Dziesięć ułatwień SOLIDNA. dla cyberprzestępców OCHRONA FIRMY WE WŁAŚCIWY SPOSÓB

Transkrypt

1 Dziesięć ułatwień dla cyberprzestępców SOLIDNA OCHRONA FIRMY Z B U D O W A N A WE WŁAŚCIWY SPOSÓB

2 Dziesięć ułatwień dla cyberprzestępców Przed zapoznaniem się z niniejszym dokumentem zachęcamy do przeczytania białej kart opracowanej przez Kaspersky Lab "Punkt końcowy znów w centrum uwagi". Dokument "Punkt końcowy znów w centrum uwagi" przedstawia prawdziwy cel dzisiejszych cyberprzestępców - punkt końcowy lub pracownik. Natomiast ta biała karta skupia się na opisie tego, jak nieświadomie działy IT ułatwiają cyberprzestępcom dostęp do systemów i danych poprzez serię nieporozumień i fałszywych założeń. Konieczność dostępu użytkownika końcowego do zasobów Internetu i wszystkich sposobów komunikacji, które on oferuje, są stale wysokie. Konieczność korzystania z tych samych środków komunikacji w firmach również ciągle wzrasta. Mobilność pracowników i danych firmowych stanowi obecnie coraz większe wyzwanie, a nadążanie za gwałtownie rosnącym zagrożeniem cyberprzestępczością jest trudne. W rezultacie wiele działów IT staje się nieświadomie wspólnikami cyberprzestępców, często w wyniku braku wystarczającej wiedzy i zrozumienia tematu. Dokument ten opisuje różne sposoby, w jakie działy IT firmy ułatwiają popełnienie cyberprzestępstwa w ich środowisku, a także klika podpowiedzi jak uniknąć ustawicznego popełniania, niebezpiecznych dla firmy, błędów. Omawiamy tu dziesięć rodzajów działań, wykonywanych przez pracowników IT, które przyczyniają się do popełnienia cyberprzestępstwa i oferujemy rozwiązania opierające się na badaniach firm trzecich oraz analizie ekspertów Kaspersky Lab. Jak Twoja firma sprosta tym ciągłym pułapkom? Ułatwienie 1 Założenie, że dane są scentralizowane Biorąc pod uwagę fakt, że kadry kierownicze w większości korporacji posiadają jedną kopię maili na używanych przez siebie smartfonach (iphone, BlackBerry, itd.), drugą na laptopach, a trzecią na mailowym serwerze firmowym. To wyraźnie pokazuje, że dwa razy więcej danych jest przechowywanych poza obrębem centrum danych firmy, niż wewnątrz. Ponad to, liczne urządzenia przenośne USB, płyty CD, kopie zapasowe, rozwiązania opierające się na technologii "chmury", wymiana danych z partnerami biznesowymi, sprawiają, że ilość danych poza firmą jest większa niż można przypuszczać. Zdajemy sobie sprawę, że dane nie są scentralizowane, ale działy IT firmy traktują je, jakby rzeczywiście były. Z jakiego innego powodu tracilibyśmy dysproporcjonalnie czas i pieniądze na wzmocnienie ochrony obszaru centrum danych poprzez takie technologie jak uwierzytelnianie, zarządzanie dostępem, zapora sieciowa, zabezpieczenie przed włamaniem do sieci, itp.? Nie można powiedzieć, że którakolwiek z tych technologii nie jest istotna. Zdecydowanie są ważne. Jednak, należy skoncentrować się na tym, gdzie przechowywane są obecnie dane firmy; nie tylko w centrum, ale poza nim, na punkcie końcowym. Dane nie znajdują się w hermetycznych silosach (repozytoriach taśmowych). Ale swobodnie przemieszczają się poza centrum przetwarzania danych. Badania przeprowadzone przez firmę IDS wykazują, że komputery stacjonarne/laptopy stanowią najpoważniejszy problem dla systemów Data Loss Prevention (DLP; Zapobiegania utracie danych). Punkt końcowy stanowi bardziej bezpośrednie zagrożenie utraty danych. Wyniki badania IDS wykazują, że mobilność jest głównym czynnikiem powodującym nowe wydatki na ochronę, co sugeruje, że coraz więcej firm zwraca na nią uwagę i wzmacnia środki bezpieczeństwa poza obrębem ich centrali. 1

3 Ułatwienie 2 Niedocenienie wartości danych znajdujących się na urządzeniach mobilnych Nasz czas jest bardzo cenny. Spędzamy niezliczone godziny tworząc raporty i analizując dane, aby podejmować właściwe decyzje biznesowe. Poświęcamy weekendy na korespondencje mailową i przygotowując prezentacje. Podchodzimy z należytą starannością do każdej sytuacji sprzyjającej rozwojowi naszej firmy, która często wymaga podejmowania szybkich decyzji; wszystko to generuje duże ilości danych znajdujących się na systemach urządzeń przenośnych. Jednak działy IT traktują laptopa jak szklaną butelkę z sokiem. Gdy urządzenie zostanie zgubione lub skradzione, ubezpieczenie obejmie tylko wartość pustej butelki, pomijając wszystkie cenne dane, które znajdowały się na urządzeniu. W związku z tym, systemy ochrony dla urządzeń mobilnych zwykle określają wartość urządzenia, zamiast brać pod uwagę wartość danych. Należy jednak pamiętać, że najczęściej wartość danych na urządzeniu przekracza wartość samego urządzenia, nierzadko setki razy. Korzystanie z zarządzanych rozwiązań antywirusowych, antywłamaniowych i technologii ochrony prywatności dla urządzeń mobilnych stanowi dobry początek zapewnienia ochrony dla znajdujących się na nich danych. Obecnie w firmach pojawiła się tendencja, aby umożliwić użytkownikom - rozpoczynającym pracę na stanowiskach kierowniczych - dokonanie swobodnego wyboru marki i modelu przy zakupie strategicznych urządzeń mobilnych, takich jak laptop czy smartfon, których będą używać. Wzrastająca ilość iphonów wykorzystywanych w sieciach firmowych jest tu najlepszym przykładem. Niestety, większość ludzi biznesu i branży komputerowej bardziej skupia się na oszczędności kosztów i czasu przy wymianie urządzenia na nowe, niż wartości danych, które się na nim znajdowały. Pracownicy są wyposażeni w urządzenia zgodne z ich własnym wyborem, a nie urządzenia, które są zoptymalizowane pod kątem zarządzania rozwiązaniem antywirusowym, antywłamaniowym i technologią ochrony prywatności. Efektem tego jest zwiększenie różnorodności urządzeń, systemów operacyjnych, nośników, profilów ochrony i innych technologii w firmowej sieci wewnętrznej. W przypadku organizacji z ograniczonym personelem zapewniającym bezpieczeństwo, zagwarantowanie ochrony na różnych platformach może przekroczyć ich możliwości. Ułatwienie 3 Podejście do laptopów i urządzeń mobilnych, jako aktywów firmy, które nigdy nie są wykorzystywane do celów osobistych, przy mylnym założeniu, że dane przedsiębiorstwa nie znajdą się na domowych systemach pracowników Klika lat temu, sieci firmowe miały solidnie określone granice. Stosowana technologia ochrony jasno określała co jest wewnątrz, a co na zewnątrz sieci, niczym fosa średniowiecznego zamku. Urządzenia zewnętrzne były uznawane za niezaufane, a te wewnątrz sieci korzystały z ochrony firmowej zapory sieciowej, jak zamki z murów obronnych. Obecnie firmy na całym świecie widzą wzrastające korzyści z pracy zdalnych lub mobilnych pracowników. Postępy w technologii mobilnej pozwoliły firmom na stworzenie "stale osiągalnego" pracownika, który, podczas podróży, ma pełny dostęp do istotnych zasobów firmy, takich jak aplikacje, dokumenty i poczta elektroniczna w dowolnym miejscu na świecie. Wiąże się to z poręcznym urządzeniem. Pracownicy wyjeżdżający na delegacje mają dostęp do firmowej sieci i danych na poczekalniach lotnisk, hotelach i podczas lotu nawiązując niezabezpieczone połączenia z Internetem. W rezultacie, zwykły dzień roboczy nie jest już ograniczony sztywnymi godzinami. Ludzie pracują korzystając z najbardziej aktualnych informacji, odpowiadają bezpośrednio za kontakty z klientami oraz wykonują codzienne zadania - przez całą dobę. Jednakże, środowisko to wykształciło nową lukę w firmie, która może być celem pojawiających się zagrożeń (Na podstawie badań firmy IDC "Mobile Security" (Ochrona urządzeń mobilnych)). 2

4 Polityka ochrony dla laptopów znacznie różni się od tej dedykowanej na komputery stacjonarne. Komputery stacjonarne, które są używane tylko w miejscu pracy, często nie potrzebują określonych technologii, takich jak indywidualne zapory sieciowe. Jednak laptopy wymagają świadomego podejścia odpowiedniej strategii. Gdy wraz z pracownikiem opuszczają względnie bezpieczną sieć firmową, automatycznie powinna włączyć się na nich rozszerzona ochrona. Elementy ochrony - takie jak włączenia zapory sieciowej, wyłączenie niezabezpieczonych hasłem połączeń nawiązywanych poprzez Bluetooth i sieci bezprzewodowe, a także zwiększenie kontroli urządzeń USB - powinny być uruchamiane od razu, gdy laptop znajdzie się poza firmową siecią wewnętrzną. Ułatwienie 5 Adaptacja mediów społecznościowych bez odpowiedniej ochrony Portale społecznościowe stały się powszechne. Jest to nowa technologia niezbędna do rozwoju niejednego segmentu biznesowego. Wykorzystywana w prawidłowy sposób, może być ogromnie pomocna. Dziesięć lat temu, presja spoczywająca na działach IT ograniczała się do obsługi połączenia internetowego. Następnie zakres obowiązków poszerzył się o firmową pocztę i komunikatory internetowe. Każdy z tych elementów w końcu stał się istotnym narzędziem biznesowym. Media społecznościowe są kolejnym wyzwaniem i należy się do niego przygotować. Wiele firm zmaga się z pytaniem, jak odpowiedzialnie udostępnić swoim pracownikom narzędzia Web 2.0 bez konieczności poświęcenia bezpieczeństwa i odstępstw od obowiązujących przepisów prawnych. Media społecznościowe i technologie Web 2.0, wykorzystywane właściwie, mogą zwiększyć kolaborację firmy, jej wydajność oraz przychody. Należy rozważyć, jak firma powinna podejść do mediów społecznościowych w sposób bezpieczny, gdyż, z kilkoma wyjątkami, wprowadzenie zakazu korzystania z mediów społecznościowych okaże się niepraktyczne. Sytuacja wymaga wprowadzenia formalnej polityki kontroli dostępu i zarządzania mediami społecznościowymi. Na przykład, jeżeli firma chroni swoją sieć przed atakami szkodliwego oprogramowania, ale nie kontroluje logowania do portali społecznościowych, to jeden pracownik przez nieuwagę może doprowadzić do zainfekowania złośliwym oprogramowaniem całej sieci firmowej i spowodować znaczne straty ekonomiczne, bezpośrednio lub pośrednio. Portale społecznościowe mogą również doprowadzić do wycieku danych spowodowanym przez samych pracowników, którzy dobrowolnie dzielą się informacjami z niepowołanymi osobami. Z wyjątkiem niektórych, dobrze kontrolowanych środowisk akademickich, zakaz korzystania z mediów społecznościowych jest bezcelowy. Bardziej praktycznym podejściem jest zastosowanie technologii, które ściśle monitorują ruch, podczas korzystania z serwisów społecznościowych i blokuje znane szkodliwe strony. Ułatwienie 6 Skupienie się na ochronie kontra wykrywanie i reakcja na zagrożenie Analiza wszechstronności schematów ochrony obejmuje wiele aspektów. Te podstawowe to ochrona, wykrywanie i reakcja na zagrożenie. Bardzo często zdarza się, że produkty antywirusowe nie są w ogóle analizowane i traktuje się je jak zwykły towar, automatycznie odnawiając co roku. W rezultacie jakość wykrywania i reagowania nie są również rozpatrywane. Jak wykazaliśmy, te czynniki są nieodzownymi elementami strategii bezpieczeństwa. W firmie konieczne jest wprowadzenie szerokiego zakresu ochrony, charakteryzującej się wydajnością, łatwością zarządzania i wdrażania oraz fachową pomocą techniczną. 3

5 Wiele firm skłania się do nowszych technologii zabezpieczeń, takich jak DLP (Ochrona przed wyciekami informacji), szyfrowanie, itp. Mimo, że są to bardzo przydatne narzędzia, to ogólna liczba wypadków i infekcji szkodliwym oprogramowaniem nadal wzrasta. Badanie przeprowadzone przez firmę IDC wykazały, że 46 procent firm doświadczyło wzrostu wystąpień złośliwego oprogramowania, podczas gdy tylko 16 procent odnotowało ich spadek. W środowisku SMB (Server Message Block)( pracowników) odnotowano największą różnicę, 44 procent widzi wzrost ilości złośliwego oprogramowania, a jedynie 7 procent jego spadek. Oznacza to, że szkodliwe programy nadal wymykają się tym udoskonalonym środkom zapobiegawczym, pokazując że większy nacisk należy położyć na wykrywanie i możliwości reakcji. Działy IT zainwestowały w mechanizmy ochrony na bramce serwera, ale szeroko otworzyły drzwi pracownikom do surfowania w sieci, bez odpowiednich mechanizmów zapewniających wykrywanie cyberprzestępców i skutecznego ich blokowania. Ze względu na to, że dzisiejszym celem cyberprzestępców jest punkt końcowy, należy wdrożyć solidną technologię wykrywania i reakcji właśnie na punkcie końcowym. Ma to na celu zapewnienie ochrony przed złośliwym oprogramowaniem zaprojektowanym przez cyberprzestępców do kradzieży danych, informacji uwierzytelniających i profitów firmy. Ułatwienie 7 Nieświadomość powagi zagrożenia Świadomość użytkownika końcowego i wyszkolenie go są bardzo ważne, niezależnie od przyjętego poziomu ochrony informacji. Na przykład, trzeba nauczyć pracowników jak bronić się przed szkodliwym kodem - tzn. jak bezpiecznie surfować, unikać zagrożeń typu spyware i scareware (fałszywe programy antywirusowe), zwracać uwagę na załączniki dołączone do korespondencji. Polityka ochrony haseł powinna być powszechnie znana i egzekwowana. A sposób korzystania z Internetu musi być jasno określony, monitorowany i konsekwentnie przestrzegany. Poznanie znaczenia zagrożeń, skutków ich działania i sposobów rozprzestrzeniania się, pomaga zachować czujność i powstrzymuje użytkowników od podejmowania błędnych decyzji, które mogą zainfekować ich punkt końcowy. Stałe promowanie znaczenia ochrony jest niezbędne by pracownicy byli wciąż na bieżąco z tym zagadnieniem i pozostawali bezpieczni. Równie ważne jest by pracownicy działu IT byli dobrze przeszkoleni w zakresie bieżących technologii działania zagrożeń i ich ukierunkowania, aby podejmować świadome decyzje związane z ochroną i technologiami zapobiegania infekcjom. Ułatwienie 8 Niezgłaszanie włamań Mimo, że ilość naruszeń bezpieczeństwa przez cyberprzestępców wzrosła ponad 23%, a koszty z tym związane wzrosły ponad dwukrotnie, to jest to tylko wierzchołek góry lodowej. Dane te, udostępnione przez Centralne Biuro Śledcze (FBI), są niezgodne ze stanem faktycznym, gdyż firmy zazwyczaj nie zgłaszają tego rodzaju włamań. Najzwyczajniej nie chcąc, aby świat dowiedział się, że zostały okradzione, w obawie, że wartość ich akcji i marki oraz reputacja na tym ucierpią. Choć takie tłumienie się jest naturalne, jego wynikiem jest zaciemnienie faktycznego wzrostu liczby zagrożeń w Internecie. Niezgłaszanie włamań daje innym firmom mylne wrażenie zmniejszenia się niebezpieczeństwa ze strony szkodliwego oprogramowania i przekonanie, że wzrost cyberprzestępczości jest zdecydowanie przesadzony. W rzeczywistości zagrożenie wzrosło o ponad 23% - FBI po prostu nie może tego dokładnie ocenić, ze względu na nieudokumentowane włamania, które występują codziennie. Firmy bardzo skorzystałyby, wiedząc, że takie włamania występują, jak zostały popełnione, i jak mogłyby chronić się przed podobnym atakiem. 4

6 Ułatwienie 9 Uzależnienie od reguł Postępowanie zgodne z przepisami i ochrona zasobów IT nie zawsze idą w parze. Można postępować zgodnie z regulaminem, a mimo to być niechronionym. Wiele firm postrzega ochronę przed szkodliwym oprogramowaniem jako jeden z punktów na liście do odhaczenia: "Muszę ją mieć i muszę ją uaktualniać, ale to wszystko co mam do zrobienia." Zgodność z przepisami wiąże się często z "odgórnym" podejściem. Określa to jednakowe podejście do typowych szablonów. Firma powinna zwracać uwagę na swoje produkty i procesy, by przekonać się czy może wpaść w sieć schematów. Z drugiej strony, ochrona jest sprawą marginalną jeżeli jest właściwie wdrożona. Niezależnie czy wybiera się oprogramowanie jakie ma być zainstalowane w firmie czy planuje się strukturę nowej sieci firmowej, należy zawsze uwzględnić elementy zabezpieczające. Na przykład, jeśli podczas projektowania architektury produktu, wstępne podejście pozwoli na dobre opisanie komunikacji, lokalizacji, wersji, i tak dalej, to pozwoli też na opisanie elementów ochrony, które muszą być wbudowane w aplikację od pierwszego momentu. Elementy ochrony powinny być wciąż rozwijane i w razie konieczności poprawiane podczas całego procesu. Postępowanie zgodnie z regułami może stanowić iluzję bezpieczeństwa dla tych, którzy nie rozumieją zawiłości zabezpieczenia cyfrowego świata biznesu. Samo przestrzeganie regulaminu nie jest wystarczające. Ułatwienie 10 Założenie, że wszystko jest w porządku Chociaż systemy mogą być kuloodporne, ostatecznie to ludzie je eksploatują. W wielu przypadkach, problem pojawia się w wyniku czynnika ludzkiego - prostego, niewinnego błędu lub braku odpowiedniej wiedzy i dobrych przyzwyczajeń. Personel firmy powinien być przeszkolony w zakresie: zarządzania danymi, postępowania w przypadku zaistnienia określonych sytuacji, działania zgodnie z jasnymi i obejmującymi całą firmę politykami i procedurami ochrony, unikania szkodliwych programów dzięki dokładności i ostrożności, a jeżeli szkodliwe oprogramowanie przeniknie już do sieci - prawidłowego działania zabezpieczającego dane i zapobiegającego dalszym stratom. Rozważ dokładnie prawdopodobieństwo naruszenia bezpieczeństwa w Twojej firmie. Nie wszystko jest jak należy. Razem możemy lepiej zabezpieczyć świat biznesu - aby istotne dane nie wpadły w niepowołane ręce. Podsumowanie Każdego dnia cyberprzestępcy znajdują nowe sposoby infiltracji punktów końcowych w firmie wyłącznie w celu kradzieży danych i pieniędzy. Zgodnie z raportem SANS.org zatytułowanym The Top Cyber Security Risks, firmy tracą codziennie tysiące dolarów sądząc, że są dobrze zabezpieczone. 5

7 Razem możemy lepiej zabezpieczyć świat biznesu - aby istotne dane nie wpadły w niepowołane ręce Kaspersky Lab Polska ul. Krótka 27A , info@kaspersky.pl