Det er en CIO verste mareritt: du får et anrop fra Business Software Alliance (BSA), sier at noen av Microsoft-programvare firmaet bruker kan være piratkopiert .
Du forske og finne at ikke bare er programvaren ulovlig, det ble solgt til deg av et selskap i hemmelighet eies og drives av ingen andre enn din egen IT-systemer administrator, en betrodd medarbeider i syv år. Når du begynner å grave i admin aktiviteter, finner du et porno nettsted han har blitt publisert på en av bedriftens servere. Så du finner ut at han har lastet ned 400 kunde kredittkortnumre fra e-handel server
Og her er den verste delen. Han er den eneste med de administrative passord
Koden av hemmelighold <. br>
Tror det kan ikke skje? Det gjorde det, ifølge en sikkerhetskonsulent som ble kalt inn for å hjelpe offeret, en $ 250m amerikansk forhandler. Du har aldri hørt om det fordi selskapet holdt det rolig.
Til tross for sporadisk overskrifter om IT-ansatte gått rogue (husk Terry Childs, nettverksadministratoren som holdt San Francisco nettverk gissel?), De fleste selskaper feie slike situasjoner under teppet så raskt og så stille som mulig.
En årlig undersøkelse av CSO magasin, finner den amerikanske Secret Service og CERT (et forskningssenter på Software Engineering Institute ved Carnegie Mellon University) rutinemessig at tre fjerdedeler av selskaper som er utsatt av innsidere håndtere saken internt, sier Dawn Cappelli, teknisk sjef hos CERT trussel og hendelsen ledergruppe. "Så vi vet at [hva som offentliggjøres] er bare toppen av isfjellet", sier hun.
Ved å holde ting rolig, men rammede selskapene nekte andre muligheten til å lære av deres erfaringer. CERT har forsøkt å fylle det tomrommet. Det har studert insider trusler siden 2001, samle informasjon om mer enn 400 tilfeller. I sin siste rapport, 2009 s Common Sense Guide to forebygge og avdekke innsidehandel Trusler Men trusler fra privilege-laden IT ansatte er spesielt vanskelig å oppdage. For én ting, kan de erfarne 'nefarious aktiviteter ser det samme som sine vanlige oppgaver. IT-ansatte rutinemessig "redigere og skrive manus, redigere kode og skrive programmer, så det ser ikke ut som unormal aktivitet", sier Cappelli. Og de vet hvor sikkerheten er svakest og hvordan å dekke sine spor. Du kan ikke stole på teknologien, eller noen enkelt forholdsregler for å beskytte deg mot useriøse IT-folk. Du må se på det store bildet. "Det krever ikke bare å se på hva de gjør på nettet, men også hva som skjer på arbeidsplassen," sier Cappelli. "Folk trenger virkelig å forstå mønstre her, historien bak tallene." En rogue IT ansatt kan gjøre mer skade enn en hær av hackere. Slik tre selskapene kunne ha bedre beskyttet seg Den amerikanske forhandleren fortelling om sorg startet tidlig i 2008, da BSA varslet det at Microsoft hadde avdekket konsesjons avvik, ifølge John Linkous. I dag er Linkous sjef sikkerhet og compliance officer på eIQ Networks, et sikkerhetsrådgivning. Hans erfaring med hendelse med forhandleren er fra hans forrige jobb, da han var visepresident for operasjoner på Sabera, en nå nedlagte sikkerhetsrådgivning. Microsoft hadde sporet salg av den mistenkte programvare til en klient Selskapets system admin. I forbindelse med denne historien, vil vi kalle at admin 'Ed'. Når Linkous og andre medlemmer av Sabera laget i hemmelighet kalt inn for å undersøke, fant de at Ed hadde solgt mer enn en halv million dollar i piratkopiert Microsoft, Adobe og SAP-programvare til sin arbeidsgiver. De etterforskere også merke at bruk nettverksbåndbredde var unormalt høy. "Vi trodde det var en slags nettverksbasert angrep skjer," sier Linkous. De spores aktiviteten til en server med mer enn 50.000 pornografiske stillbilder og mer enn 2500 videoer, ifølge Linkous. I tillegg er en teknisk søk av Ed arbeidsstasjon avdekket et regneark som inneholder hundrevis av gyldige kredittkortnumre fra selskapets e-handel. Mens det var ingen indikasjon på at tallene hadde blitt brukt, det faktum at denne informasjonen ble inneholdt i et regneark innebar at Ed var som vurderer enten ved hjelp av kortdata selv eller selge den til en tredjepart, ifølge Linkous. Den CFO, som opprinnelig hadde fått telefon fra BSA, og andre på ledergruppen fryktet hva Ed kan gjøre når konfrontert. Han var den eneste som hadde visse administrative passord -. Inkludert passord for kjernenettet router /brannmur, nettverkssvitsjer, bedriftens VPN, HR-system, e-postserveren administrasjon, Windows Active Directory administrasjon og Windows-skrivebordet administrasjon Så selskapet og Linkous 'fast lansert en operasjon rett ut av Mission:. Impossible. De oppfant en ruse som krevde Ed å fly over natten til California. Den lange flyturen ga Linkous 'lag et vindu på ca fem og en halv time der Ed kunne umulig få tilgang til systemet. Arbeide så fort de kunne, teamet kartlagt nettverket og tilbakestille alle passord. Når Ed landet i California, "COO var der for å møte ham. Han fikk sparken på flekken". En rogue IT ansatt kan gjøre mer skade enn en hær av hackere. Slik tre selskapene kunne ha bedre beskyttet seg. Kostnader til companyLinkous anslår at hendelsen kostet selskapet totalt $ 250.000 til $ 300.000, som inkluderer Sabera honorar, det koster å fly Ed til vestkysten på kort varsel, kostnaden for søksmål mot Ed, kostnadene forbundet med å ansette en midlertidig nettverksadministrator og en ny CIO, og kostnadene for å lage alle sine programvarelisenser legitim. Forebyggende measuresWhat kunne ha forhindret denne katastrofen? Selvfølgelig bør minst en annen person har kjent passord. Men mer betydelig var mangel på separasjon av plikter. Forhandleren hadde en liten IT-avdeling (bare seks ansatte), så Ed var betrodd med både administrative og sikkerhetsmessige ansvar. Det betydde at han var overvåking selv. Skille oppgaver kan være en spesielt tøff utfordring for selskaper med små IT-staber, erkjenner Linkous. Han antyder små selskaper overvåke alt, inkludert loggene, nettverkstrafikk og endringer systemkonfigurasjon, og ha resultatene evaluert av noen andre enn den systemansvarlige og hans eller hennes direkte rapporter. Det viktigste, sier han, er å la IT-folk vet at de blir overvåket. For det andre, klarte selskapet å gjøre en grundig bakgrunnssjekk når det leies Ed. I CERT forskning, 30 prosent av innsiderne som begikk IT sabotasje hatt en tidligere arrestasjon historie. Faktisk bør noen form for falske legitimasjonen heve et rødt flagg. Selv om selskapet hadde gjort en kriminell bakgrunn sjekk på Ed (som var ren), det gjorde ikke kontrollere legitimasjon på sin CV, hvorav noen ble senere funnet å være uredelig. (Han gjorde det ikke, for eksempel, har MBA at han hevdet å ha.) Tredje, Ed personlighet kunne ha blitt sett på som et rødt flagg. "Han syntes å tro at han var smartere enn alle andre i rommet," sier Linkous, som møtte Ed ansikt til ansikt ved å stille som en ERP-leverandør før stikket operasjonen. Ed arroganse minnet Linkous av de beryktede Enron-ledere. "Han var ekstremt selvsikker, cocky og svært avvisende til andre mennesker." CERT har funnet at svindlere har ofte stikkende personligheter. "Vi har noen tilfeller der, etter det faktum, folk sa:" Jeg kan ikke tro det - han var en hyggelig fyr, "sier Cappelli En rogue IT ansatt kan gjøre mer skade enn en hær av hackere. Slik tre selskapene kunne ha bedre beskyttet seg. 'Sally', en systemadministrator og en database manager, hadde vært med et Fortune 500 forbrukerprodukter selskap i 10 år og var en av sine mest betrodde og dyktige IT-arbeidere, ifølge Larry Ponemon, grunnlegger og leder av Ponemon Institute, en IT-sikkerhet forskning fast Hun var kjent som en klype-hitter -. noen som var i stand til å bidra til å løse alle typer problemer. Av den grunn hadde hun samlet mange høyt nivå nettverks privilegier som gikk utover hva hennes jobb nødvendig. "Det er denne tendensen til å gi disse menneskene flere privilegier enn de trenger, fordi du vet aldri når de må være å hjelpe noen andre ut,» sier Ponemon. Hun noen ganger jobbet hjemmefra, ta henne laptop, som ble konfigurert med disse høyt nivå privilegier. Selskapets kulturen var slik at det stjerner som Sally fikk spesialbehandling, sier Ponemon. "IT-folk kunne bestemme hvilke verktøy de ønsket på sine systemer," forklarer han. Men da selskapet bestemte seg for å outsource de fleste av sine IT-drift til India, gjorde Sally ikke føler meg så spesiell. Selv om selskapet ikke hadde ennå ikke formelt varslet IT-ansatte, sier Ponemon, det var åpenbart for IT-innsidere den tiden kjørte ut for de fleste av avdelingens ansatte. Sally ønsket hevn. Før hun ble offisielt la gå, plantet hun logiske bomber som forårsaket hele rack med servere å krasje når hun var borte. I begynnelsen hadde selskapet ingen anelse hva som foregikk. De byttet til sine redundante servere, men Sally hadde plantet bomber i dem også. Selskapet hadde en vanskelig tid med skaden, fordi det ikke følger noen åpenbar rim eller grunn. "En ondsinnet ansatt [som er] sint kan gjøre mye skade på en måte som er vanskelig å oppdage umiddelbart og vanskelig å spore senere," Ponemon bemerker. Etter hvert spores de sabotasjen til Sally og konfronterte henne. Til gjengjeld for Sally avtale om å hjelpe fikse systemene, gjorde selskapet ikke tiltale henne. I tillegg Sally måtte enig aldri å snakke offentlig om hendelsen. ". De ønsker ikke henne å gå på TV og snakket om hvordan hun brøt ryggraden i et Fortune 500-selskap" Kostnader til companyThe estimert total kostnad for selskapet: $ 7m, som inkluderer $ 5m i alternativkostnader (nedetid, avbrudd i virksomheten og potensielt tap av kunder) og $ 2m i avgifter for etterforskning og sikkerhet konsulenter, blant annet. En rogue IT ansatt kan gjøre mer skade enn en hær av hackere. Slik tre selskapene kunne ha bedre beskyttet seg. Forebyggende measuresWhat gjorde selskapet gjør galt? Først er hendelsen et klassisk eksempel på "opptrapping av privilegier", som er hva som skjer når gis privilegier til en person til å håndtere en bestemt oppgave, men er ikke opphevet når personen ikke lenger trenger dem, sier Ponemon. For det andre, en rett kultur førte til ingen separasjon av plikter og svært lite tilsyn med IT. På grunn av at savnet ledelsen en viktig rødt flagg. Etter hendelsen, selskapet oppdaget at Sally hadde "tapt" 11 bærbare datamaskiner i løpet av de tre foregående årene. Help desk staff var klar over dette, men ingen har noen gang rapportert det til ledelsen, delvis på grunn av Sally status i organisasjonen. Ingen vet hva hun gjorde med de bærbare PC; det kan være at hun bare var uforsiktig -., men "det er et problem i seg selv hvis du er en systemadministrator", bemerker Ponemon Tredje, gitt den spente atmosfæren skapt av outsourcing avgjørelse, selskapet burde vært mer årvåken og mer proaktiv i overvåkingen potensielt sinte ansatte. Selv om du ikke har annonsert noe til de ansatte, er det en feil å tro at de ikke vet hva som skjer, sier Ponemon. "Den gjennomsnittlige rank-and-file [arbeidstaker] vet innen et nanosekund av når konsernsjefen signerer [outsourcing] kontrakten", sier han. Hvis du ikke allerede er overvåking av IT-folk, er nå på tide å begynne. For best resultat, kick off med en svært offentlig uttalelse at du nå overvåke ansatte. Ifølge CERT, mange tilfeller av sabotasje er et resultat av en misfornøyd ansatt utagering av hevn. Og disse handlingene kan skje i løpet av et øyeblikk, som den neste historien illustrerer. En rogue IT ansatt kan gjøre mer skade enn en hær av hackere. Slik tre selskapene kunne ha bedre beskyttet seg. Når dette Fortune 100-selskap oppgradert sin sikkerhet, det er gjort en ekkel oppdagelse. En av de ledende systemadministratorer, som hadde vært der i minst åtte år, hadde i smug lagt til en side til selskapets e-handel. Hvis du skrev i selskapet URL fulgt av en viss rekke tegn, fikk deg til en side hvor dette admin, som vi kaller «Phil», var å gjøre en livlig virksomhet som selger piratkopiert satellitt-TV-utstyr, hovedsakelig fra Kina, ifølge Jon Heimerl, direktør for strategisk sikkerhet for Solutionary, en administrert sikkerhetstjenester leverandør leid inn for å ta opp problemet Den gode nyheten:. forbedret sikkerhet fanget gjerningsmannen. Den dårlige nyheten: a. Feil avfyring prosedyre ga ham muligheten til å ta en avskjed skudd Itself en forhandler i høyteknologisk utstyr, selskapet ønsket å kvitte seg med Phil og nettstedet så raskt som mulig, fordi det fryktet søksmål fra satellitt utstyr produsenter. Men mens Phil manager og sikkerhets medarbeidere var på vei til kontoret hans, et menneskelig ressurser representant heter Phil og fortalte ham til å bli satt. Heimerl er ikke sikker på nøyaktig hva HR personen sa, men det var tydeligvis nok for Phil å gjette at jiggen var opp. Allerede logget inn i bedriftsnettverket, han umiddelbart slettet bedriftskrypteringsnøkkelen ring. "Da han ble trykket på slettetasten, sikkerhet og hans manager dukket opp og sa:" Stopp hva du gjør akkurat nå, og gå bort fra terminalen, "ifølge Heimerl. Men det var for sent. Filen holdt alle krypteringsnøkler for selskapet, herunder escrow nøkkel, en hovednøkkel som gjør selskapet til å dekryptere en fil av alle ansatte. De fleste ansatte holdt sine egne krypteringsnøkler på sine lokale systemer. Men nøkkelen ringen holdt de eneste kopier av krypteringsnøkler for ca 25 ansatte - de fleste av dem jobbet i de juridiske og kontrakter avdelinger - og den eneste kopien av bedriftskrypteringsnøkkelen. Det betydde at noe de ansatte hadde kryptert i de tre årene siden de hadde begynt å bruke krypteringssystemet ble permanent indecipherable -., Og dermed nesten tapt for dem Kostnader til companyHeimerl har ikke beregnet hvor mye penger Hendelsen koste selskapet, men han anslår tapet av nøkkelringen filen utgjorde ca 18 årsverk tapt produktivitet, som tar hensyn til både det arbeidet som gikk med til å lage filer som er nå permanent kryptert og tiden viet til re- lage materialer fra utkast, gamle e-poster og andre ukrypterte dokumenter. Forebyggende measuresFocusing bare på hva som skjedde etter at de oppdaget den rogue nettside, selskapet gjort to avgjørende feil, sier Heimerl. Det burde ha stengt ned Phil adgang umiddelbart ved å oppdage sine aktiviteter. Men ledere også igjen seg selv sårbar ved å ikke holde en sikker backup av kritisk bedriftsinformasjon. (Ironisk nok, selskapet trodde nøkkelknippet var så følsom at ingen kopier bør gjøres.) En rogue IT ansatt kan gjøre mer skade enn en hær av hackere. Slik tre selskapene kunne ha bedre beskyttet seg. Den generelle lærdommen fra disse skrekkhistorier er at ingen enkelt ting kan beskytte deg mot useriøse IT-folk. Du har kanskje stor teknisk sikkerhet - som multitiered sikkerhetssystem som til slutt oppdaget Phils uautorisert nettside - og likevel en enkel feil av HR kan føre til katastrofe. Det kan være store røde flagg i form av atferd eller personlighet som går ubemerket -. Som Sally savnede bærbare Det er en kombinasjon av tekniske beskyttelsestiltak og menneskelig observasjon som tilbyr den beste beskyttelsen, sier CERT Cappelli Det er et vanskelig budskap å høre. Og en lærdom som mange bedrifter ikke lærer unntatt den harde måten. Selv om flere selskaper var kommende med detaljene i deres skrekkhistorier, ville de fleste ledere fortsatt tror det kan aldri skje med dem. . Inntil det gjør Se også: Arbeidstaker overvåking: Når det er bedt om å spionere
, som analyserer mer enn 250 tilfeller identifiserer CERT noen av de vanligste feilene bedrifter gjør: utilstrekkelig vetting under ansettelsesprosessen, utilstrekkelig tilsyn og overvåking av tilgangsrettigheter og utsikt over røde flagg i atferd.
oppdage problemer
En rogue ansatt
piratkopiering programvare og verre
Den kostnad for selskapet
Outsourcing røkelse ansatte
Forebyggende tiltak
Tenner gått veldig galt
Det beste forsvar er multipronged
piratkopiering programvare -. Og verre
< p> Det betydde at Ed kunne ha holdt som gissel nesten alle selskapets store forretningsprosesser, herunder bedriftens nettsted, e-post, finansiell rapportering system og lønn. "Denne fyren hadde nøklene til riket", sier Linkous
Ekstreme tiltak
En rogue ansatt
piratkopiering programvare og verre
Kostnaden for selskapet
Outsourcing røkelse ansatte
Forebyggende tiltak
Tenner gått veldig galt
Det beste forsvaret er multipronged
En rogue ansatt <. br>
piratkopiering programvare og verre
Den kostnad for selskapet
Outsourcing røkelse ansatte
Forebyggende tiltak
Tenner gått veldig galt
Det beste forsvar er multipronged
Outsourcing røkelse ansatt
En rogue ansatt
piratkopiering programvare og verre
Den kostnad for selskapet
Outsourcing røkelse ansatte
Forebyggende tiltak
Tenner gått veldig galt
er det beste forsvar multipronged
En rogue ansatt
piratkopiering programvare og verre
Kostnaden til Selskapet
Outsourcing røkelse ansatte
Forebyggende tiltak
Tenner gått veldig galt
Det beste forsvaret er multipronged
Tenner gått veldig galt
En rogue ansatt
piratkopiering programvare og verre
Kostnaden til selskapet
Outsourcing røkelse ansatte
Forebyggende tiltak
Tenner gått veldig galt
Det beste forsvar er multipronged
Det beste forsvaret er multipronged
<. p> Og likevel er det vanskelig å overbevise selskapene til å gjøre begge deler. Ledere har en tendens til å tenke slike problemer kan løses ved teknologi alene, i hvert fall delvis fordi de hører leverandørene av overvåkningsverktøy og annen sikkerhets-minded programvare hevde at deres verktøy tilby beskyttelse. "Vi prøver å finne ut hvordan å få budskapet til C-nivå folk at dette er ikke bare en IT-problem", sier hun.
bredbånd hastighet test
PC-sikkerhet råd
Internett & bredbånd nyheter
Småbedrifter IT råd
En rogue ansatt
piratkopiering programvare og verre
Den kostnad for selskapet
Outsourcing røkelse ansatte
Forebyggende tiltak
Tenner gått veldig galt
er det beste forsvaret multipronged