Nauka dla Społeczeństwa

29.03.2024
PL EN
22.09.2016 aktualizacja 22.09.2016

Eksperci: „insider threat” jest wyzwaniem dla bezpieczeństwa IT

Czynnik ludzki przez lata był w bezpieczeństwie IT niedoceniany – mówią PAP eksperci. Tymczasem „insider threat” – kradzież informacji przez pracownika danej firmy – jest trudne do wykrycia, a niesie ze sobą niebezpieczeństwo porównywalne z zagrożeniami zewnętrznymi.

„Kwestia czynnika wewnętrznego w bezpieczeństwie IT była przez długie lata niezauważana” – mówi PAP Alexander Raczyński z firmy Forcepoint, specjalizującej się w systemach zabezpieczających kanały komunikacyjne w przedsiębiorstwach. „Producenci oprogramowania skupiali raczej swoją uwagę na zagrożeniach z zewnątrz. W ostatnich latach jednak świadomość wzrosła na tyle, że +insider+ jest jasno wskazywany jako potencjalne zagrożenie przez analityków oraz przez firmy zajmujące się bezpieczeństwem” - wyjaśnia.

„Przed użytkownikami, którzy świadomie chcą wykraść pewne informacje, bardzo trudno jest się chronić – mówi PAP Michał Ferdyniok z Laboratorium Informatyki Śledczej Mediarecovery. - Mają oni do dyspozycji całe spektrum możliwości i w tym przypadku może chronić nas jedynie restrykcyjny dostęp do informacji”.

Ferdyniok ostrzega, że należy jednak zdawać sobie sprawę z tego, że "bezpieczeństwo i funkcjonalność to są dwa skrajne bieguny”. Próba ograniczenia dostępu do konkretnych informacji za pomocą różnego rodzaju formalnych procedur może skończyć się tym, że utrudni się równocześnie pracę osobom, które ten dostęp powinny posiadać.

„Jest taki moment, w którym dążenie do bezpieczeństwa może wyrządzić więcej złego niż dobrego” – kontynuuje Ferdyniok. „Jeśli będzie to piętnaste hasło do zapamiętania, to użytkownicy zaczynają używać haseł prostych albo wręcz tych samych do różnych systemów, a wtedy efekt jest gorszy, niż gdyby procedur nie było w ogóle. Bardzo istotne jest więc wyważenie bezpieczeństwa i funkcjonalności” - podkreśla.

Aby ograniczyć skutki działalności „insidera”, specjaliści od bezpieczeństwa IT korzystają z różnego rodzaju oprogramowania.

„Jedno z nich to tzw. DLP (ang. data leakage prevention), które skupia się bardziej na samej informacji, próbach jej opisania i ochrony – tłumaczy Alexander Raczyński. - Rozwiązania te poszukują informacji, porównują z zapisanymi wzorcami i jeżeli te wzorce są zgodne, to próbują blokować wycieki tego rodzaju informacji.”

„Druga rodzina, UEBA (ang. user entity behavior analysis) podchodzi do problemu trochę inaczej – mówi Raczyński. - Próbuje ona analizować samą działalność użytkownika końcowego i ocenić, czy jego działanie jest normalne, czy też powinno wzbudzić nasze obawy. W tym momencie usiłujemy łączyć tego rodzaju rozwiązania. Przykładowo, nie wszystkie akcje użytkownika mogą wydawać się podejrzane – przydatne jest więc tutaj dodatkowe źródło informacji ze strony narzędzi DLP”.

Pierwszym krokiem koniecznym do opracowania strategii walki z zagrożeniami wewnętrznymi jest określenie, które informacje są dla organizacji istotne oraz jakie zachowania są dopuszczalne w ramach normalnej pracy użytkownika. Dane te są następnie przenoszone do odpowiednich systemów.

„Z technicznego punktu widzenia samo przeniesienie jest zresztą najmniejszym problemem – mówi Raczyński. - Najwięcej problemów, w szczególności w dużych organizacjach, sprawia organizacja takiego projektu. Ludzie odpowiedzialni za bezpieczeństwo IT bardzo często nie do końca są poinformowani w kwestii tego, które informacje są w danej firmie kluczowe. Kwestie te określa się za pomocą szeregu procesów, podczas których niezwykle ważna jest komunikacja pomiędzy różnymi działami”.

Ostatnią fazą ochrony przed zagrożeniami wewnętrznymi jest monitorowanie zdarzeń w systemie. Obserwowany jest tutaj zarówno transfer informacji pomiędzy siecią wewnętrzną a internetem, jak i działania podejmowane przez samych użytkowników na ich miejscach pracy.

„Próbujemy podejrzane zdarzenia bezpośrednio monitorować” – tłumaczy Alexander Raczyński. „Są one zapisywane i przesyłane do centralnego systemu, w którym zostają poddane obróbce analitycznej. W ten sposób z natłoku informacji usiłujemy wyłuskać to, co z punktu widzenia bezpieczeństwa jest najważniejsze” - podkreśla.

Katarzyna Florencka (PAP)

kflo/ mrt/

Przed dodaniem komentarza prosimy o zapoznanie z Regulaminem forum serwisu Nauka w Polsce.

Copyright © Fundacja PAP 2024