Miesiąc: październik 2021

Podobnie jak w przypadku innych zagrożeń bezpieczeństwa, konsekwencje niezabezpieczenia technologii IM mogą być poważne. Wiele współczesnych organizacji doświadczyło naruszenia bezpieczeństwa związanego z komunikatorami internetowymi, a prawdopodobnie będzie ich więcej. Naruszenia bezpieczeństwa wiadomości błyskawicznych mogą być śmiertelne dla organizacji same w sobie lub jako część znacznie większego ataku na firmę. Kradzież lub przesyłanie informacji za pośrednictwem komunikatorów internetowych jest nie mniej ryzykowne niż jakakolwiek inna forma kradzieży informacji. Pojedynczy plik, niezależnie od tego, czy został przesłany za pośrednictwem komunikatora internetowego, czy skrupulatnie wycięty i wklejony, krok po kroku przez długi czas, może zniszczyć reputację firmy i pozycję w oczach opinii publicznej, a nawet przynieść korzyści konkurencji. Włamanie z jednej rozmowy przez komunikator internetowy może potencjalnie obniżyć cenę akcji korporacji w ciągu kilku godzin lub dni. Zdarzały się nawet przypadki, gdy poufne informacje dyrektora generalnego zostały przechwycone i opublikowane w Internecie, aby wszyscy mogli je zobaczyć.

Utrata informacji i utrata poufności, celowo lub nieumyślnie, są najprawdopodobniej największym zagrożeniem dla IM dla biznesu. Istnieje kilka sposobów szkodliwego przekazywania informacji za pośrednictwem IM8:

* Ujawnianie sekretów za pośrednictwem czatu tekstowego, zwłaszcza gdy firma podjęła duży wysiłek w celu filtrowania i blokowania takiej komunikacji za pośrednictwem poczty e-mail z bramami e-mail, zarządzaniem danymi własności intelektualnej i innymi technologiami

* Funkcje kopiowania i wklejania (w tym zrzuty ekranu) używane do przesyłania poufnych lub tajnych informacji z innych zabezpieczonych aplikacji lub środowisk

* Transfery plików

* Udostępnianie ekranu i funkcje współpracy w czasie rzeczywistym, takie jak współdzielone tablice lub funkcje udostępniania pulpitu

* Zapominanie o wyłączeniu sesji głosowej lub wideo i niezamierzonym przekazywaniu dźwięku lub obrazów do oryginalnego korespondenta – szczególnie niebezpieczne, gdy zostawiasz pocztę głosową przez klienta komunikatora

* Przekazywanie głosu, wideo lub obu stron innej stronie (niezamierzone lub celowe)

* Wykorzystanie technologii kamery internetowej do przekazywania informacji wizualnych w bezpiecznym obiekcie

* Pobieranie złośliwego oprogramowania w celu zbierania i kradzieży danych

* Podszywanie się (ta taktyka zwykle polega na kradzieży znanego konta IM lub stworzeniu fałszywego konta w celu podszywania się pod kogoś, kogo zna ofiara).

* Wezwania do sądu lub nakazy przeszukania wykonywane w celu zebrania dzienników komunikatorów, rozmów itp.

Chociaż nie jest to pełna lista, powinna służyć jako pomoc w planowaniu bezpieczeństwa i rozwoju polityki. Istnieje wiele dobrych zasobów w Internecie, w których można dokładniej wyjaśnić podobne zagrożenia i konsekwencje, ale powyższa lista powinna zachęcić do przemyślanej burzy mózgów na temat sposobów, w jakie organizacja może utracić dane. Niektóre wymienione metody byłyby niezwykle trudne do wykrycia i naprawienia. Dzięki szybkim sieciom i szybkim łączom internetowym w większości organizacji można przesłać ogromną ilość danych w krótkim czasie.

W przypadku każdej technologii, szczególnie tej, która łączy się z Internetem, istnieje ryzyko dla organizacji. Wiadomości błyskawiczne nie są drobną irytacją, którą należy lekceważyć; jeśli technologia nie jest kontrolowana przez organizację, może wystąpić poważne naruszenie bezpieczeństwa. Pamiętaj, że dzisiejsze komunikatory internetowe znacznie wykraczają poza sam txt; są w stanie przekazać znacznie więcej niż tylko przypadkowe, interpersonalne przekomarzanie się.

Wiadomości błyskawiczne stały się integralną częścią komunikacji — zarówno biznesowej, jak i osobistej — dla wielu osób. W niedawnej przeszłości dość łatwo było po prostu stworzyć politykę, która zakazywała korzystania z komunikatorów internetowych do użytku osobistego i zezwalała tylko na wewnętrzne, biznesowe komunikaty w firmie. Jednak komunikatory internetowe stały się integralną częścią życia. Komunikatory internetowe są wszechobecne w większości organizacji — do użytku osobistego i biznesowego. W rezultacie, od kadry kierowniczej po stażystów, komunikatory internetowe można znaleźć na wielu komputerach, ale muszą być zarządzane i zabezpieczone na wszystkich.

Błędna konfiguracja, niezamierzone użycie, ciekawość i eksperymentowanie z P2P w miejscu pracy zdarzają się z konsekwencjami. Chociaż ten przypadek jest tylko jednym rodzajem konkretnego incydentu bezpieczeństwa związanego z technologią P2P, powinien służyć jako przykład tego, jak taka sytuacja może wystąpić. Pracownik jednej organizacji zgłosił do helpdesku wolno działający komputer. Wszystkie zwykłe sugestie i sztuczki helpdesk zostały wyczerpane z niewielkim wpływem na wydajność komputera. Występowały typowe objawy powolnego komputera — długi czas oczekiwania na wykonanie prostych zadań, przypadkowe błędy i wyłączenia, blokady i inne problemy operacyjne. Była jednak jedna różnica: po ponownym uruchomieniu komputer musiałby zwolnić i przestać odpowiadać przez kilka minut. Po pewnym czasie pracownik skomentował: „Próbowałem zainstalować program do udostępniania muzyki w zeszłym tygodniu, ale mi się nie podobał i odinstalowałem go”. To skłoniło inżyniera do zbadania każdego procesu uruchomionego na komputerze. Chociaż wydawało się, że aplikacja P2P została odinstalowana, w rzeczywistości tak nie było; nadal był zainstalowany i działał w trybie ukrycia. Deinstalator maskował jedynie aplikację P2P. Nie tylko aplikacja P2P nadal działała, ale była źle skonfigurowana, aby udostępniać całą zawartość dysku C:. Do maszyny podłączonych było dosłownie tysiące innych użytkowników P2P aktywnie wyszukujących, przesyłających, pobierających i zmieniających zawartość dysku twardego komputera. Komputer nie tylko udostępniał wszystkie swoje dane, ale był używany jako serwer do obsługi tysięcy plików multimedialnych. Ponieważ komputer znajdował się w segmencie sieci, który miał pełną translację adresów sieciowych TCP/IP 1-do-1, był w rzeczywistości całkowicie otwarty na świat zewnętrzny – a świat zewnętrzny w pełni wykorzystywał tę okazję. Dysk twardy był praktycznie pełny, a zdalni użytkownicy dodawali i usuwali pliki do woli. Zapora sieciowa hosta została nawet zmodyfikowana przez instalację aplikacji P2P, aby otworzyć wszystkie niezbędne porty dla świata. Nie wiadomo, czy do danych osobowych użytkownika rzeczywiście uzyskano dostęp, pobrano je lub wykorzystano do jakiejkolwiek złośliwej aktywności, ale z pewnością istniała taka możliwość. Z powodu nieautoryzowanego pobierania przez użytkownika, niewystarczającego bezpieczeństwa sieci i innych naruszeń zasad organizacja nie mogła być pewna poufności lub integralności komputera lub jego danych. Podjęto niezbędne kroki, aby zapobiec ponownemu wystąpieniu tego incydentu, ale ten scenariusz rozegrał się w innych organizacjach i będzie się powtarzał, dopóki istnieje ryzyko P2P.

Wszystkie organizacje muszą dokładnie określić, w jaki sposób reagować na naruszenia bezpieczeństwa i naruszenia zasad, w tym sytuacje, w których zaangażowana jest technologia P2P. Nie tylko proces ten powinien być uwzględniony w ogólnym planie bezpieczeństwa, ale także powinny istnieć procesy reagowania na incydenty w celu usunięcia z sieci systemów obraźliwych. W niektórych przypadkach odbudowa zagrożonego zasobu może być konieczne, ale niektóre organizacje mogą zdecydować się na usunięcie zhakowanej maszyny z produkcji i/lub zachowanie kopii maszyny do badań kryminalistycznych do celów prawnych, kryminalistycznych lub dochodzeniowych.

Są chwile, kiedy organizacja nie chce całkowicie zakazać lub zablokować korzystania z technologii P2P. Jednym z coraz bardziej powszechnych i uzasadnionych przykładów dla P2P jest dystrybucja oprogramowania typu open source lub aktualizacje za pośrednictwem BitTorrenta. BitTorrent to oparty na P2P protokół do dystrybucji danych — często dużych ilości danych. Szerokie zastosowanie obejmuje dystrybucję kilku dystrybucji systemu operacyjnego Linux. Instalacja systemu Linux często wiąże się z uzyskaniem obrazów CD-ROM lub DVD w celu utworzenia dysków instalacyjnych. Korzystając z technologii BitTorrent, dostawcy oprogramowania i dystrybutorzy są w stanie dostarczać swoim klientom duże ilości danych bez ponoszenia całego ciężaru dystrybucji, przepustowości i zasobów obliczeniowych. Jednak organizacja musi zarządzać sposobem wykorzystania tej technologii, aby zapewnić, że zasoby nie są nadużywane, a aplikacje P2P są wykorzystywane wyłącznie do dozwolonych, legalnych celów. Można to osiągnąć za pomocą zasad, audytu oraz różnych technologii dostępu do sieci i kontroli. Każda organizacja musi zdefiniować swój własny poziom akceptowalnego ryzyka dla legalnego korzystania z technologii P2P i musi znaleźć rozwiązania, które będą odpowiadać akceptowalnemu poziomowi. Oto kilka przykładów:

* Stosowanie szyfrowania

* „Anonimowe” technologie routingu P2P, takie jak routing cebulowy (patrz rozdział 31 w tym podręczniku)

* Izolacja sieci dla komputerów używanych do uzyskiwania oprogramowania z aplikacjami P2P

* Połączenia z Internetem nabyte przez firmę za pomocą modemu DSL lub kablowego, co pozwala uniknąć korzystania z zasobów sieci firmowej

Wszystkie systemy informacyjne i komponenty powinny być poddawane audytowi (zarówno zgodnie z harmonogramem, jak i poprzez losowe audyty), aby upewnić się, że nie są skonfigurowane, celowo lub nieumyślnie, do udziału w udostępnianiu plików P2P. Zadanie to powinno być częścią regularnych procesów audytu systemów informatycznych i bezpieczeństwa informacji w każdej organizacji. Jeśli to możliwe, najbardziej przydatne są zewnętrzne i neutralne zasoby, aby zapewnić, że wszystkie systemy są kontrolowane w jednolity, dokładny, powtarzalny i obiektywny sposób.

Ważne jest, aby każda organizacja zajęła się wykorzystaniem technologii P2P w polityce, takiej jak polityka dopuszczalnego użytkowania, polityka HR lub polityka bezpieczeństwa. Odpowiednia polityka, wraz ze wszystkimi innymi politykami związanymi z bezpieczeństwem, powinna być jasno określona, ​​jasno zakomunikowana całej organizacji, jednolicie i jednakowo egzekwowana oraz aktualizowana w razie potrzeby.

Całkowity zakaz korzystania z technologii peer-to-peer.

W większości przypadków organizacja może całkowicie zakazać korzystania z P2P, zwłaszcza poprzez egzekwowalne zasady. Należy zadbać o to, aby wszyscy pracownicy i komputery przestrzegali zakazu. Powinno być zabronione, a nawet lepiej niemożliwe, instalowanie aplikacji P2P na komputerach osobistych, serwerach i wszystkich innych systemach informatycznych, które mogłyby być używane do wysyłania i odbierania ruchu związanego z P2P. Większość użytkowników komputerów powinna działać jako standardowy użytkownik swojego komputera, a nie jako administrator. Jeśli pracownicy mogą instalować oprogramowanie lub mają dostęp administracyjny do swoich pulpitów, powinny mieć miejsce regularne, zautomatyzowane inwentaryzacje i audyty komputerów. Usunięcie powinno być natychmiastowe i należy podjąć odpowiednie działania naprawcze. Kilka technologii może również pomóc w blokowaniu ruchu P2P, chociaż żadne rozwiązanie technologiczne nie jest całkowicie niezawodne. Środki te są dodatkowymi zabezpieczeniami, a nie kompletnymi rozwiązaniami. Zapory powinny być skonfigurowane z domyślną zasadą odmowy i powinny zezwalać na przechodzenie tylko portów TCP/IP, które są niezbędne do normalnych operacji biznesowych. Chociaż wiele aplikacji P2P jest w stanie tunelować przez porty TCP/IP, takie jak te używane przez HTTP lub inne popularne protokoły, jest to niezbędna pierwsza obrona. Technologie kształtowania pakietów mogą być również przydatne do identyfikowania ruchu związanego z P2P i blokowania jego komunikacji. Urządzenia do kształtowania pakietów i zarządzania ruchem często są w stanie wykryć sygnaturę ruchu P2P, bez względu na port TCP/IP, z którego korzysta aplikacja. Niektóre systemy wykrywania i zapobiegania włamaniom mogą również identyfikować i blokować ruch P2P, podobnie jak wiele urządzeń filtrujących Internet. Dzienniki i raporty powinny być sprawdzane codziennie, a wykroczenia powinny być szybko naprawiane. Jest to również przypadek, w którym ważne jest zarządzane środowisko pulpitu — automatyczna instalacja/usuwanie oprogramowania, jednolite obrazowanie pulpitu oraz zautomatyzowana inwentaryzacja/raportowanie oprogramowania pomaga administratorom komputerów stacjonarnych w zwalczaniu instalowanego oprogramowania P2P wbrew zasadom.

Ochrona organizacji przed naruszeniami bezpieczeństwa informacji za pomocą technologii P2P jest jedną z wielu ważnych części ogólnego planu bezpieczeństwa. W zależności od struktury organizacji, przywództwa, funkcji i podobnych czynników, metody zapobiegania i łagodzenia zagrożeń P2P mogą być proste lub skomplikowane. Oczywiście każda organizacja musi przeprowadzić analizę ryzyka i określić swój próg zagrożenia, jeśli chodzi o technologię P2P. Rozdział 62 zawiera środki oceny ryzyka. Poniższe wytyczne mogą pomóc organizacji w obronie przed zagrożeniem ze strony technologii P2P powodującym naruszenia bezpieczeństwa.