Latest Security News

האיום הפנימי - הגדרה ודרכים להתמודדות

הגדרה : עובד מועסק או מועסק לשעבר , שותף עסקי נוכחי או לשעבר שיש או שהיה לו גישה למערכות המידע של החברה ,וביצע בכוונת זדון שימוש לרעה,שיבוש,מחיקה וכו במידע .

ההגדרה הורחבה לאחרונה גם לשותפים עסקיים,ספקים וכו בשל הנטייה ההולכת וגוברת של הוצאת תהליכים ותמיכה במערכות המידע למיקור חוץ ( outsourcing ) , החל בחיבורים לצורך תמיכה במערכות מרכזיות כגוןWEB ,DATABASES,STORAGE וכלה בהוצאת קמפיינים , DATA MINING ומשימות אחרות לחברות צד שלישי וספקים.

ארגון CERT האמריאי ערך מחקר מקיף החל מ 1996 ועד היום וניתח קרוב ל 300 מקרים של התקפות ע"י גורמים המוגדרים פנימיים.

להלן חלק מהמסקנות שהגיעו אליהם:

ניתן לחלק את ההתקפות לשלוש קטגוריות מרכזיות:

  1. חבלה - במקרים אלו התוקף מעוניין לגרום נזק לארגון או לאדם בארגון, מחיקת מידע , הורדת מערכות ,והפרעה לאופרציה הנורמלית בארגון - מתוך 300 - כ 100 מוגדרות כנסיון חבלה.
  2. גנבת קניין רוחני- במקרים אלו התוקף גונב סודות חברה,תוכניות חברה,קוד פיתוח,תוכניות אסטרטגיות וכו . כ 40 מתוך ה 300 מוגדרים כגנבת קניין רוחני.
  3. גניבה או טיפול במידע לצורך רווח כספי - בקטגורה זו נכללים גניבת או שינוי פרטים אישיים , כרטיסי אשראי וכו לצורך מכירה של המידע בשלב מאוחר יותר , ברוב המקרים התוקף הפנימי מקבל תשלום ע"י גורם חיצוני לביצוע העברה. כ 106 מקרים הם מסוג זה .
  4. MISC - כ 46 מקרים בהן אין מספיק ראיות או מידע לשייך את ההתקפה לאחת מהקטגוריות.

כמובן שחלק מהמקרים מתפרסים על כמה קטגוריות ביחד.

50% מעובדים שביצעו עבירות מסוג זה החזיק במשרה טכנית בארגון.

נקודות חשובות באבטחת מידע שעלו מהמקרים .

  • ברמת ניהול הסיכונים - יש להרחיב את מעגל האבטחה שיכלול את כל קבלני המשנה,נותני התמיכה,וספקים חיצוניים בעלי גישה למידע אירגוני - הקשחת והגבלת הגישה למשאבים ע"י גורמים אילו,ניטור ומעקב ככל הניתן לפעולות הנעשות ע"י הגורמים החיצוניים בתוך הארגון וכן ניתוק מידי של הקבלן בתום העסקתו עשויים למנוע התקפות דרך גורמים אלו
  • need to know bases - ניתוח המקרים מעלה שברוב המקרים התוקף קיבל הרשאות גישה גבוהות בהרבה ממה שהיה צריך לעבודתו , באחד מהמקרים מצויין כי איש מכירות הצליח לגנוב קוד מקור של מוצר וזאת מכיוון שהיתה לו הרשאה לספריה שהיכילה קוד זה .הגבלת ההרשאות לצרכי עבודה היתה מונעת מקרה זה.
  • הפרדת רשויות - פיצול פעולות קריטיות לגורם מאשר וגורם מבצע - בחקירת המקרים התגלה כי למרות שהפרדה זו קיימת ,במקרים רבים אין אכיפה באמצעים טכניים וגם אם קיימת , היא לא מבוצעת נכון. ברוב במקרים הפרדות אלו קיימות בעיקר "על הנייר".
  • הפרדת ופיצול הרשאות בתוך קבוצת ה system administrators - מחקירת המקרים עלה שלא כל מנהלי הרשת צריכם גישה לניהול כל הרשת :) יש לנסות להפריד הרשאות גם בתוך הקבוצה הזאת דוגמא למיקרה שהובא היתה ,מנהל רשת זוטר שעמד לפני פיטורים אך עדיין היה בעל הרשאות ADMIN גורפות בארגון - דבר שאפשר לו לחבל בשרתים רבים וכן למחוק את הלוגים על פעילות זו ואף לכונונם שיצביעו על המנהל שלו כגורם האשם.
  • ניהול חשבונות והרשאות - המחקר מעלה שרוב פעולות החבלה התבצעו לאחר הפיטורין אך בעזרת התחברות לרשת שהוכנה מראש ע"י העובד . בדרך כלל השימוש היה בחשבונות משותפים (משתמש אפליקטיבי)test,traning,sysadmin,dba וכו ,חשבונות שקשה מאד לזהות מי בעצם המשתמש האמיתי ה"מסתתר " מאחוריהם. במיקרים רבים מנהלי רשת יצרו חשבונות שנראו לצרכים לגיטימיים אך למעשה שימשו אותם להתחברות מרחוק לארגון לאחר הפיטורין.
  • סיסמאות - מקרים רבים הראו כי משתמשים העבירו בינהם ססמאות בכדי לחסוך זמן ולבטל את הצורך בגורם אחד מאשר ואחד מבצע .
  • סיסמאות חלשות - במקרים רבים מנהלי רשת וגורמים אחרים הריצו PASSWORD CRACKERS ופרצו לחשבונות ולקבצים מוגני סיסמה לצורך גניבת הרשומות.חלק מהחשבונות שנפרצו שימשו להם לאחר הפיטורים דרך להתחבר לארגון.
  • auditing and log mamagment - במקרים רבים נראו גישה לשרתים רגישים והורדת downloads כמות גדולה של קבצים ,פרט מעניין נוסף הוא שרוב הפעולות מסוג זה נעשו בחלון זמן של 3-1 חודשים לפני פיטורי עובד או התפטרות - בדיקה של תבניות כאלו יכולות לעזור בגילוי מקרים של פעולה פנימית.
  • חשיבות שיתוף פעולה בין מחלקות כוח אדם , IT ,מנהלים, והבעלים של המידע - חקירת המקרים מעלה שלא די באמצעי IT ( טכניים) בלבד לזיהוי פשע ההולך להיתבצע אלא חייב שיתוף פעולה עם מחלקות כוח אדם ובעלי המידע עצמו היודעים למי הצורך במידע ולמי לא בהתאמה לגורמים כגון פיטורים, מירמור בעבודה וכו.

FYI