Wprowadzenie

Do niedawna działania wojenne były prowadzone przez siły zbrojne reprezentujące wrogie narody lub przez rewolucyjne elementy sprzeciwiające się ich własnym rządom. Dzisiaj, mimo że konflikty te nadal istnieją na całym świecie, wszechobecna natura komputerów i związanych z nimi technologii stworzyła nowe siły, nowe zagrożenia, nowe cele i towarzyszącą im potrzebę nowej broni ofensywnej i obronnej. Wojna informacyjna (IW), znana również jako e-wojna lub cyberwojna, jest faktycznie lub potencjalnie prowadzona przez wszystkie siły zbrojne USA i przez inne narody, a także przez przedsiębiorstwa komercyjne, grupy aktywistów, a nawet przez osoby działające sam. Konwencjonalne wojny, zarówno duże, jak i małe, są regularnie zgłaszane przez media. Wojna informacyjna jest jednak w dużej mierze ignorowana, z wyjątkiem tych, którzy interesują się zawodowo w tej dziedzinie. Jednym z powodów jest to, że konwencjonalne działania wojenne są sprawą życia lub śmierci; zdjęcia i relacje naocznych świadków są dramatycznym przypomnieniem ludzkiego okrucieństwa i śmiertelności. W przeciwieństwie do tego, IW do tej pory prowadzono bezkrwawo, mając jedynie konsekwencje ekonomiczne i polityczne. Jednak staje się coraz bardziej oczywiste, że IW może wkrótce zostać przeprowadzone w sposób, który mógłby równać się lub przekraczać śmierć i zniszczenie związane z bronią konwencjonalną. Konwencjonalne wojny są zwalczane przez znanych walczących z jasno zdefiniowanymi sojusznikami i antagonistami, ale IW często prowadzą  nieznane istoty o niepewnych lojalnościach i celach. IW może być prowadzony na wielu frontach jednocześnie, z wojnami toczonymi w ramach wojen, a zdewastowane są zarówno cele cywilne, jak i wojskowe. Motywy wojny konwencjonalnej były prawie zawsze terytorialne, religijne, polityczne lub ekonomiczne. Są one nadal ważne, ale należy im dodać motywacje psychologiczne grup i jednostek – grupy znacznie szerzej rozpowszechnione i trudniejsze do pokonania. W tej części omówiono działania informacyjne w zakresie słabych punktów celów, celów uczestników, źródeł zagrożeń i ataków, używanej broni i obrony przed tymi broniami.

Wojna informacyjna

“Wojna informacyjna to obraźliwe i defensywne wykorzystywanie systemów informacyjnych i informacyjnych do odmawiania, wykorzystywania, niszczenia lub niszczenia informacji przeciwnika, procesów opartych na informacjach, systemów informacyjnych i sieci komputerowych, przy jednoczesnej ochronie własnych. Takie działania mają na celu osiągnięcie przewagi nad przeciwnikami wojskowymi lub biznesowymi.”

-Dr. Ivan Goldberg, Instytut Zaawansowanych Badań nad Wojną Informacyjną

Wewnętrzne honeypoty.

Honeypoty to atrakcyjne systemy lub węzły, które wydają się mieć cenne poufne dane. Roger Grimes, autor podręcznika o honeypots, pisze:

Jedną z najlepszych rzeczy, które możesz zrobić, aby uzyskać wczesne ostrzeżenie wewnętrznych atakujących, jest wdrożenie honeypotów.… Ponieważ są one tanie i mają niski poziom hałasu – i działają! Ponieważ napastnicy wewnętrzni, których szukasz, mogą być zaufanymi pracownikami IT, cały projekt musi być utrzymywany w tajemnicy. Powinien być znany tylko sponsorowi, kierownictwu i realizatorom. Często dajemy projektowi nudną nazwę kodową, taką jak Marketing Business Development, która jest używana we wszystkich dokumentach i e-mailach, unikając terminów mających związek z honeypotami. Nie mów nawet o tym pracownikom bezpieczeństwa sieci, o ile możesz i nadal masz projekt operacyjny. Następnie weź kilka komputerów przeznaczonych do usuwania zasobów lub sterty złomu i zamień je w swoje honeypoty. Celem takiego honeypota jest brak dostępu do niego: nie pełni żadnej funkcji i nigdy nie ma odniesienia do niego w żadnej dokumentacji wewnętrznej lub zewnętrznej. Tak więc każdy, kto uzyskuje do niego dostęp, albo robi, a więc przez przypadek lub narusza zasady dotyczące nieuprawnionego dostępu do danych wewnętrznych (nie ma nikogo upoważnionego do dostępu do honeypota). Szczegółowe rejestrowanie powinno być dostępne przez cały czas, aby zapewnić natychmiastową informację kryminalistyczną; administratorzy powinni jednak upewnić się, że potrafią właściwie wizualizować dokładnie to, co jest robione w czasie rzeczywistym, a nie tylko polegać na szczegółowych plikach dziennika do analizy po fakcie. System wczesnego ostrzegania powinien natychmiast powiadomić administratorów systemu o problemie (najlepiej w trakcie dostępu) za pomocą komunikatów ekranowych, wiadomości głosowych i wiadomości tekstowych.

Rozwiązanie zdalnego dostępu.

Powszechnie wdrażanym rozwiązaniem dostępu zdalnego jest dostarczanie poczty internetowej z komputerów domowych. Dzięki Webmail musisz skonfigurować system, aby uniemożliwić personelowi otwieranie załączników w lokalnych aplikacjach na komputerze domowym. Jeśli nie zostanie to zablokowane, personel może skopiować informacje firmowe, zapisując otwarty załącznik na lokalnym dysku twardym. Ponadto każde użycie protokołu Remote Desktop Protocol (RDP) również musi być odpowiednio skonfigurowane, aby zapobiec mapowaniu lokalnych zasobów USB na komputer zdalny.

Problemy prawne z DLP.

Wraz z wdrożeniem DLP organizacja postępuje od badania zgłoszonych incydentów do aktywnego monitorowania naruszeń polityki firmy. Jedną z głównych kwestii związanych z wdrażaniem globalnego systemu DLP jest to, że aktywne monitorowanie może podlegać prawom dotyczącym prywatności i miejsca pracy, a nieprzestrzeganie tych przepisów w niektórych krajach jest przestępstwem. Dodatkowo, dzięki przechwytywaniu informacji o klientach i organizacjach w dziennikach DLP, należy rozważyć, gdzie są przechowywane pliki dziennika i kto będzie je przeglądał. Jako przykład z branży usług finansowych, niektóre informacje są wrażliwe na ceny i istnieją ścisłe wymagania, kto może uzyskać do nich dostęp, aby zapobiec wykorzystywaniu informacji poufnych. Informacje o kliencie w plikach dziennika mogą być objęte przepisami dotyczącymi tajemnicy bankowej. Jeśli pliki dziennika dla jednego kraju są przechowywane na serwerze w innym kraju, należy również przestrzegać przepisów dotyczących outsourcingu, a planiści muszą określić najbardziej rygorystyczne przepisy, aby zapewnić zgodność z przepisami. Przepisy o ochronie danych zostały wprowadzone w wielu krajach, które wymagają od osób, których dane dotyczą, wyrażenia zgody na przetwarzanie ich informacji i do określonych celów; dlatego monitorowanie komunikacji może wymagać zawarcia umów z klientami i innych deklaracji ochrony danych. Pomimo tych wszystkich przeszkód, w większości krajów możliwe jest wdrożenie systemu DLP. W ramach etapu planowania projektu organizacja musi zlecić przeprowadzenie dochodzenia prawnego każdemu krajowi, aby zrozumieć, czy zgodnie z prawem należy aktywnie monitorować pocztę korporacyjną, ale co ważniejsze, warunki konieczne do legalnego monitorowania. W przypadku krajów, które zabraniają monitorowania poczty e-mail lub jakiejkolwiek formy nadzoru w miejscu pracy, zazwyczaj możliwe jest zastosowanie kontroli blokowania podczas pisania do wymiennych przechowywanie wraz z przesyłaniem do zewnętrznych stron internetowych, pod warunkiem, że nie są przechowywane pliki dziennika.

Trudności z DLP.

DLP nie jest panaceum. Trudno, jeśli nie niemożliwe, uniemożliwić komuś zdeterminowanemu wyciekanie danych, ale dzięki systemowi DLP można utrudnić im to bez wykrycia, a ta bariera zwykle odstrasza większość ludzi. W przypadku poczty e-mail DLP bardzo trudno jest zidentyfikować bezpieczne zasady blokowania, które zapobiegają wyciekowi danych. Na przykład, jeśli pracownicy rutynowo wysyłają e-maile do klientów, niektórzy z tych klientów będą korzystać z ich adresów e-mail, co oznacza, że blokada (czarna lista) wiadomości e-mail wysyłanych na adresy e-mail nie będzie możliwa.

Wyciek danych przy użyciu pamięci masowej w chmurze.

Powszechna dostępność zewnętrznych urządzeń do przechowywania danych (np. Dropbox i Google Drive) zwiększa złożoność DLP. Pomocne może być ostrożne stosowanie monitoringu internetowego i umieszczanie na czarnej liście określonych adresów URL, ale zdeterminowani przeciwnicy przepisów mogą ominąć takie metody, korzystając z różnych stron internetowych unikających proxy, które maskują miejsce docelowe żądania HTTP. Administratorzy bezpieczeństwa powinni poszukiwać nowych witryn, aby mogli dodawać je do czarnych list firmowych dla komunikacji wychodzącej za pośrednictwem zapór ogniowych.

Wyciek danych e-mail.

Gdy zablokowane zostaną nisko wiszące owoce pamięci wymiennej i przesyłane pliki, personel zacznie eksportować informacje za pośrednictwem poczty elektronicznej. Motyw może nie być złośliwy, ale nadal powoduje utratę przez organizację kontroli nad informacjami. Aby zaradzić temu ryzyku, system DLP może być skonfigurowany do zgłaszania osób wysyłających załączniki na adresy e-mail do domu, co jest zwykle miejscem docelowym informacji lub na dowolny nieautoryzowany adres e-mail. Raporty te można następnie wykorzystać do zwiększenia świadomości pracowników na temat polityki lub do wspierania procesów dyscyplinarnych w celu celowego wycieku danych. Jednak prawdziwa korzyść z DLP wynika z zaangażowania obszarów biznesowych, ponieważ DLP może prowadzić proces identyfikacji i definiowania krytycznych informacji, które muszą być chronione. Na przykład grupa programistów IT może mieć regułę DLP, która blokuje wiadomości e-mail zawierające kod źródłowy, aby uniemożliwić programistom podejmowanie z nimi pracy, gdy wychodzą. Nawet jeśli kod źródłowy jest umieszczony w zaszyfrowanym pliku zip, aby spróbować uniknąć wykrycia, metadane (np. Nazwy plików i identyfikatory twórców plików) mogą być nadal czytelne i mogą wywołać regułę. W innych obszarach działalności informacje o kliencie, strategii biznesowej, wynikach biznesowych, własności intelektualnej i PII, takie jak numery kart kredytowych i numery ubezpieczenia społecznego, można skonfigurować w systemie DLP

Zapobieganie utracie danych (DLP).

W ciągu ostatnich 10 lat dokonano adopcji technologii, co znacznie ułatwiło pracownikom przypadkowe lub celowe naruszenie poufności informacji organizacyjnych i klienta. Zapobieganie utracie danych (DLP) to klasa systemów bezpieczeństwa informatycznego, które są coraz częściej wdrażane przez organizacje w celu przeciwdziałania tym zagrożeniom. Typowy system DLP musi uwzględniać co najmniej następujące luki:

* Przenośne urządzenia pamięci masowej / nośniki wymienne, takie jak pamięci USB i dyski twarde, telefony komórkowe, karty pamięci, nagrywarki CD / DVD, a także pamięci masowe na podczerwień, Bluetooth, FireWire i SCSI.

* Przesyłanie plików – w tym zaszyfrowanych danych – do zewnętrznych stron internetowych za pomocą standardowych protokołów w przeglądarkach internetowych, takich jak ftp, http i https. Te kontrolki mogą być egzekwowane zarówno na bramie internetowej, jak i na pulpicie.

* Wykrywanie, kiedy laptopy nie znajdują się w sieci korporacyjnej i zapobieganie kopiowaniu plików na udziały plików innych niż korporacyjne.

Dla większości pracowników system DLP można skonfigurować tak, aby blokował próby kopiowania i przesyłania danych do tych kanałów wycieku danych. Jednak w przypadku większości z tych kanałów znajdą się osoby, które będą miały prawdziwą potrzebę biznesową do kopiowania i przesyłania informacji, co spowoduje wyjątki od tej zasady. System DLP może pomóc w zarządzaniu tym ryzykiem, tworząc dziennik tego, co zostało skopiowane w celu wsparcia badania incydentów lub w celu umożliwienia przeglądu tego, co członek personelu skopiował z organizacji. Funkcje te mogą być szczególnie przydatne, gdy pracownik złoży rezygnację.

Łagodzenie zagrożenia z wykorzystaniem informacji poufnych

Zapasy systemu i zasobów. Jeśli nie wiesz, co masz, nie możesz sobie z tym poradzić. Bez spisu serwerów nie możesz się upewnić, że są one załatane, dzięki czemu osoby posiadające informacje poufne mogą je skompromitować i wykorzystać do własnych celów. Bez listy aplikacje działające na każdym serwerze mogą mieć niepotrzebne serwery w sieci używane do nieautoryzowanych celów. Aktywne systemy w sieci również muszą korelować z zapasami. Administrator, który nie usunie zbędnego systemu w internetowej strefie DMZ, może go użyć do obejścia wszystkich elementów sterowania obwodem sieciowym po opuszczeniu organizacji. W szczególności jednym z najniebezpieczniejszych narzędzi do przestępstw z wykorzystaniem informacji poufnych jest nieautoryzowany i niewykryty punkt dostępu bezprzewodowego – łatwo kupowany w dowolnym sklepie elektronicznym po niskich kosztach i zdolny do przesyłania danych z sieci wewnętrznej do nieautoryzowanych urządzeń w obiektach firmowych lub nawet do czynniki zewnętrzne w niewielkim promieniu na zewnątrz budynku.