dodany: 25.12.2012 | tagi: , ,

Autor:

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 2. Identyfikacja potencjalnych zagrożeń

5

Krok 1: Identyfikacja potencjalnych zagrożeń

 

Przed przystąpieniem do zorganizowania skutecznej obrony przed złośliwym oprogramowaniem ważne jest, aby zrozumieć jak w ogóle funkcjonuje nasza infrastruktura. Należy stwierdzić w jakiś sposób narażone są jej poszczególne części. Aby zaprojektować najlepsze rozwiązanie ochrony, należy w pełni ocenić ryzyko niebezpieczeństwa. Malware wykorzystuje kilka typowych sposobów infekcji i te, podczas oceny potencjalnego ryzyka, warto rozważyć jako pierwsze. Najbardziej popularne to:

Skanowanie, a później wykorzystanie otwartych portów. Scanning dostarcza wielu zyskownych informacji dla potencjalnego włamywacza, np. o liczbie komputerów czy usług uruchamianych w sieci.

Wnikanie przez pocztę elektroniczną.

Rozprzestrzenianie się z nośników wymiennych, jak np. dyski USB.

 

Model podejścia „Obrony w głąb”

 

Następnym krokiem, po wskazaniu i dokumentowaniu ryzyka zachwiania bezpieczeństwa w naszej organizacji, jest zorganizowanie ochrony przed złośliwym oprogramowaniem. Doskonałym punktem wyjścia dla tego procesu jest model podejścia „Obrony w głąb”. Pozwala on na ochronę wielopłaszczyznową. Poniższy rysunek przedstawia kolejne warstwy, składające się na model „Obrony w głąb”:

Rys. 2. Szczegółowe warstwy modelu „Obrony w głąb”.

 

Rysunek przedstawia każdy obszar infrastruktury, jaki należy rozważyć przy projektowaniu obrony przed malware. Warto wrócić do tego schematu, po przeczytaniu całego poradnika.

Poszczególne obszary mogą być dowolnie modyfikowane, w zależności od naszych indywidualnych wymagań czy możliwości. Na potrzeby tego artykułu wyszczególniliśmy następujące „warstwy”:

Dane. Zagrożenia w warstwie danych wynikają z luk, które potencjalny atakujący może wykorzystać w celu uzyskania dostępu do danych konfiguracyjnych, danych organizacji lub unikalnych danych używanego urządzenia. Podstawowe założenia ochrony na poziomie tej warstwy, to kwestie odpowiedzialności prawnej, wynikającej np. z utraty lub kradzieży. Mogą to być wrażliwe na publikację, poufne dane biznesowe, dane użytkowników czy prywatne magazyny informacji o klientach.

Aplikacje. Zagrożenia w tej warstwie wynikają z luk umożliwiających dostęp do uruchomionych aplikacji. Każdy wykradziony kod wykonywalny może być potem wykorzystany do ataku na system. Podstawowe kwestie, dotyczące organizacji obrony w tej warstwie, to uniemożliwienie dostępu do plików binarnych, wykorzystywanych przez aplikacje, ograniczenie dostępu do hosta poprzez luki w zabezpieczeniach usług nasłuchujących aplikacji oraz kontrola właściwego gromadzenia specyficznych danych tak, by nie dostały się w posiadanie niepowołanych osób.

Host. Zabezpieczeniem tej warstwy zajmuje się zazwyczaj producent, który zapewnia Service Packi i poprawki do oprogramowania antymalware. Zagrożeniem w tej warstwie mogą być ataki poprzez wykorzystanie luk w oprogramowaniu. Atakujący mogą eksploatować je w różny sposób. Przykładem może być celowe przeciążanie buforu pamięci. W warstwie tej ważne są prewencyjne działania, uniemożliwiające dostęp do plików binarnych, które zawierają informacje o systemie operacyjnym, jak również ograniczenie dostępu do hosta za pośrednictwem luk w zabezpieczeniach systemu operacyjnego.

Sieć wewnętrzna. Zagrożenia dla sieci wewnętrznej organizacji w dużej mierze dotyczą poufnych danych przesyłanych za pośrednictwem tejże sieci. Wymagania w zakresie łączności pomiędzy stacjami roboczych znajdującymi się w sieci wewnętrznej mogą nieść wiele zagrożeń.

Sieć obwodowa (Jeden lub więcej komputerów, które mają połączenie z Internetem przez zewnętrzny router i połączenie z  siecią wewnętrzną). Podstawowe zagrożenia w tej warstwie, to dostęp do portów wykorzystywanych przez protokoły komunikacyjne przesyłające dane pomiędzy maszynami, np.: Transmission Control Protocol (w skr. TCP) oraz Protokół Pakietów Użytkownika ( z ang. User Datagram Protocol, w skr. UDP).

Fizyczne zagrożenia. W tej warstwie zagrożenia wynikają z możliwości fizycznego dostępu ewentualnego atakującego do zasobów chronionych. Warstwa ta obejmuje wszystkie poprzednie poziomy, ponieważ fizyczny dostęp do danych umożliwia tym samym dostęp do wszystkich innych warstw. Podstawowym problemem jest tu bezpośrednia możliwość zainfekowania komputerów z pominięciem zabezpieczeń sieci obwodowej i wewnętrznej. Haker może próbować zaatakować przy użyciu wymiennych nośników, takich jak pendrive, kopiując po prostu zainfekowany plik bezpośrednio do hosta.

Zasady, procedury oraz świadomość. Dla każdej z warstw modelu bezpieczeństwa „Obrony w głąb” istnieją niezbędne do spełnienia zasady, procedury czy wymagania. Ważne jest, aby promować w naszej organizacji świadomość zagrożeń. W wielu przypadkach nieznajomość ryzyka może prowadzić do naruszenia bezpieczeństwa. Z tego powodu, ciągłe dokształcanie się w praktykach zabezpieczających, świadomość najnowszych taktyk socjotechniki oraz cech złośliwego oprogramowania, ma zasadnicze znaczenie dla ochrony naszej organizacji przed malware. Niestety, napastnik może przezwyciężyć wszystkie zabezpieczenia, dlatego permanentne kształcenie powinno być integralną częścią każdego modelu bezpieczeństwa i obrony przed malware.

Organizacja może położyć nacisk na tę warstwę, na obronie której szczególnie jej zależy. Najważniejsze, by wyeliminować słabe bądź w ogóle pominięte punkty struktury obronnej.

Wydaje się, że strategie obronne warstw Danych, Aplikacji oraz Hosta można połączyć. Mimo, że mechanizmy obronne w obrębie tych warstw mają szereg wspólnych strategii, to różnice w realizacji obrony zwykłego komputera i serwera są na tyle wystarczające, aby uzasadnić unikalne podejście do każdej z nich.

Strategie obrony warstw Sieci wewnętrznej i Sieci obwodowej również mogą być wspólne, ponieważ technologie z nimi związane są takie same. Różnice mogą polegać na fizycznym położeniu urządzeń czy używanej technologii.

 

Pytania końcowe

 

Na koniec każdego rozdziału warto zadać sobie pytania, dzięki którym możemy sprawdzić czy zrozumieliśmy założenia oraz cele danego etapu. Po przeczytaniu opisu pierwszego kroku powinniśmy upewnić się, że prawidłowo zidentyfikowaliśmy potencjalne ryzyko ataku malware. Oto pytania pomocnicze:

Czy organizacja działa zgodnie z przyjętymi zasadami, normami i praktykami? Czy wymogi prawne wymuszają na naszej organizacji procedury służące ochronie danych lub usług oraz zgłaszanie utraty takich danych lub przerw w świadczeniu usługi w wyniku ataku złośliwego oprogramowania? Nad naszą firmą może ciążyć litera prawa, np.: Ustawa Sarbanesa-Oxley (nazywana też SOX lub SarOx), mająca na celu odbudowanie zaufania inwestorów poprzez poprawę jakości i wiarygodności sprawozdawczości finansowej. Możemy także podlegać szeregowi wymogów w zakresie certyfikatów, np.: ISO/IEC 27001 – międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji czy PCI DSS (z ang. Payment Card Industry Data Security Standard) – światowy standard ustalony przez organizacje finansowe w celu ochrony danych osobowych posiadaczy kart oraz informacji związanych z ochroną danych osobowych. Oczywiście, kontrola nad wspominanymi normami może być utrzymywana w ramach standardowego procesu biznesowego oraz dostarczanych przez nas usług IT.

Czy zaproponowane rozwiązania są zgodne z obowiązującymi wymogami?

Czy istnieją jakieś przepisy, wymagające zgłoszenia zainteresowanych stron w przypadku, jeśli organizacja straci kontrolę nad danymi osobowymi (ustawa o ochronie danych)?

Czy istnieją jakieś prawne obawy ze względu na geograficzną lokalizację używanych serwerów, komputerów czy aplikacji oraz znajdujących się na nich danych? Niektóre wymogi prawne oraz regulacje międzynarodowe mogą zakazywać używania wybranych aplikacji lub przetrzymywania niektórych danych w określonych regionach geograficznych.

Czy organizacja posiada kopie zapasowe systemów serwerów, komputerów, aplikacji oraz danych? Backup może okazać się niezbędnym elementem neutralizacji szkodliwych skutków złośliwego ataku.

Jaki powinien wyglądać odpowiedni dla naszej organizacji harmonogram aktualizacji oprogramowania serwerów oraz komputerów?

Czy nasi pracownicy zostali odpowiednio uświadomieni oraz przeszkoleni tak, aby potrafili szybko zareagować na próbę ataku? Edukacja pracowników jest podstawowym wymogiem kompleksowej obrony przed złośliwym oprogramowaniem. Szkolenie jest integralną częścią każdego modelu bezpieczeństwa i obrony przed malware.

Czy jakieś wewnętrzne zobowiązania naszej firmy nie wymagają odpowiednich działań oraz reakcji w przypadku ataku złośliwego oprogramowania? Wiele organizacji korzysta z umów o poziomie usług, np. SLA (z ang. Service level agreement) – opisująca zakres i porządek oferowanego wsparcia technicznego czy umów o usługach między działami, np. OLA (z ang. Operational-level agreement). Należy wziąć pod uwagę wszelkie zobowiązania dotyczące ewentualnego ataku złośliwego oprogramowania, ustalone w podobnych umowach.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

5 odpowiedzi na “Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 2. Identyfikacja potencjalnych zagrożeń”

  1. avatar pics of hymen napisał(a):

    Thanks a lot for sharing this with all of us you really understand what you are talking
    approximately! Bookmarked. Kindly also visit my website =).
    We will have a hyperlink trade arrangement between us

  2. avatar hymen napisał(a):

    I just like the valuable info you supply on your articles.
    I’ll bookmark your weblog and check once more here frequently.
    I’m rather sure I will be informed plenty of new stuff right here!
    Best of luck for the following!

  3. avatar Hymen Images napisał(a):

    You really make it appear really easy along with your presentation however I to find this matter to be really something that I feel I would by no means understand.
    It kind of feels too complicated and very vast for me.

    I am looking ahead on your subsequent publish, I’ll try to get the dangle of it!

  4. avatar Breaking Hymen napisał(a):

    What you composed made a bunch of sense.

    But, consider this, what if you added a little information? I
    ain’t saying your content isn’t good., however suppose you added a
    title to possibly get folk’s attention? I mean Jak chronić się przed malware – poradnik dla
    użytkowników systemów Windows – cz. 2.
    Identyfikacja potencjalnych zagrożeń | WebSecurity is kinda vanilla.

    You ought to peek at Yahoo’s front page and note how they create news titles to grab people
    interested. You might add a related video or a related picture
    or two to get readers interested about everything’ve got to say.

    Just my opinion, it could bring your posts a little bit
    more interesting.

  5. avatar hymen napisał(a):

    This post is truly a pleasant one it assists new web
    viewers, who are wishing for blogging.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *