Noha az IoT, a blokklánc-technológia és a chatbotok élvezik a reflektorfényt mind a médiában, mind az iparágon belül, a felhasználók számára jelenleg a felhő biztonsága a legfontosabb technológiai kérdés, derül ki az Oracle friss felméréséből. Az üzleti vezetők 59 százaléka úgy gondolja, három éven belül erre fog támaszkodni; 42 százalékuk szerint viszont 2021-re az autonóm adatbázisok jelentik majd a biztos pontot vállalatuk működésében, amelyek segítenek majd az emberi eredetű hibák elkerülésében.
Szuhai Gusztáv, az Oracle biztonsági megoldásokért felelő kereskedelmi vezetője szerint a magyar üzleti vezetők egyre nagyobb érdeklődést mutatnak az olyan technológiák iránt, amelyek növelik hatékonyságukat, illetve amelyekkel megújíthatják piaci stratégiájukat. Az új technológiákban rejlő lehetőségeket tehát felismerték a döntéshozók, ugyanakkor érzékelik a sérülékenység üzleti kockázatait is, így olyan kiberbiztonsági megoldást szeretnének, amely azonnal teljes körű védelmet nyújt az adataik számára.
Meglátni és átnevezni
Előbb azonban lépjünk vissza az időben! Rengeteg sajtóorgánum, köztük a Computerworld is cikkek egész sorával igyekezett felébreszteni az alvókat, számos vállalatnál mégis csak május végén eszméltek rá, hogy a GDPR rájuk is vonatkozik. Azóta már az első bírságokat is kirótták a hatóságok, a késlekedők pedig vakarhatják a fejüket, hiszen rengeteg munkával jár, hogy a tárolt, illetve a jövőben érkező adatokat az előírásoknak megfelelően kezeljék. Még az is rengeteg időt emészt fel, ha csak az előírások kapcsán érintett információkat tartalmazó dokumentumokat és adatbázisokat akarják feltérképezni. Ezt a pluszmunkát takaríthatják meg a fájlokat automatikusan végigszkennelő alkalmazásokkal.
Ilyen eszközt több forrásból be lehet szerezni; a Micro Focus-félét File Reporternek hívják. A szoftver alapvetően a hálózati fájlrendszerek vizsgálatára szolgál: részletes információkat szolgáltat a tárolt fájlokról, de magában foglal egy tartalomelemző funkciót is, amellyel képes feltérképezni a legfontosabb szabályozásokban, köztük a GDPR-ban, a PCI (Payment Card Industry Data Security Standard) szabványban és a PHI (Protected Health Information) előírásokban említett személyes adatokat. Ezen információk birtokában a cégek biztosabb helyre mozgathatják, titkosíthatják vagy akár törölhetik is az érzékeny adatokat tartalmazó adatállományokat.
A Voltage SecureData Enterprise képes úgy titkosítani az adatokat, hogy azok megőrzik formátumukat. Például egy 16 karakterből álló bankkártyaszám a titkosítás után is ugyanúgy számsorként kezelhető az adatbázisban, a valós adatok azonban nem lesznek hozzáférhetők. A Micro Focus megoldása képes álnevesíteni a személyes adatokat, így - további információk felhasználása nélkül - már nem állapítható meg, hogy a személyes adat mely konkrét személyre vonatkozik, a beazonosításhoz szükséges további információkat pedig szintén biztonságos módon tárolja. Az egyik nagy európai mobilszolgáltató az előfizetői adatok védelmére használja az említett megoldásokat, egy globális kártyakibocsátó pedig akkor használta azokat, amikor a felhőbe migrálta rendszereit.
Besurranó tolvaj
Előrejelzések szerint 2025-re több mint 75 milliárd hálózatra csatlakoztatott eszköz lesz világszerte - az intelligens otthoni eszközöktől kezdve az e-egészségügyi berendezésekig -, ez pedig kiberbiztonsági szempontból komoly veszélyt jelent, hiszen a megosztott személyes és bizalmas adatok mennyiségével együtt a hálózati belépési pontok száma is növekszik.
- A hackerek már jelenleg is kihasználják az internetre kapcsolt eszközök sérülékenységeit, ezért a felhasználók nem engedhetik meg maguknak, hogy figyelmen kívül hagyják a biztonsági intézkedéseket - mondta Béres Péter, az ESET magyarországi képviseletét ellátó Sicontact Kft. IT-vezetője.
Éberségből azonban soha nem elég. Új és új módszereket vetnek be a zsarolással foglalkozó kiberbűnözők is: 2018-ban egyedi tervezésű, célzott zsarolószoftveres támadásokkal szereztek dollármilliókat, sokkal többet, mint a korábbi időkben. Újabban már kiválasztják és megfigyelik áldozataikat, ha kell, több lépcsőben jutnak el a fertőzésig, elhárítják az akadályokat, és megsemmisítik a biztonsági mentéseket, hogy a követelt nagy összegű váltságdíjat kifizettessék. A Sophos szakértői úgy vélik, a SamSam, BitPaymer és Dharma zsarolóvírusos támadások anyagi sikere arra buzdít majd másokat, hogy ezt a módszert alkalmazzák jövőre is.
A SamSam zsarolóvírus-kampány során az elkövetők több mint 6,5 millió dollárhoz jutottak. A rendszer feltörése után kis lépésekkel haladva lopják el a rendszergazda-szintű hozzáférési adatokat, változtatnak a belső beállításokon, inaktiválják a biztonsági mentéseket és így tovább. Mire az IT-felelősök észreveszik, hogy mi zajlik, a baj már megtörtént, állapítja meg a 2018-as Threat Report.
- Számos szervezet fel van készülve automatikus botok elleni támadásokra, az interaktív, emberi vezérlésűekre azonban nem. Ha aktív támadók jutnak be a rendszerbe, laterális gondolkodást alkalmazva képesek felmérni az akadályokat, és nyomaikat elfedve mozogni a hálózaton belül. Nehéz őket megállítani, kivéve, ha a megfelelő biztonsági eszközökkel rendelkezik a rendszer, mondta Szappanos Gábor, a Sophos szakértője.
- A legtöbb laterális (oldalirányú) mozgás a végpontnál történik, ezért szinkronizált működésű biztonsági rendszerre van szükség. A támadók kísérletet fognak tenni arra, hogy biztonsági hibák, a Mimikatzhez hasonló eszközök és jogosultságnövelés segítségével törjenek előre. A hálózatnak megfelelő módon kell reagálnia, automatikusan lekapcsolnia, illetve elkülönítenie a fertőzött gépeket, mielőtt bárki vagy bármi tovább juthatna, mondta.
Napvilágra kerültek azonban olyan esetek is, amikor a kibertámadók fizikailag is megjelentek a célba vett intézményben. A Kaspersky Lab szakemberei számoltak be arról, hogy az utóbbi két évben több kelet-európai pénzügyi szervezetnél jutottak arra a megállapításra, hogy a támadók az épületbe bejutva csatlakoztattak eszközöket a hálózatra. Régiónkban eddig legalább nyolc bankot ért ilyen módszerrel végrehajtott támadás, a becsült veszteség pedig több tízmillió dollárra tehető.
Háromfajta eszközt használtak: laptopot, hitelkártya-méretű egylapkás Raspberry Pi számítógépet vagy Bash Bunnyt (speciálisan az USB-támadások automatizálásához és végrehajtásához fejlesztett eszközt). Ezeket GPRS-sel, 3G- vagy LTE-modemmel látták el, ami lehetővé tette, hogy távolról behatoljanak a pénzügyi szervezet belső hálózatába. Amint létrejött a kapcsolat, megpróbáltak hozzáférést szerezni a webszerverekhez, hogy ellopják a kiválasztott számítógépen az RDP (távoli asztal protokoll) futtatásához szükséges adatokat, ezután pedig pénzt vagy adatokat kaparintsanak meg. Ehhez a fájl nélküli támadási módszerhez többek között az Impacket, a winexesvc.exe vagy a psexec.exe távoli végrehajtási eszközöket használták. A végső szakaszban távvezérlésű szoftver útján tartották fenn hozzáférésüket a fertőzött számítógéphez.
- Teljesen újfajta támadásokat figyelhettünk meg, amelyek az észlelhetőség szempontjából meglehetősen kifinomultak és összetettek voltak. A vállalati hálózat behatolási pontja sokáig ismeretlen maradt, mivel bármelyik régió bármelyik irodájában lehetett. A becsempészett és elrejtett eszközöket távolról nem lehetett megtalálni, ráadásul legitim segédprogramokat használtak, ami még komplikáltabbá tette az incidens elhárítását, mondta Szergej Golovanov, a Kaspersky Lab biztonsági szakértője.
Tanul a védelem
Ma egy tipikus kártevő olyan komplex kódból áll, amelyet évekig fejlesztenek a bűnözők. Mivel a vírusvédelmi szoftverek az új kártékony kódokat általában gyorsan detektálják, a fejlesztés a bűnözők számára csak akkor kifizetődő, ha a már ismertté vált vírusokat gyorsan és egyszerűen újra tudják csomagolni, majd az újracsomagolással álcázott kártevőt új verzióként tudják terjeszteni.
Olyan ez, mintha egy terrorista újra és újra megpróbálna lőfegyvert felcsempészni egy repülőgépre. Ha pisztolyt tesz a zsebébe, egyből lebukik. Ezért különböző technikákat vet be: a fegyvert elkészíti műanyagból, majd részekre szedi, és az egyes részeket külön-külön próbálja meg feljuttatni a gépre. A kártevők fejlesztése is így működik: a bűnözők ugyanazt a kódot különböző technikákkal álcázva újra és újra elrejtik különböző csomagokban, és egy kártevőből akár több száz változatot készítenek el.
A hagyományos vírusvédelem minden egyes újracsomagolt kártevőt új változatként analizál, majd minden új változatot egyesével blokkol. A vírusirtó cégek ezért folyamatosan fejlesztik azokat a technológiákat, amelyek viselkedés alapján ismerik fel a kártevőket. A magatartás-alapú vírusvédelem a gépre letöltött kódok szimulált viselkedése alapján ismeri fel az új kártevőket, és azt a kódot tekinti kártevőnek, amely úgy viselkedik a gépen, ahogyan a kártevők szoktak (például kinyit egy portot, és egy távoli szerverről további fájlokat tölt le). Az ilyen védelem ma már fontos részét képezi minden vírusirtónak.
A kockázati tényező kiszámításához a G DATA-féle DeepRay technológia 150 különböző jellemzőt vesz figyelembe, beleértve például a fájl méretét, a benne foglalt programkódot vagy a fájl létrehozásához használt programozási környezetet. Az adatokat tanulásra képes neurális hálózat elemzi, folyamatosan elraktározza az előző vizsgálatok eredményét, majd az új kódok elemzésében felhasználja ezeket. Mindehhez a DeepRay húsz különböző gépi tanulási modellt alkalmaz, és ha az egyik modell kártevőnek jelöl meg egy fájlt, akkor azt mélyebb elemzésnek veti alá. Erre a gép RAM memóriájában kerül sor azért, hogy a kártevő ne tudja érzékelni az elemzői környezetet. A technológia lehetővé teszi olyan kártevők felismerését is, amelyek korábban átjutottak a vírusvédelmen, teljesen új kártevőcsaládok felismeréséhez pedig az adaptív tanulást használja.
- A DeepRay segítségével megváltoztatjuk a játék szabályait, és a bűnözők gazdasági modelljére mérünk válaszcsapást. Azt tesszük lehetetlenné, hogy egyszerűen és költséghatékonyan készítsenek egy meglévő kártevőből új variációkat, hangsúlyozta Andreas Lünig, a G DATA egyik alapítója.