Jednym z największych wyzwań dotyczących bezpieczeństwa IT, przed którymi stoją obecnie wszystkie organizacje, jest zagrożenie wewnętrzne, tj. zarówno przypadkowe, jak i celowe szkodliwe działanie osób mających dostęp do sieci wewnętrznej w firmie. Z badań przeprowadzonych przez Balabit wśród ponad 500 ekspertów bezpieczeństwa wynika, że 70% specjalistów IT uważa zagrożenie pochodzące z wewnątrz za groźniejszej niż atak zewnętrzny.
Gdy cyberprzestępca zdobywa dostęp do sieci wewnętrznej, może pozostać niewykryty przez wiele miesięcy i spowodować poważne i trwałe szkody. Organizacja narażona jest wówczas m.in. na utratę lub kradzież danych, a nawet zainstalowanie złośliwego oprogramowania w strukturze IT organizacji.
– Teraz, kiedy usługi w chmurze stają się coraz popularniejsze, stosowaną dotychczas definicję „użytkownika wewnętrznego” należałoby doprecyzować. Granice odpowiedzialności stopniowo się przesuwają. Jeśli dane firmy nie znajdują się już pod naszym czujnym okiem, to pojawia się potencjalne zagrożenie, ponieważ nie znamy osobiście osób, którym powierzone zostały nasze najcenniejsze zasoby, nie byliśmy odpowiedzialni za ich zatrudnienie ani weryfikację – komentuje Csaba Krasznay, Product Manager Shell Control Box w Balabit.
Nie możemy przecież po prostu wejść do centrum danych i nadzorować każdą osobę, która jest odpowiedzialna za zarządzanie naszym systemem IT. W jaki sposób zatem zminimalizować ryzyko „insiderów” u dostawców zewnętrznych?
Przesunięcie granic sieci
Przedsiębiorstwa, zarówno te mniejsze, jak i międzynarodowe korporacje czerpią wiele korzyści, dzięki elastyczności i skalowalności, które wiążą się z coraz powszechniejszym zastosowaniem usług cloud computingu. Jednakże, przesunięcie granic sieci doprowadziło do pojawienia się nieporozumień dotyczących tego, gdzie zaczyna się, a gdzie kończy odpowiedzialność poszczególnych podmiotów za bezpieczeństwo danych.
Gdy użytkownicy mogą łatwo uzyskać dostęp do danych i dzielić się nimi z innymi użytkownikami, wtedy nie zawsze mamy jasność co do tego, kiedy odpowiedzialność spoczywa na dostawcy usługi. Przekazując podwykonawcom prawo do uprzywilejowanego dostępu, trzeba mieć świadomość, że konsekwencje szkód wyrządzonych przez nieuczciwego użytkownika, np. administratora chmury, mogą być o wiele poważniejsze niż to, co może wydarzyć się w samej firmie.
– Dodatkowym wyzwaniem jest to, że atakujący wewnątrz sieci zyskują przewagę, ponieważ znają sposób na to, by przeniknąć do sieci. Dysponując prawem do uprzywilejowanego dostępu, wiedzą, gdzie uderzyć, by zmaksymalizować efekty i jak ukryć skutki swojej aktywności. Jest to oczywiście bezpośrednie uderzenie w dostawcę usługi. O ile drobne problemy z wydajnością, opóźnienia i przestoje mogą nadwerężyć jego reputację, o tyle skutki działań nieuczciwych pracowników mogą być katastrofalne. – ostrzega Csaba Krasznay z firmy Balabit.
Najlepsze praktyki dotyczące przejrzystości działań i kontroli uprzywilejowanych użytkowników
Zawsze istnieje pewne ryzyko związane z przekazaniem odpowiedzialności osobom trzecim. Jednak istnieją sposoby kontroli partnerstwa poprzez połączenie skrupulatnych procedur i przejrzystości ich działań.
- Ustalić parametry partnerstwa. Z operacyjnego punktu widzenia, organizacje powinny zachować należytą staranność przy wyborze partnera i upewnić się, że umowa zawiera zapisy dotyczące polityki bezpieczeństwa, regulujące zasady i procedury, których dostawca chmury jest zobowiązany przestrzegać. Organizacje nie powinny także obawiać się zadawania konkretnych pytań o osoby, które otrzymają uprzywilejowany dostępu do zasobów IT ich firmy. Będą oni administratorami systemu, którzy zarządzają środowiskiem IT w chmurze, dlatego ważne jest, aby zapoznać się z rodzajami kontroli i weryfikacji, które stosowane są w miejscu pracy tych osób.
- Monitorowanie aktywności administratora. Ograniczanie zewnętrznemu administratorowi dostępu do danych firmy często bywa trudne. Z tego powodu bardzo ważne jest, aby organizacja dysponowała narzędziami, które umożliwią monitorowanie działalności osób trzecich i aktywności zewnętrznych administratorów. Firmy powinny wiedzieć, co dzieje się w ich sieci w czasie rzeczywistym i chronić ją przed nieautoryzowanym dostępem.
- Identyfikowanie nietypowych zachowań. Nowe podejście do bezpieczeństwa IT, znane jako Analiza Zachowań Użytkownika (User Behaviour Analytics – UBA) umożliwia organizacjom kontrolę na tym, co naprawdę dzieje się w ich sieci i wykrywanie każdej nietypowej aktywności. Praca urządzeń UBA oparta jest na algorytmach uczenia maszynowego, które tworzą profile użytkowników i potrafią wskazać nieprawidłowości w ich codziennej działalności. Dzięki temu można stwierdzić, czy doszło do wycieku danych i szybko zidentyfikować przyczynę.
Zasadniczo, organizacje powinny mieć pełną kontrolę nad współpracą z dostawcą usług w chmurze i zastosować wobec nich te same surowe normy bezpieczeństwa, które przestrzegane są w ich własnym środowisku. Przejrzystość działań uprzywilejowanych użytkowników umożliwia kontrolę ryzyka związanego z „błędem ludzkim” oraz szybkie wykrycie i udaremnienie wszelkich szkodliwych działań atakujących, którym udało się wniknąć w strukturę organizacji.