Restrykcje w dostępie do danych – na co pozwolić Użytkownikowi

Aby przejąć kontrolę nad komputerem użytkownika przestępcy potrzebują dostarczyć i uruchomić swoje narzędzia. Są to de facto aplikacje, które uruchamiane lub instalowane są w systemie operacyjnym, określane jako złośliwe oprogramowanie lub po prostu Malware. Mogą one np. zapewniać dostęp zdalny (Backdor), przechwytywać ciągi znaków wprowadzane za pomocą klawiatury, w tym hasła (keylogrer), dokonywać włamań poprzez konkretne luki w zabezpieczeniach (Exploit), lub wykonywać inne zadania. Jednak najpierw narzędzia te muszą zastać dostarczone do systemu operacyjnego, w postaci plików. Bardzo zasadnym jest zatem aby maksymalnie ograniczyć taką możliwość. Zasada jest prosta i opiera się na rachunku prawdopodobieństwa - im większe ograniczenia w zakresie wprowadzania plików do systemu tym mniejsze ryzyko, że oprócz potrzebnych danych pojawi się coś jeszcze.

Jak wspomniano w poprzednim artykule, dostęp do sieci Internet powinien być realizowany jedynie poprzez pełen wymuszony tunel VPN i podlegać surowym restrykcjom, z wykorzystaniem takich technologii jak np.: geolokalizacja adresów IP, inspekcja SSL, filtrowanie WEB, filtrowanie plików, sandboxing, ochrona DNS itd. Konfiguracja firewalla nie jest jednak przedmiotem tego audytu.

Pliki mogą zostać również wprowadzone do systemu za pomocą pamięci przenośnych takich jak np. pendrive. W przypadku pracy zdalnej najlepiej w ogóle wyłączyć taką możliwość. Jeśli jednak jest potrzeba to warto rozważyć wdrożenie dedykowanego oprogramowania i służbowych przenośnych napędów USB. Przykładowy pendrive jest zaszyfrowany i może zostać wykorzystywany jedynie do przenoszenia danych pomiędzy komputerami w organizacji. Żadne inne urządzanie nie może być użyte w systemie. Obecnie na komputerach wykorzystywanych do pracy zdalnej w organizacji brak jakichkolwiek zabezpieczeń w tym zakresie.

Kolejną „drogą” jaką pliki mogą zostać dostarczone na komputer jest poczta elektroniczna. I tak jak wymiana wiadomości email w oparciu o firmowy serwer, przeważnie podlega ochronie, tak dostęp do prywatnych skrzynek w zewnętrznych serwisach niesie ze sobą bardzo duże ryzyko. Wiadomości email pochodzące z najprzeróżniejszych źródeł, zawarte w nich załączniki i hiperłącza to obecnie najczęstszy wektor ataku. W momencie gdy użytkownicy zdalni posiadają nieograniczony dostęp do prywatnych skrzynek pocztowych u różnych operatorów, a jeśli nie ma wymagań biznesowych to zdecydowanie zaleca się zablokowanie dostępu w tym zakresie. W przeciwnym wypadku należy zadbać o to, aby połączenia realizowane były jedynie dla tych użytkowników, dla których jest to konieczne, poprzez VPN i firmowego firewalla oraz podlegały inspekcji SSL, skanowaniu Anti-malware, filtrowaniu plków i sandboxing.

 Jak się ochronić przed instalacją/uruchomieniem Malware?

Najczęściej złośliwe oprogramowanie pobierane jest za pomocą protokołu http/s, po kliknięciu w hiperłącze. Jest to działanie zainicjowane przez użytkownika i niektóre (dodatkowe) pliki mogą zostać otwarte przez przeglądarkę internetową. Użytkownik może również pobrać i samemu  otworzyć plik z dodatkowym kodem wykonywalnym (wirus) albo pobrać i uruchomić konia trojańskiego, czyli aplikację, która z pozoru wydaje się użyteczna dla użytkownika a w rzeczywistości jest również dla hackera. Jakby nie było w efekcie nastąpi próba instalacji narzędzi w systemie lub po prostu ich uruchomienia.

Jeśli użytkownicy logują się do systemów w oparciu o konta z minimalnymi uprawnieniami to instalacja narzędzi cyberprzestępców się nie powiedzie. Problem w tym, że można je uruchomić i będą one realizować swoje zadania aż do wyłączenia/restartu komputera. Użytkownicy, często pomimo wyraźnych zaleceń działu IT, aby wyłączać komputer kończąc pracę ostatecznie podejmują w tym zakresie własne decyzje. Wiadomo, że są stosowane takie praktyki, że zamiast wyłączać komputer jest regularnie usypiany lub poddawany hibernacji. Proceder taki może trwać wiele tygodni. Jeśli w środowisku użytkownika uruchomiony jest Malware będzie przez ten czas realizował cele przestępców. Zaleca się wymuszać systemowo aby wszystkie komputery były wyłączane na koniec dnia pracy.

Warto również rozważyć ograniczenie możliwości uruchamiania aplikacji w systemie użytkownika za pomocą GPO. W ustawieniach użytkownika, w lokalizacji: „User Configuration > Administrative Templates > System” dostępne są następujące ustawienia:

• „Run only specified Windows Applications” – opcja ta umożliwia wybór aplikacji, które użytkownik może uruchomić w systemie za pomocą eksploratora Windows (środowisko graficzne). Wszystko co nie jest ujęte na liście nie będzie możliwe do uruchomienia.

• “Prevent access to the command prompt” – opcja uniemożliwia włączenie linii poleceń (CMD) z konta danego użytkownika. Jeżeli dystrybuowane są jakieś skrypty (logon/logoff) to jest możliwość aby pomimo wyłączenia CMD przetwarzanie tych skryptów było możliwe.

Jeśli w ramach systemu MS Office nie są wykorzystywane makra to możliwość ich wykonywania powinna być wyłączona administracyjnie.

Jeśli w trakcie czytania artykułu pojawiły się pytania, to zapraszamy do kontaktu. Odpowiemy na wszystko.

 TJ