Biztonsági kihívás: 7 stratégia a belsı támadók ellen
Hatalmas fenyegetés rejtızik a szervezeteken belül. Egy alacsony biztonságú
hálózaton a jelenlegi és a korábbi alkalmazottak adatot és eszközöket lophatnak
el, jogosulatlan hozzáférést szerezhetnek az erıforrásokhoz, illetve kártékony
támadásokat indíthatnak.
2006 során világszerte több millió kis- és középvállalat (kkv) szenvedett el ilyen
belsı támadást.
Az Egyesült Államokban például 204 ezer, 1-1000 alkalmazottat foglalkoztató kkv
számolt be szándékos belsı szabotázs következtében történı elektronikus vagy
fizikai információvesztésrıl, és 645 ezer vállalkozás tapasztalta számítógépeik
vagy hálózataik jogosulatlan használatát – derült ki az AMI-Partners piackutató
intézet egy 2006-os tanulmányából. Kínában 281 ezer kkv ellen követtek el belsı
szabotázsakciót, és 163 ezren észlelték számítógépeik vagy hálózataik
jogosulatlan használatát. Az AMI-Partners eredményei szerint az amerikai kkv-k
11 százaléka ismerte el, hogy vállalkozásuktól bizalmas információt loptak el.
Napjainkban egy vállalkozás belsı határai túlnyúlnak az irodaépület falain. Az
Internet üzleti leveleket továbbít, illetve nyilvános és privát fájlok széles körét tölti
le céges eszközökre. A mobil számítógép-használat lehetıvé teszi, hogy az
alkalmazottak ellássák feladataikat, ugyanakkor növeli a rosszindulatú
behatolások és az adatlopás kockázatát. A számítógépeknek is „lába kél”: 2006
folyamán a számítógépek vagy adattárolók ellopása vagy elvesztése okozta az
azonosítólopásokhoz kapcsolódó adatvesztések több, mint felét.
Nem meglepı hát, hogy a kkv-k egyre többet fordítanak számítógépek és
hálózataik biztonságára. Az AMI-Partners adatai szerint Indiában ezen
vállalkozások 2007-ben az egy évvel korábbinál 41 százalékkal többet költenek
IT-biztonságra, míg német társaiknál ez az arány 15 százalék lesz. Az ilyen
jellegő beruházások egyik kiemelt területe az alkalmazottak által – véletlenül
vagy szándékosan – okozott biztonsági fenyegetések kell, hogy legyen.
Álljon itt egy hét pontból álló stratégia a belsı hálózatbiztonsági incidensek
elkerülésére:
1. Dolgozzanak ki és mőködtessenek olyan emberi erıforrás irányelveket,
amelyek háttérellenırzéseket hajtanak végre, figyelemmel kísérik az
alkalmazottak viselkedését, és a foglalkoztatási jogviszony
megszőnésekor visszavonja a hálózati hozzáférést.
2. Hozzanak létre és mőködtessenek szigorú biztonsági házirendet, amely
a „legkisebb jogosultság” elvébıl kiindulva csak a feltétlenül szükséges
eszközökhöz ad hozzáférést a felhasználóknak.
3. Hajtsanak végre sebezhetıségeket feltáró biztonsági
helyzetértékeléseket.
4. Alkalmazzanak olyan többrétegő biztonsági architektúrát, amely
csökkenti a sebezhetıséget és a biztonsági hibákat. Az architektúrának a
fenyegetések és biztonsági incidensek ellen védı, azokat észlelı és rájuk
reagáló technológiákat is magába kell foglalnia.
Például a Cisco Önvédı Hálózat a Cisco biztonsági megoldásokat
minısített külsı megoldásokkal kiegészítve teljes körő, gyorsan változó
biztonsági állapot teremt, amely véd, észlel és reagál. A
költségtakarékosság érdekében egy vagy csak néhány eszközre (például
Cisco ASA biztonsági berendezésekre és Cisco ISR-útvonalválasztókra)
van szükség az alábbi funkciók ellátására:
Védelem
A tőzfal és az antivírus szoftver rendkívül fontosak. Ám a legtöbbıl
hiányoznak az olyan funkciók, mint az erıs azonosítás vagy a proaktív
DoS észlelés. Az eszközök véletlen vagy szándékos belsı támadások
elleni védelme a következıket is magában foglalja:
o
A hálózati hozzáférés-szabályozás biztosítja, hogy a hálózat
minden egyes végponti eszköze megfeleljen a vállalati biztonsági
szabályoknak, és a legfrissebb operációsrendszer-javítással és
antivírus szoftverrel fusson.
o
Az erıs azonosítás feltörhetetlen jelszavakat igényel; lehet
felhasználó- és/vagy eszközalapú.
o
Az adattitkosítás széles körben, így a laptopokon és a mobil
tárolóeszközön is alkalmazandó.
Észlelés
Bár az ideális a biztonsági incidensek megelızése lenne, az észlelés, a
folyamatban levı támadásokról való értesítés is kulcsfontosságú. Az
észlelési módszerek közé tartoznak a behatolásmegelızı technológiák
és a DoS érzékelık, amelyek közönséges hálózati eszközöket
használnak a forgalom átirányítására.
Reagálás
Az észlelést azonnal reakció kell, hogy kövesse, amely megtagadja a
hozzáférést, megakadályozzz az adatátvitelt, eltávolítja a fertızı
agenteket vagy egyéb automatizált mőveletet hajt végre. Sok
észlelıeszköz reagálni is képes a folyamatban levı incidensre. Támadás
alatt és után a központi adatbázisok nyomon követik, hogy mit tesznek a
felhasználók, és jelentik a szabálysértéseket és incidenseket.
5. Vegyenek igénybe szaktudást. A megfelelı biztonság fenntartása
folyamatos és gyakran igen összetett feladat. Sok kkv számára a
biztonsági kihívások kezelésének leginkább költséghatékony módja, ha
hálózatbiztonságra szakosodott viszonteladóktól veszik igénybe a
szolgáltatást. İk segítenek a biztonsági szabályok kidolgozásával,
felmérik az aktuális biztonsági állapotot, majd a hálózatot kívülrıl és
belülrıl megerısítı megoldásokat ajánlanak és valósítanak meg.
6. Készüljenek fel a támadásra. A koordinált reakciókat kipróbálandó
imitáljanak támadást. Az elıkészület során olyan mőveleti listát is
dolgozzanak ki, amellyel:
o
Azonosíthatják a támadás típusát (például DoS, ellopott laptop,
feltört szerver)
o
Megtehetik a folyamatban levı támadástípus leállításához
szükséges lépéseket
o
Megırizhetik a digitális bizonyítékokat (például syslog bejegyzések
megszerzése)
7. Behatolás teszt végrehajtásával rendszeresen értékeljék
hálózatbiztonságuk hatékonyságát; a teszt kártékony hackertámadásokat
szimulál. A tesztet pártatlan külsı féllel, például tanácsadó céggel
végeztessék el.
Következı lépések:
•
Tekintsék meg az általános biztonsági tippek alábbi
listáját
.
•
Keressenek
Cisco viszonteladót.
•
Keressenek
egy Cisco SMB menedzselt biztonsági szolgáltatásokat nyújtó
partnert.