Mogućih ranjivosti je mnogo, a vrste malvera su brojne i raznolike. Ipak, pri izvršavanju svih ovih malicioznih kodova jedna stvar je zajednička – administratorska prava. Samo sa administratorskim pravima malver može da izvrši sve za šta je kreiran i ostvari maksimalan učinak u zaraženom sistemu. Tako slaba karika u jednom sistemu postaju upravo ljudi koji su zaduženi za njegovo održavanje. Uz to, u velikim sistemima je veoma teško pobrojati baš sve uredjaje i naloge koji imaju administratorska prava. Kompanija Cyberark fokusira se upravo na ovaj problem i pruža raznovrsna rešenja namenjena bezbednosti i upravljanju privilegovanim nalozima.

Enterprise Password Vault

Iako različiti standardi koje kompanije primenjuju, npr. ISO, predvidjaju procedure za upravljanje lozinkama, u praksi je dosta teško ispoštovati sve propise na siguran način. Tako se, na primer, zaposlenima dodeljuju administratorska prava radi izvršavanja odredjenog zadatka, ali im se ova prava kasnije, zbog previda ili nemara, često ne oduzimaju. Rotacija lozinki, takodje, može predstavljati veliki problem – često se dešava da one posle nekog vremena postanu slabe ili da se ista lozinka koristi za više sistema. Da i ne pominjemo koliko je vremena potrebno administratoru u ovom slučaju da izvrši potrebne promene.

Rešenje Enterprise Password Vault omogućava, pre svega, detekciju svih privilegovanih naloga u sistemu. Tako se dolazi do informacija o tome postoje li u sistemu nalozi koje je trebalo ugasiti ili im smanjiti privilegije. Jednom kada se definišu uredjaji koji su pod kontrolom ovog rešenja, administrator može da odredi učestalost rotacije lozinki, koja će se odvijati automatski, kao i kompleksnost koju ona mora da zadovoljava.

Šta ovo znači za administratora infrastrukture? Da bi se ulogovao na željeni sistem, administrator treba da napravi samo još jedan dodatni korak – da zatraži informaciju o aktuelnoj lozinci od Password Vault-a. Ovim se značajno unapredjuje sigurnost, pošto administrator kredencijale za pristup ne čuva na svom računaru. Takođe, ostaje trag u sistemu o tome ko je i kada tražio izvesnu lozinku. Ovo je posebno značajno u sistemima u kojima više administratora koristi kredencijale „admin“, pa je sam audit ko je izvršio odredjenu izmenu u sistemu otežan.

Privileged Session Manager

Kako pomoći kompanijama koje koriste usluge sistem-inženjera iz drugih kompanija, a želele bi da imaju veću kontrolu nad izvršenim izmenama Ili onima koji se plaše da bi potencijalni malver sa administratorovog računara, ako se on zarazi, mogao da predje na čitavu serversku infrastrukturu? Remote desktop, koji je u masovnoj upotrebi, postaje sve popularniji izbor napadača za distribuciju malvera duž sistema.

Privileged Session manager (PSM) omogućava monitoring administratorove sesije u realnom vremenu ili njeno snimanje. Ovo rešenje predstavlja tzv. jump server, koji služi administratoru da preko njega inicira sesiju prema odredjenom serveru. Predefinisane su najrazličitije konzole, tako da administrator može sa PSM-a da pristupi, na primer, VMware infrastrukturi preko vSphere konzole ili Check Point-u preko smart konzole. Uz ovakav pristup računar administratora, u slučaju da je zaražen, neće biti u mogućnosti da prenese malver i na uredjaj koji održava. Takodje, olakšan je i detaljan auditing, pošto se na jednom mestu prikupljaju sve informacije o izmenama na infrastrukturi. Još jedna od karakteristika PSM-a koje treba istaći jeste da se, u slučaju sumnje da je izvesni nalog kompromitovan, aktivna sesija za taj nalog može prekinuti.

Application Identity Manager

Privilegovani nalozi nisu rezervisani samo za korisnike. Zbog potrebe za integracijom sa nekim drugim rešenjima, poput domena ili baza podataka, mnoge aplikacije koriste kredencijale sa odredjenim pravima. Ako dodje do ovih kredencijala, napadač može da ugrozi sistem jednako kao i sa kredencijalima koje koristi administrator.

Application Identity manager detektuje sve kredencijale ugrađene u kod aplikacije i pruža mogućnost da se oni zamene kredencijalima koje nadalje on sam može da rotira. Pored toga, vrši se provera integriteta aplikacije na osnovu njenih karakteristika, da bi se pristup ograničio samo na autorizovane aplikacije.

Privileged Threat Analytics

Jedna od karakteristika malvera je da pokušava da što duže ostane nedetektovan, da bi izvukao željene informacije ili stvorio što više prilika da se proširi na ostale sisteme. Za detekciju kvalitetno napisanog malvera potrebno je u proseku oko 200 dana.

Privileged Threat Analytics (PTA) rešenje proaktivno traži indikacije o kompromitovanim nalozima u sistemu. Za njihovu detekciju koriste se i deterministički i behavior-based pristupi, što omogućava rano otkrivanje neregularnog korišćenja naloga. U tom slučaju obaveštenje će odmah biti poslato administratorima, a PTA, integrisan sa drugim Cyberark rešenjima, može automatski da onemogući napadača. Tako se, na primer, u slučaju integracije sa Enterprise Password Vault-om može odmah izvršiti promena lozinke, a sa Privileged Session managerom sesija se može prekinuti.

Pouzdana zaštita uz Cyberark

Sa povećanjem obima IT infrastrukture jedne kompanije, sa porastom broja fizičkih i virtuelnih mašina, aplikacija, administratora, protoka itd. raste i komplikuje se i svakodnevna administracija. Količina logova koje različiti bezbednosni uredjaji generišu prevelika je da bi se manuelno i detaljno prolazilo kroz njih, a svaki propust u njihovoj konfiguraciji ili monitoringu se skupo plaća.

Sa Cyberark rešenjima se veoma jednostavno automatizuje i štiti čitava jedna grana infrastrukture, koja je ključna da bi se ograničila propagacija i izvršavanje malvera. Tehnologija koja stoji iza svih Cyberark rešenja, Digital Vault, omogućila je centralizovanje sistema za upravljanje kredencijalima, koji sve informacije čuva u enkriptovanom obliku. Ovim informacijama mogu pristupati samo autorizovani korisnici, a bilo kakva modifikacija ili brisanje podataka nisu mogući. Dakle, tehnologija postoji, a na kompanijama ostaje
da procene rizik koji je za njih prihvatljiv, odnosno kolika je cena štete koja može nastati eksploatacijom kredencijala.

Za više informacija o rešenju COMING tim vam stoji na raspolaganju: office@coming.rs.

Jasna Jović

The post Cyberark – pouzdana zaštita appeared first on Business&IT.

U većini kompanija postoji svest o rizicima koji dolaze spolja, bilo da je to konkurencija koja želi da se domogne osetljivih podataka, razvojnih projekata i finansijskih zapisa, bilo da su to zlonamerni upadi, virusi, malver, spajver, fišing prevare. Kompanije se godinama bore sa spoljnim pretnjama i vremenom je razvijen veliki broj alata koji može da pomogne u zaštiti sistema. Medjutim, manji broj kompanija razmišlja o unutrašnjim rizicima i svojim zaposlenima kao izvoru pretnje po sistem i poslovanje. Ovo je posebno izraženo u kompanijama sa timovima stalno zaposlenih i malom fluktuacijom radne snage, kao i u kompanijama sa velikim brojem zaposlenih, gde nije jednostavno nadzirati ponašanje svakog pojedinca. Unutrašnji rizici predstavljaju pretnju po poslovanje kompanije, počevši od bezbednosnih rizika pa do radne efikasnosti pojedinca.

Američka kompanija Teramind nudi jednostavno rešenje za sve ove rizike. Kako je ovo rešenje realizovano? Rešenje se bazira na monitoringu radnih stanica i virtuelnih mašina koje koriste zaposleni, kao i preduzimanju propisanih akcija u slučaju kršenja kompanijske bezbednosne politike.

Teramind sistem za monitoring

Proces započinje podizanjem Linux based appliance servera u postojećoj Vmware, Hyper-V, Xen infrastrukturi ili korišćenjem cloud resursa. Jedan server može opsluživati do 2.000 konkurentnih sesija, a u slučaju povećane potrebe mogu se podići novi serveri koji će raditi paralelno. Na ovaj način dobija se web based konzola sa koje se upravlja celim sistemom za monitoring.

Drugi korak je instalacija malog agenta na korisničkim mašinama. Ovaj proces može se pokrenuti u silent modu na velikom broju stanica, tako da korisnici ne osete prekid u radu, kao i kroz grupnu polisu i .msi fajl. Treba napomenuti da agent zauzima malo resursa (1-3% CPU i 30 MB RAM memorije), što ga čini pogodnim i za starije računare. Posle ovog koraka klijent i server počinju komunikaciju i praćenje aktivnosti korisnika.

Privatnost korisnika

Odmah na početku postavlja se pitanje: šta se dešava sa privatnošću korisnika kod kojeg je instaliran Teramind softver? Ovoj temi su inženjeri iz Teramind-a obratili posebnu pažnju, pošto se zakonske regulative razlikuju od zemlje do zemlje. U samom softveru postoje opcije koje se mogu isključiti i podesiti tako da se ovi kriterijumi ispune, a u slučaju da je potrebno trajno isključiti neke opcije može se zatražiti custom licenca koja ispunjava sve zahteve. Kao primer može poslužiti situacija u kojoj je praćenje rada dozvoljeno samo u radno vreme korisnika, ili npr. zabrana praćenja privatnih podataka (Skype chat, brojevi platnih kartica itd.).

Sistem za kontrolu radi tako što snima radne površine i koristi screen mining tehnologiju, koja omogućava izvlačenje podataka u realnom vremenu i njihovo poredjenje sa definisanim pravilima. U slučaju da je prekršeno neko od postavljenih pravila, postoje mehanizmi koji se pokreću kako bi se sprečila štetna akcija.

Postoji više načina na koje sistem reaguje u ovakvoj situaciji – od upozorenja koje se pojavljuje na ekranu korisnika u vidu pop-up poruke, preko slanja obaveštenja administratoru, koji može preuzeti kontrolu nad radnom stanicom, do isključivanja aplikacije koja je pokrenuta. Takodje, sa web konzole je moguće preuzeti video u AVI formatu i pregledati snimak nepoželjne aktivnosti koju je korisnik izvršio. Ovakav sistem se oslanja na metod sličan OCR-u, koji prepoznaje tekst sa slike, samo što se ovde radi o video-formatu. Posebno je zanimljiva primena nadzora kod vendora i korisnika koji imaju pristup odredjenim resursima i provera da li se pridržavaju zadatih privilegija.

Sistem pretrage i praćenja produktivnosti

Sistem pretrage je nešto na šta su inženjeri iz Teramind-a posebno ponosni i što se pokazalo izuzetno korisnim u velikim sistemima. Naime, moguće je u vrlo kratkom roku pretražiti čitavu istoriju i proveriti da li je neko pristupao odredjenim fajlovima i resursima. Pretraga se vrši zadavanjem reči, fraze ili dela teksta koje treba proveriti, a sistem vrši pretragu po video-zapisima korisnika. Ako nije poznata tačna konstrukcija reči, moguće je koristiti i wildcard karaktere. Ova funkcija može biti korisna u slučaju da se naknadno ispostavi da su „procureli“ neki osetljivi dokumenti, koji nisu bili obuhvaćeni prvobitnim pravilima i alarmima. To uključuje i slanje attachment-a sa privatnih e-mail naloga, korespondenciju sa konkurentskim firmama i dr. Pošto sistem vrši kontrolu pokrenutih aplikacija, moguće je kreirati izveštaje za praćenje produktivnosti, kao i ograničenja u korišćenju društvenih mreža.

Produktivnost se prati podešavanjem aplikacija i resursa koji se koriste u svakodnevnom radu. Na primer, za zaposlenog čije se radne aktivnosti baziraju na korišćenju Microsoft Office paketa sistem prati aktivnosti unutar aplikacija (Word, Excel, Outlook), ne proveravajući samo da li je aplikacija otvorena, već prateći i pomeranje kursora miša i aktivnost tastature. Algoritam kasnije poredi dobijene rezultate sa odredjenim predefinisanim paternima i daje rezultat produktivnosti zaposlenog, izražen u procentima.

Kao što je napomenuto, podešavanja se mogu iskoristiti za ograničavanje pristupa društvenim mrežama, npr. na pola sata dnevno. Sa druge strane, marketinškom timu je primarni zadatak praćenje saopštenja i objavljivanje akcija na društvenim mrežama, tako da su za njih definisana drugačija pravila i njihov procenat efikasnosti zavisi upravo od tih aktivnosti. Zaposlenima koji nemaju potrebne privilegije moguće je zabraniti pokretanje definisanih aplikacija, pristup mrežnim resursima, štampačima i kopiranje podataka na eksterni USB sa odredjenih lokacija (npr. \companyprivate na USB).

U slučaju da je radna stanica prenosivi uredjaj, koji ne mora stalno da bude umrežen ili ga je zaposleni odneo kući, sva pravila se i dalje primenjuju, a video se snima na lokalni disk. U trenutku kada se uređaj vrati na mrežu koja ima pristup Teramind serveru, podaci se uploaduju na sistem i brišu sa lokalnog diska. Ovaj proces može izgledati kao nešto što opterećuje lokalni disk ili mrežu, medjutim nije tako. mrežni protok koji agent ostvaruje sa serverom je oko 10 kb/s i povećava se samo ako korisnik ima više monitora. U praksi je potvrdjeno da 160 sati video-materijala, što je prosečno ukupno radno vreme tokom jednog meseca, zauzima oko 1 gB prostora.

Ulaganje u sigurnost informacionog sistema i njegovu zaštitu za današnje kompanije predstavlja kamen temeljac na kome se poslovanje zasniva. Cilj je povećanje bezbednosti podataka i ograničavanje sigurnosnih rizika na minimum. Sa finansijske strane, prevencija je nemerljivo isplativija u odnosu na nepopravljivu štetu koju sigurnosni propusti mogu naneti poslovanju.

Pitanje narušavanja privatnosti uvek će se postavljati i kompanije će morati da balansiraju izmedju privatnosti i sigurnosti, ali u većim sistemima, sa toliko različitih sigurnosnih aspekata koje treba pokriti, potreba za centralizovanim sistemom za monitoring jednostavno se nameće. Teramind donosi rešenje za te probleme, a svojom prilagodljivošću ostavlja kompanijama da tu delikatnu granicu izmedju sigurnosti i privatnosti podese baš onako kako njima odgovara i kako zakon nalaže.

Za više informacija o rešenju stojimo vam na raspolaganju: office@coming.rs.

Nebojša Lončarević

The post Teramind sistem za monitoring appeared first on Business&IT.