Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Polityki dotyczące bezpieczeństwa: nadużywanie zasobów


Według badań przeprowadzonych w Europie i Stanach Zjednoczonych, pracownicy firm tracą do 30% swojego czasu pracy na prywatne sprawy. Mnożąc liczbę godzin spędzanych na wykonywaniu czynności niezwiązanych z pracą przez średni koszt godziny roboczej, analitycy oszacowali, że firmy tracą z tego tytułu miliony dolarów rocznie. Straty pośrednie mogą być jeszcze wyższe. Jeżeli tacy pracownicy – nieumyślnie bądź nie – pomagają w przeprowadzeniu ataków hakerskich i kradzieży tożsamości, szkodzą reputacji lub naruszają prawo autorskie, koszty te mogą być nawet wyższe.      

Pracownicy często wykorzystują komputery biurowe, aby komunikować się za pośrednictwem portali społecznościowych, udostępniać odsyłacze do rozrywki online lub pobierać pliki z podejrzanych zasobów. Jednocześnie, portale społecznościowe są aktywnie wykorzystywane przez cyberprzestępców do przeprowadzania ataków phishingowych i rozprzestrzeniania szkodliwego oprogramowania. Wiele prywatnych blogów, stron oferujących rozrywkę oraz serwisów współdzielenia plików, serwisów śledzenia torrentów oraz pobieranych z nich plików jest zainfekowanych szkodliwym oprogramowaniem. Hasła do kont e-mail są regularnie łamane i kradzione.

Artykuł ten opisuje kilka problemów, jakie mogą wyniknąć z niewłaściwego wykorzystywania komputerów biurowych, i pokazuje, w jaki sposób można zapobiec podobnym incydentom w sieci korporacyjnej.  

Ataki ukierunkowane

Zagrożenia, z jakimi sykają się użytkownicy każdego dnia, zwykle są przeznaczone dla „odbiorców” masowych, dlatego zainstalowane na ich komputerach rozwiązanie antywirusowe w zupełności poradzi sobie z odparciem większości ataków. Inaczej jest w przypadku ataków ukierunkowanych: są przeprowadzane ukradkiem, często z zastosowaniem niestandardowego podejścia; są niezwykle wyrafinowane i dobrze zorganizowane. W celu osiągnięcia swoich celów oszuści stosują najskuteczniejszą broń, przy pomocy której mogą wykorzystać istniejąca lukę w oprogramowaniu lub portalu społecznościowym.    

Socjotechnika

W 2009 roku ponad 20 największych firm z branży oprogramowania, takich jak Google, Adobe, Juniper oraz Yahoo, padło ofiarą ataku ukierunkowanego Operation Aurora. W jednej z odmian tego ataku pracownicy firmy zostali zwabieni na szkodliwe strony za pośrednictwem portali społecznościowych i komunikatorów internetowych. Przy pomocy socjotechniki oszuści zapoznawali się ze swoimi potencjalnymi ofiarami, zdobywali ich zaufanie i robili wszystko, co niezbędne, aby zmusić swoje ofiary do kliknięcia odsyłacza. Doświadczenie pokazuje, że w tym celu wystarczy:       

  1. Zebrać z portali społecznościowych powszechnie dostępne informacje na temat użytkownika, jego zainteresowań, preferencji i kontaktów;
  2. Stworzyć konto w oparciu o zainteresowania ofiary i jej dane osobowe (rok i miejsce urodzenia, szkoła, uczelnia wyższa);
  3. Zostać „przyjacielem” osób z listy kontaktów ofiary;
  4. Skontaktować się z ofiarą przy pomocy stworzonej wcześniej „przykrywki”.

 

Gdy konto zostanie tak precyzyjnie przygotowane, istnieje duża szansa, że potencjalne ofiary klikną podejrzany odsyłacz. Jeżeli ofiara nie chwyci przynęty, oszust może zastosować bardziej wyrafinowany chwyt, włamując się na konto użytkownika, do którego ofiara ma pełne zaufanie, i wysyłając stamtąd odsyłacze. Często nie jest to wcale trudne, szczególnie gdy zaufane kontakty ofiary obejmują potencjalnie podatne na wykorzystanie kategorie użytkowników – osoby starsze, dzieci i młodzież.    

W ataku ukierunkowanym odsyłacz zazwyczaj prowadzi ofiarę na stronę, która zawiera zestaw exploitów 0-day pozwalających przestępcom uzyskać dostęp do podatnych na ataki komputerów. Nie ma wątpliwości, że komunikując się za pośrednictwem portali społecznościowych z komputera firmowego, pracownicy mogą nieświadomie pomóc hakerom przeniknąć do sieci korporacyjnej.   

Ataki typu „Watering Hole”

Niemniej groźne od ataków ukierunkowanych za pośrednictwem portali społecznościowych są ataki typu „Watering Hole”. Ataki te polegają na zidentyfikowaniu i zainfekowaniu stron, które są najczęściej odwiedzane przez pracowników firmy. Ostatnio zainfekowana została strona amerykańskiego ministra pracy, przypuszcza się jednak, że prawdziwym celem ataku był Departament Energii: przestępcy próbowali zainfekować komputery pracowników Departamentu Energii, którzy regularnie odwiedzali stronę Ministerstwa Pracy.    

Gdy pracownik atakowanej firmy otwiera zainfekowaną stronę, zaimplementowany na stronie kod ukradkowo przekierowuje przeglądarkę na szkodliwą stronę, która zawiera zestaw exploitów 0-day. Umieszczone na zainfekowanych stronach internetowych szkodliwe oprogramowanie, np. skrypt serwera, często działa w sposób selektywny, tak aby zaimplementować szkodliwy kod na stronach wysyłanych do użytkownika, który jest najistotniejszą osobą dla atakowanej firmy. Dzięki temu oszuści mogą ukryć atak ukierunkowany przed firmami antywirusowymi i ekspertami z dziedziny bezpieczeństwa IT.  

Oszuści próbują infekować zaufane, legalne strony. W takich przypadkach nawet gdy użytkownicy muszą wykonać dodatkowe kroki w celu uruchomienia exploita – włączyć JavaScript, zezwolić na wykonywanie appleta Javy w celu potwierdzenia wyjątku w polityce bezpieczeństwa itd. – istnieje możliwość, że nieświadomie klikną „Zezwól” oraz „Potwierdź”. 

Ochrona

Nie ma wątpliwości, że użytkownicy odgrywają ważną rolę w atakach ukierunkowanych – niechcąco pozwalają oszustom zaatakować system. Niestety, obecnie nie istnieje żadna technologia, która mogłaby wyeliminować błąd ludzki w dziedzinie ochrony sieci korporacyjnej. Jednak wzmocnienie polityk bezpieczeństwa kilkoma istotnymi technologiami zapewnia skuteczną ochronę przed atakami ukierunkowanymi poprzez zwalczanie ich na każdym etapie – od pierwszej próby wykorzystania luki po próby naruszenia bezpieczeństwa sieci. 

Ochrona przed exploitami

Ponieważ ataki ukierunkowane wykorzystują unikatowe szkodliwe oprogramowanie, wykrywanie oparte na sygnaturach nie wystarczy do zidentyfikowania wykorzystywanego niebezpiecznego kodu. Jednak programy antywirusowe od dawna posiadają do swojej dyspozycji szerszy arsenał broni niż samo wykrywanie oparte na sygnaturach. Technologia automatycznej ochrony przed exploitami, która wykorzystuje mechanizmy DEP i ASLR, metody analizy heurystycznej oraz kontrola kodu wykonywalnego, potrafią zablokować uruchomienie niebezpiecznego kodu, gdy wykorzystuje on lukę 0-day.       

Gdyby oszustom udało się zaatakować system – za pośrednictwem exploita lub szkodliwego oprogramowania uruchomionego przez użytkownika – kontrola ruchu sieciowego oraz kontrola aplikacji pomoże zapobiec dalszej penetracji sieci korporacyjnej.

Kontrola ruchu sieciowego

Po tym, jak szkodliwy kod (trojan lub kod powłoki exploita) przedostanie się do systemu, zazwyczaj próbuje wykonać następujące działania (jedno lub więcej):

  • ustanowić połączenie z centrum kontroli (połączenie wychodzące),
  • otworzyć porty dla połączeń przychodzących,
  • pobrać dodatkowe moduły,
  • zaimplementować szkodliwy kod w innych procesach w celu utrzymania połączenia z centrum kontroli,
  • zebrać informacje dotyczące sieci, jej systemów oraz użytkowników,
  • wysyłać zebrane informacje (adresy IT, nazwy i konta komputerów, loginy, hasła itd.) do serwera oszustów.

Po połączeniu się z systemem oszuści próbują zebrać informacje o nim oraz o sieci korporacyjnej, w której zlokalizowany jest komputer. W celu zebrania informacji lokalnych oszuści nie potrzebują dodatkowych przywilejów – lista uruchomionych procesów, zainstalowanego oprogramowania i łat, połączonych użytkowników itd. może zostać dość łatwo znaleziona. Informacje dotyczące sieci korporacyjnej – wyszukiwanie innych podatnych na ataki systemów, systemy ochrony, foldery współdzielone, usługi sieciowe, serwery itd. – są zbierane przy użyciu specjalnych skryptów i narzędzi potrafiących zamaskować swoją aktywność oraz obejść systemy bezpieczeństwa. Wszystkie te informacje są wysyłane cyberprzestępcom za pośrednictwem internetu do analizy, zanim zostanie przygotowany kolejny etap ataku.           

Przy użyciu technologii kontroli ruchu sieciowego (zapora sieciowa, IPS / IDS) administratorzy systemu oraz specjaliści ds. bezpieczeństwa IT mogą nie tylko zablokować niebezpieczną aktywność sieciową, ale również wykryć wszelkie przypadki włamania do sieci korporacyjnej. Zapora sieciowa oraz IPS / IDS potrafią:

  • Zablokować połączenia przychodzące i wychodzące
    • według portu,
    • według nazwy domeny i adresu IP,
    • według protokołu;
  • Wygenerować analizę statystyczną ruchu (Net flow) w celu zidentyfikowania anomalii;
  • Zebrać podejrzany ruch sieciowy do dalszej analizy;
  • Wykrywać/blokować:
    • polecenia wychodzące lub podobne dane wyjściowe wysyłane za pośrednictwem internetu,
    • pobrane z internetu podejrzane pliki (dodatkowe moduły szkodliwego oprogramowania),
    • transmisje poufnych informacji (adresy IP, loginy, nazwy komputerów, dokumenty korporacyjne, numery kart kredytowych itd.).

Zapora sieciowa oraz IPS / IDS potrafią wykrywać anomalie w sposobie interakcji węzłów sieci, jak tylko szkodliwy kod będzie próbował skontaktować się z centrum kontroli, lub aktywnie skanować sieć korporacyjną w poszukiwaniu innych systemów, otwartych portów, współdzielonych folderów itd. To wykrywanie anomalii pozwala ekspertom IT szybko zareagować na zagrożenie, zapobiegając dalszej penetracji, która mogłaby naruszyć bezpieczeństwo sieci korporacyjnej.      

Kontrola aplikacji

Po uzyskaniu dostępu do atakowanego systemu cyberprzestępcy dążą do skonsolidowania swojego sukcesu: do systemu pobierane są dodatkowe moduły i narzędzia, a szkodliwy kod zapewniający połączenie z centrum kontroli jest często włączany do zaufanych procesów, takich jak .exe, csrss.exe, smss.exe itd. 

Kontrola aplikacji może zablokować uruchomienie i pobranie niezaufanych programów i modułów z zestawu hakerskiego oszusta, a polityki HIPS należy stosować w celu zablokowania niestandardowego – i potencjalnie niebezpiecznego – zachowania ze strony legalnego oprogramowania. Na przykład, przeglądarki nie powinny otwierać portów dla połączeń przychodzących, procesów systemowych (explorer.exe, csrss.exe, smss.exe itd.), a inne aplikacje (calc.exe, notepad.exe itd.) nie powinny być podłączane do zewnętrznych serwerów i rozprzestrzeniać szkodliwego kodu do innych zaufanych procesów – takie zachowanie powinno być zakazane.      

Aby uniemożliwić przestępcom przejęcie kontroli nad systemem, specjaliści ds. bezpieczeństwa IT powinni:

  • uniemożliwić zaufanym lub potencjalnie podatnym na ataki programom zaimplementowanie kodu w innych procesach,
  • ograniczać dostęp aplikacji jedynie do krytycznych zasobów systemowych i plików;
  • blokować potencjalnie niebezpieczne funkcje, które nie stanowią funkcji domyślnej aplikacji (dostęp sieciowy, instalacja sterowników, tworzenie zrzutów ekranu, dostęp do kamery sieciowej lub mikrofonu itd.).

Systemy wymagające najwyższego poziomu ochrony powinny być chronione przy użyciu trybu domyślnej odmowy (ang. Default Deny), blokującego uruchomienie dowolnego programu, który nie znajduje się na białej liście przechowywanej lokalnie lub w chmurze.   

Szyfrowanie plików

Jeżeli oszuści przejmą kontrolę nad systemem i wnikną do sieci korporacyjnej, mogą próbować znaleźć i przesłać ważne pliki, które zawierają cenne informacje:  

  • dokumenty firmowe, w tym polityki bezpieczeństwa,
  • pliki zawierające dane uwierzytelniające,
  • pliki konfiguracyjne,
  • kody źródłowe,
  • klucze prywatne.

Informacje te można znaleźć na głównej maszynie ofiary jak również w otwartych folderach sieciowych w innych systemach. Aby zapobiec wyciekowi poufnych danych, specjaliści ds. bezpieczeństwa IT powinni wykorzystywać szyfrowanie pliku/dysku, które może ograniczyć lokalny dostęp do poufnych (chronionych) informacji. Dane są również przesyłane w formie zaszyfrowanej. Nawet jeśli przestępcom uda się coś pobrać, nie będą mogli odczytać zawartości zaszyfrowanych plików.   

Polityki dotyczące bezpieczeństwa

Żadna z wyżej wymienionych technologii nie jest w stanie sama skutecznie zapobiegać atakom ukierunkowanym. Ochrona sieci korporacyjnej wymaga dobrej integracji i dokładnego dostrojenia wszystkich tych technologii.

Jednak administratorzy systemu i specjaliści ds. bezpieczeństwa IT powinni również wykorzystywać administracyjne środki ochrony:

  • Edukacja użytkowników: wszyscy użytkownicy muszą:
    • znać i stosować firmowe polityki bezpieczeństwa,
    • rozumieć możliwe konsekwencje zagrożeń internetowych, takich jak phishing, socjotechnika czy szkodliwe strony,
    • informować personel odpowiedzialny za bezpieczeństwo o wszelkich incydentach;
  • Kontrola nad prawami i przywilejami dostępu użytkowników:
    • wszystkie prawa i przywileje powinny być przyznawane tylko wtedy, gdy jest to konieczne,
    • wszystkie prawa i przywileje (dostępu) nadane użytkownikom powinny być odnotowane;
  • Skanowanie systemu w celu wykrycia luk w zabezpieczeniach oraz niewykorzystywanych usług sieciowych:
    • wykrywanie i analiza podatnych na ataki usług sieciowych i aplikacji,
    • aktualizacja podatnych na ataki komponentów i aplikacji. Jeżeli aktualizacja nie jest dostępna, korzystanie z podatnego na ataki oprogramowania powinno zostać ograniczone lub wstrzymane.

Wiele z tych działań można zautomatyzować. Na przykład, jeśli zostaną naruszone polityki bezpieczeństwa, specjalne oprogramowanie pokaże użytkownikowi komunikat ostrzegawczy. Technologia zarządzania systemami może być wykorzystywana do szukania usług sieciowych i nieautoryzowanych urządzeń, luk w zabezpieczeniach oraz automatycznych aktualizacji aplikacji zawierających luki. 

Wnioski

Nadużywanie zasobów firmowych może prowadzić zarówno do bezpośrednich strat finansowych jak i poważnych incydentów naruszenia bezpieczeństwa IT. Podczas komunikowania się na portalach społecznościowych lub przeglądania stron internetowych na komputerze firmowym pracownicy mogą bezwiednie stać się ofiarami i nieświadomymi wspólnikami przestępców, którzy planują ataki ukierunkowane.    

W drugiej części artykułu opiszemy incydent, w którym wykorzystano prywatny e-mail, oprogramowanie i nielicencjonowane treści w sieci korporacyjnej oraz przedstawimy środki ochrony przed takimi incydentami.