączenia z nieistniejącymi komputerami wygenerują negatywną ocenę punktową.

Profile aplikacji

Komputer, na którym zostanie zainstalowana aplikacja udostępniająca plik P2P, może zostać uznany za bardziej ryzykowny niż host instalujący grę. Obydwa działania mogą zostać uznane za problematyczne, jednak organizacja może przypisywać inną wagę, a zatem różną ocenę punktową, każdemu z nich.

Lokalizacja geograficzna

Odwiedziny na serwerach w pewnych krajach mogą być uznane za ryzykowne, szczególnie jeśli wiąże się z tym duży ruch. Na przykład pracownicy z Polski raczej nie będą mieć wielkiej potrzeby, by przesyłać i odbierać duże pliki z Iranu czy Korei Północnej. Wyliczając punktację na klientów w sieci, można korzystać z „białej listy” w celu wykluczenia dobrze znanych witryn zagranicznych.

Informacje o sesji IP

Typowy komputer inicjuje sesję, ale raczej jej nie terminuje. Dlatego jeśli zaczyna on nasłuchiwać, czy na porcie nie pojawi się połączenie z zewnątrz, można to uznać za zachowanie podejrzane lub ryzykowne.

Kategoria strony docelowej

Odwiedzanie określonych typów witryn, np. przeznaczonych tylko dla dorosłych, należy uznać za działanie ryzykowne i podlegające odpowiedniej ocenie punktowej.

Stosując system punktowy (scoring) na podstawie aktywności zarówno sieci, jak i jej użytkowników, można identyfikować, badać, a w rezultacie unikać działań, które należą do nietypowych lub niosących ze sobą duże ryzyko. Systemu reputacji i oceny punktowej klienta można również używać jako podstawy do ustalania progów ostrzegawczych i alertów dla administratorów w celu lepszej ochrony własnych sieci i kontroli nad nimi.

  • Firma Fortinet wprowadziła zaawansowane funkcje reputacji i scoringu klienta do swojego najnowszego systemu operacyjnego bezpieczeństwa FortiOS 5. Możliwość analizowania ogromnych ilości danych z różnych źródeł i poszukiwania wzorców występujących w pakietach, aplikacjach i witrynach odwiedzanych przez użytkownika daje teraz administratorom kontrolę nad sieciami dzięki zaawansowanym narzędziom analitycznym i precyzyjnym elementom sterującym.



autor: Mariusz Rzepka

Czytaj także

Kto wpadł z branży cybercrime w czerwcu 2013

Ostatnia aktualizacja: 02.07.2013 09:05
W czerwcu 2013 pojawiło się kilka wpadek w branży - od drobnych aresztowań osób, które zhakowały konta na Facebooku, po incydent z praniem 6 miliardów dolarów. Główną "gwiazdą" czerwcowego zestawienia jest jednak aresztowanie przez policję gangu, który zajmował się nie tylko cyberprzestępczością, ale i handlem narkotykami.
rozwiń zwiń
Czytaj także

MŚP też mogą paść ofiarą cyberprzestępczości

Ostatnia aktualizacja: 09.07.2013 11:39
Prawie 70 proc. przedstawicieli małych firm nie wierzy lub nie wie, że naruszenie bezpieczeństwa danych spowoduje skutki finansowe lub negatywnie wpłynie na wiarygodność ich biznesu.
rozwiń zwiń
Czytaj także

Każda firma się boi

Ostatnia aktualizacja: 16.07.2013 10:12
Wg badania IDC Analysis Perspective Worldwide Security Products z końca 2012, prawie 50 proc. firm uważa, że ich infrastruktura IT jest podatna na atak. Powoduje to wzrost wymagań wobec rozwiązań bezpieczeństwa korporacyjnego.
rozwiń zwiń
Czytaj także

Systemy SCADA wrażliwe na ataki

Ostatnia aktualizacja: 31.07.2013 11:49
SCADA to złożone systemy komputerowe wykorzystywane w automatyce przemysłowej, m.in. w zarządzaniu krytyczną infrastrukturą państwa. Wraz z utratą autonomiczności, jaką gwarantowało odseparowanie ich od sieci, systemy te stały się w takim samym stopniu narażone na ataki cyberprzestępców, co sieci korporacyjne. Zwiększa się zatem potrzeba ochrony systemów SCADA, proporcjonalnie do liczby ataków na nie, która wciąż rośnie.
rozwiń zwiń