Enkel IDS för godtyckliga sociala media

7/30/2009

Följande beskriver en enkel säkerhetslösning för sociala media som kan lösa flera i särskilda situationer svårtlösta säkerhetsproblem. Den kan användas (beroende på sajt) för att:

  1. Upptäcka angrepp där någon tagit sig in.
  2. Detektera angrepp mot stora populationer (se ANGREPP MOT LÖSENORD I CLOUD COMPUTING).
  3. Öka komplexitet på angrepp enligt 2.
  4. Detektera när någon systematisk söker publik information.

Den räknas därför bäst till IDS.

Trots att denna IDS är effektiv är den mycket billig och enkel att införa. Den är resultatet av ett stycke lateralt tänkande jag gjorde för flera år sedan.

Detektera riktade besök

Lösningen bygger på att profiler och övriga sidor på sociala media ofta går att anpassa åtminstone i viss utsträckning. Här placeras något som gör att ett besök direkt eller indirekt kan detekteras. Ofta möjligt att införa för att direkt detektera besök är:

  • Att visa en bild lagrad på en sajt du kontrollerar.
  • Installera kod för besöktsstatistik (t.ex. Statcounter).
    • m.m.

Olika cache kan ibland störa. Även diverse hos klienten kan stoppa detektionen. Detta bör tänkas igenom innan och hanteras via multipla lösningar.

När detta inte är möjligt kanske länkar eller text som får personen att besöka en annan sajt där besöket kan detekteras användas.

Var ska detektion ske?

För att detektera angrepp där någon vill ta sig in på kontot sker detektion lämpligt på en en sida som nås automatiskt efter inloggning men som ej är publikt synlig. Det är inte alltid möjligt och då kan mer eller mindre bra alternativ finnas.

Exempel I: Detektera angrepp mot stort företag

Antag att du är säkerhetschef på ett stort företag intensivt i innovationer och de flesta medarbetare är mycket aktiva på nätet. Du vill ha en IDS som ropar till om någon lyckas ta sig in på konton tillhörande kritiska medarbetare.

I samarbeta med viktiga medarbetare som är troliga primära mål installerar du detektion på profilerna.

Exempel II: Detektera angrepp mot stora populationer

Antag enligt "Exempel I" men nu vill du istället se om någon riktar det angepp som tidigare beskrevs i:

ANGREPP MOT LÖSENORD I CLOUD COMPUTING

Detta sker genom att detektion sker på statistiskt tillräckligt många konton bland medarbetare.

Exempel III: Detektera angrepp vid stort brus

Beroende på nivå av brus är lösningen i "Exempel II" inte säkert praktisk möjlig för att fånga det mest kritiska. I så fall kan riktiga medarbetare blandas upp med särskilt skapade profiler (om det bedömds vara tillåtet på respektive sajt) vilka har lågt brus men ändå har egenskaper man antar får just aktuell typ av angripare att se att de finns och rikta angreppet mot dessa.

Exempel IV: Öka komplexitet på angrepp

De situationer där denna applikation är praktiskt är få men de finns. I denna situation gäller att:

  • Många till organisationen eller företaget associerade är aktiva på sociala media.
  • Dessa identiteter angrips eller det bedöms troligt att angrepp kommer.
  • Är hotet allvarligt behöver du som säkerhetschef stoppa eller åtminstone bromsa det.

Råd och information till associerade är en åtgärd. Även dialog med viktiga sociala media kring ev. säkerhetsproblem du ser kanske kan ge värde. Vid problem kanske du tipsar branschtidningar om säkerhetsproblem. För en del möjliga situationer tillför detta helt otillräckligt värde. Det gäller t.ex. om populationen är stor och ännu värre blir det om antalet nya associerande är i snabb tillväxt.

I vissa situationer kan en kompletterande åtgärd vara att blanda upp det hela med ett antal "falska" profiler preparerade med denna IDS. Profilerna ska ha egenskaper som gör att de toppar identiteter vilka väljs ut för angrepp. Ev. kanske dessa även ger information efter lyckat angrepp som för angriparen vidare men åt fel håll.

Är identiteterna fungerande lockande kommer lyckade angrepp i genomsnitt tidigare komma på dessa än mot riktiga användare. Angreppet kommer därför fångas upp tidigt.

Regler för sociala media

Beroende på regler för aktuella sociala media är det inte säkert att någon av dessa åtgärder är tillåtna. Dialog med dessa kan därför vara viktigt.

Läs mer

SÄKERHETSPROBLEM FÖR SOCIALA MEDIA SOM HANTERAS OFULLSTÄNDIGT

SÄKERHETSARKITEKTUR: ANGREPP MOT LÖSENORD I CLOUD COMPUTING

Ännu mer om säkerhetsfrågor kring sociala media:

SÄKERHETSPROBLEM FÖR SOCIALA MEDIA I SAMMANFATTNING



Försvarsfilosofi Sociala media
0 kommentarer

Kommentera