S osobitim zanimanjem pratim svaku pojavu "ranjivosti novog kova". Naročito me zanimaju događaji koji mogu promjeniti naše dosadašnje shvaćanje određene tehnologije. Možda je pretjerano ovaj slučaj tako nazvati, no u sebi nosi veoma važne pouke. Srećom, nije se desio u našoj neposrednoj blizini (iako je kontekst veoma aktualan u današnjoj Hrvatskoj).
Dakle, Google News je 7. rujna 2008. objavio da je United Airlines, jedna od najvećih zrakoplovnih kompanija, pred bankrotom. Vijest se pojavila u nedjelju, a odmah idućeg dana reagiralo je tržište: dionica UAL je pala sa 12 USD na 3 USD. Vijest bi bila dramatična, ali ne i neobična. Ipak, pokazalo se da je informacija o bankrotu kriva, a ono što je zanimljivo je pozadina te vijesti.
Naime Google News funkcionira kao agregator koji indeksira vijesti sa najznačajnijih medijskih portala. Pravi posao obavlja Googlebot koji zapravo pretražuje web servere. Vijest o bankrotu UAL pojavila se na stranicama portala Sun-Sentinel, inače u vlasništvu velikog izdavača koji izdaje i Chicago Tribune. No, problem je u tome što je ovo bila vijest iz 2002. godine. Sun-Sentinel je naslovnici neoprezno objavio link na staru vijest (u rubrici "najpopularniji članci"). Googlebot je prepoznao tu vijest kao novu (analizom pridjeljene url adrese, naravno nije analizirao sadržaj). Ostatak je bio automatizam (koji Google čini onim što i je).
Odmah su se pojavila dva pitanja.
Prvo, kako to da je Google indeksirao taj članak kao novi? Google objašnjava da pridjeljeni url do tada nije bio registriran u njihovim sustavima pohrane, a s jedini datum koji je uz vijest bio dostupan je 7. rujna 2008. Sun-Sentinel, odnosno njihov izdavač Tribune, nisu se tek tako predali, pa je uslijedilo prepucavanje koj se svodi na problem kokoš/jaje (pogledajte reakciju Google-a i odgovor Tribuna).
Kako sada stvari stoje, izgleda ipak da je Tribune bio malo neoprezan oko izgradnje svog CMS sustava i da nose znatan dio krivice.
No drugo pitanje je možda čak i zanimljivije: kako to da se vijest stara šest godina odjednom pojavila na naslovnici Sun-Sentinela kao popularna? Ponovo je u pitanju automatizam njihove CMS aplikacije koja je utvrdila pojačanu frekventnost pristupa url adresi o bankrotu UAL (iako staroj šest godina), pa se taj naslov automatski pojavio u istaknutom okviru. No, time se otvorilo pitanje pozdanosti takvog algoritma ocjene popularnosti? Ako je povećani broj klikova jedini kriterij za kategoriziranje određen vijesti kao najpopularnije, onda zaista nije nikakva problem postići ovakav efekt. To se može napraviti na brutalan način (i s primitivnom botnet infrastrukturom), a još jednostavnije je koristiti digitalna društvena okupljališta i Web 2.0 tehnologiju (npr. Digg).
Drugim rječima, na djelu smo vidjeli slučajnu ili poticanu manipulaciju informacijom, korištenjem web aplikacija. Iako se možda radi samo o tehničkoj greški uzrokovanom nedovoljno provjerenim automatizmom, u ovome vidim i mogućnosti zlonamjernih aktivnosti koje se kreću između manipulacije i hackiranja istine.
4.9.08
Izbor okvira za primjenu Smjernica HNB-a
Nedavno sam odgovarao na pitanje o tome koji je radni okvir prihvatljiviji za primjenu Smjernica HNB-a: ISO 27001/27002 ili COBIT. Čitatelji ovih stranica znaju kako ja često citiram COBIT, no fali li uopće nešto normi ISO 27001/27002, koja je, usput rečeno, puno popularnija i poznatija u našim krajevima?
ISO 27002 je jednostavan dokument, njegove su preporuke zrdravorazumske a mnogi koji ga uzimaju u ruke s namjerom primjene, već nakon desetak stranica s olakšanjem zaključuju kako su gotovo sve odredbe primjenjene ili lako primjenjive u njihovoj okolini. Pored toga, smjernice HNB-a i po volumenu i po detaljnosti veoma podsjećaju na dokument ISO 27002. Bilo bi nepravedno i netočno reći da će neka banka pogriješiti ako normu ISO 27001/27002 iskoristiti za postupak usklađivanja sa zahtjevima HNB-a.
Ipak, treba spomenuti i glavne nedostatke takve strategije.
Prije svega, izborom ISO 27002 kao radnog okvira daje se pogrešna poruka da su Smjernice HNB-a tehničko pitanje, u nadležnosti informatičke službe. ISO 27002, doduše, i u uvodnom dijelu i u dijelu s pregledom kontrolnih mjera predviđa tijesnu vezu s managementom, no ove odredbe, iz više razloga, imaju samo formalnu ali ne i suštinsku snagu. To, naravano, ne bi trebalo biti tako, no treba dosta snage u primjeni norme ISO 27001/27002 kako bi se management pretvorilo u kvalitetne i strpljive sugovornike.
Smjernice HNB-a dodjeljuju izuzetno važnu ulogu procesu upravljanja informacijskim rizicima. Ovaj dio, sagledan s odredbama o odgovornosti uprava banaka i potrebi revizije informacijskih sustava, smatram najznačajnijim faktorom primjene Smjernica HNB-a. Upravo iz ovog razloga, COBIT može biti od velike pomoći. COBIT ne samo da opisuje kontrolne mjere i praksu koje se odnose na upravljanje rizicima i obveze managementa, već je sve donedavno njegova glavna primjena bila baš u postupku revizije. Pred toga, COBIT danas pruža i djelotvorne instrumente za mjerenje uspješnosti primjene i pridržavanja svih procesa predviđenih smjernicama HNB-a. Time je uspostavljena povratna veza između operativne i strateške razine odlučivanja.
Na kraju, mislim da je jedna od prednosti COBIT-a i ta što u sebi ne uključuje i ne podrazumijeva službenu certifikaciju. Dosadašnji model isigurnosnih certifikacija pružaju tek minimalna jamstva da je objekt certifikacije zaista i siguran.
Naravno, primjena COBIT-a je veći zalogaj koji ne vole svi žvakati. Pored toga, razmišljanje da su regulatorni zahtjevi, u ovom slučaju HNB-a, ovdje radi vas a ne radi regulatora, u današnjim je vremenima možda ipak preidealističko. No, trud bi vam se mogao isplatiti, a što se tiče ideala - treba iskoristiti svaku priliku za njihovo potvrđivanje.
ISO 27002 je jednostavan dokument, njegove su preporuke zrdravorazumske a mnogi koji ga uzimaju u ruke s namjerom primjene, već nakon desetak stranica s olakšanjem zaključuju kako su gotovo sve odredbe primjenjene ili lako primjenjive u njihovoj okolini. Pored toga, smjernice HNB-a i po volumenu i po detaljnosti veoma podsjećaju na dokument ISO 27002. Bilo bi nepravedno i netočno reći da će neka banka pogriješiti ako normu ISO 27001/27002 iskoristiti za postupak usklađivanja sa zahtjevima HNB-a.
Ipak, treba spomenuti i glavne nedostatke takve strategije.
Prije svega, izborom ISO 27002 kao radnog okvira daje se pogrešna poruka da su Smjernice HNB-a tehničko pitanje, u nadležnosti informatičke službe. ISO 27002, doduše, i u uvodnom dijelu i u dijelu s pregledom kontrolnih mjera predviđa tijesnu vezu s managementom, no ove odredbe, iz više razloga, imaju samo formalnu ali ne i suštinsku snagu. To, naravano, ne bi trebalo biti tako, no treba dosta snage u primjeni norme ISO 27001/27002 kako bi se management pretvorilo u kvalitetne i strpljive sugovornike.
Smjernice HNB-a dodjeljuju izuzetno važnu ulogu procesu upravljanja informacijskim rizicima. Ovaj dio, sagledan s odredbama o odgovornosti uprava banaka i potrebi revizije informacijskih sustava, smatram najznačajnijim faktorom primjene Smjernica HNB-a. Upravo iz ovog razloga, COBIT može biti od velike pomoći. COBIT ne samo da opisuje kontrolne mjere i praksu koje se odnose na upravljanje rizicima i obveze managementa, već je sve donedavno njegova glavna primjena bila baš u postupku revizije. Pred toga, COBIT danas pruža i djelotvorne instrumente za mjerenje uspješnosti primjene i pridržavanja svih procesa predviđenih smjernicama HNB-a. Time je uspostavljena povratna veza između operativne i strateške razine odlučivanja.
Na kraju, mislim da je jedna od prednosti COBIT-a i ta što u sebi ne uključuje i ne podrazumijeva službenu certifikaciju. Dosadašnji model isigurnosnih certifikacija pružaju tek minimalna jamstva da je objekt certifikacije zaista i siguran.
Naravno, primjena COBIT-a je veći zalogaj koji ne vole svi žvakati. Pored toga, razmišljanje da su regulatorni zahtjevi, u ovom slučaju HNB-a, ovdje radi vas a ne radi regulatora, u današnjim je vremenima možda ipak preidealističko. No, trud bi vam se mogao isplatiti, a što se tiče ideala - treba iskoristiti svaku priliku za njihovo potvrđivanje.
18.7.08
Talačka kriza u računalnoj mreži
Vijest je objavljena i u našim novinama: Terry Childs, nezadovoljni mrežni administrator u gradskoj upravi San Francisca, odbio je nadležnima objaviti lozinke koje koristi za administraciju multimilijunske računalne mreže. Ova mreža poslužuje informatičku infrastrukturu gradske vlasti i njome se prenose ili su pohranjeni najkritičniji polsovni podaci.
Slučaj ima, po svemu sudeći, pozadinu u organizacijskim previranjima i nezadovoljstvu zaposlenika, no Childs je to demonstrirao na veoma drastičan način. Revizija, provedena u lipnju, utvrdila je nepravilnosti vezane za njegov rad što je kod njega izazavalo manijakalnu reakciju i motiviralo ga na izmjenu lozinki na svim mrežnim uređajima (switch i router uređaji) čime je onemogućio pristup ovim resursima za druge administratore. S obzirom da je odbio otkriti lozinke, završio je u pritvoru i očekuje suđenje. Za sada sve funkionira kako treba, no preostali administratori još nisu uspjeli vratiti kontrolu nad mrežnom infrastrukturom.
Ovaj slučaj, kao i mnogi drugi "insiderski" slučajevi, daleko je od tehničke sofisticiranosti i ne iskorištava "napredne" ranjivosti, no efekt može biti izuzetno poguban za gradsku vlast. Nalazimo i neke druge sličnosti s poznatim "insiderskim" slučajevima.
Prije svega, nedostajale su minimalne kontrolne mjere koje bi regulirale korištenje privilegiranih korisničkih prava. Vrlo je moguće da nisu dostupne ni arhivske kopije iz kojih bi se obnovio prethodni sadržaj. Na kraju, pojavili su se podaci o tome da je Childs prije dvadesetak godina bio osuđivan zbog krađe, a što je bilo poznato gradskoj vlasti prilikom zapošljavanja.
Ovaj slučaj ponovo naglašava korištenje administratorskih korisničkih prava i široke privilegije koje administratori mogu nekontrolirano koristiti. Koristim priliku kako bih vas uputio na nedavno istraživanje koje govori da svaki treći administrator koristi privilegirana prava kako bi njuškao po podacima koji pripadaju drugim zaposlenicima, bilo da sazna privatne ili poslovno-povjerljive podatke.
Iako će se Childs, kako izgleda, teško obraniti od optužbi, slučaj jasno pokazuje i na odgovornost managementa. Naime, postoje brojne obrambene mjere - od onih proceduralnih pa do sofisticiranih tehničkih, kojima se informatička infrastruktura brani od ovakvih napada. Izgleda da ni jedna od njih nije primjenjivana.
Slučaj ima, po svemu sudeći, pozadinu u organizacijskim previranjima i nezadovoljstvu zaposlenika, no Childs je to demonstrirao na veoma drastičan način. Revizija, provedena u lipnju, utvrdila je nepravilnosti vezane za njegov rad što je kod njega izazavalo manijakalnu reakciju i motiviralo ga na izmjenu lozinki na svim mrežnim uređajima (switch i router uređaji) čime je onemogućio pristup ovim resursima za druge administratore. S obzirom da je odbio otkriti lozinke, završio je u pritvoru i očekuje suđenje. Za sada sve funkionira kako treba, no preostali administratori još nisu uspjeli vratiti kontrolu nad mrežnom infrastrukturom.
Ovaj slučaj, kao i mnogi drugi "insiderski" slučajevi, daleko je od tehničke sofisticiranosti i ne iskorištava "napredne" ranjivosti, no efekt može biti izuzetno poguban za gradsku vlast. Nalazimo i neke druge sličnosti s poznatim "insiderskim" slučajevima.
Prije svega, nedostajale su minimalne kontrolne mjere koje bi regulirale korištenje privilegiranih korisničkih prava. Vrlo je moguće da nisu dostupne ni arhivske kopije iz kojih bi se obnovio prethodni sadržaj. Na kraju, pojavili su se podaci o tome da je Childs prije dvadesetak godina bio osuđivan zbog krađe, a što je bilo poznato gradskoj vlasti prilikom zapošljavanja.
Ovaj slučaj ponovo naglašava korištenje administratorskih korisničkih prava i široke privilegije koje administratori mogu nekontrolirano koristiti. Koristim priliku kako bih vas uputio na nedavno istraživanje koje govori da svaki treći administrator koristi privilegirana prava kako bi njuškao po podacima koji pripadaju drugim zaposlenicima, bilo da sazna privatne ili poslovno-povjerljive podatke.
Iako će se Childs, kako izgleda, teško obraniti od optužbi, slučaj jasno pokazuje i na odgovornost managementa. Naime, postoje brojne obrambene mjere - od onih proceduralnih pa do sofisticiranih tehničkih, kojima se informatička infrastruktura brani od ovakvih napada. Izgleda da ni jedna od njih nije primjenjivana.
30.6.08
Krađa identiteta na vratima
"Krađa identiteta" nas obično asocira na nepouzdanost Interneta, neopreznost u otvaranju i odgovaranju na mail poruke i potencijalne probleme s kreditnim karticama. Ako ste primarno okrenuti Internet zajednici možda ne znate da je "krađa identiteta" davno definiran scenarij prijevare, utemeljen u netehnološkom kontekstu. Zaparavo, i danas je veoma čest. Naše novine redovito donose primjere krađe identiteta koje su zasnovane na takvim klasičnim scenarijima. Unatrag nekoliko mjeseci, Jutarnji list je pisao o više takvih primjera. Krajem svibnja opisan je slučaj krađe podataka o identitetu invalida domovinskog rata kredita, nakon čega su neovlašteno podignuti krediti Splitu i okolici. Mjesec dana kasnije, opisan je slučaj hrvatskog državljanina koji živi u SAD-u, a postao je žrtva prijevare, te zamalo ostao bez kuće na Krku (netko je, na temelju ukradinih podataka o njegovom identitetu, sastavio kupoprodajni ugovor). Kakve veze imaju spomenuti primjeri s temom ovih stranica?
Nesumnjivo, radi se o klasičnom kriminalu koji pripada crnoj kronici. No, u njima možemo prepoznati određene veze s informacijskom sigurnošću. Povezanost klasične krađe identiteta s informatikom dodatno će argumentirati i prošlogodišnji primjer prijevare u osječkoj podružnici RBA.
Naime, da bi krađa identiteta bila uspješna, napadač mora na što je moguće bolji način utjeloviti identitet žrtve. Nasuprot pred-digititalnom razdoblju kada su podaci bili reducirani teško dostupni i ograničeni, danas se takvi podaci lakše pronalaze. Ponekad samo u poslovnom okruženju s ograničenim pristupom, no veoma često u javno dostupnim izvorima i uz suglasnost potencijalnih žrtava (Google može puno toga otkriti, no tu su i sve brojni oblici "socijalnih" sadržaja).
Stoga nas ne treba čuditi ako ovih primjera bude sve više. Možda smo premala zajednica da bi masovna krađa identiteta zloupotrebom elektroničke pošte ("phishing") bila ekonomična za napadače, no klasične prijevare i usmjerena krađa identiteta nailazi na plodno tlo (osobni identifikacijski broj će dodatno olakšati pomoć napadačima). Procjena informacijskih rizika u poslovnim sustavima, a naročito u procesima državne uprave mora ozbiljno uzeti u obzir ove prijetnje, te na vrijeme izabrati odgovarajuće zaštitne mjere. Procjenjujem da neće uvijek ići lako, s obzirom da je strategija obrane uglavnom usmjerena prema informatičkoj infrastrukturi, a veoma rijetko prema podacima (što je u slučaju krađe identiteta neophodno)
Druga poveznica s ovim stranicama leži u činjenici da je u svim citiranim slučajevima došlo do propusta u provjeri i verifikaciji identiteta žrtava. U ovim primjerima to, naravno, nema veze s informacijskim tehnologijama: isprave su krivotvorene na klasičan način, bilježnici su površno provjeravali ugovore, dolazilo je do propusta sudskih službenika - pretpostavljam da će istražna tijela imati dovoljno posla. No, iz ovih slučajeva pouku treba izvući državna uprava: jedna od funkcija tijela u pravnoj državi je i pružanje servisa kroz koji se potvrđuje vjerodostojnost transkacija, podataka o predmetima ovih transkacija, a naročito identitet osoba koje sudjeluju u transkacijama. Zamahom digitalne državne uprave, servisi potvrde vjerodostojnosti postati će kritični. Dizajn i implementacija servisa mora biti izuzetna, a operativna provedba treba onemogućiti sve zloupotrebe. Pored toga, već sada bi trebalo dati jasne odgovore tko će biti odgovoran za slične slučajeve u sustavu digitalne državne uprave, a naročio tko će pokrivati financijske štete u ovim slučajevima?
Nesumnjivo, radi se o klasičnom kriminalu koji pripada crnoj kronici. No, u njima možemo prepoznati određene veze s informacijskom sigurnošću. Povezanost klasične krađe identiteta s informatikom dodatno će argumentirati i prošlogodišnji primjer prijevare u osječkoj podružnici RBA.
Naime, da bi krađa identiteta bila uspješna, napadač mora na što je moguće bolji način utjeloviti identitet žrtve. Nasuprot pred-digititalnom razdoblju kada su podaci bili reducirani teško dostupni i ograničeni, danas se takvi podaci lakše pronalaze. Ponekad samo u poslovnom okruženju s ograničenim pristupom, no veoma često u javno dostupnim izvorima i uz suglasnost potencijalnih žrtava (Google može puno toga otkriti, no tu su i sve brojni oblici "socijalnih" sadržaja).
Stoga nas ne treba čuditi ako ovih primjera bude sve više. Možda smo premala zajednica da bi masovna krađa identiteta zloupotrebom elektroničke pošte ("phishing") bila ekonomična za napadače, no klasične prijevare i usmjerena krađa identiteta nailazi na plodno tlo (osobni identifikacijski broj će dodatno olakšati pomoć napadačima). Procjena informacijskih rizika u poslovnim sustavima, a naročito u procesima državne uprave mora ozbiljno uzeti u obzir ove prijetnje, te na vrijeme izabrati odgovarajuće zaštitne mjere. Procjenjujem da neće uvijek ići lako, s obzirom da je strategija obrane uglavnom usmjerena prema informatičkoj infrastrukturi, a veoma rijetko prema podacima (što je u slučaju krađe identiteta neophodno)
Druga poveznica s ovim stranicama leži u činjenici da je u svim citiranim slučajevima došlo do propusta u provjeri i verifikaciji identiteta žrtava. U ovim primjerima to, naravno, nema veze s informacijskim tehnologijama: isprave su krivotvorene na klasičan način, bilježnici su površno provjeravali ugovore, dolazilo je do propusta sudskih službenika - pretpostavljam da će istražna tijela imati dovoljno posla. No, iz ovih slučajeva pouku treba izvući državna uprava: jedna od funkcija tijela u pravnoj državi je i pružanje servisa kroz koji se potvrđuje vjerodostojnost transkacija, podataka o predmetima ovih transkacija, a naročito identitet osoba koje sudjeluju u transkacijama. Zamahom digitalne državne uprave, servisi potvrde vjerodostojnosti postati će kritični. Dizajn i implementacija servisa mora biti izuzetna, a operativna provedba treba onemogućiti sve zloupotrebe. Pored toga, već sada bi trebalo dati jasne odgovore tko će biti odgovoran za slične slučajeve u sustavu digitalne državne uprave, a naročio tko će pokrivati financijske štete u ovim slučajevima?
24.6.08
Verizon: Izvještaj o sigurnosnim incidentima
Poslovne obveze i Euro 2008 bile su razlog što su se prorijedili napisi na ovim stranicama, no, obećajem, vraćam se uobičajenom tempu.
Nedavno se pojavio jedan veoma zanimljiv tekst tvrtke Verizon - značajnog globalnog pružatelja telekomunikacijskih usluga, o računalnim sigurnosnim incidentima. Naime, prošlogodišnjom akvizicijom tvrtke Cybetrust, Verizon je postao i jedan od vodećih pružatelja sigurnosnih usluga. Njihovi su timovi vodili forenzičku istragu u više od 500 slučajeva tijekom protekle četiri godine. Dokument na koji vas upućujem donosi sintetičku analizu ovih slučajeva i na tridesetak stranica pruža zanimljive zaključke.
Jedan od osnovnih zaključaka izazvao je ponajviše komentara u web prostoru. Verizon iznosi podatak da je 73% incidenata izazvano vanjskim prijetnjama, 18% slučajeva je rezultat unutarnjih prijetnji a 39% slučajeva je rezultat djelovanja poslovnih partnera (neka vas ne zbuni činjenica da zbroj ovih znamenaka prelazi 100%, Verizon tvrdi da je veliki broj incidenata uzrokovan djelovanjem iz više od jednog izvora). Neki autori u web i blog prostoru su iskoristili ovaj podatak kao argument koji bi trebao potvrditi kako je strah od insiderskih prijetnji pretjeran. Naravno, vanjske prijetnje su postale sve prisutnije i sofisticiranije, a zbog sve neposrednije povezanosti i, praktički, neprekinutog korištenja Interneta servisa, učestalost vanjskih prijetnji, bez sumnje, dominira. No, ne bi trebalo izvlačiti pogrešne zaključke o prestanku insiderskih prijetnji i to iz nekoliko razloga.
Kategorizacija izvora prijetnji kako je definira Verizon pomalo je dvojbena. Naime, u stručnoj javnosti je prihvaćena definicija insidera kao svih osoba koji pristupaju informacijskom sustavu neke organizacije s određenom i formalno dodjeljenom razinom privilegija. Formalni odnos (zaposlenje) ne bi trebao biti kriterij, pa tako pojam insideri obuhvaća i privremene zaposlenike, konzultante, servisno osoblje pa i vanjske partnere. Prema tome, prije spomenuti postoci poprimaju druge omjere.
No, treba reći da ni Verizon ne ohrabruje zaključke o manjoj prisutnosti insiderskih prijetnji. U dokumentu je istaknuto da su njihovi timovi nastupali kod složenih slučajeva, dok se neki jednostavniji slučajevi - krađa laptopa, fizički incidenti - rješavaju izvan forenzičkih aktivnosti. Tome, svakako treba pribrojiti sve druge jednostavne, a svakako učestale, insiderske incidenate koji nisu ušli u ovu statistiku.
Sama analiza dodatno potvrđuje realne rizike od insiderskih prijetnji. Jedan od nalaza govori o prosječnom kapacitetu ugroženih podataka (specificiran je kao broj kompromitiranih slogova) ovisno o izvoru prijetnje. Eksterne prijetnje su rezultirale s prosječno 30.000 kompormitiranih slogova, prijetnje partnera s prosječno 187.500 ugroženih slogova, a prijetnje "insidera" s prosječno 375.000 ugroženih slogova.
Umjesto zaključka o manjoj kritičnosti insiderskih prijetnji, pravi bi zaključak trebao sugerirati potrebu za cjelovitim pogledom na prijetnje, ranjivosti i potencijalne gubitke (dakle, za "risk managementom"). Pri tome, treba odbaciti i generaliziranja koja idu u drugu stranu, te prenaglašavaju insiderske prijetnje bez opipljivih argumenata.
Preostali dio teksta jako je zanimljiv. Umjesto prepričavanja, istaknuti ću samo nekoliko zanimljivih zaključaka:
Nedavno se pojavio jedan veoma zanimljiv tekst tvrtke Verizon - značajnog globalnog pružatelja telekomunikacijskih usluga, o računalnim sigurnosnim incidentima. Naime, prošlogodišnjom akvizicijom tvrtke Cybetrust, Verizon je postao i jedan od vodećih pružatelja sigurnosnih usluga. Njihovi su timovi vodili forenzičku istragu u više od 500 slučajeva tijekom protekle četiri godine. Dokument na koji vas upućujem donosi sintetičku analizu ovih slučajeva i na tridesetak stranica pruža zanimljive zaključke.
Jedan od osnovnih zaključaka izazvao je ponajviše komentara u web prostoru. Verizon iznosi podatak da je 73% incidenata izazvano vanjskim prijetnjama, 18% slučajeva je rezultat unutarnjih prijetnji a 39% slučajeva je rezultat djelovanja poslovnih partnera (neka vas ne zbuni činjenica da zbroj ovih znamenaka prelazi 100%, Verizon tvrdi da je veliki broj incidenata uzrokovan djelovanjem iz više od jednog izvora). Neki autori u web i blog prostoru su iskoristili ovaj podatak kao argument koji bi trebao potvrditi kako je strah od insiderskih prijetnji pretjeran. Naravno, vanjske prijetnje su postale sve prisutnije i sofisticiranije, a zbog sve neposrednije povezanosti i, praktički, neprekinutog korištenja Interneta servisa, učestalost vanjskih prijetnji, bez sumnje, dominira. No, ne bi trebalo izvlačiti pogrešne zaključke o prestanku insiderskih prijetnji i to iz nekoliko razloga.
Kategorizacija izvora prijetnji kako je definira Verizon pomalo je dvojbena. Naime, u stručnoj javnosti je prihvaćena definicija insidera kao svih osoba koji pristupaju informacijskom sustavu neke organizacije s određenom i formalno dodjeljenom razinom privilegija. Formalni odnos (zaposlenje) ne bi trebao biti kriterij, pa tako pojam insideri obuhvaća i privremene zaposlenike, konzultante, servisno osoblje pa i vanjske partnere. Prema tome, prije spomenuti postoci poprimaju druge omjere.
No, treba reći da ni Verizon ne ohrabruje zaključke o manjoj prisutnosti insiderskih prijetnji. U dokumentu je istaknuto da su njihovi timovi nastupali kod složenih slučajeva, dok se neki jednostavniji slučajevi - krađa laptopa, fizički incidenti - rješavaju izvan forenzičkih aktivnosti. Tome, svakako treba pribrojiti sve druge jednostavne, a svakako učestale, insiderske incidenate koji nisu ušli u ovu statistiku.
Sama analiza dodatno potvrđuje realne rizike od insiderskih prijetnji. Jedan od nalaza govori o prosječnom kapacitetu ugroženih podataka (specificiran je kao broj kompromitiranih slogova) ovisno o izvoru prijetnje. Eksterne prijetnje su rezultirale s prosječno 30.000 kompormitiranih slogova, prijetnje partnera s prosječno 187.500 ugroženih slogova, a prijetnje "insidera" s prosječno 375.000 ugroženih slogova.
Umjesto zaključka o manjoj kritičnosti insiderskih prijetnji, pravi bi zaključak trebao sugerirati potrebu za cjelovitim pogledom na prijetnje, ranjivosti i potencijalne gubitke (dakle, za "risk managementom"). Pri tome, treba odbaciti i generaliziranja koja idu u drugu stranu, te prenaglašavaju insiderske prijetnje bez opipljivih argumenata.
Preostali dio teksta jako je zanimljiv. Umjesto prepričavanja, istaknuti ću samo nekoliko zanimljivih zaključaka:
- Glavni vektor djelovanja prijetnji su greške žrtve - pri čemu su propusti u definciji i konfiguraciju prisutni u 79% grešaka. Drugi i tek nešto niže plasirani vektor je hackerska aktivnost napadača (39% slučajeva se odnosi na hackiranje aplikacija, a preostali slučajevi su distribuirani na razne oblike ranjivosti operativnog sustava)
- Čak 52% slučajeva zahtjevalo je nisku razinu ekspertize napadača, a visoka ekspertiza je primjenjena samo u 17% slučajeva. Ovaj podatak svakako treba otvoriti oči svima.
- Samo 15% napada je bilo direktno fokusirano i usmjereno na izabrane žrtve, preostali napadi su bili ipak rezultat slučaja te direktne ili indirektne prigode koja se ukazala napadaču
- Meni je posebno zanimljiv podataka da je čak 70% incidenata otkriveno nakon dojave treće strane. Interna ili eksterna revizija utvrdila je 5% slučajeva, a praćenje i analiza logova utvrdila je 4% slučajeva.
Pretplati se na:
Postovi (Atom)