Wykrywanie zagrożeń wewnętrznych – nowa wersja FUDO firmy WHEEL Systems
Wiele poważnych incydentów bezpieczeństwa IT i utraty danych nie wynika z ataków prowadzonych z zewnątrz przez hakerów. Dostęp z zewnątrz do wewnętrznych systemów informatycznych instytucji, firm i banków jest trudny. Systemy informatyczne mają szereg zabezpieczeń, dlatego obecnie coraz częściej w nieuprawnionym pozyskaniu poufnych danych biorą aktywny udział osoby z wewnątrz organizacji, partnerzy biznesowi mający dostęp do wewnętrznych systemów IT. Przed takimi incydentami ma zabezpieczać nowa wersja 2.0 systemu FUDO polskiej firmy WHEEL Systems.
Największe tego rodzaju incydenty to wyciek danych finansowych 20 milionów mieszkańców Korei Południowej z Korea Credit Bureau (KCB). Pracownik sprzedał dane firmie telemarketingowej. Z kolei osoby pracujące dla jednego z podwykonawców firmy AT&T pozyskały dużą liczbę danych osobowych jej klientów. Przestępcy podszywając się pod zdalnych konsultantów, wyprowadzili w 2014 roku z JPMorgan Chase & Co. dane dotyczące przeszło 65% gospodarstw domowych w USA, co zostało to odkryte dopiero po trzech miesiącach. Jak się ocenia, roczne straty z tego powodu wynoszą ok. 350 mld dolarów. Dane zgromadzone przez firmy mogą mieć dużą wartość na rynku, dlatego nie można wykluczyć, że niektóre osoby mogą się w niej zatrudnić tylko po to, by uzyskać do nich dostęp. Dlatego systemy do analizy powłamaniowej i ochrony sieci wewnętrznych przed nadużyciami ze strony osób dysponujących uprawnieniami dostępu, są obecnie instalowane w rosnącej liczbie organizacji. Według badań, 44% firm na świecie zleca prace informatyczne podmiotom zewnętrznym. W Polsce, po zdalnych konsultantów IT sięga lub planuje to zrobić w ciągu najbliższych trzech lat ponad 30% przedsiębiorstw. Taki outsourcing to optymalizacji kosztów, ale równocześnie otwieranie dostępu do wewnętrznej infrastruktury IT dla dodatkowych osób z zewnątrz.
Monitorowanie sesji zdalnych
FUDO 2.0 automatycznie reaguje na podejrzane sytuacje, a w przypadku powodzenia ataku, daje poszkodowanej firmie materiał dowodowy, obciążający nieuczciwych podwykonawców. Umożliwia bieżącą analizę i podgląd trwających sesji zdalnych oraz nagrywa je w formie wideo. W przypadku podejrzanych zachowań można je prewencyjnie zablokować na chwilę lub zerwać połączenie zdalne i odebrać prawa dostępu. Nowości w wersji 2.0 to: OCR (rozpoznawanie tekstu w grafice) i przeszukiwanie sesji graficznych po słowach kluczowych, tagowanie i opisywanie sesji, integracja z czołowymi dostawcami rozwiązań PAM / PUM (Lieberman i Thycotic) oraz narzędzie do analizy efektywności pracy zdalnych konsultantów. Szczególnie ta ostatnia funkcja może być atrakcyjna, bo pozwala ocenić, jak pracuje konsultant. Przedstawiciele firmy WHEEL Systems mówili o znanych sobie przypadkach, w których okazywało się, że zdalni konsultanci IT w trakcie otwartych sesji, prawie nic nie robili, a firma otrzymywała wysokie rachunki za cały czas ich „pracy”. Systemy związane z bezpieczeństwem są stosunkowo drogie i z zasady trudno się je sprzedaje. Dlatego dołożenie takiej funkcjonalności, jak wymieniona powyżej, pozwala klientom firmy od razu uzyskać realny zwrot z inwestycji, na przykład dając argumenty do renegocjowania umów outsourcingowych.
W Polsce system FUDO wdrożono w 23 firmach w tym w 5 bankach (Grupa BPS, Grupa SGB, Getin Bank, Pekao S.A. i BGK). Firma ma 44 partnerów w Polsce i na świecie oraz od 2014 roku 4 dystrybutorów międzynarodowych.
Bohdan Szafrański
