BezpieczeństwoReputacja najlepszą ochroną przed cyberprzestępstwami > redakcja Opublikowane 1 czerwca 20130 0 106 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Precyzyjnie ukierunkowane ataki, które obecnie są na porządku dziennym, spowodowały fundamentalną zmianę w sposobie prowadzenia wojny z cyberprzestępczością. Nowy rodzaj zaawansowanych zagrożeń typu APT (ang. Advanced Persistent Threats), korzystający z wyrafinowanych i niezwykle inteligentnych metod ataku, doprowadził do zmiany sposobu myślenia w organizacjach. Teraz optyka skupiona jest nie tylko na tym, by się bronić, ale także identyfikować z wyprzedzeniem sytuacje zagrożenia sieci.Poziom wyrafinowania i skuteczności zagrożeń APT jest tak wysoki, że wiele organizacji już teraz znajduje się w niebezpieczeństwie, jednocześnie pozostając w zupełnej nieświadomości. Technologia oparta na analizie sygnatur dzisiaj już nie wystarczy, bo cyberprzestępcy omijają zabezpieczenia z niesłychaną ostrożnością i przebiegłością, a przesyłane przez nich złośliwe bloki danych (ang. malicious payload) potrafią unikać wykrycia tradycyjnymi metodami.Wyrządzający szkody blok danych współczesnego złośliwego oprogramowania wymaga tylko jednego punktu wejścia do systemu docelowego i może być wprowadzany za pomocą całej gamy prostych technik. Wiele udanych ataków doszło do skutku dzięki misternie opracowanej wiadomości e-mail do jednego z pracowników, zawierającej złośliwy link. Pracownik klikający w taki link nieświadomie pozwala na instalowanie eksploitów, które mogą pozostać w uśpieniu lub uruchomić się niezwykle dyskretnie – tak, aby uniknąć wykrycia.Rodzi się pytanie, jak organizacja może bronić się przed tak wyrafinowanymi, wręcz partyzanckimi atakami i jakie są sygnały wskazujące na to, że sieć jest w stanie zagrożenia?W obronie przed atakami i w celu wykrycia sytuacji, w których już doszło do dywersyjnych działań, może pomóc strategia „reputacji i oceny punktowej klienta”. Reputacja i ocena punktowa (scoring) to dynamiczna technika zbierania i zestawiania ze sobą danych na temat bezpieczeństwa pozyskanych z sieci oraz porównywania ich z istniejącym punktem odniesienia (np. poprawnym wzorcem ruchu sieciowego). Analogią mógłby tu być świat ubezpieczeń i finansów, w którym oblicza się ryzyko dotyczące aktywności osób starających się o kredyt lub ubezpieczenie. Jest to podejście według którego reputacja ma niebagatelne znaczenie.Główne typy postępowania i aktywności, które wpływają na reputację i scoring, to:Próby połączeńNieudane próby połączenia mogą być sygnałem, że złośliwe oprogramowanie próbuje połączyć się z komputerem, który nie istnieje, ponieważ serwer macierzysty złośliwego oprogramowania został przeniesiony w celu uniknięcia wykrycia. Mogą oczywiście istnieć uzasadnione przyczyny, dla których jest on niedostępny, ale powtarzające się nieudane próby połączenia z nieistniejącymi komputerami wygenerują negatywną ocenę punktową.Profile aplikacjiKomputer, na którym zostanie zainstalowana aplikacja udostępniająca plik P2P, może zostać uznany za bardziej ryzykowny niż host instalujący grę. Obydwa działania mogą zostać uznane za problematyczne, jednak organizacja może przypisywać inną wagę, a zatem różną ocenę punktową, każdemu z nich.Lokalizacja geograficznaOdwiedziny na serwerach w pewnych krajach mogą być uznane za ryzykowne, szczególnie jeśli wiąże się z tym duży ruch. Na przykład pracownicy z Polski raczej nie będą mieć wielkiej potrzeby, by przesyłać i odbierać duże pliki z Iranu czy Korei Północnej. Wyliczając punktację na klientów w sieci, można korzystać z „białej listy” w celu wykluczenia dobrze znanych witryn zagranicznych.Informacje o sesji IPTypowy komputer inicjuje sesję, ale raczej jej nie terminuje. Dlatego jeśli zaczyna on nasłuchiwać, czy na porcie nie pojawi się połączenie z zewnątrz, można to uznać za zachowanie podejrzane lub ryzykowne.Kategoria strony docelowejOdwiedzanie określonych typów witryn, np. przeznaczonych tylko dla dorosłych, należy uznać za działanie ryzykowne i podlegające odpowiedniej ocenie punktowej.Stosując system punktowy (scoring) na podstawie aktywności zarówno sieci, jak i jej użytkowników, można identyfikować, badać, a w rezultacie unikać działań, które należą do nietypowych lub niosących ze sobą duże ryzyko. Systemu reputacji i oceny punktowej klienta można również używać jako podstawy do ustalania progów ostrzegawczych i alertów dla administratorów w celu lepszej ochrony własnych sieci i kontroli nad nimi.Firma Fortinet wprowadziła zaawansowane funkcje reputacji i scoringu klienta do swojego najnowszego systemu operacyjnego bezpieczeństwa FortiOS 5. Możliwość analizowania ogromnych ilości danych z różnych źródeł i poszukiwania wzorców występujących w pakietach, aplikacjach i witrynach odwiedzanych przez użytkownika daje teraz administratorom kontrolę nad sieciami dzięki zaawansowanym narzędziom analitycznym i precyzyjnym elementom sterującym.
