Naruszenie integralności danych: przyczyny i metody rozwiązywania problemu

Transkrypt

1 WHITE OPRACOWANIE PAPER: customize TECHNICZNE: NARUSZENIE INTEGRALNOŚCI DANYCH Naruszenie integralności danych: przyczyny i metody rozwiązywania problemu Pewność w globalnej sieci.

2

3 Naruszenie integralności danych: przyczyny i metody rozwiązywania problemu Spis treści Wprowadzenie...4 Przyczyny naruszeń integralności danych...4 Konsekwencje i sposoby postępowania...9 Jak zapobiegać naruszeniu integralności danych? Jak rozpocząć? Dlaczego warto wybrać produkty firmy Symantec? Dodatek... 13

4 Wprowadzenie W przypadku przedsiębiorstw, które dysponują kluczowymi zasobami informacyjnymi, takimi jak dane klientów, własność intelektualna, tajemnice handlowe oraz zastrzeżone dane firmowe, ryzyko naruszenia integralności danych jest obecnie większe niż kiedykolwiek. W 2008 r. liczba przypadków naruszeń integralności danych elektronicznych była większa niż łączna liczba takich sytuacji w czterech poprzednich latach 1. Tak duży wzrost liczby ataków nie jest zaskoczeniem. W świecie, w którym dane są powszechnie używane w każdym miejscu, ochrona poufnych informacji firmowych stała się jeszcze trudniejsza. Złożone, heterogeniczne środowiska informatyczne znacznie utrudniają ochronę danych i reagowanie na zagrożenia. Współczesne przedsiębiorstwa zatrudniają zespoły ds. zabezpieczeń, aby zapewnić ochronę systemów współpracy i udostępniania danych, z których korzystają coraz bardziej mobilni pracownicy. Mimo iż stały wzrost liczby naruszeń integralności danych jest solidnie udokumentowany, większym problemem jest określenie przyczyn takich przypadków oraz działań zapobiegawczych. W niniejszym artykule opisano trzy najbardziej typowe przyczyny naruszeń integralności danych: pracownicy z dobrymi intencjami, ukierunkowane ataki spoza organizacji oraz pracownicy o destrukcyjnych zamiarach, a także przedstawiono rzeczywiste przykłady takich działań. Artykuł zawiera również ogólne informacje na temat sposobów powstrzymywania naruszeń integralności danych oraz konkretne zalecenia dotyczące działań zapobiegawczych. W części Konsekwencje i sposoby postępowania przedstawiono naruszenia integralności danych z perspektywy uwzględniającej dogłębną wiedzę specjalistyczną, kompleksowe dane wywiadowcze i bogate doświadczenie firmy Symantec w zakresie ułatwiania klientom skutecznej ochrony informacji poufnych. Przyczyny naruszeń integralności danych W celu zapobiegania przypadkom naruszenia integralności danych należy poznać przyczyny takich ataków. Wyniki niezależnych badań nad pierwotnymi przyczynami naruszeń, w tym dane zespołu firmy Verizon ds. ryzyka biznesowego 2 i organizacji Open Security Foundation 3 wskazują trzy główne powody: pracownicy z dobrymi intencjami, ukierunkowane ataki i pracownicy o destrukcyjnych zamiarach. W wielu sytuacjach naruszenia są spowodowane połączeniem tych trzech czynników. Na przykład ukierunkowane ataki mogą wynikać z nieświadomych działań pracowników z dobrymi intencjami, którzy postępują niezgodnie z polityką bezpieczeństwa, co może prowadzić do naruszenia integralności danych 4. 1 Zespół firmy Verizon ds. ryzyka biznesowego, raport Data Breach Investigations Report, 2009 r. 2 Ibidem Zespół firmy Verizon ds. ryzyka biznesowego, op. cit. 4

5 Kategorie zagrożeń w czasie jako wartości procentowe ogólnej liczby naruszeń integralności. Pracownicy z dobrymi intencjami Pracownicy przedsiębiorstwa, którzy nieumyślnie postępują niezgodnie z polityką bezpieczeństwa danych, nadal stanowią główny czynnik naruszeń integralności danych. Jak wynika z raportu firmy Verizon, 67% naruszeń w 2008 r. było co najmniej częściowo spowodowanych przez istotne błędy ze strony pracowników z dobrymi intencjami 5. Wyniki ankiety instytutu Ponemon przeprowadzonej w 2008 r. wśród 43 organizacji, w których wystąpiły przypadki naruszenia integralności danych potwierdzają, że 88% wszystkich zdarzeń tego typu było spowodowanych zaniedbaniem 6. Naruszenia integralności spowodowane przez pracowników z dobrymi intencjami można podzielić na pięć głównych typów: Dane ujawniane na serwerach i w stacjach roboczych. Duża ilość informacji poufnych rozpowszechnianych codziennie na niezabezpieczonych serwerach, w stacjach roboczych i w komputerach przenośnych jest naturalnym wynikiem wysokiej produktywności personelu. Najbardziej typowe przypadki naruszeń integralności danych występują, gdy informacje poufne przechowywane, wysyłane lub kopiowane przez pracowników z dobrymi intencjami, którzy nie znają polityki bezpieczeństwa, są przechwytywane przez hakerów. Ataki tego rodzaju zazwyczaj dotyczą tylko takich danych. W związku z rozpowszechnianiem danych na dużą skalę większość firm nie dysponuje wiedzą na temat informacji poufnych, które są przechowywane w systemach. Systemy, w których dane były przechowywane bez wiedzy firmy, były przyczyną 38% wszystkich naruszeń integralności w 2008 r. i 67% ataków na rejestry danych 7. 5 Ibidem. 6 Instytut Ponemon, raport 2008 Annual Study: Cost of a Data Breach, luty 2009 r. 7 Zespół firmy Verizon ds. ryzyka biznesowego, op. cit. 5

6 Zagubienie lub kradzież komputerów przenośnych. Wyniki badań przeprowadzonych przez instytut Ponemon w 2008 r. wskazują, że zagubione komputery przenośne były najważniejszą przyczyną naruszeń integralności danych taką odpowiedź podało 35% ankietowanych organizacji 8. W typowym dużym przedsiębiorstwie przypadki zagubienia lub kradzieży komputerów przenośnych zdarzają się praktycznie co tydzień. Nawet jeśli nie skutkuje to kradzieżą tożsamości, przepisy prawne dotyczące ujawniania przypadków naruszeń integralności danych mają negatywny wpływ na reputację firmy i wiążą się ze znacznymi kosztami. Poczta elektroniczna, aplikacje pocztowe oparte na sieci WWW i nośniki wymienne. Oceny ryzyka przeprowadzone przez firmę Symantec na zlecenie potencjalnych klientów potwierdzają, że średnio jedna z 400 wiadomości zawiera niezaszyfrowane dane poufne 9. Transmisje sieciowe tego typu stanowią poważne ryzyko utraty danych. W typowej sytuacji pracownik wysyła dane poufne na prywatne konto pocztowe bądź kopiuje je na kartę pamięci lub dysk CD/DVD, aby pracować nad nimi w weekend. W związku z tym dane są narażone na atak zarówno podczas transmisji, jak i w potencjalnie niezabezpieczonym systemie domowym. Przypadki utraty danych spowodowane czynnikami zewnętrznymi. Relacje biznesowe z zewnętrznymi partnerami i dostawcami często wymagają wymiany informacji poufnych dotyczących np. planów emerytalnych, zewnętrznego przetwarzania płatności, zarządzania zamówieniami w łańcuchu dostaw oraz innych danych operacyjnych. W przypadku zbyt intensywnej wymiany informacji lub gdy partnerzy nie są w stanie wyegzekwować polityki bezpieczeństwa danych, zwiększa się ryzyko naruszenia integralności. Raport firmy Verizon wskazuje, że 32% wszystkich przypadków naruszeń integralności danych jest spowodowanych przez partnerów handlowych 10. Procesy biznesowe automatyzujące rozpowszechnianie poufnych danych. Jedną z przyczyn rozpowszechniania danych poufnych są nieodpowiednie lub przestarzałe procesy biznesowe, w ramach których takie dane są automatycznie dystrybuowane wśród nieuprawnionych użytkowników lub w niezabezpieczonych systemach, co umożliwia łatwą kradzież przez hakerów lub pracowników o destrukcyjnych zamiarach. Oceny ryzyka przeprowadzone przez firmę Symantec wskazują, że w prawie połowie takich sytuacji przestarzałe lub nieautoryzowane procesy biznesowe są przyczyną ujawniania danych poufnych. Ukierunkowane ataki We współczesnym świecie, gdzie dane używane są wszędzie, a obszary ataku mogą znajdować się w dowolnym miejscu, ochrona zasobów informacyjnych przed zaawansowanymi technikami hakerów jest bardzo trudnym wyzwaniem. Ze względu na gwałtowny rozwój przestępczości internetowej celem ukierunkowanych ataków jest kradzież informacji umożliwiających nieuprawnione przejęcie cudzej tożsamości. Ponad 90% przypadków naruszeń integralności danych w 2008 r. było spowodowanych przez zorganizowane grupy przestępcze 11. Ataki tego rodzaju są często przeprowadzane automatycznie przy użyciu destrukcyjnego kodu, który niepostrzeżenie wnika do systemu organizacji i eksportuje dane do witryn hakerów. W 2008 r. firma Symantec opracowała ponad 1,6 mln nowych sygnatur destrukcyjnego kodu więcej niż w poprzednich 17 latach łącznie i blokowała co miesiąc średnio 245 mln prób ataków przy użyciu takich programów Instytut Ponemon, op.cit. 9 Usługa oceny ryzyka naruszenia integralności danych firmy Symantec 10 Zespół firmy Verizon ds. ryzyka biznesowego, op. cit. 11 Ibidem. 12 Raport firmy Symantec o zagrożeniach bezpieczeństwa pochodzących z Internetu, wydanie XIV. 6

7 W 2008 r. najczęstszymi typami ataków pod względem liczby naruszeń integralności zbiorów danych były: nieautoryzowany dostęp przy użyciu domyślnych lub współużytkowanych poświadczeń, nieprawidłowo ograniczone listy kontroli dostępu (ACL) oraz ataki typu SQL Injection 13. Co więcej, przyczyną 90% przypadków utraty danych było destrukcyjne oprogramowanie 14. Pierwsza faza ataku, polegająca na wtargnięciu do systemu, jest zazwyczaj przeprowadzana na jeden z trzech sposobów: Nieodpowiednie poświadczenia hasła do systemów połączonych z Internetem, takich jak poczta elektroniczna, sieć WWW lub serwery FTP, mają często wartości domyślne, które są bardzo łatwe do uzyskania. Niedostatecznie ograniczone lub nieaktualne listy ACL zwiększają prawdopodobieństwo ataków ze strony hakerów lub pracowników o destrukcyjnych zamiarach. Ataki typu SQL Injection na podstawie analizy składni adresów URL atakowanych witryn hakerzy są w stanie zagnieżdżać instrukcje umożliwiające przesyłanie destrukcyjnych programów zapewniających zdalny dostęp do serwerów. Ukierunkowane programy destrukcyjne hakerzy wysyłają wiadomości podszywające się pod wiarygodną pocztę pochodzącą od znanych nadawców; odbiorcy są kierowani do witryny zawierającej automatycznie pobierane oprogramowanie destrukcyjne, np. narzędzia do zdalnego dostępu (RAT). Narzędzia tego typu umożliwiają hakerom zdalne przejęcie kontroli nad komputerem ofiary. Większość zespołów ds. bezpieczeństwa skupia się prawie wyłącznie na ochronie danych opartej na powstrzymywaniu ataków przed przeniknięciem do systemu. Jednak wtargnięcie do sieci firmy to tylko pierwsza faza ataku na integralność danych. W celu zapewnienia kompletnej ochrony należy uwzględnić wszystkie cztery fazy ataku. Faza 1: wtargnięcie. Hakerzy włamują się do sieci firmowej, wykorzystując domyślne hasła, ataki typu SQL Injection lub ukierunkowane programy destrukcyjne. Faza 2: wykrywanie. Grupa hakerów odwzorowuje strukturę systemów organizacji i automatycznie skanuje ich zawartość pod względem dostępności danych poufnych. Faza 3: przechwytywanie. Hakerzy uzyskują błyskawiczny dostęp do niezabezpieczonych danych przechowywanych przez pracowników z dobrymi intencjami. Dodatkowo w docelowych systemach i punktach dostępu do sieci instalowane są narzędzia typu rootkit, które umożliwiają rejestrowanie danych poufnych używanych w organizacji. Faza 4: opuszczenie systemu. Dane poufne są wysyłane do grupy hakerów w postaci jawnej (na przykład za pośrednictwem poczty elektronicznej) lub w zaszyfrowanych pakietach albo skompresowanych plikach ZIP chronionych hasłem. Ukierunkowany atak na poufne dane można na szczęście udaremnić na każdym z tych czterech etapów. Specjaliści ds. zabezpieczeń, którzy skupiają się wyłącznie na fazie wtargnięcia do systemu, ponoszą znaczne ryzyko, a skutki takich działań w otwartym środowisku informacyjnym wcześniej lub później okazują się opłakane. Z drugiej strony zastosowanie środków zapobiegających wykrywaniu, przechwytywaniu i kradzieży danych pozwala organizacjom skuteczniej zabezpieczyć się przed ukierunkowanymi atakami. 13 Zespół firmy Verizon ds. ryzyka biznesowego, op. cit. 14 Ibidem. 7

8 Cztery fazy ukierunkowanych ataków: wtargnięcie, wykrywanie, przechwytywanie, opuszczenie systemu. Pracownicy o destrukcyjnych zamiarach Pracownicy o destrukcyjnych zamiarach są przyczyną coraz większej liczby przypadków naruszenia integralności danych i powodują odpowiednio większe straty. Z badań instytutu Ponemon wynika, że koszt naruszenia integralności wynikającego z zaniedbania wynosi 199 USD na zbiór danych, natomiast w przypadku działań destrukcyjnych kwota ta rośnie do 225 USD na zbiór danych 15. Naruszenia spowodowane przez pracowników, których celem jest kradzież informacji, można podzielić na cztery grupy: Przestępstwa urzędnicze. Pracownicy, którzy świadomie kradną dane w imieniu grup zajmujących się kradzieżą tożsamości, coraz częściej pojawiają się w rejestrach przestępczości urzędniczej. Przestępstwa takie są wynikiem działań pracowników, którzy w niedozwolony sposób korzystają z uprzywilejowanego dostępu w celu uzyskania korzyści osobistych. Zwolnieni pracownicy. Ze względu na obecną sytuację gospodarczą, w której zwolnienia personelu są częste, naruszenia integralności danych spowodowane przez rozczarowanych pracowników stają się coraz powszechniejsze. Zbyt często pracownicy są informowani o zwolnieniu przed wyłączeniem ich uprawnień, takich jak dostęp do usługi Active Directory i serwerów Exchange, co umożliwia im dostęp do poufnych danych i przesłanie ich na prywatne konto pocztowe lub skopiowanie na nośnik wymienny. Wyniki przeprowadzonych niedawno badań dotyczących zwolnionych pracowników i zabezpieczeń danych wskazują, że 59% byłych pracowników zabiera ze sobą dane firmowe, np. listy klientów i rejestry personelu Instytut Ponemon, op. cit. 16 Instytut Ponemon, Data Loss Risks During Downsizing: As Employees Exit, So Does Corporate Data, 2008 r. 8

9 Rozwój kariery zawodowej dzięki danym firmowym. Często zdarza się, że pracownicy przechowują dane firmowe w komputerze domowym i wykorzystują je w celu opracowania zestawu przykładów ułatwiającego rozwój kariery zawodowej. O ile motywy takich działań niekoniecznie są destrukcyjne i nie muszą wynikać z zamiaru kradzieży tożsamości, o tyle rezultaty mogą być równie szkodliwe. W przypadku zaatakowania komputera domowego i kradzieży danych szkody dla firmy i jej klientów mogą być tak samo poważne. Szpiegostwo przemysłowe. Kolejnym typem pracownika o destrukcyjnych zamiarach jest osoba niezadowolona lub nieosiągająca oczekiwanych wyników, która planuje odejście do konkurencji i wysyła przykłady własnej lub cudzej pracy w ramach procesu rekrutacji. W ten sposób wykorzystywane są szczegółowe informacje na temat produktów, plany marketingowe, listy klientów i dane finansowe. Konsekwencje i sposoby postępowania Przypadki naruszeń integralności danych są ogłaszane w prasie prawie codziennie, można by zatem przyjąć, że jest to po prostu uboczny skutek rozwoju komunikacji nieunikniony koszt prowadzenia działalności. Fakty wskazują jednak, że nie jest to konieczne. Firma Symantec oferuje dogłębną wiedzę specjalistyczną, globalną sieć wywiadowczą i praktyczne doświadczenie uzyskane podczas współpracy z klientami, zapewniając skuteczne metody zabezpieczeń. W celu zapobiegania przypadkom naruszenia integralności danych należy uwzględnić trzy ważne informacje. Po pierwsze, naruszeniom integralności można zapobiegać. W każdym z omówionych wcześniej scenariuszy występują ważne momenty, w których zastosowanie odpowiednich środków zapobiegawczych umożliwia uniknięcie takich sytuacji. Mimo sensacyjnego tonu doniesień prasowych warto zachować optymizm. Po drugie, jedyne strategie zapewniające sukces są oparte na ocenie ryzyka i znajomości treści. Zapobieganie przypadkom naruszenia integralności danych polega na ograniczaniu ryzyka. W celu obniżenia poziomu ryzyka należy znać miejsca przechowywania danych oraz docelowych odbiorców i sposoby użytkowania takich informacji. Tylko wtedy będzie można jednoznacznie określić nieodpowiednie wzorce postępowania, ustalić priorytety danych i grup w zakresie zabezpieczeń wieloetapowych oraz ograniczyć ilość danych przesyłanych poza system przedsiębiorstwa. Po trzecie, zapobieganie naruszeniom integralności danych wymaga stosowania wielu rozwiązań współdziałających w celu rozwiązania problemów. Dotyczy to nie tylko złożonych mechanizmów ochrony. Wdrożone rozwiązania do monitorowania informacji, ochrony urządzeń końcowych, sprawdzania elementów technicznych, zabezpieczania systemów podstawowych i generowania alertów w czasie rzeczywistym muszą zostać zintegrowane, aby zapewnić scentralizowany wgląd w zabezpieczenia informacji, dzięki czemu będzie można szybko i jednoznacznie wykrywać korelacje oraz pierwotne przyczyny ataków.

10 Jak zapobiegać naruszeniu integralności danych? W celu monitorowania systemów oraz zabezpieczenia informacji przed zagrożeniami wewnętrznymi i zewnętrznymi na każdym poziomie infrastruktury informatycznej przedsiębiorstwa powinny korzystać z rozwiązań zgodnych z operacyjnym modelem zabezpieczeń opartym na ocenie ryzyka, znajomości treści, reagowaniu na zagrożenia w czasie rzeczywistym oraz analizie przepływu pracy umożliwiającej automatyzację procesów ochrony danych. Poniżej przedstawiono cztery etapy działań, które firmy mogą podjąć, aby przy użyciu sprawdzonych rozwiązań znacznie ograniczyć ryzyko naruszenia integralności danych: Etap 1. Prewencja w zakresie ochrony informacji. We współczesnym świecie ochrona samej granicy sieci jest niewystarczająca. Obecnie trzeba precyzyjnie identyfikować i odpowiednio wcześnie chronić informacje poufne niezależnie od miejsca ich przechowywania, odbiorców oraz sposobów użytkowania. Tylko egzekwowanie jednolitych reguł ochrony danych we wszystkich serwerach, sieciach i urządzeniach końcowych przedsiębiorstwa umożliwia stopniowe ograniczanie ryzyka naruszenia integralności danych. Rozwiązania do zapobiegania utracie danych pozwalają zastosować ujednolicone podejście w praktyce. Należy wdrożyć jednolity system zarządzania regułami i ich egzekwowania obejmujący procedury dotyczące działań zaradczych, raportów, zarządzania systemami i zabezpieczeń. Należy znaleźć informacje poufne przechowywane w serwerach plików bazach danych, repozytoriach poczty , witrynach internetowych, komputerach przenośnych i stacjach roboczych, a następnie chronić je przy użyciu funkcji automatycznej kwarantanny z obsługą szyfrowania opartego na regułach. Niezbędne jest kontrolowanie wszystkich połączeń sieciowych, takich jak poczta elektroniczna, komunikatory, sieć WWW, protokół FTP, aplikacje typu peer-to-peer i ogólny ruch TCP, a następnie egzekwowanie reguł prewencyjnego blokowania poufnych danych w celu uniemożliwienia wycieku takich informacji poza firmę. Należy prewencyjnie blokować możliwość przedostania się danych poufnych poza firmę przy użyciu wydruków, faksów lub nośników wymiennych. Etap 2. Zautomatyzowanie weryfikacji uprawnień do danych poufnych. Naruszenie integralności danych często jest wynikiem ukierunkowanego ataku opartego na destrukcyjnym oprogramowaniu, które znajduje i eksportuje dane, zaś nieautoryzowane użycie poświadczeń jest najważniejszą przyczyną takich działań. Dzięki automatycznemu sprawdzaniu haseł i innych mechanizmów potwierdzania uprawnień firmy mogą ograniczyć ryzyko naruszenia integralności. Dodatkowo brak odpowiednio szybkiego zablokowania uprawnień zwolnionych pracowników jest głównym czynnikiem naruszeń spowodowanych przez osoby o destrukcyjnych zamiarach. Automatyczna weryfikacja uprawnień pozwala powstrzymać przypadki naruszenia integralności jeszcze przed ich wystąpieniem. Narzędzia do obsługi ankiet, automatyzacja ocen zabezpieczeń i rozwiązania do zarządzania zdarzeniami związanymi z bezpieczeństwem umożliwiają organizacjom zapobieganie naruszeniom integralności spowodowanym niewłaściwym użyciem uprawnień. Należy regularnie wysyłać do kierowników kwestionariusze zawierające m.in. pytania dotyczące pracowników zwolnionych w ostatnim tygodniu. Trzeba automatycznie sprawdzać zabezpieczenia techniczne uprawnień przypisanych do zwolnionych pracowników, takich jak dostęp do usługi Active Directory lub serwerów Exchange. Jeśli po zwolnieniu pracownika jego wyłączone poświadczenia zostaną użyte w celu uzyskania dostępu do zastrzeżonych danych lub systemów, należy zarejestrować ten incydent i przeprowadzić dochodzenie, aby zapobiec potencjalnemu przypadkowi naruszenia integralności danych. 10

11 Etap 3. Identyfikowanie zagrożeń dzięki korelacji alertów w czasie rzeczywistym z globalnymi danymi wywiadowczymi. Aby ułatwić określanie zagrożeń związanych z ukierunkowanymi atakami i umożliwić skuteczne reagowanie na takie sytuacje, systemy zarządzania zdarzeniami i informacjami w zakresie zabezpieczeń mogą odpowiednio oznaczać podejrzane działania sieciowe w celu przeprowadzenia dochodzenia. Korzyści z alertów w czasie rzeczywistym są większe, gdy udostępniane informacje można skorelować z wiedzą na temat faktycznych, znanych zagrożeń. Dostęp do aktualnych wyników badań i analiz dotyczących ogólnoświatowych zagrożeń zapewnia zespołom ds. bezpieczeństwa znaczną przewagę w walce z zewnętrznymi atakami. Usługi analizy zabezpieczeń codziennie monitorują dane z miliardów wiadomości oraz milionów systemów na całym świecie. Systemy zarządzania informacjami i zdarzeniami w zakresie zabezpieczeń śledzą aktywność sieciową, w czasie rzeczywistym gromadzą dane na temat incydentów z różnych systemów oraz dopasowują dzienniki takich zdarzeń do źródeł danych pochodzących z usług analizy zabezpieczeń w celu identyfikowania znanych niebezpiecznych witryn i innych zagrożeń zewnętrznych. Etap 4. Zapobieganie wtargnięciu do sieci w ramach ukierunkowanych ataków. Trzy podstawowe sposoby wtargnięcia do sieci firmowej to nieuprawnione wykorzystanie haseł domyślnych, ataki typu SQL Injection i ukierunkowane programy destrukcyjne. W celu zapobiegania takim sytuacjom należy uniemożliwić dostęp do zasobów informacyjnych firmy za pośrednictwem tych trzech metod. Powstrzymywanie ukierunkowanych ataków wymaga połączenia systemów automatycznej oceny mechanizmów zabezpieczeń, ochrony systemów podstawowych i rozwiązań do zabezpieczania wiadomości. Ponadto urządzenia końcowe powinny być centralnie zarządzane, co zapewni spójne wdrażanie reguł bezpieczeństwa, technologii szyfrowania i zasad dostępu do informacji. Należy automatycznie skanować zabezpieczenia techniczne wszystkich serwerów sieciowych, w tym ustawienia haseł, oraz zgłaszać wszelkie naruszenia reguł. Automatyczne monitorowanie administratorów zapewnia usuwanie haseł domyślnych i aktualizowanie list ACL. Dzięki zainstalowaniu na serwerach systemów wykrywania włamań i zapobiegania im na poziomie poszczególnych komputerów można chronić integralność hostów w przypadku ataków typu SQL Injection i powstrzymywać instalację destrukcyjnych programów w systemach podstawowych. Należy korzystać z funkcji zabezpieczeń komunikacji, aby monitorować i blokować przychodzące ukierunkowane programy destrukcyjne. Należy wdrożyć scentralizowane rozwiązania do ochrony urządzeń końcowych, szyfrowania i kontroli dostępu do sieci oraz zarządzać nimi na wszystkich stacjach roboczych i w komputerach przenośnych pracowników. Niezbędne jest także wdrożenie jednolitych standardów konfiguracji, zwiększenie wydajności operacyjnej oraz zapewnienie skuteczniejszej ochrony. Etap 5. Zapobieganie kradzieży danych. W przypadku udanego wtargnięcia do systemu przez hakera nadal można zapobiec naruszeniu integralności danych dzięki oprogramowaniu sieciowemu, które wykrywa i blokuje możliwość przeniknięcia danych poufnych poza firmę. W taki sam sposób można identyfikować i powstrzymywać przypadki naruszeń spowodowane przez pracowników. Połączone rozwiązania do zapobiegania utracie danych i zarządzania zdarzeniami dotyczącymi zabezpieczeń zapobiegają naruszeniu integralności w fazie wysyłania danych. Należy monitorować i uniemożliwiać przypadki naruszenia integralności danych podczas transmisji sieciowej niezależnie od tego, czy są one spowodowane przez pracowników o niebezpiecznych zamiarach, czy przez destrukcyjne oprogramowanie. Należy identyfikować dane przesyłane do znanych witryn hakerów i ostrzegać zespoły ds. bezpieczeństwa, aby zapobiegać przenikaniu danych poufnych poza firmę. 11

12 Etap 6. Integracja strategii zapobiegania i reagowania z działaniami dotyczącymi zabezpieczeń. W celu zapobiegania przypadkom naruszenia integralności danych niezbędne jest zintegrowanie planów zapobiegania i reagowania z codzienną działalnością zespołu ds. bezpieczeństwa. Za pomocą technologii monitorowania i ochrony informacji zespół ds. bezpieczeństwa będzie mógł stale udoskonalać plan działań i stopniowo ograniczać ryzyko dzięki coraz większej wiedzy na temat zagrożeń i luk w zabezpieczeniach. Zintegrowane rozwiązania do zapobiegania utracie danych, ochrony systemów, zapewniania zgodności z przepisami oraz zarządzania zabezpieczeniami umożliwiają klientom opracowanie operacyjnego modelu zabezpieczeń opartego na ocenie ryzyka i znajomości treści. Pozwoli on reagować na zagrożenia w czasie rzeczywistym, a dzięki obsłudze przepływu pracy i automatyzacji typowych procesów umożliwi pełną ochronę pracowników, egzekwowanie reguł i zabezpieczenie technologii. Usługi w dziedzinie zabezpieczeń, takie jak doradztwo, szkolenia, wsparcie techniczne o znaczeniu krytycznym i globalne usługi w zakresie bezpieczeństwa, zapewniają firmie dogłębną wiedzę na temat ochrony i szerokie doświadczenie związane z produktami zabezpieczającymi. Więcej informacji na temat sposobów powstrzymywania przypadków naruszeń integralności można znaleźć w dodatku dotyczącym rozwiązań firmy Symantec. Jak rozpocząć? Pierwszym etapem planu zapobiegania i reagowania jest określenie typów poufnych danych firmowych, które wymagają ochrony, oraz użycie tych informacji w celu określenia ryzyka ataku. Po zdefiniowaniu i określeniu priorytetów w zakresie ryzyka związanego z danymi należy zaangażować zainteresowane strony i powołać zespół projektowy. W skład zespołu powinni wejść przedstawiciele działów ds. zabezpieczeń informatycznych i zgodności z przepisami oraz osoby odpowiedzialne za dane biznesowe. Pozwoli to ocenić rozwiązania i zaproponować odpowiednie działania. W przypadku wielu organizacji proces ten rozpoczyna się od oceny ryzyka. Usługa oceny ryzyka utraty danych firmy Symantec umożliwia firmom szybkie zidentyfikowanie informacji poufnych i precyzyjne określenie ryzyka związanego z naruszeniem integralności danych. W typowej sytuacji klient może ocenić ilościowe ryzyko utraty danych i określić odpowiednie priorytety w zależności od typu danych, systemu i grupy w celu opracowania planu zapobiegania naruszeniom integralności danych i reagowania na nie. Raport firmy Symantec dotyczący oceny ryzyka utraty danych określa najważniejsze przyczyny naruszeń według typu danych i obowiązujących reguł, udostępnia porównanie ogólnego profilu ryzyka firmy ze średnią branżową, a także zawiera zalecenia dotyczące odpowiednich procesów biznesowych, reguł i programów działań umożliwiających ograniczenie ryzyka. Dlaczego warto wybrać produkty firmy Symantec? Firma Symantec to światowy lider branży zabezpieczeń i najbardziej znany producent oprogramowania zabezpieczającego. Chronimy większą liczbę systemów, przedsiębiorstw i społeczności niż jakakolwiek inna firma na świecie. Firma Symantec oferuje największą liczbę najlepiej ocenianych produktów i usług. Dysponujemy także wyjątkowo zaawansowaną wiedzą i najbardziej kompleksową siecią wywiadowczą na świecie. Firma Symantec jest sprawdzonym liderem w przypadku organizacji, które wymagają ochrony ważnych informacji, możliwości reagowania na zagrożenia, potwierdzenia zgodności z przepisami i skutecznego zarządzania zabezpieczeniami. 12

13 Dodatek Tabela rozwiązań firmy Symantec w zakresie ochrony informacji Poniżej przedstawiono metody opisane w części dotyczącej zapobiegania przypadkom naruszenia integralności w zestawieniu z odpowiednimi rozwiązaniami oferowanymi przez firmę Symantec. 13

14 Firma Symantec informacje Firma Symantec jest światowym liderem w zakresie rozwiązań zabezpieczających, do przechowywania danych i zarządzania systemami, które pomagają firmom i klientom indywidualnym w bezpieczny sposób zarządzać informacjami. Nasze oprogramowanie oraz usługi skutecznie i wydajnie chronią przed wieloma zagrożeniami, dając pewność podczas korzystania z informacji i ich przechowywania. Informacje na temat adresów biur i numerów telefonów w poszczególnych krajach można znaleźć w naszej witrynie internetowej. Siedziba główna firmy Symantec 350 Ellis Street Mountain View, CA USA Copyright 2009 Symantec Corporation. Wszelkie prawa zastrzeżone. Nazwa Symantec i logo Symantec są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Symantec Corporation lub jej oddziałów, zarejestrowanymi w USA i w innych krajach. Inne nazwy mogą być znakami towarowymi odpowiednich właścicieli. 9/