Három egyszerű kérdéssel minden vállalatvezető képes megingatni a legmagabiztosabb főinformatikus önbizalmát is, és ehhez a három kérdéshez nem kell autodidakta kémelhárítónak lennie. Lássuk a kérdéseket!
Hány támadás jutott át ebben a hónapban a tűzfalainkon és a vírusszűrőkön?
A legtöbben hajlamosak feltételezni a tűzfalakról, hogy azok meg tudják akadályozni a behatolást. Húsz évvel ezelőtt talán valóban így volt. Csakhogy a támadók is fejlődtek húsz év alatt, s ma már rendelkeznek a tűzfalak megkerülésére alkalmas módszerekkel. Úgyhogy tűzfalakra szükség van ugyan, de ne higgyük, hogy biztosan útját állják a behatolóknak.
Az antivírusok is nagyon hasznos és nélkülözhetetlen szoftverek, minden számítógépen ott a helyük. Egy a gubanc: nem minden számítógépes vírust képesek fülön csípni. Végtére is ezért hívják őket vírusszűrőnek - a szűrő is lukas. Persze ettől még sok vírust és trójait (és más egyéb malware-t) meg tudnak állítani, ha korábban már találkoztak velük. Ám ha új kórokozóval kerülnek szembe, avagy olyan változattal, amelynek a kódja kicsit módosult, nagy az esély arra, hogy átcsúszik a szűrőn. Nem azért, mert rossz a program vagy mert a gyártó nem érti a dolgát. Ha az antivírusgyártóknál dolgozó lángeszeken múlna, a vírusszűrők nemcsak minden kártékony programot blokkolnának, de egy sor egyéb alkalmazást is.
Amennyiben a gyártó nem találkozott még az adott vírussal, egyéb módszereket (például heurisztikus keresést), alkalmazások viselkedését figyelő megoldást kell alkalmaznia. A gyanús viselkedést mutató alkalmazást az antivírusprogram igyekszik megállítani, működését megakadályozni, ami azonban gyakran jár hamis riasztásokkal, s az ártalmatlan alkalmazásokra kiadott figyelmeztetésekkel sírba lehet kergetni a jóhiszemű felhasználókat.
Éppen ezért az antivíruscégek óvatosan mondják rá valamire, hogy az vírus. Amennyiben száz százalékig biztosak abban, hogy az adott kód vírus (mert korábban már azonosították), akkor általában meg is tudják állítani. Ám ha a szoftver csak nyolcvan százalékig biztos a dolgában, valószínűleg figyelmeztetni sem fogja a felhasználót. Természetesen a támadók is tesztelik károkozóikat a tíz legismertebb antivírussal, mielőtt útjukra bocsájtják azokat. Így azután jó eséllyel legalább néhány napig nem lesz vírusszűrő, amely felismeri a frissen szabadba került malware-t.
Amikor tehát a főfőnök felteszi a kérdést, "hány támadás jutott át ebben a hónapban a tűzfalainkon és a vírusszűrőkön", valójában azt mondja: "tisztában vagyok azzal, hogy a tűzfalak és antivírusprogramok nem védenek meg minden támadástól; hogyan védjük ki azokat, amelyek átjutnak ezen a két szűrőn?"
Nem árt észben tartani, hogy amennyiben egy éven át mindig azt mondjuk, egy sem, az vagy azt jelenti, hogy egy fia számítógép sincs a cégnél, vagy azt, hogy egy lélek sem használja őket, netán azt, hogy az IT-biztonsági felelősnek sejtelme sincs arról, hogyan kell felderíteni a támadásokat. Annak, hogy a cég nem kompromittálódik, nagyon kicsi a valószínűsége. Persze előfordulhat, matematikailag.
Mit teszünk azért, hogy minél kisebb legyen a támadási ablak?
Aligha tudunk a támadás minden lehetőségét örökre kizáró biztonsági stratégiát alkalmazni, ahhoz ugyanis a vállalat bevételeinek legalább a felét kibervédelemre kellene költenünk. Feltéve, hogy nem a Nemzetbiztonsági Ügynökségnél dolgozunk, legföljebb a bevétel 0,1 százalékával kalkulálhatunk. Az összes lehetséges támadás kivédése enyhén szólva ambiciózus terv. Pontosabban fogalmazva lehetetlen. A sikerben csak akkor reménykedhetünk, ha minden számítógépünk le van választva az internetről és minden olyan hálózatról, amelynek akár egyetlen eleme is csatlakozik az internetre. Bár még ez sem jelent garanciát, hiszen naponta születnek új támadási elgondolások, és olyasmi ellen védekezni, amire a védők sem gondoltak még, nyilvánvalóan megfizethetetlen. Sokkal valószínűbb, hogy az IT-biztonsági felelősök - akár elismerik, akár nem - az alábbiak szerint építik ki stratégiájukat:
- Megelőzni a támadást, ha az gazdaságosan megoldható, felderíteni azokat, amelyeknél a megelőzés túl költséges volna, majd gyorsan és hatékonyan visszaállítani a rendszert.
Jön tehát a kérdés: "tudom, hogy minden támadás kivédése nem szerepelhet az IT-biztonsági stratégiánkban, azt is tudom, hogy pusztán antivírusra és tűzfalra támaszkodni gyönge megoldás, mert arra fel vannak készülve a támadók. Üzleti szempontból a lényeg az, hogy a támadást a feltört számítógépeken okozott károk mérséklése érdekében gyorsan felderítsük, de mit teszünk azért, hogy minél kevesebb idő teljen el a betörés és annak felderítése között?"
Előfordulhat, hogy az IT-biztonsági vezető ezt próbálja ürügyként használni a költségvetés növelésére, avagy lila gőzbe burkolt műszaki megoldásokkal hozakodik elő, amiket még szakemberek sem értenek, mert úgy érezheti, őt fenyegeti a kérdés. Nos, hogy a számítógépes rendszerek biztonsága valóban csak vírusszűrőn és tűzfalakon múlik-e, annak minél gyorsabban utána kell nézni.
Átlagosan milyen költséggel jár egy-egy biztonsági incidens?
Milyen összeget kapunk, ha összeadjuk a tűzfalak, a vírusellenőrző programok, az internetbiztonsági szakértők, a biztonsági célszoftverek, szakértői konzultációk - szóval az IT-biztonsági keretbe tartozó összes tétel - költségét, és az eredményt elosztjuk az évente kivizsgált biztonsági események számával? Amennyiben a végösszeg a sokmilliós sávba esik, nagy a gond. Jó, hogy sokat költünk IT-biztonságra, de jó helyre toljuk be a pénzt? Túl sokat költünk olyan technológiára, ami nem hozza az elvárt eredményeket a biztonsági helyzet javításában?
Hasonlattal élve: nem föltétlenül ostobaság egy vagyont költeni nyaraláskor szúnyogriasztó szerre, hacsak nem az Antarktiszra utazunk. Ugyanez a helyzet az informatikai biztonsággal. Pénzt költeni könnyű. Pénzt úgy elkölteni, hogy annak pozitív hatása legyen, már sokkal nehezebb, az IT-biztonsági vezető előtt ráadásul az a feladat áll, hogy a lehető legkevesebb pénzből valósítsa meg a biztonsági rendszer legjobb fejlesztését.
Ez a kérdés tehát az egész biztonsági stratégia fő kérdése, és semmiféle műszaki ismeret nem kell hozzá. Az azonban létfontosságú, hogy a védelmi stratégiának mérhető eredménye legyen, ennek pedig a költség/haszon elemzés a legjobb, minden elemre kiterjedő eszköze.