Am vorbit în post-urile anterioare atât despre atacurile care vin din interiorul companiei, cât și despre cum asiguri securitatea operatorilor mobili – atât securitatea fizică a sistemelor, cât și securitatea accesului la Internet. Este însă momentul să discutăm despre atacurile care sunt demarate din afara sferei tale de influență, dar vin… tot din interior!
Este vorba, desigur, despre operatorii mobili care, deși sunt fizic plasați în afara companiei, au acces la resurse interne – fie printr-un VPN, fie accesând diverse portaluri web ori sistemul de email.
Voi exclude de la început cazul în care persoana care deține un astfel de echipament mobil (laptop, smarphone) are intenții malițioase și mă voi referi doar la cazurile cele mai comune: atacurile neintenționate.
Iatâ doar câteva moduri prin care compania ta poate fi expusă la atacuri “externe” dar care par a veni din interior:
- angajatul tău are un VPN care este pornit tot timpul (de obicei, automat, pentru că IT-ului îi e mai simplu așa), și pierde sau îi este furat sistemul.
- același angajat dă click pe orice, pentru că a descărcat ultimul joc de pe DC++, și se infectează cu un troian.
- angajatul tău are un copil care se crede “hacker”.
Este de la sine înțeles că un sistem care a scăpat de sub controlul tău chiar și 5 minute nu mai poate fi de încredere, decât dacă utilizatorul are suficiente cunoștințe pentru a te asigura că situațiile de mai sus nu pot apărea. Și nici măcar atunci! Ce este de făcut însă, dacă ai nevoie să oferi utilizatorilor externi acces la diverse resurse din interiorul companiei?
Limitează numărul de sisteme mobile. Chiar are toată lumea nevoie de laptop și smartphone pe care să le ia acasă și în concediu? Desigur, managerii au de multe ori nevoie urgentă de acces, dar restul angajaților, nu. Mulți dintre ei își vor lăsa cu plăcere telefoanele de servici și laptop-urile la birou – în definitiv, nu au nici un motiv să lucreze ore suplimentare, iar dacă există o urgență, oricum cunoști numerele lor de telefon personale.
Limitează numărul de resurse disponibile de pe sistemele mobile. “VPN everything” este soluția cea mai simplă. Și cea mai proastă! Chiar are toată lumea nevoie să acceseze orice sistem din companie, de oriunde din lume? Este mult mai sigur să oferi acces doar la sistemul de email, iar restul informațiilor să poată fi obținute telefonic. “Ovidiu, trimite-mi te rog fișierul X” nu este o gaură de securitate, dar zeci de sisteme care au acces nelimitat în toată rețeaua, în mod cert îți cresc riscurile.
Limitează accesul la anumite funcționalități, din afara rețelei interne. Dacă chiar trebuie să permiți accesul din exterior, poate poți să restrângi numărul de funcționalități expuse. Exemple sunt numeroase: sistemul de email să afișeze doar mailurile noi, nu toată arhiva. Să nu permită trimiterea decât către adrese interne, nu și către clienți. ERP-ul să ofere doar funcționalități de raportare, nu de manipulare “serioasă” a datelor.
Adaugă bariere. Odată intrat în rețea, utilizatorul ar trebui să aibă câțiva pași suplimentari pentru a obține acces la diverse sisteme – de exemplu să se autentifice într-un anumit fel (de exemplu o pagină web) pentru a căpăta acces la file server. Autentificarea să funcționeze un număr fix de minute. Scopul este de a permite accesul doar pe o cale predefinită și greu de intuit.
Urmărește comportamentul utilizatorului. Urmărește procesul pe care l-ai implementat mai sus și revocă imediat accesul dacă utilzatorul nu urmează corect pașii. De exemplu, orice încercare de a accesa file serverul fără autentificarea suplimentară va fi considerată un atac. Utilizarea unui serviciu mai mult de X minute fără re-autentificare va fi tot un atac. Raționamentul e simplu: un atacator nu va ști de aceste bariere suplimentare și va face o greșeală: fie va accesa direct file server-ul, fie (în cazul in care “capturează” o sesiune deja autentificată) nu va ști de timpul de expirare și îl va depăși.
Educă utilizatorii. Nu uita că singura persoană care poate influența, de fapt, atacurile de genul acesta, este chiar angajatul tău. El poate fi un aliat de încredere sau o unealtă. Investește timp pentru a explica utilizatorilor exact cum funcționează sistemul și care sunt motivele pentru care ai ales o anumită soluție. Educă-i în legătură cu bunele practici – pentru că un singur utilizator poate să-ți compromită sistemul dacă are pe desktop un fișier “cum-mă-loghez-în-rețeaua-firmei-și-modific-salariile.doc” sau parolele salvate în browser (și ai să fii uimit să afli cât de mulți fac exact asta). Repet, educă utilizatorii!
Tu cum te protejezi împotriva atacurilor venite de pe sistemele din afara companiei? Te regăsești în exemplele de mai sus? Scrie un comentariu mai jos!
Iar dacă ai nevoie de ajutor pentru a alcătui un plan prin care să te protejezi împotriva pericolelor ce vin de pe sistemele mobile, contactează-ne!
Image credit: mightyohm.
Related posts:
- Operatorii mobili și securitatea fizică a sistemelor Fie că este vorba de reprezentați de vânzări, consultanți, implementatori...
- Operatorii mobili și securitatea accesului la Internet În articolul anterior am abordat partea mai simplă a securității...
[...] Am publicat pe blog-ul NOVIT un post nou, în care discut despre atacurile care provin de pe sistemele remote, dar care au acces la resurse din interiorul rețelei. Citește despre operatorii mobili și cum te protejezi… de ei. [...]