BeyondTrust. Δείκτες εσωτερικής απειλής: Πως να αναγνωρίσετε τις επιθέσεις εκ των έσω (Μέρος 1)
Τι είναι μία απειλή εκ των έσω;
Μια εσωτερική απειλή ή απειλή εκ των έσω είναι ένα εσωτερικό πρόσωπο που ενεργεί ως αξιόπιστο περιουσιακό στοιχείο (π.χ. ένας υπάλληλος, εργολάβος, προμηθευτής, συνεργάτης κ.λπ.) και συμπεριφέρεται ως παράγοντας απειλής. Τυπικά, οι κάτοχοι εμπιστευτικής ή εσωτερικής πληροφόρησης, οι «insiders» δηλαδή, επιδεικνύουν κακόβουλη συμπεριφορά εκ προθέσεως, όμως κάποιες φορές, δεν γνωρίζουν ότι οι ενέργειές τους κατευθύνονται από έναν εξωτερικό παράγοντα απειλής. Σε κάθε περίπτωση, ο κάτοχος εμπιστευτικής πληροφόρησης κάνει κατάχρηση της πρόσβασης και των προνομίων του σκοπίμως για δόλιους και παράνομους λόγους ή σύμφωνα με τις εντολές μίας εξωτερικής δύναμης.
Σήμερα, πρέπει να είμαστε ρεαλιστές σχετικά με το τι είναι μια εσωτερική απειλή και να αναγνωρίσουμε ότι συμβαίνουν, με διάφορες μορφές, εδώ και αιώνες. Χρόνια δεδομένων από απειλές δείχνουν ότι οι εσωτερικές απειλές είναι συνήθως και δυσκολότερο να εντοπιστούν, ενώ επιπλέον έχουν τη δυνατότητα να προκαλέσουν τη μεγαλύτερη ζημιά. Έχοντας την ικανότητα να αναγνωρίζουν και να ερμηνεύουν σωστά τους δείκτες εσωτερικών απειλών, οι επιχειρήσεις και οι οργανισμοί θα είναι σε θέση να ανιχνεύσουν ταχύτερα τις επιθέσεις εκ των έσω και να αποτρέψουν ή να μετριάσουν τη ζημιά.
Οι κίνδυνοι από τις απειλές εκ των έσω
Μέχρι στιγμής, οι περισσότεροι επαγγελματίες ασφάλειας γνωρίζουν καλά τους κινδύνους από τις εσωτερικές απειλές. Πριν από χρόνια, τέτοιες επιθέσεις βρίσκονταν τακτικά στα «πρωτοσέλιδα» των ειδησεογραφικών ιστοσελίδων και των εφημερίδων αλλά σήμερα αποτελούν τη σιωπηλή απειλή που ελάχιστοι οργανισμοί θέλουν να αποκαλύψουν ή να παραδεχτούν δημοσίως.
Ανεξάρτητα από τις κακόβουλες τεχνικές που μπορεί να χρησιμοποιεί ένας εσωτερικός παράγοντας απειλής, όπως είναι φυσικό δεν συμπεριφέρεται με γνώμονα το συμφέρον της εταιρείας. Ο κάτοχος εμπιστευτικής ή εσωτερικής πληροφόρησης ενδέχεται να παραβιάζει τη νομοθεσία και πιθανόν να αντλεί πληροφορίες που δεν έχει την άδεια να κατέχει ή να εκτελεί άλλες επιζήμιες ενέργειες.
Ένα μακροχρόνιο παράδειγμα εσωτερικής απειλής είναι η κλοπή της λίστας πελατών από έναν πωλητή ή κάποιο ανώτερο στέλεχος που σχεδιάζει να αποχωρήσει από την εταιρεία. Ίσως έχει φωτοτυπήσει ή εκτυπώσει τη λίστα ή τις λίστες πελατών και τις παραγγελίες, ώστε να έχει το ανταγωνιστικό πλεονέκτημα όταν αναλάβει τα νέα του καθήκοντα υπό νέα εργοδοσία.
Σήμερα, με τα ηλεκτρονικά μέσα ενημέρωσης και το Διαδίκτυο, ένας κάτοχος εμπιστευτικών πληροφοριών μπορεί να πάρει μαζί του μεγάλους όγκους δεδομένων χωρίς να το αντιληφθεί κανείς. Αρκεί να σας υπενθυμίσουμε, ότι εκείνο το «ντουλάπι γεμάτο φακέλους με αρχεία» που περιέχουν ευαίσθητες πληροφορίες μπορεί πλέον να χωρέσει σε μια μονάδα αποθήκευσης USB που χωράει στην τσέπη ενός ατόμου ή να αναρτηθεί σε έναν προσωπικό κοινόχρηστο φάκελο σε κάποια υπηρεσία αποθήκευσης στο cloud, καθιστώντας το περιεχόμενο επιρρεπές και σε άλλες απειλές.
Αν και οι δόλιες συμπεριφορές και οι παρανομίες από «εσωτερικούς» διαπράττονται με ολοένα και μεγαλύτερη ευκολία χάρη στη σύγχρονη τεχνολογία, «η εσωτερική απειλή» είναι ένα θέμα που οι περισσότεροι οργανισμοί δυσκολεύονται να συζητήσουν.
Τα ανθρώπινα όντα θα κάνουν τα πιο ασυνήθιστα πράγματα στις πιο πιεστικές ή δύσκολες καταστάσεις, αλλά αν δεν τους επιτραπεί ή δεν τους δοθεί το δικαίωμα, μπορούν να μετριαστούν πολλοί κίνδυνοι από εσωτερικές απειλές.
Μια σύντομη λίστα που αντιπροσωπεύει μερικές από τις πιο ενδιαφέρουσες και καλά τεκμηριωμένες εσωτερικές απειλές περιλαμβάνει:
- Edward Snowden – Εσωτερική απειλή της NSA και αυτοαποκαλούμενος πληροφοριοδότης (Κυβέρνηση)
- Elliot Greenleaf Law Firm – Πολλοί δικηγόροι εξήγαγαν και διέγραψαν ευαίσθητες πληροφορίες (Δίκαιο)
- South Georgia Medical Center – Ένας πρώην υπάλληλος κατέβασε προσωπικά δεδομένα (Υγειονομική περίθαλψη)
Πως να εκτιμήσετε κατά πόσο είστε ευπαθείς στις εσωτερικές απειλές
Καθώς γίνεται αξιολόγηση του τρόπου αναγνώρισης και μετριασμού των κινδύνων που σχετίζονται με εσωτερικές απειλές, λάβετε υπόψη τα παρακάτω γεγονότα σχετικά με την επιχείρηση σας:
- Πόσοι άνθρωποι έχουν πρόσβαση μαζικά σε ευαίσθητες πληροφορίες;
- Ποιος μπορεί να εξάγει μεγάλες ποσότητες πληροφοριών από ένα αίτημα (query) ή ένα σύστημα τρίτων;
- Είναι έγκυροι όλοι οι ενεργοί λογαριασμοί;
- Σχετίζονται όλοι οι λογαριασμοί με άτομα που εξακολουθούν να εργάζονται στον οργανισμό ή υπάρχει συνεργασία μέσω τρίτων;
- Πως αναγνωρίζετε τους απατηλούς ή τους σκιώδεις λογαριασμούς IT;
- Πόσο συχνά αλλάζετε τους κωδικούς πρόσβασης για ευαίσθητους λογαριασμούς;
- Παρακολουθείτε την προνομιακή πρόσβαση σε ευαίσθητα συστήματα και δεδομένα;
Και για να είμαστε δίκαιοι, αν απαντήσετε ειλικρινά στις παραπάνω ερωτήσεις ενδέχεται να σημάνει το άνοιγμα του κουτιού της Πανδώρας. Μπορεί να μην σας αρέσουν οι απαντήσεις ή ακόμα και να μην ξέρετε καν από πού να αρχίσετε για να λάβετε απαντήσεις. Παρόλα αυτά, θα πρέπει να απαντήσετε σε όλα τα παραπάνω αν σας ενδιαφέρει να αντιμετωπίσετε αποτελεσματικά τους κινδύνους που προέρχονται από άτομα που είναι κάτοχοι εμπιστευτικής πληροφόρησης στην εταιρεία σας. Αρχικά ωστόσο, θα πρέπει να κατανοήσετε τους βασικούς κινδύνους καθώς και να οργανώσετε ένα πλάνο που να δίνει προτεραιότητα στις επόμενες ενέργειες μετριασμού.
Συνήθεις δείκτες απειλών και πως να τους αναγνωρίσετε
Ο καλύτερος τρόπος για τον εντοπισμό εσωτερικών απειλών είναι να αναζητήσετε δείκτες παραβίασης ή «συμβιβασμού» (IoC) που ενδεχομένως μπορούν να αποδοθούν σε ακατάλληλη συμπεριφορά. Μερικές φορές, μπορεί να είναι δύσκολο να εντοπιστούν σε συνάρτηση με τις κανονικές λειτουργίες της επιχείρησης, ωστόσο σχεδόν πάντα υπάρχει ένα σύμπτωμα που παραπέμπει σε κακόβουλη πρόθεση ή δραστηριότητα.
Για το σκοπό αυτό, λάβετε υπόψη τους ακόλουθους δείκτες εσωτερικής απειλής μαζί και με τις μεθόδους ανίχνευσης:
- Ασυνήθιστη αντιγραφή, λήψη ή μετακίνηση ευαίσθητων πληροφοριών: Αυτό είναι εξαιρετικά σημαντικό, ειδικά όταν τα δεδομένα ή οι πληροφορίες μετακινούνται σε κάποιον μη τυπικό ή μη εξουσιοδοτημένο προορισμό. Η απλή αλληλεπίδραση με ευαίσθητα δεδομένα μπορεί να αποτελεί δείκτη (ένδειξη) παραβίασης εφόσον πραγματοποιείται από άτομα μη εξουσιοδοτημένα. Και αυτό είναι ιδιαίτερα απλό να ανακαλυφθεί με βάση τις ταυτότητες και τα αρχεία καταγραφής πρόσβασης. Παρόλα αυτά, αν ο χρήστης αλληλοεπιδρά κανονικά και συχνά με τα συγκεκριμένα δεδομένα, τότε είναι μόνο ο μη τυπικός ή ασυνήθιστος προορισμός που μπορεί να υποδηλώνει τυχόν παράνομη δραστηριότητα. Οι προορισμοί μπορεί να περιλαμβάνουν μη εξουσιοδοτημένα, αφαιρούμενα μέσα, όπως μονάδες USB, λύσεις αποθήκευσης αρχείων που βασίζονται σε cloud, ακόμη και email.
- Ανώμαλη δραστηριότητα αναζήτησης στο εταιρικό δίκτυο: Γενικώς, υποθέτουμε ότι ένας εμπιστευτικός ή εσωτερικός παράγοντας απειλής γνωρίζει ποια είναι τα δεδομένα που θέλει καθώς και που να τα βρει. Αυτό όμως δεν είναι πάντα αληθές. Οι εσωτερικές απειλές μπορεί να είναι τόσο οπορτουνιστικές όσο και ο επόμενος εισβολέας. Οι κακόβουλοι υπάλληλοι, κάτοχοι εσωτερικής πληροφόρησης, ενδέχεται να προχωρούν σε αναζητήσεις σε ενεργά δίκτυα, ενδοδίκτυα (εσωτερικά δίκτυα, intranets), θύρες ή σε εφαρμογές για ευαίσθητες πληροφορίες που μπορούν να εξαχθούν και να αξιοποιηθούν για το κέρδος τους. Επομένως, ξεκινήστε την παρακολούθηση εφαρμογών ή ταυτοτήτων που εκτελούν ευρείες αναζητήσεις και σαρώσεις δικτύου για να εντοπίσουν αρχεία, buckets και εφαρμογές που μπορούν να παραδώσουν δεδομένα και πληροφορίες ως μέρος της αλυσίδας επίθεσης.
- Ασυνήθιστες ανωμαλίες πρόσβασης και σύνδεσης: Αν ο χρήστης δεν έχει πρόσβαση σε δεδομένα ή συστήματα ως μέρος του ρόλου του στην επιχείρηση και ξαφνικά διαπιστωθεί ότι έχει αρχίσει να κάνει προσπάθειες για να αποκτήσει πρόσβαση σε εταιρικά δεδομένα εκτός της δικαιοδοσίας του, τότε ενδέχεται να βρίσκεται σε εξέλιξη μία επίθεση εκ των έσω. Η παρακολούθηση των δραστηριοτήτων αυθεντικοποίησης (ελέγχου ταυτότητας) και εξουσιοδότησης είναι κρίσιμης σημασίας για τον εντοπισμό δεικτών παραβίασης (συμβιβασμού). Αν λάβετε υπόψη όλα τα περιουσιακά στοιχεία της επιχείρησης, η ενοποίηση των αρχείων καταγραφής σε μία λύση SIEM είναι ζωτικής σημασίας για να αποκτήσετε αυτή την προοπτική. Η κατ’ εξαίρεση, μεμονωμένη ή έκτακτη δραστηριότητα μπορεί να βοηθήσει στον εντοπισμό πιθανών ανωμαλιών, ειδικά όταν η συγκεκριμένη πρόσβαση αποκτήθηκε προσφάτως ή είναι νέα. Για να γίνει κάτι τέτοιο ωστόσο απαιτείται κάτι περισσότερο από την απλή αντιστοίχιση μοτίβων (συμπεριφορών, δραστηριοτήτων κ.λπ.) σε μία λύση SIEM και την προηγμένη δυνατότητα αναζήτησης μεμονωμένων ή κατ’ εξαίρεση συμπεριφορών.
- Κακή χρήση εγγενών ή άλλων ήδη εγκατεστημένων εργαλείων: Οι φορείς εσωτερικών απειλών χρησιμοποιούν συχνά εργαλεία για την εξαγωγή πληροφοριών από βασικά εταιρικά συστήματα με στόχο να ικανοποιήσουν τις κακόβουλες αποστολές τους. Ο εντοπισμός ξένων εργαλείων μπορεί επίσης να επισημάνει έναν δείκτη παραβίασης. Παρόλα αυτά, αν ο υπάλληλος είναι «γνώστης», μπορεί να προχωρήσει στην εκτέλεση μίας επίθεσης τύπου «Living-off-the-Land» (LotL). Η συγκεκριμένη μέθοδος επίθεσης συνεπάγεται την εκμετάλλευση εγγενών σετ εργαλείων και άλλων αξιόπιστων εταιρικών εργαλείων για την προώθηση της επίθεσης τους. Σε αυτή την περίπτωση, η συμπεριφορά είναι ο βασικός δείκτης παραβίασης ή συμβιβασμού. Οι συμπεριφορές που πρέπει να παρακολουθήσετε σχετίζονται με την πρόσβαση εκτός των κανονικών ωρών λειτουργίας, την πρόσβαση από ασυνήθιστες ή ξένες τοποθεσίες κ.ά. Ο προηγμένος έλεγχος εφαρμογών που προστατεύει επίσης από «file-less» απειλές, όπως η κατάχρηση/κακή χρήση αξιόπιστων εφαρμογών, είναι ένα σημαντικό εργαλείο για τον εντοπισμό και την προστασία από τις δραστηριότητες των κακόβουλων υπαλλήλων (απειλών εκ των έσω).
Πηγή: BeyondTrust