SG.hu
Védhetetlenné váltak a mai bonyolult IT-hálózatok
A rendszergazdák ma is a behatolások megakadályozására törekednek, de a helyzetük reménytelen, ezért a támadások alatti és utáni helyzetre is stratégiákat kell kidolgozni.
A Cisco immár 10 éve követi a kiberbűnözéssel kapcsolatos trendeket, és a bevált, klasszikus módszerek visszatérését tapasztalja. "A hackerek egyre inkább másolják a célkeresztjükbe kerülő vállalkozások működését. Például az exploit-kitek elosztott architektúrát valósítottak meg, mint egy nagyvállalati adatközpont-rendszer terhelés elosztóval, redundáns malware központokkal. Az áldozatokat profi módon lekezelik, megnézik milyen böngészőt használnak, milyen sérülékenységeket, plugineket találnak." - mondta Ács György, a cég regionális hálózatbiztonági szakértője.
A régi módszerek visszatérése volt a másik fontos trend, amire felhívta a figyelmet, például a DDoS-támadások (elosztott szolgáltatásmegtagadás, amikor pusztán a lekérések nagy száma okozta leterhelés iktatja ki a célpontot) visszatérése vagy a spamek feltámadása (a levelek 65% ilyen, és tizedük rosszindulatú). A technológiai környezet fejlődése, mint a bitcoin elterjedése és az egyszerű titkosítás a zsarolóprogramok felfutását hozta. Ez utóbbiak nagyban növelték a felhasználók biztonságtudatosságát, hiszen míg egy adatszivárgásra lehet legyinteni, arra nem, ha nem férünk hozzá az adatainkhoz.
"Továbbra is a tűzfalak korát éljük, a felhasználók még mindig a megelőzésben gondolkodnak. Azonban ma már egyszerű copy-paste tudás és a rossz szándék elég egy ártó szándékú program írásához. De vehetünk ilyet szolgáltatásként vagy 0-day, azaz frissen felfedezett biztonsági réseket is." A hazai támadások eredményességét csak becsülni lehet, mert az EU-ban ezek hatásáról még nem kell incidens jelentést adni. Jó esetben a vállalatok jelentik a hatóságoknak az adatok kikerülését, de nem kell azokat részletesen publikálni, mint az Egyesült Államokban. Magyarországon a szabályozási környezet változása is kihívásokat támaszt, közte a jövőre bevezetendő európai adatvédelmi irányelvek, pénzügyi törvényi változások, melyekkel egyelőre csak ismerkedik a szakma.
"Szakemberhiány van. Kétféle ügyfél van, aki munkatársat keres, és aki nem tudja, hogy kellene keresnie. Egy konferencián voltam, ott volt egy nagy ügyfelünk, nagy hálózattal, ahol ketten dolgoznak a területen, és mind a ketten ott voltak az előadáson. Így néz ki a probléma. Mindig mondják nekik, hogy ennyi emberrel ilyen hálózatot nem lehet üzemeltetni, és ez különösen igaz biztonsági tekintetben." - mondta Ács György. Megemlítette, hogy a hozzáértőket nem csak más cégek, hanem a sötét oldal is könnyen elcsábítja, mert ha nincsenek erkölcsi gátak az emberben, hiába a szektorban meglévő magas fizetések, a másik oldalon sokszoros pénzeket lehet keresni.
"A bűnözők megadott metódusok szerint dolgoznak. Az első a felderítés, minden publikus információt meg kell tudni az áldozatról: szervezeti egységek, emailcímek stb., hogy lehessen mások nevében információt kérni vagy akár felhívni. A második lépés a sérülékenységek kihasználása, ami lehet informatikai vagy emberi. El kell érni, hogy klikkeljen például egy levélben lévő linkre az áldozat, akár meggondolatlanságból. Mi a Cisconál rendszeresen kapunk a biztonsági részlegünktől célzott támadásokat, és ezt utána analizálják is, hogy hányan kattintottak - és ezek viszonylag magas számok, még nálunk is." - ismerte el Ács György. "Ez jó a felhasználói tudatosság növelésére. Például ha valaki küldeményt szeretne átadni nekünk és mellékeli a számlát, érdemes megnézni ki a feladó."
"Azt is érdemes látni, hogy az egyes lépésekben hogyan vándorol a támadó. Egy adott gépet megtámadni nem egy olyan nagyon nehéz feladat, de hogy onnan hogyan megy át a szomszéd gépre, hogyan jut el az adatközpontba, ez kritikus. Ennek az igénye, hogy ezt lássuk, teljesen újszerű, még nem nagyon jött elő sem Magyarországon, sem a régióban, és erre új módszerek is vannak."
Csordás Szilárd mérnök-tanácsadó arra hívta fel a figyelmet, hogy tízből négy rendszerriasztást senki nem vizsgál ki, és a feldolgozott, valós események felével sem csinál senki semmit. "A biztonság legnagyobb ellensége a komplexitás. Túl bonyolultak a rendszerek, túl nagy a zaj, nem tudjuk, hogy 300 eseményből melyik az a három, amivel tényleg foglalkozni kell. Az is lehet, hogy túl sok gyártótól származó biztonsági eszköz van a hálózaton, melyek nem kommunikálnak egymással. Hiába van a piacon a legjobb tűzfalam, a legjobb átjáróm és végponti védelmem, ha ezek nem cserélnek egymással információt akkor a biztonsági hatásfokuk megkérdőjelezhető." - mondta.
Szerencsére a pénz a korábbiaknál kevésbé számít, mert a cégvezetők egyre inkább tudatában vannak a veszélyeknek, és hogy foglalkozni kell a területtel. "De ha van is pénz, a szaktudás terén hiány van. A technológia az fontos komponens, de az nem oldja meg a problémákat, kell az emberi tudás is" - emelte ki Csordás Szilárd.
A Cisco immár 10 éve követi a kiberbűnözéssel kapcsolatos trendeket, és a bevált, klasszikus módszerek visszatérését tapasztalja. "A hackerek egyre inkább másolják a célkeresztjükbe kerülő vállalkozások működését. Például az exploit-kitek elosztott architektúrát valósítottak meg, mint egy nagyvállalati adatközpont-rendszer terhelés elosztóval, redundáns malware központokkal. Az áldozatokat profi módon lekezelik, megnézik milyen böngészőt használnak, milyen sérülékenységeket, plugineket találnak." - mondta Ács György, a cég regionális hálózatbiztonági szakértője.
A régi módszerek visszatérése volt a másik fontos trend, amire felhívta a figyelmet, például a DDoS-támadások (elosztott szolgáltatásmegtagadás, amikor pusztán a lekérések nagy száma okozta leterhelés iktatja ki a célpontot) visszatérése vagy a spamek feltámadása (a levelek 65% ilyen, és tizedük rosszindulatú). A technológiai környezet fejlődése, mint a bitcoin elterjedése és az egyszerű titkosítás a zsarolóprogramok felfutását hozta. Ez utóbbiak nagyban növelték a felhasználók biztonságtudatosságát, hiszen míg egy adatszivárgásra lehet legyinteni, arra nem, ha nem férünk hozzá az adatainkhoz.
"Továbbra is a tűzfalak korát éljük, a felhasználók még mindig a megelőzésben gondolkodnak. Azonban ma már egyszerű copy-paste tudás és a rossz szándék elég egy ártó szándékú program írásához. De vehetünk ilyet szolgáltatásként vagy 0-day, azaz frissen felfedezett biztonsági réseket is." A hazai támadások eredményességét csak becsülni lehet, mert az EU-ban ezek hatásáról még nem kell incidens jelentést adni. Jó esetben a vállalatok jelentik a hatóságoknak az adatok kikerülését, de nem kell azokat részletesen publikálni, mint az Egyesült Államokban. Magyarországon a szabályozási környezet változása is kihívásokat támaszt, közte a jövőre bevezetendő európai adatvédelmi irányelvek, pénzügyi törvényi változások, melyekkel egyelőre csak ismerkedik a szakma.
"Szakemberhiány van. Kétféle ügyfél van, aki munkatársat keres, és aki nem tudja, hogy kellene keresnie. Egy konferencián voltam, ott volt egy nagy ügyfelünk, nagy hálózattal, ahol ketten dolgoznak a területen, és mind a ketten ott voltak az előadáson. Így néz ki a probléma. Mindig mondják nekik, hogy ennyi emberrel ilyen hálózatot nem lehet üzemeltetni, és ez különösen igaz biztonsági tekintetben." - mondta Ács György. Megemlítette, hogy a hozzáértőket nem csak más cégek, hanem a sötét oldal is könnyen elcsábítja, mert ha nincsenek erkölcsi gátak az emberben, hiába a szektorban meglévő magas fizetések, a másik oldalon sokszoros pénzeket lehet keresni.
"A bűnözők megadott metódusok szerint dolgoznak. Az első a felderítés, minden publikus információt meg kell tudni az áldozatról: szervezeti egységek, emailcímek stb., hogy lehessen mások nevében információt kérni vagy akár felhívni. A második lépés a sérülékenységek kihasználása, ami lehet informatikai vagy emberi. El kell érni, hogy klikkeljen például egy levélben lévő linkre az áldozat, akár meggondolatlanságból. Mi a Cisconál rendszeresen kapunk a biztonsági részlegünktől célzott támadásokat, és ezt utána analizálják is, hogy hányan kattintottak - és ezek viszonylag magas számok, még nálunk is." - ismerte el Ács György. "Ez jó a felhasználói tudatosság növelésére. Például ha valaki küldeményt szeretne átadni nekünk és mellékeli a számlát, érdemes megnézni ki a feladó."
"Azt is érdemes látni, hogy az egyes lépésekben hogyan vándorol a támadó. Egy adott gépet megtámadni nem egy olyan nagyon nehéz feladat, de hogy onnan hogyan megy át a szomszéd gépre, hogyan jut el az adatközpontba, ez kritikus. Ennek az igénye, hogy ezt lássuk, teljesen újszerű, még nem nagyon jött elő sem Magyarországon, sem a régióban, és erre új módszerek is vannak."
Csordás Szilárd mérnök-tanácsadó arra hívta fel a figyelmet, hogy tízből négy rendszerriasztást senki nem vizsgál ki, és a feldolgozott, valós események felével sem csinál senki semmit. "A biztonság legnagyobb ellensége a komplexitás. Túl bonyolultak a rendszerek, túl nagy a zaj, nem tudjuk, hogy 300 eseményből melyik az a három, amivel tényleg foglalkozni kell. Az is lehet, hogy túl sok gyártótól származó biztonsági eszköz van a hálózaton, melyek nem kommunikálnak egymással. Hiába van a piacon a legjobb tűzfalam, a legjobb átjáróm és végponti védelmem, ha ezek nem cserélnek egymással információt akkor a biztonsági hatásfokuk megkérdőjelezhető." - mondta.
Szerencsére a pénz a korábbiaknál kevésbé számít, mert a cégvezetők egyre inkább tudatában vannak a veszélyeknek, és hogy foglalkozni kell a területtel. "De ha van is pénz, a szaktudás terén hiány van. A technológia az fontos komponens, de az nem oldja meg a problémákat, kell az emberi tudás is" - emelte ki Csordás Szilárd.