BeyondTrust. Δείκτες εσωτερικής απειλής: Πως να μετριάσετε τις επιθέσεις εκ των έσω (Μέρος 2)
Πως να αποτρέψετε τη διαρροή δεδομένων από εσωτερικές επιθέσεις
Οι απειλές εκ των έσω περιλαμβάνουν την κλοπή πληροφοριών και τη διεξαγωγή κακόβουλων δραστηριοτήτων. Ένας παράγοντας προηγμένης εσωτερικής απειλής μπορεί να χρησιμοποιήσει εργαλεία που παραδοσιακά συνδέονται με εξωτερικές απειλές. Για παράδειγμα, ένας χρήστης που επιδεικνύει κακόβουλη συμπεριφορά θα μπορούσε να εγκαταστήσει λογισμικό καταγραφής δεδομένων, να εκμεταλλευτεί ένα σύστημα που δεν έχει εγκατεστημένες τις τελευταίες ενημερώσεις ασφαλείας και να αποκτήσει πρόσβαση σε πόρους αξιοποιώντας κερκόπορτες (backdoors) για τη διεξαγωγή ενεργειών και δραστηριοτήτων που σχετίζονται με τη συλλογή δεδομένων.
Τελικώς, οφείλουμε να αναγνωρίσουμε ότι οι απειλές εκ των έσω είναι δυνατόν να επιτύχουν τον στόχο τους εξαιτίας κάποιου από τους ακόλουθους λόγους:
Α. Υπερβολικά προνόμια/ανεπαρκώς διαχειριζόμενα προνόμια (καλύπτονται παρακάτω στα βήματα 1 – 5)
Β. Κακή υγιεινή ασφαλείας (ευπάθεια, διαχείριση διαμόρφωσης, και διαχείριση ελέγχου/καταγραφής (καλύπτονται στα βήματα 5 – 10 παρακάτω)
Έχοντας κατά νου τα παραπάνω (A+B), όλες οι εταιρείες και οργανισμοί θα πρέπει να εφαρμόζουν τις παρακάτω βέλτιστες πρακτικές ασφάλειας για τον μετριασμό των κινδύνων από τις εσωτερικές απειλές:
1.Επιβολή της αρχής του ελάχιστου προνομίου και διαχωρισμός προνομίου: Κανείς δεν πρέπει ποτέ να χρησιμοποιεί λογαριασμό διαχειριστή για καθημερινή χρήση (π.χ. για email, αναζητήσεις στον ιστό κ.λπ.). Και αυτό ισχύει και για τους διαχειριστές, καθώς ο πιθανός κίνδυνος είναι πολύ υψηλότερος σε περίπτωση παραβίασης του λογαριασμού τους, όπως στην περίπτωση που γίνει κλικ σε έναν κακόβουλο σύνδεσμο ηλεκτρονικού ψαρέματος. Όλοι οι υπάλληλοι/χρήστες θα πρέπει να περιορίζονται στα τυπικά δικαιώματα χρήστη έχοντας τη δυνατότητα να αποκτήσουν στιγμιαία προνομιακή πρόσβαση αποκλειστικά και μόνο μέσω ελεγχόμενων και αυστηρώς παρακολουθούμενων ροών εργασίας. Οι λύσεις Privileged Access Management (PAM) έχουν σχεδιαστεί ειδικά για τη διαχείριση αυτής της περίπτωσης χρήσης.
2.Περιορίστε την πρόσβαση στα δεδομένα: Μόνο οι διαχειριστές ή οι υπάλληλοι με συγκεκριμένο ρόλο (όχι στελέχη) θα πρέπει να έχουν πρόσβαση σε δεδομένα μαζικά. Αυτό αποτρέπει έναν υπάλληλο ή κάτοχο εμπιστευτικής πληροφόρησης από το να εξάγει μεγάλες ποσότητες πληροφοριών ή την παραβίαση του λογαριασμού ενός στελέχους για να χρησιμοποιηθεί εναντίον του οργανισμού για την εξαγωγή ή την κλοπή δεδομένων.
3.Ώριμες πολιτικές διαχείρισης της ταυτότητας και της πρόσβασης (IAM): Η πρόσβαση σε ευαίσθητα δεδομένα πρέπει να περιορίζεται μόνο στους κανονικούς και εξουσιοδοτημένους υπαλλήλους. Οι πρώην υπάλληλοι, οι εργολάβοι, ακόμη και οι ελεγκτές, δεν πρέπει να έχουν καμία απολύτως πρόσβαση. Οι λογαριασμοί θα πρέπει να καταργηθούν ή να διαγραφούν σύμφωνα με την πολιτική του οργανισμού σας. Εφαρμόστε ένα μοντέλο «just-in-time-access» για να εξαλείψετε τα μόνιμα προνόμια και να διασφαλίσετε ότι η προνομιακή πρόσβαση είναι καθόλα πεπερασμένη.
4.Χρήση Εταιρικών Εφαρμογών Διαχείρισης Κωδικών Πρόσβασης (Enterprise Password Managers): Οι εργαζόμενοι έρχονται και φεύγουν. Αν οι κωδικοί πρόσβασης παραμένουν ίδιοι όταν φεύγουν από την εταιρεία άνθρωποι ή όταν ενσωματώνονται νέοι υπάλληλοι μετά από προσλήψεις, ο κίνδυνος για τα ευαίσθητα εταιρικά δεδομένα αυξάνεται, καθώς οι πρώην υπάλληλοι εξακολουθούν από τεχνικής άποψης να γνωρίζουν κωδικούς πρόσβασης στα ευαίσθητα δεδομένα της εταιρείας. Οι κωδικοί πρόσβασης πρέπει να είναι τυχαίοι και απρόβλεπτοι. Χρησιμοποιήστε λύσεις διαχείρισης κωδικών πρόσβασης για να αυτοματοποιήσετε τις βέλτιστες πρακτικές ασφάλειας κωδικών πρόσβασης μέσω ενός κεντρικού θησαυροφυλακίου (vault).
5.Εφαρμόστε ισχυρή παρακολούθηση: Η παρακολούθηση της συμπεριφοράς των χρηστών και της δραστηριότητας του δικτύου είναι κρίσιμης σημασίας για την ανίχνευση ανώμαλης ή άλλως επικίνδυνης δραστηριότητας και την ανάληψη δράσης αρκετά έγκαιρα προτού προκαλέσει ζημιά. Η προνομιακή δραστηριότητα είναι ιδιαίτερα σημαντική για παρακολούθηση, καθώς ενέχει τον μεγαλύτερο κίνδυνο για ζημιά και μπορεί να σημαίνει ότι μια επίθεση βρίσκεται στο δρόμο της για γρήγορη κλιμάκωση. Παρακολουθήστε αρχεία καταγραφής, περιόδους σύνδεσης, πληκτρολογήσεις και εφαρμογές και εφαρμόστε επίσης εγγραφή οθόνης. Εάν ένας χρήστης έχει πρόσβαση σε ένα ευαίσθητο σύστημα για να κλέψει πληροφορίες, η παρακολούθηση συνεδρίας μπορεί να τεκμηριώσει την πρόσβασή του και να εντοπίσει πώς και πότε εξήγαγε τις πληροφορίες. Οι λύσεις πρόληψης απώλειας δεδομένων (DLP) μπορεί επίσης να βοηθήσουν εδώ, αλλά μόνο εάν το σημείο εξόδου θεωρείται κίνδυνος ή υπάρχουν επιπτώσεις στη συμμόρφωση με τους κανονισμούς.
6.Βεβαιωθείτε ότι είναι εγκατεστημένες, λειτουργούν και παραμένουν ενημερωμένες λύσεις προστασίας endpoint ή anti–virus για τον εντοπισμό τυχόν κακόβουλου λογισμικού που χρησιμοποιείται από τις εσωτερικές απειλές.
7.Επιτρέψτε τόσο στις εφαρμογές των Windows όσο και τρίτων να ενημερώνονται αυτόματα ή εφαρμόστε μία λύση διαχείρισης ενημερώσεων κώδικα για την έγκαιρη εφαρμογή σχετικών ενημερώσεων ασφαλείας για την αποκατάσταση των κινδύνων εκμετάλλευσης ή κατάχρησης (exploiting) μίας ευπάθειας.
8.Χρησιμοποιήστε μία λύση αξιολόγησης ευπαθειών ή διαχείρισης για να προσδιορίσετε που υπάρχουν κίνδυνοι στο περιβάλλον και να τους διορθώσετε έγκαιρα, έτσι ώστε ένας χρήστης να μην μπορεί να εκμεταλλευτεί μια αδυναμία ασφάλειας.
9.Εφαρμόστε μια λύση Ελέγχου Εφαρμογών με Προστασία Αξιόπιστων Εφαρμογών (TAP) για να διασφαλίσετε ότι οι εξουσιοδοτημένες εφαρμογές είναι και οι μόνες που εκτελούνται με τα κατάλληλα προνόμια ώστε να μετριάσετε τον κίνδυνο που αποτελούν οι κακόβουλες εφαρμογές ή τα utilities παρακολούθησης, συλλογής δεδομένων κ.ά. Στην ιδανική περίπτωση, η συγκεκριμένη λύση θα περιλαμβάνει επίσης δυνατότητες προστασίας από file-less απειλές, δυνατότητες που θα μπορούν να εφαρμόσουν πλαίσιο (context) σε δραστηριότητες και αιτήματα από αξιόπιστες εφαρμογές, συμπεριλαμβανομένου και του αποκλεισμού της θυγατρικής διεργασίας (ή της διεργασίας=παιδί).
10.Όπου είναι δυνατόν, τμηματοποιήστε τους χρήστες σε συστήματα και πόρους για να μειώσετε τους κινδύνους “line-of-site”. Δηλαδή, βεβαιωθείτε ότι το δίκτυό σας είναι τμηματοποιημένο -και όχι επίπεδο- για να αποφύγετε να έχετε παραχωρήσει «υπερβολική πρόσβαση».
Οι περισσότερες επιχειρήσεις αποτυγχάνουν να εφαρμόσουν επαρκώς αυτούς τους βασικούς ελέγχους ασφαλείας. Ωστόσο, η τήρηση των παραπάνω 10 πρακτικών μπορεί να βοηθήσει σημαντικά στην προστασία τις επιχείρησης ή του οργανισμού σας από τις εσωτερικές απειλές καθώς και από άλλους φορείς επίθεσης.
Εφαρμόζοντας προστασία από τις απειλές εκ των έσω
Οι εσωτερικές απειλές δεν πρόκειται να πάνε πουθενά. Ο στόχος είναι να σταματήσει η διαρροή δεδομένων και να γνωρίζετε ότι ένας υπάλληλος ή χρήστης εμπιστευτικής πληροφόρησης έχει στη διάθεση του πολλαπλά «διανύσματα» επίθεσης, για να επιτύχει τους στόχους του.
Ως επαγγελματίες ασφάλειας, οφείλουμε να ελαχιστοποιήσουμε τους κινδύνους από τις απειλές εκ των έσω αντιμετωπίζοντας την πηγή του προβλήματος. Ένας χαρτοφύλακας αποτελεί μία εσωτερική απειλή, αλλά πιθανώς δεν είναι και τόσο συναφής πλέον όσο ένα USB flash drive με ολόκληρη τη βάση δεδομένων των πελατών σας.
Εν κατακλείδι, ένας υπάλληλος, κάτοχος εσωτερικής ή εμπιστευτικής πληροφόρησης (insider) εξακολουθεί να χρειάζεται προνόμια για να κλέψει όλες αυτές τις πληροφορίες. Η κατάργηση υπερβολικών προνομίων, όπως με τη περίπτωση της εφαρμογής μίας λύσης διαχείρισης της προνομιακής πρόσβασης (PAM) και το κλείσιμο των κενών ασφαλείας μέσω μίας λύσης διαχείρισης ευπαθειών, θα συμβάλει στην ελαχιστοποίηση της επιφάνειας επίθεσης από τις εσωτερικές απειλές, καθώς και πολλών άλλων τύπων επίθεσης. Εκτός από τους ελέγχους ασφαλείας που σχετίζονται με την πρόσβαση, οι οργανισμοί πρέπει να διαθέτουν ισχυρές δυνατότητες παρακολούθησης για την ανίχνευση των απειλών εκ των έσω. Τέλος, η εκπαίδευση των αναλυτών ασφαλείας και του λοιπού προσωπικού του τμήματος πληροφορικής σχετικά με τους δείκτες εσωτερικής απειλής καθώς και πως να ανταποκριθούν σε αυτούς, είναι σημαντική για την εξάλειψη οποιουδήποτε ενεργού κινδύνου.
Πηγή: BeyondTrust