Ahol komoly informatikai problémákat kell megoldani, elengedhetetlen az ipar és a kutatói, felsőoktatási szféra szoros együttműködése. Tipikusan ilyen terület az IT-biztonság. A kooperáció több okból is kívánatos. Az élenjáró egyetemi kutatócsapatok naprakészek a legújabb veszélyek terén, és dolgoznak azok elhárításán, továbbá tevékeny részt vállalnak az informatikusképzésben. Ez utóbbi azért is rendkívül fontos, mert az IT-biztonsági rések alapvetően a szoftverek fejlesztésekor kerülnek be a rendszerekbe. Ha tehát a szoftvert magas szinten képzett, professzionális programozók készítik, lényegesen kevesebb a rendszerbe a hozzáértés hiánya miatt bekerülő, IT-biztonsági kockázatokat magában rejtő hiba.
Tízezer órányi befektetés
- Az IT-biztonság annyira összetett és gyorsan változó terület, hogy az ilyen jellegű tudást nem lehet néhány hónap, vagy akár egy-két év alatt megszerezni. Ahhoz, hogy valaki a téma mestere legyen, tapasztalatunk szerint mintegy tízezer órát kell befektetnie. MSc programunkban az IT-biztonság a fő specializációk egyik mellékspecializációjaként szerepel, és jelenleg a második legnépszerűbb terület a hallgatók körében. A témába vágó kötelező és választható tantárgyak mellett a fiataloknak bőven van lehetőségük arra, hogy elmélyedjenek a témában. Sokan már a BSc-képzés alatt megjelennek nálunk, ők is kapnak projektekhez kapcsolódó feladatokat. Azután következhetnek az önálló laborprojektek, a szakmai gyakorlatok, a TDK-dolgozatok, a szakdolgozat, a diplomaterv vagy akár a doktori képzés. Mindenre nyitottak vagyunk - fogalmaz Buttyán Levente, az IT-biztonsági megoldások kutatásával és gyakorlati alkalmazásával foglalkozó CrySyS Lab vezetője, a Műegyetem Villamosmérnöki és Informatikai Kar, Hálózati Rendszerek és Szolgáltatások Tanszékének oktatója.
Buttyán Levente szerint komoly problémát okozhat, ha sok olyan programozó áll munkába, aki úgynevezett gyorstalpalón tanult meg egy-két programozási nyelvet. Természetesen hibát mindenki ejthet, de az ő esetükben nagyobb a veszélye annak, hogy olyan kódokat írnak, amelyekkel gondok adódhatnak. A hibakeresés pedig mindig hosszadalmasabb folyamat, mint maga a fejlesztés. Ráadásul a hiba kijavítása rengeteg bonyodalommal járhat, és rendkívül költséges mulatság.
Elég csak azokra a közismert esetekre gondolni, amikor több ezer vagy tízezer felhasználónál kellett lecserélni a szoftvert valamilyen utólag felfedezett súlyos biztonsági rés miatt. De ismerünk olyan, nagy viharokat kavart hibákat is, amikor egy biztonsági rés miatt a teljes rendszert le kellett állítani. Egy aprónak tűnő kódhiba tehát egész lavinát indíthat el, ami a bonyodalmak mellett komoly anyagi kárral is járhat. A fejlesztés fázisában kell tehát a lehető legbiztonságosabb szoftvert írni, ez köztudomású a szakmában.
Bitvadászat és háttértudás
Ha egy fiatal az informatikai biztonság iránt érdeklődik, és nem riad vissza a sziszifuszi bitvadász munkától, mindenekelőtt tanuljon meg jól programozni. Az elején tulajdonképpen mindegy, hogy milyen nyelven, a lényeg, hogy sokat programozzon, ugyanis a legbiztosabb alapot a gyors algoritmikus gondolkodás adja. Nagyon fontos az is, hogy a leendő szakember gyakorlatot szerezzen a hibakeresés terén, először saját programjaiban. Ez nagy segítséget jelent a későbbiekben, amikor a biztonsági rések felkutatásakor mások által írt programokat kell elemezni, visszafejteni, sorról sorra értelmezni.
Egy jó IT-biztonsági szakembernek tisztában kell lennie a számítógépek belső működésével is, egészen a legalacsonyabb szintig. Sok programhiba ugyanis arra vezethető vissza, hogy a gép belső működésében - akár a legalsó szinteken - az erőforrások nincsenek vagy rosszul vannak kihasználva.
Mivel manapság a számítógépek hálózatba kapcsolva működnek, a hálózati ismeretek is nélkülözhetetlenek. A gépek közötti hálózati protokollok meglehetősen bonyolultak, ami azt is jelenti, hogy sok bennük a hibalehetőség. Ha valaki IT-biztonsági szakemberként el akar igazodni közöttük, a hálózatok világának legapróbb részleteivel is tisztában kell lennie.
- Mint minden informatikusnak, az IT-biztonsággal foglalkozóknak is szükségük van stabil matematikai alapokra. Viszonylag kevesen foglalkoznak azonban olyan területekkel, ahol nélkülözhetetlen az igazán mély matematikai tudás. Természetesen azokat is keresi a szakma, akiknek megvan az affinitásuk az elméletibb, absztrakt dolgok iránt. Ők aztán kedvükre beleáshatják magukat a mély matematikába - emeli ki Buttyán Levente.
Éles helyzetek tesztkörnyezetben
Igazodva a nemzetközi trendekhez, jelenleg a kiberfizikai rendszerek biztonsága áll a CrySyS Lab tevékenységének fókuszában. A számítógépek által felügyelt fizikai rendszerek - ipari berendezések, járművek, orvosi eszközök stb. - újfajta veszélyhelyzeteket teremtenek, amelyek megakadályozásával, elhárításával komolyan kell foglalkozni. Kutatók például már megmutatták, hogy a modern autókban működő, egymással összeköttetésben álló, egymással kommunikáló számítógépeket kívülről meg lehet támadni. Egyáltalán nem kizárt tehát, hogy egy gépkocsi működését valamilyen rossz szándékú külső támadó befolyásolja, esetleg megbénítsa. Még nagyobb a veszély, ha mindez egy önvezető autóval történik meg.
Szintén kurrens téma az anomáliadetekció. Lényege, hogy a kutatók a saját fejlesztésű szoftvereiket először megpróbálják a gépi tanulás módszereivel megtanítani arra, hogy miként működik a vizsgált rendszer (például egy ipari hálózat) normál állapotban. A következő lépés, hogy e szoftverek felismerjék a normálistól eltérő viselkedést, azaz detektálják az anomáliát. Az anomáliadetekció egyrészt magában foglalhatja a hálózaton menő üzenetek figyelemmel kísérését, másrészt kiterjedhet a fizikai folyamatok alakulásának követésére, pontosabban arra, hogy a mért paraméterek megegyeznek-e a fizikai folyamat modelljével, illetve mennyire térnek el attól.
Ugyancsak elsősorban ipari környezetben hasznosítható az úgynevezett forensic analízis vagy incidenskezelés céljából végzett utólagos analízis. Ehhez a működés során logokat gyűjtenek, majd a későbbiekben a logok alapján tudják rekonstruálni, illetve megvizsgálni, hogy egy incidens alkalmával pontosan mi is történt a rendszerben.
- A loggyűjtés eredményeképpen óriási mennyiségű adat keletkezhet. Kulcskérdés tehát a hatékony tárolás. A probléma megoldására kidolgoztunk egy tömörítési eljárást. Úgynevezett szemantikus tömörítést alkalmazunk, azaz az eljárás azt is kihasználja, hogy milyen adatokat tömörít. Ezzel az okos módszerrel jóval hatékonyabbá válik a tömörítés, mint a hagyományos algoritmusokkal. Laborunkban tesztelni is tudjuk a
detekciós algoritmusunkat vagy a loggyűjtés algoritmusát. Ehhez a tesztrendszerünkben támadásokat generálunk. Házon belül oldjuk meg tehát mind a szimulált támadásokat, mind a védekező eszközök fejlesztését, kipróbálását - mutat rá a kutató.
- Az eredményes munka elképzelhetetlen lenne ipari partnerek nélkül. Sok vállalattal állunk kapcsolatban. Elsősorban az ipari automatizálás, az autóipar területére fókuszálunk, de tanácsadó cégek is vannak a partnereink között. Alapvetően kutatás-fejlesztési együttműködésekről van szó, ezek illenek az egyetem profiljába. Emellett érkeznek hozzánk olyan megkeresések is, amelyek valamilyen incidens felderítésére vonatkoznak. Ez utóbbi tevékenységre külön céget hoztunk létre - tette hozzá Buttyán Levente.
ÁTALAKULÓ IT-BIZTONSÁGI SZEREPEK
Vajon megalapozott-e a félelem, hogy a technológia fejlődésével gépek veszik át az IT-biztonsági szakemberek munkáját? A NetIQ szakértői egyetértenek abban, hogy az automatizálás egyre nagyobb szerepet játszik az IT-biztonságban. Az ilyen jellegű megoldások már most is komoly előnyt jelentenek a támadások észlelésében és elhárításában. Hatékonyabb működést tesznek lehetővé, következésképpen bizonyos szakemberek munkájára kevésbé vagy egyáltalán nem lesz szükség a jövőben.
Ugyanakkor a változás új feladatköröket és munkahelyeket teremt. Egyre több előrejelzés mutat rá például arra, hogy a mesterséges intelligenciát (AI) és a gépi tanulást széles körben alkalmazzák majd az IT-biztonság terén. Így elképzelhető, hogy a későbbiekben minden nagyobb vállalati IT-biztonsági csapatban találkozunk majd AI-biztonsági szakemberrel. Összességében nem valószínű, hogy a jövőben szükségtelenné válnak az IT-biztonsági szakemberek. A szerepek azonban átalakulnak, ahogy a mesterséges intelligencia egyre nagyobb felelősséget kap az adatok védelmében.