{"id":163028,"date":"2015-12-01T15:14:00","date_gmt":"2015-12-01T14:14:00","guid":{"rendered":"https:\/\/mediarun.com\/pl\/?p=163028"},"modified":"2015-12-01T15:14:00","modified_gmt":"2015-12-01T14:14:00","slug":"jak-uchronic-smi-inflitracji","status":"publish","type":"post","link":"https:\/\/mediarun.com\/pl\/digital\/internet\/jak-uchronic-smi-inflitracji.html","title":{"rendered":"5 porad jak uchroni\u0107 si\u0119 przed atakami infiltracji kont?"},"content":{"rendered":"

Problem z technikami obronnymi jest taki, \u017ce wszystkie chroni\u0105 styk sieci firmowej z internetem, ale nie s\u0105 naprawd\u0119 skuteczne, gdy cyberprzest\u0119pcy zdob\u0119d\u0105 ju\u017c dost\u0119p do sieci wewn\u0119trznej. Nie s\u0105 r\u00f3wnie\u017c wystarczaj\u0105ce do kontrolowania dzia\u0142a\u0144 wewn\u0119trznych u\u017cytkownik\u00f3w, co jest podobne do przypadku, jakim jest zewn\u0119trzny napastnik, kt\u00f3ry b\u0119d\u0105c wewn\u0105trz sieci udaje legalnego u\u017cytkownika wewn\u0119trznego. Analizuj\u0105c niekt\u00f3re z najnowszych technologii phisingu mo\u017cemy r\u00f3wnie\u017c zobaczy\u0107, \u017ce uprawnieni u\u017cytkownicy s\u0105 szczeg\u00f3lnie brani na cel takich atak\u00f3w.<\/strong><\/p>\n

Napastnicy s\u0105 leniwi lub przynajmniej korzystaj\u0105 z naj\u0142atwiejszego rozwi\u0105zania, a kontrola konta uprzywilejowanego jest pierwszym rozs\u0105dnym krokiem ka\u017cdego scenariusza ataku. Takie konto mo\u017ce by\u0107 p\u00f3\u017aniej u\u017cyte do dalszej penetracji i uzyskania po prostu dost\u0119pu do cennych danych lub kontroli nad krytycznymi us\u0142ugami konkretnej organizacji. Niestety dodawanie kontroli nad kontami uprzywilejowanymi mo\u017ce wp\u0142yn\u0105\u0107 na u\u017cyteczno\u015b\u0107 tych kont. W wielu przypadkach ograniczenie praw dost\u0119pu jest niemo\u017cliwe, poniewa\u017c niekt\u00f3re zadania nie mo\u017cna wykona\u0107 w inny spos\u00f3b.<\/p>\n

\u201eMo\u017cliwym sposobem na zaradzenie tym problemom mo\u017ce by\u0107 szybkie wykrywanie wrogich atak\u00f3w ze strony uprawnionych u\u017cytkownik\u00f3w i stworzenie szybkich procedur reakcji na te naruszenia.\u201d \u2013<\/em>komentuje M\u00e1rton Ill\u00e9s, Product Evangelist, Balabit.<\/p><\/blockquote>\n

Oto pi\u0119\u0107 krok\u00f3w jak stworzy\u0107 strategi\u0119 bezpiecze\u0144stwa opart\u0105 na detekcji:<\/p>\n

    \n
  1. Nale\u017cy zawsze u\u017cywa\u0107 imiennych kont.<\/li>\n
  2. \u015aledzi\u0107 dzia\u0142ania uprzywilejowanych u\u017cytkownik\u00f3w \/ kont, a nie tylko nadzorowa\u0107 logowanie do nich. Nale\u017cy je monitorowa\u0107 bardziej szczeg\u00f3\u0142owo.<\/li>\n
  3. Monitorowa\u0107 system kont w celu odr\u00f3\u017cnienia ludzi od robot\u00f3w czy skrypt\u00f3w.<\/li>\n
  4. Stosowa\u0107 monitorowanie w czasie rzeczywistym i analiz\u0119 zachowania z profilowaniem u\u017cytkownik\u00f3w.<\/li>\n
  5. \u0141\u0105czy\u0107 automatyczne i manualne badanie i weryfikacj\u0119 dla terminowych odpowiedzi.<\/li>\n<\/ol>\n

    Zawsze u\u017cywaj imiennych kont<\/strong><\/p>\n

    Korzystanie z imiennych kont powi\u0105zanych z rzeczywistymi u\u017cytkownikami ma kluczowe znaczenie dla zrozumienia, jak i co si\u0119 wydarzy\u0142o. Wszelkie analizy \u015bledcze, a zw\u0142aszcza jakiekolwiek wykrywania w czasie rzeczywistym incydent\u00f3w spowodowanych przez dzielone konta jest bardzo trudne, je\u015bli w og\u00f3le mo\u017cliwe. Dla ka\u017cdej analizy musz\u0105 by\u0107 szczeg\u00f3\u0142owe dane audytowe i odpowiedni kontekst. Z kont dzielonych traci si\u0119 prawdopodobnie najwa\u017cniejsz\u0105 informacj\u0119 kontekstow\u0105 \u2013 u\u017cytkownika.<\/p>\n

    \u015aled\u017a dzia\u0142ania a nie tylko logowanie<\/strong><\/p>\n

    Kiedy s\u0105 ju\u017c konta imienne mo\u017cna przej\u015b\u0107 dalej do \u015bledzenia aktywno\u015bci kont uprzywilejowanych. Im wi\u0119cej szczeg\u00f3\u0142\u00f3w, tym wi\u0119ksza szansa na udane wykrycie szkodliwych dzia\u0142a\u0144. Wiele znanych rozwi\u0105za\u0144 do monitorowania nagrywa tylko loginy, ale nie \u015bledzi dalszych szczeg\u00f3\u0142\u00f3w. Po pomy\u015blnej penetracji sieci wewn\u0119trznej, typowymi kolejnymi krokami agresora s\u0105 dalsze odkrycia i rozpoznawanie zasob\u00f3w. Te dzia\u0142ania mog\u0105 by\u0107 zidentyfikowane przez r\u00f3\u017cne oznaki ostrzegawcze, takie jak zwi\u0119kszenie ruchu do wielu r\u00f3\u017cnych zasob\u00f3w i serwer\u00f3w, czyli typowe dzia\u0142ania dla crawler\u00f3w \u2013 program\u00f3w automatycznie zbieraj\u0105cych informacje o strukturze, stronach i tre\u015bciach znajduj\u0105cych si\u0119 w danej sieci. Ka\u017cdy system wczesnego reagowania powinien by\u0107 wyczulony na takie szczeg\u00f3\u0142y, zwi\u0105zane ze wzmo\u017conym ruchem po zasobach infrastruktury sieciowej organizacji.<\/p>\n

    Konta systemowe najwi\u0119kszym zagro\u017ceniem<\/strong><\/p>\n

    Przy identyfikacji uprzywilejowanych kont lub u\u017cytkownik\u00f3w wiele organizacji nie radzi sobie z kontrol\u0105 nad kontami systemowymi, kt\u00f3re s\u0105 u\u017cywane przez skrypty, roboty lub wbudowane w aplikacje. S\u0105 to typowe \u201emartwe punkty\u201d dla system\u00f3w monitorowania i mog\u0105 s\u0142u\u017cy\u0107 jako doskona\u0142a przykrywka dla atakuj\u0105cych. Wi\u0119kszo\u015b\u0107 wyciek\u00f3w danych jest zwi\u0105zanych ze zwi\u0119kszonym ruchem dotycz\u0105cym danych danego systemu w por\u00f3wnaniu do typowych zachowa\u0144 normalnych u\u017cytkownik\u00f3w. Cyberprzest\u0119pcy wykorzystuj\u0105 konta systemowe jako trudne do wykrycia ukryte kana\u0142y dla nielegalnego przep\u0142ywu po\u017c\u0105danych przez nich danych.<\/p>\n

    \u201ePo stworzeniu solidnej infrastruktury monitorowania, prawdziwym wyzwaniem jest dostrzec ig\u0142\u0119 w stogu siana, zw\u0142aszcza w czasie rzeczywistym. Napastnicy maj\u0105 wiele sposob\u00f3w ukrywania swojej dzia\u0142alno\u015bci lub udawania legalnego dost\u0119pu. Niestety bardzo trudno stworzy\u0107 predefiniowane regu\u0142y do wykrywania takich przypadk\u00f3w, jednak najlepszym rozwi\u0105zaniem jest stworzenie profili u\u017cytkownik\u00f3w i na ich bazie wykrywa\u0107 nietypowe zachowania czy odst\u0119pstwa od normy. Poprzez monitorowanie i por\u00f3wnywanie do typowych czynno\u015bci u\u017cytkownika, organizacje mog\u0105 zidentyfikowa\u0107 te anomalie.\u201d \u2013\u00a0<\/em>m\u00f3wi M\u00e1rton Ill\u00e9s, Product Evangelist, Balabit.<\/p><\/blockquote>\n

    Zachowanie u\u017cytkownika mo\u017ce ochroni\u0107 system<\/strong><\/p>\n

    Pierwsze podej\u015bcie koncentruje si\u0119 na cz\u0142owieku: wszystkie dzia\u0142ania tworz\u0105 podstawowe indywidualne wzory zachowa\u0144 danej osoby i s\u0105 bardzo trudne do na\u015bladowania przez atakuj\u0105cego. Przyk\u0142adowo jest to spos\u00f3b, w jaki u\u017cytkownik pisze lub porusza si\u0119 myszk\u0105, jakich polece\u0144 czy skr\u00f3t\u00f3w u\u017cywa, jakie preferuje urz\u0105dzenia i programy osobiste (rozmiary ekranu, typ przegl\u0105darki czy wersja). Do tego dochodz\u0105 zwyczaje – jak przewa\u017cnie pracuje, robi wiele rzeczy r\u00f3wnolegle czy w sekwencjach.<\/p>\n

    Inne podej\u015bcie okre\u015bla, jakie prace u\u017cytkownik wykonuje. Podczas gdy pierwsze z nich stawia cz\u0142owieka w centrum uwagi to drugie podej\u015bcie dotyczy u\u017cytkownika, kt\u00f3ry ma okre\u015blone zadania i prac\u0119 do wykonania. Istnieje jeszcze wiele innych aspekt\u00f3w do rozwa\u017cenia \u2013 przyk\u0142adowo kiedy u\u017cytkownik jest zwykle aktywny? Niekt\u00f3rzy napastnicy dzia\u0142aj\u0105 poza normalnymi godzinami pracy. Istotne jest te\u017c gdzie u\u017cytkownik znajduje si\u0119, z jakich us\u0142ug korzysta, z jakich danych, ich ilo\u015b\u0107, co z nimi robi czy kopiuje je i wysy\u0142a poza zewn\u0119trzn\u0105 sie\u0107, czyli cz\u0119stotliwo\u015b\u0107 i r\u00f3\u017cnorodno\u015b\u0107 dost\u0119pu do danych \/ plik\u00f3w \/ serwer\u00f3w. Poprzez profilowanie tych wszystkich aspekt\u00f3w pozwala na tworzenia indywidualnych profili r\u00f3l, kt\u00f3re mog\u0105 by\u0107 r\u00f3wnie\u017c wzbogacone o analiz\u0119 poszczeg\u00f3lnych grup, gdzie dzia\u0142ania u\u017cytkownika s\u0105 por\u00f3wnywane do profilu danego typu grupy.<\/p>\n

    \u201eNajlepszym sposobem jest po\u0142\u0105czenie dw\u00f3ch powy\u017cszych podej\u015b\u0107 i tworzenie r\u00f3wnoleg\u0142ych profili zachowa\u0144 u\u017cytkownik\u00f3w. Brak z\u0142otego \u015brodka w analizie behawioralnej. Jedno podej\u015bcie mo\u017ce dzia\u0142a\u0107 \u015bwietnie w niekt\u00f3rych przypadkach, podczas gdy w innej sytuacji nie wykryje podejrzanych dzia\u0142a\u0144. Najlepszy wynik daje kombinacja, znacznie trudniej wtedy przechytrzy\u0107 dzia\u0142ania obronne.\u201d –\u00a0<\/em>m\u00f3wi M\u00e1rton Ill\u00e9s, Product Evangelist, Balabit.<\/p><\/blockquote>\n

    A co po wykryciu?<\/strong><\/p>\n

    Wreszcie musimy ustanowi\u0107 procedur\u0119 post\u0119powania przy wykryciu szkodliwych dzia\u0142a\u0144. Ponownie, czas jest tutaj naszym najwi\u0119kszym wrogiem. Aby zwi\u0119kszy\u0107 efektywno\u015b\u0107 zespo\u0142u bezpiecze\u0144stwa oraz przyspieszy\u0107 dochodzenie, dzia\u0142ania powinny by\u0107 maksymalnie zautomatyzowane. Maj\u0105c profile u\u017cytkownik\u00f3w i prawid\u0142owe kontekstowe informacje \u015bledczy mog\u0105 znacznie \u0142atwiej klasyfikowa\u0107 podejrzane zachowania. Automatyczne reakcje mog\u0105 by\u0107 u\u017cyte do blokowania i kontrolowania dalszego dost\u0119pu do przej\u0119tego lub podejrzanego konta, aby spowolni\u0107 atakuj\u0105cych.<\/p>\n

    \u201eKonta uprzywilejowane s\u0105 wci\u0105\u017c najatrakcyjniejsze dla atakuj\u0105cych i przy budowie strategii bezpiecze\u0144stwa, nale\u017cy rozwa\u017cy\u0107, zwi\u0119kszenie naszych zabezpiecze\u0144 o szczeg\u00f3\u0142owe techniki monitorowania i analizy behawioralnej. Musimy mie\u0107 na uwadze zar\u00f3wno zagro\u017cenia zewn\u0119trzne oraz wewn\u0119trzne, w tym wszystkich naszych u\u017cytkownik\u00f3w oraz\u00a0 znale\u017a\u0107 skuteczn\u0105 ochron\u0119. Monitorowanie u\u017cytkownik\u00f3w i profilowania nie s\u0105 idealnym panaceum, ale mog\u0105 za\u0142ata\u0107 krytyczne luki i braki w dotychczasowych rozwi\u0105zaniach dotycz\u0105cych uprzywilejowanych kont i u\u017cytkownik\u00f3w.\u201d\u00a0<\/em>– podsumowuje M\u00e1rton Ill\u00e9s, Product Evangelist, Balabit.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"Istnieje wiele technik, aby zatrzyma\u0107 zewn\u0119trzny atak przed przenikni\u0119ciem do systemu organizacji.","protected":false},"author":17,"featured_media":163030,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"csco_display_header_overlay":false,"csco_singular_sidebar":"","csco_page_header_type":"","csco_page_load_nextpost":"","csco_post_video_location":[],"csco_post_video_location_hash":"","csco_post_video_url":"","csco_post_video_bg_start_time":0,"csco_post_video_bg_end_time":0,"footnotes":""},"categories":[9676],"tags":[7495,8226,8650,8649,8647,8648],"class_list":{"0":"post-163028","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-internet","8":"tag-balabit","9":"tag-cyberprzestepcy","10":"tag-infiltracja-konta","11":"tag-inflitracja","12":"tag-marton-illes","13":"tag-product-evangelist","14":"cs-entry","15":"cs-video-wrap"},"_links":{"self":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/posts\/163028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/comments?post=163028"}],"version-history":[{"count":0,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/posts\/163028\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/media\/163030"}],"wp:attachment":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/media?parent=163028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/categories?post=163028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/tags?post=163028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}