A budapesti Paulay Teremben neves információbiztonsági szakértők és élenjáró termékeket, szolgáltatásokat kínáló cégek képviselői adtak aktuális helyzetképet az informatikai rendszerek biztonsági kihívásairól és a sérülékenységek elkerüléséről április közepén.
Sok szó esett a leggyengébb láncszemről, az informatikai szolgáltatásokat használó emberről is – foglalta össze Mester Sándor, a Computerworld lapigazgatója a Necces helyek a hálón című rendezvényen elhangzottakat, amelyet Takács Tibor, a Computerworld szakmai partnerének, a Vezető Informatikusok Szövetségének alelnöke nyitott meg.
Tény, a világ egyre veszélyesebbé válik: a legfrissebb statisztikák szerint 2013-ról 2014-re a rosszindulatú weboldalakon keresztüli támadások száma 600%-kal nőtt. A rosszindulatú malware-ek 85%-a normál, hétköznapi hosztolt szolgáltatásokon keresztül terjed, és egyre több érkezik közösségi oldalakról. Legveszélyesebbnek a social engineering számít, de a klasszikus adathalászatot sem szabad lebecsülni, akárcsak a drive-by download támadásokat sem. Napjaink egyik legfejlettebb módszere a watering hole is, de még léteznek az e-mailes támadások, ahogyan a hagyományos hackertámadások is. A támadás pedig bárhonnan érkezhet.
A Fire Eye-Mandiant legfrissebb publikációja szerint a fertőzéstől a felfedezésig átlagosan 205 nap telik el, ami még mindig elképesztően hosszú időnek számít, hisz ezalatt a támadók könnyűszerrel hozzájutnak a kívánt adatokhoz. „Ugyancsak figyelemre méltó, hogy az áldozatok 100%-a rendelkezik aktuális frissített vírusirtóval” – szögezte le Zala Mihály vezérőrnagy, információbiztonsági szakértő előadásában.
Teszt a lelke mindennek
Éppen ezért a weboldalak biztonságáról már akkor gondoskodni érdemes, amikor még el sem indult. A biztonsági felelős ugyanis csak rendezett informatikai háttérrel tud valódi biztonságot teremteni, ez pedig csak akkor lehetséges, ha a szervezet tudja (és akarja tudni), mi a feladata, és ismeri a folyamatait. Mivel már az informatikai rendszerek tervezése és kivitelezése során megjelennek az alapvető problémák, hozzáállásbeli különbségek, ezért jóval költséghatékonyabb egy megfelelő tervezés és tesztelés eredményeként létrejövő rendszer, hiszen csak ezáltal biztosítható a kivitelezés során a cél eléréséhez szükséges javítások felfedezése, és kerülhetők el a későbbi toldozás-foldozás hatalmas költségei is.
Mindezek nélkül a betegségeket nem tudják meggyógyítani a biztonsági szakemberek, mindössze a biztonságtudat, az általános biztonsági kultúra erősítéséhez tudják az igét hirdetni – foglalta össze a lehetőségeket Török Szilárd, az NKE doktorandusza, aki az IT-biztonság és a költséghatékony informatika kapcsolatáról tartott előadást.
Pedig az információs szupersztráda igen veszélyes hely, de egyáltalán nem azért, mert nagy része jelenleg is szabad szoftvereken alapul – ilyen például a Google, a Twitter, a Facebook, a YouTube, de a magyarorszag.hu is. (Jól mutatja ezt az is, hogy a „TOP 500 Supercomputer” közül 485 Linux, 13 Unix, 1 vegyes, a maradék 1 pedig mind Microsoft.) Már csak azért sem, mert a zárt megoldások veszélyei teljesen ismeretlenek, mivel eleve nem látható, hogy mi került bele és hogyan működik.
Egy ilyen rendszerbe egy backdoort egyszerű elhelyezni, míg a nyílt esetében leginkább csak hatalmas tudással és körmönfontan érdemes próbálkozni, miután sokkal többen ellenőrzik azt a világméretű fejlesztéseknek köszönhetően. A nyílt forráskódú területen is komoly biztonsági fejlesztések zajlanak, nem csak a védekezésben. „Jó példa erre az Open Web Application Security Project, melynek már magyar tagozata is van” – mutatott rá Erdei Csaba, az e-közigazgatási Szabad Szoftver Kompetencia Központ volt projektvezetője, IT-biztonsági szakértő.
Túlsúlyossá vált az ember
Míg 2010-ig a technológiai védekezéssel hatékonyan lehetett hárítani a megújuló támadásokat, ettől kezdve azonban – ahogyan egyre jobban felismerték a humán sérülékenységet – már az emberi jóhiszeműségre kezdték alapozni az attakokat a digitális betörők; erre viszont a technológiai IT-biztonsági gyártók nem tudtak egyértelmű választ adni, annak ellenére, hogy burjánzanak az újgenerációs megoldások.
Mára minden célzott támadásban kötelező elem a személy, ezzel számolni kell. Az emberi kockázat hagyományos kezelése helyett egy újszerű módszertant érdemes bevezetni, mely a Gartnertől származik, középpontjában pedig nem a szabályozás áll, hanem az ember maga – jogosítványokat és bizalmat kínálva számára. Ha ez a vállalati kultúra részévé válik, akkor kétirányú ellenőrzési metódus alakul ki: maga a felhasználó is jelzi, ha deviáns viselkedést észlel, amivel nemcsak biztonsági, hanem üzletfolytonossági szintet is lehet javítani – mondta Harold Teasdale, a Quadron ügyvezetője, a felhasználói magatartás és IT-biztonsági szint kapcsolatát vizsgáló „Magatartás: (1) Elégtelen” című előadásában.
A felhasználók és weboldalak mellett más veszélyforrások is jelen vannak a vállalatok és intézmények életében, pláne ott, ahol haladva a korral olyan trendeket követnek, amelyek modern stratégiai eszközöket alkalmaznak a versenyelőny növelése és a költségek csökkentésére.
A modern veszélyek közül a CryptoLocker okozhat komoly problémát, mert a titkosított állományokhoz szükséges feltörhetetlen feloldóalgoritmusokért hiába fizet a felhasználó, korántsem biztos, hogy megkapja. Aki ráadásul nemcsak az internetről tud fertőzést összeszedni, elég, ha fel szeretné tölteni fertőzött e-cigarettáját. A hazai biztonságtudattal kapcsolatban érdekes felmérést készített a Sicontact: többek között azt vizsgálta a cég, hogy milyen arányban kattintottak a felhasználók a vírusirtó riasztása ellenére kétes weboldalra vagy fájlra.
„Az eredmények rosszak, mint kiderült, kétszer annyi férfi kattintott már fertőzött tartalomra és fájlra, mint nő” – mondta Szincsák Tamás, a Sicontact Kft. IT-tanácsadója, hozzátéve: aki egyszer is IT-eszközhöz nyúl, annak képesnek kell lennie biztonságtudatosan alkalmazni azokat.
A weboldalak, informatikai rendszerek támogató, azaz külső megfigyelése nemcsak a támadók, de a váratlanul felmerülő hardveres vagy szoftveres hibák miatt is fontos a vállalatok számára – mégpedig az idő miatt. Ha egy weboldal 10 másodpercen belül nem töltődik be, az azonnali fogyasztáshoz szokott felhasználók jó eséllyel továbbállnak, ez pedig bevételkieséshez, ügyfélvesztéshez vezethet.
A fennakadás mögött nem feltétlenül állnak rossz szándékú hackerek, egy szoftverfrissítés, verzióváltás is akadályozhatja a folyamatokat. „A reakcióidő kulcsfontosságú, a rendszerüzemeltetőknek időben értesülniük kell a leállásokról, ami munkaidőn túl csak email- vagy SMS-riasztásokkal oldható meg” – mondta előadásában Kemecsei Gábor, a Medián webDIAG Kft. ügyvezetője.
Hozzátette: bármennyire jól is működik rendszerük, fontos, hogy az ügyfeleknek legyen vészforgatókönyvük, hiszen nemegyszer következett be teljes rendszerösszeomlás, dacára annak, hogy ők előre figyelmeztették az érintett céget, ami ennek ellenére sem tudta megtenni a szükséges lépéseket.
Gépek a hálón
A fenyegetések és támadási stratégiák folyamatosan változó világa nyújtotta új kihívásokra a vezető gyártóknak is reagálniuk kell, hiszen egyre könnyebben kerülik meg a hagyományos védelmeket az egyre kifinomultabb támadások.
2013-hoz képest a tavalyi évben a napi spamek száma drasztikusan, 56%-kal csökkent, miközben a rosszindulatú URL-ek és csatolmányok mennyisége számottevően nőtt. Tehát bár kevesebb kéretlen levél érkezik, azok sokkal veszélyesebbek, mint elődeik. A DRIDEX trójai 305-ös nevet viselő botnetje 2-3 percenként volt képes teljesen új, rosszindulatú Word dokumentumot generálni, ezzel a sok variánssal pedig át tudott csúszni a spamszűrőkön és a víruskergető szoftvereken is.
„A folyamatosan változó fenyegetésekre és támadási stratégiákra válaszul a headtechnology olyan innovatív és rugalmas szállítók termékeit veszi fel portfóliójába, amelyek képesek hatékonyan szembeszállni a mindig egy lépéssel előrébb járó támadókkal” – mutatott rá számos lehetőségre előadásában az IT-biztonsági megoldások disztribúciójával 30 kelet-európai, közép-ázsiai, valamint volt szovjet államban 10 éve foglalkozó vállalat, a headtechnology GROUP vezérigazgatója, Vladimir Gretsyk.
Az Internet of Things korában az eddig elszigetelten működő ipari IT-biztonság új kihívások elé állítja nemcsak a szakembereket, hanem a törvényhozókat is. Ma már az iparban, termelésben is hálózatokba kötik az eszközöket, melyek biztonságáról ugyanúgy kell gondoskodni, mint egy vállalatirányítási szoftveréről.
Komoly problémákat okoz az is, hogy az eddig elszeparáltan működő rendszereket kezelő emberek nem voltak tisztában az IT-biztonság kihívásaival, értendő ez úgy, hogy még egy jelszócserét sem feltétlenül hajtottak végre, a gyári belépőkódokkal bárki – akár távolról is – hozzáférhetett a rendszerekhez.
Viszont az ipar esetében egy-egy leállás egyrészt komoly anyagi veszteséget okozhat, másrészt nemzetbiztonsági kockázatai is vannak. Ha egy atomerőmű áll le akár csak néhány órára is, az már komoly kockázatot jelent, és nem csak az energiaellátás szempontjából. Remek példa erre a hírhedt Stuxnet, ami évekkel vetette vissza az iráni atomprogramot.
„Szerencsére a kormányzatok felismerték az ipari IT-biztonság fontosságát, ezért komoly szabályozásokkal próbálják biztosítani, hogy a kulcsfontosságú termelőrendszerek megfelelően működjenek” – mondta Papp Márton, az Eastron Kft. termékértékesítési igazgatója.
A SecWorld 2015 konferencián az Aruba Cloud kiállítóként is részt vett. A cég egy olyan teljes körű felhőszolgáltatást fejlesztett ki, amely nemcsak virtuális gépek, hanem teljes virtuális infrastruktúra kialakítására alkalmas, kezelhetősége egyszerű, rugalmas, költséghatékony és biztonságos. Hazánkban a szolgáltatásaik változatosak, a cloud computingot minden vállalatméretre, míg a magánfelhő-szolgáltatásukat nagyvállalatok számára kínálják – nyilatkozta Varga Sándorné Parrag Jolán, az Aruba Cloudot képviselő BlazeArts Kft. vezetője.
A kerekasztal-beszélgetés résztvevői voltak: Zala Mihály, vezérőrnagy, információbiztonsági szakértő; Benyó Pál, informatikai biztonsági vezető, Miniszterelnökség; Csoma Péter Gergely, Chief Architect, Országos Nyugdíjbiztosítási Főigazgatóság (ONYF); Makszy Gábor, igazgató, üzletmenet-folytonosság-, biztonság és belső szolgáltatások, BNP Paribas Magyarországi Fióktelepe