Építsünk digitális immunrendszert

Szerző: Tamás Közzétéve:

Ha valami világossá vált 2022-ben, az az, hogy méretétől vagy ágazatától függetlenül egyetlen szervezet sincs biztonságban az adatszivárgástól. Az incidens bármely szervezettel, vállalattal vagy kormányzattal bármikor megtörténhet.

Minden napra egy támadás

Miközben az orosz-ukrán háború okán naponta lehetetlenítik el terheléses támadásokkal az egymással szemben álló hackercsoportok fontos cégek, vagy állami szereplők szolgáltatásait, közben történelmi csúcson a zsarolóvírusok károkozása is. Az államilag támogatott hackercsoportok most jórészt el vannak foglalva egymás kritikus infrastruktúra elemeinek, vagy a média és az állampolgárok számára fontos hírként tálalható célpontokkal, de bőséggel marad olyan szereplő, amely tisztán üzleti érdekből indít támadásokat tömegesen megcélzott, gyakorlatilag bármilyen célpont ellen.

 

Európa és a Közel-Kelet főbb városai a kiemelt célpontok között

 

Ezek a kampányok jellemzően levélszemét (SPAM) formájában terjesztik a kártékony kódokat. A milliárd számra szétküldött levelek olyan apró kódokat tartalmazhatnak, amik nem közvetlenül a vírust juttatják el az áldozat levelezőjébe, csupán egy úgynevezett dropper-t tartalmaznak. Ez a dropper megvizsgálja a számítógép operációs rendszerét, azonosítja a szoftver-környezetet, majd a legalkalmasabb támadókódot kiválasztva elindít egy letöltést a támadó által preparált, megbízhatónak hitt szerverről. Ez lehet egy nagy felhő szolgáltató, mint a Microsoft OneDrive, Google Drive, stb, de lehet anonim fájlmegosztó is. A letöltött program titkosítva érkezik, hogy a vírusírtót meg tudja téveszteni, aztán a számítógépen csomagolódik ki, majd indul el pusztító útjára.

2022. szeptemberében minden napra jutott egy hír olyan támadási módszerekről vagy kártevőkről, amit nagyvállalati termékfejlesztési módszertan szerint, kifinomult labormunkával állítottak elő. Ezek a támadókódok már valójában kiberfegyvernek tekinthetők, amikkel tömegesen tudnak cégeket és szervezeteket ellehetetleníteni vagy zsarolni.

Ismerd meg az ellenséged

Ahhoz, hogy sikeresen lehessen ellenállni a professzionális támadási technikáknak, a cégek számára is elsődleges fontosságú lett, hogy képesek legyenek felmérni és elemezni a rendszereikben található adatok értékét, illetve a szervezet célzott vagy tömeges támadásokra való kitettségét. Ez a vizsgálat többek között segít meghatározni azt is, hogy az kibertérben tevékenykedő gonosz entitások közül kik ellen kell tudni megvédeni a rendszereinket. Ez azért nagyon lényeges, mert ha meg tudom határozni a potenciális támadó profilját, akkor tudni fogom a motivációit, tisztában leszek a vélt képességeivel és lehetőségeivel, valamint a támadásra használt tipikus eszköztárukkal. Ezen információk ismerete pedig abban segíti a céget, hogy megfelelő védelmi rendszert tudjon kialakítani az informatikai szolgáltatásai, és adatai megvédése érdekében.

Az egyik pusztít, a másik segít. Pedig a szakmájuk azonos – ők a Hackerek.

Valamit fontos kimarad

Sok cégvezető elköveti azt a hibát, hogy saját elhatározásból, vagy egy szolgáltató ajánlatát követve kezd informatikai fejlesztéseket anélkül, hogy előtte egy szakértői felméréssel azonosítani tudták volna az információs rendszer gyenge pontjait. Egy információbiztonsági felmérés eredményeképpen előálló cselekvési terv a legalkalmasabb arra, hogy meg lehessen határozni a szolgáltatás- és adatbiztonsággal kapcsolatos legfontosabb tennivalókat. Ez abban is segíti a vezetőt, hogy a fejlesztésre szánt összegből a lehető leghatékonyabb változtatásokat tudja bevezetni a szervezet.

Számos helyen találkoztunk olyan szervezettel, amely a biztonságra szánt forrásokból technikai eszközparkot bővített úgy, hogy nem volt meg a bevezetéshez és fenntartáshoz szükséges tudása se neki, se pedig a beszállítónak. Így az elköltött összeg csupán a biztonságérzetet növelte, a valós informatikai biztonsági szintet nem. Ennek azonban szomorú következménye a hamis biztonság tudat, ami gyakran vezet komoly adatvédelmet vagy üzemmenetet érintő incidenshez, ezzel komoly gazdasági és reputációs károkat okozva.

A felhő is kiemelt célpont

Ez alól azok a cégek sem mentesülnek, akik jó ötletnek tartották a felhőbe költöztetni adataikat. Az elmúlt 2 évben napvilágra került támadási adatok megmutatták: a felhő infrastruktúra nagyon komoly információs értéket tartalmaz, ezért szinte korlátlan erőforrásokat érdemes a feltörése érdekében fenntartani. A legnagyobb vesztese ennek a támadási modellnek egyértelműen a Microsoft 365 – régi nevén Office 365 -, illetve maga a Microsoft Azure, aminek a rendszereit több komoly kibertámadás érte, kiszivárogtatva ezáltal az ügyfeleik tömegeinek értékes adatait.

Microsoft Azure – Repedezik a biztonság

A publikus felhőszolgáltatások esetében a leggondosabb felhasználói beállítások és tudatosság sem mindig vezet sikerre, mivel a Vectra nevű kiberbiztonsági platform elemzése alapján a fiókok 96%-át támadták a többtényezős hitelesítést (MFA) megkerülve.

Az IoT-nél is van okosabb

Mindent egybevetve nincs olyan szegmense az informatikai rendszereknek, ami ne lenne óriási kockázatú a világban lévő óriási feszültségek ill. politikai és gazdasági megosztottság okán. Igaz ez az otthoni termékekre is, nem kis kockázatot teremtve az otthon használt IoT (Internet of Thinks / kütyük internete) eszközök esetében – mint pl. az okosotthon megoldások.

Az okosotthon rendszerek jelentenek elsősorban kamera, riasztó, mozgásérzékelő, hő- és energiatermelő rendszerek, fűtési és hűtési rendszerek, világítási megoldások, illetve ezek központi vezérlését. A gyártók a minél nagyobb ügyfélélmény érdekében a termékekhez olyan központi adatgyűjtő és vezérlést elősegítő központot adnak, ami a saját felhőszolgáltatásán keresztül érhető el. Ezen a piacon a kínai gyártók (pl. Xiaomi) gyakorlatilag tarolnak az olcsó és sokat tudó megoldásaikkal. Az olcsó kínai termékek azonban óriási kockázatot is hordoznak magukban. A termékek biztonsági megoldásai nagyon könnyen megkerülhetőek, a beépített hibás megoldások (firmware – vezérlő szoftver) nem frissíthetőek, a felmerülő biztonsági problémákat nem, vagy nem megfelelő súllyal kezelik.

Egy eszkalálódó világpolitikai szembenállás könnyen olyan helyzetet teremthet, hogy kínai felhőbe begyűjtött adatokat visszaélésekre használhatják fel. Ezek lehetnek egy-egy személy vagy szervezet védettségének információi, lehetnek a rendszerben hagyott hibák (sérülékenységek) kihasználása további megfigyelésre, adatgyűjtésre, vagy károkozásra. De van egy olyan forgatókönyv is, ami felhívja a figyelmét a felhasználó személyeknek és szervezeteknek arra, hogy az ellenséges entitásnak tekintett felhasználóknak akár vezérelni is tudják az eszközeit, amivel el lehet lehetetleníteni a működésüket; vagy zárlatot, akár tüzet vagy csőtörést is elő lehet idézni a célpont rendszereiben a felhős rendszer segítségével. Ehhez pedig elegendő az adott felhőt feltörnie egy komoly erőforrással bíró támadónak (pl. Oroszország, Észak-Korea) vagy egyenesen a Kínai állam irányítása alá vonni. Ezt a technikát már az Ókorból ismerhetjük, amivel Tróját is így vették be, majd pedig rombolták le a görögök.

Az olcsó IoT eszközökkel kaput nyitunk a rendszereinkbe

Hogy készül az Immunrendszer

Az informatikai eszközökkel ezer bajunk van. Igazából nem is 1.000, hanem pontosan 65.536. Ennyi csatlakozási lehetősége van ugyanis egy hálózatra kötött eszköznek. Ahhoz, hogy pontosan lehessen tudni, az adott eszköznek milyen nyitott kapui vannak, azt hogyan kell tudni megvédeni, egy nagyon alapos szakértői munka szükséges. Ezt a technikát hívjuk informatikai biztonsági auditnak, vagy sérülékenységvizsgálatnak. Segítségével lehet kiépíteni azt a digitális immunrendszert, ami hatékonyan tudja csillapítani a támadó szándékot, és az esetleges károkozást.

A feladat elvégzésére képes szakember az Etikus Hacker, aki a cég megbízásából tevékenykedve ad egy akár évekre előremutató hibajavítási és fejlesztési tervet, megóva a megbízóját számos komoly informatikai katasztrófa bekövetkezésétől.