Akkoriban ez egy élhető elképzelés volt, bár már akkor is látszott, hogy a vírusok és egyéb kártékony szoftverek gyarapodása exponenciális pályára kezd állni, és az ilyen kézműves megoldások dicséretesek ugyan, de hosszú távon inkább csak szakmai háttéranyagként, sem mint hatékony, bevethető tudástárként lehet rájuk tekintetni.
Azóta a malware-ek körüli számok, trendek szédítő adatokkal sokkolnak - csak egy példa a TALOS (a Cisco CTI csapata) által naponta vizsgált 2,4 millió új minta. De a helyzet az, hogy még csak nem is ezek az elképesztő számok napjaink kiberbiztonsági problémájának legfőbb okai.
A kiberbizonság a kezdetektől fogva ezzel a nagy kérdéssel küzd: mi a jó és a mi a rossz? Legyen az egy file, egy IP cím, egy domain - ha mindről el tudnánk dönteni, hogy melyik kategóriába tartozik, készen is lennénk, problem solved. Az ismert rosszak megállíthatóak a viszonylag egyszerű megoldásokkal, ezek - akár csak az érettségi - szükségesek, de nem mindig elégségesek.
Tűzfal és minimum klasszikus vírusírtó már a 80-as években létezett. Sőt, az első vírus-vírusirtó páros (Creeper - Reaper) 1971-es (hogy igazán pontosak legyünk, a Creeper egy féreg volt), de még az első zsarolóvírust sem a 2010-es évek termelték ki: az AIDS néven futó első digitális túszejtő 1989-ben szedte áldozatait. Óvatosan számolva is volt rá lassan 40-50 évünk, hogy az IT rendszereinket immunissá tegyük a támadások, károkozások ellen. De akkor miért érezheti úgy akár egy laikus is, hogy nem igazán kerültünk közelebb az áhított immunitáshoz, és szemlátomást a tűzfalak és vírusirtók mellett megjelent új biztonsági megoldásokkal egyre nagyobbra duzzadó security stack ellenére a helyzet nemhogy javulna, de évről évre csúnyább számokat mutatnak a károkat prezentáló diák. És ezek a számok nem csak üzleti károkat jelentenek, nem csak reputációs veszteséget, de egyre gyakrabban kritikus infrastruktúra elleni sikeres támadások eredményeit is, amit sok esetben nehéz, vagy nem is érdemes dollárra/forintra átváltani.
A helyzet amellett, hogy nem túl fényes, picit csalóka is, ha pl. a '90-es, 2000-es évekhez viszonyítjuk. Az akkoriban használt számítástechnikai eszközök, szoftverek, online szolgáltatások száma elenyésző a maiakhoz képest, és talán még nagyobb a különbség az online rendszereket használók tekintetében - és itt a vállalati/üzleti felhasználók mellett hatalmasat nőtt a magánszemélyek online jelenléte. Persze ezzel nem mondtunk semmi újat, de azért érdemes figyelembe venni, hogy mi következik a rendszerek, szolgáltatások és felhasználók számának robbanásszerű növekedéséből - a támadási felületek ugyanilyen ütemű növekedése. A két görbe sanszosan párhuzamos lenne, ha ábrázolnánk. Ez persze magyarázat lehet, de vigasz nem.
De "felvevőpiac" nélkül nem kellene, hogy a növekvő támadási felület ezzel arányosan növekvő károkat is jelentsen. Ha nem alakult volna ki egy egész iparág az online fosztogatásra, zsarolásra, akkor messze nem lenne ennyi kiberbiztonsági incidens. Az üzletszerű kiberbűnözés nélkül sokkal kevesebb "hackertámadás" headline lenne.
De mit is jelent a gyakorlatban ez az üzletszerű kiberbűnözés? Valójában pont azt, amit az üzlet szó sugall: nagyvállalati működést, profi, képzett és szervezett csapatokat, akiknek a nagyvállalati struktúrákhoz nagyon hasonló szervezeti felépítésben működve egyetlen dolguk van: sikeres támadásokat kivitelezni. Míg a másik oldalon, a célpontok oldalán a védekezés csupán egy - sokszor nem eléggé helyén kezelt és/vagy alulfinanszírott - a sok feladat közül, nem mellesleg megemlítve, hogy nem ez a fő tevékenység. Ez egy aszimmetrikus helyzetet eredményez, és ez az aszimmetria az utóbbi 15 évben elképesztő formákban jelent meg. A zsarolóvírus csoportok online ügyfélszolgálatairól régóta tudunk, a malware terjesztő infrastruktúrák összetettsége sem újdonság, de pár éve már az sem csak spekuláció, hogy valóban "multis" a működésük, olyan finomságokkal, mint munkatársi ajánló program, képzések, hónap dolgozója díj és egyéb ösztönzők.
De van még egy összetevő a képletben a profi csoportok és a megnövekedett "lehetőségek" mellett: a támadások kivitelezése során használt eszközök, módszerek, trükkök széles tárháza. És itt visszautalnék az első mondatban említett könyvre - a számok ezen a téren is hasonlóan változtak.
Szerencsére segítségünkre van egy rendszeresen karbantartott keretrendszer - a MITRE ATT&CK framework - ami egy nagyon jó fogódzó a támadók által alkalmazott taktikák, technikák vonatkozásában. Ez ugyan hasznos, de még csak kevés vállalat, szervezet engedheti meg magának, hogy időt, energiát, szakértelmet biztosítson a gyakorlatban felhasználására. Emellett vannak trükkök, amelyek egyfelől folyamatosan változnak, megújulnak, másfelől nem könnyen illeszthetők be a MITRE adatbázisba, vagy legalábbis nem egzaktul. Ilyenek például a már "telepített" malware-rel command&control szerverek elérhetőségének (vagy akár már tényleges parancs, utasítás) megosztása Instagram, Telegram vagy akár Gmail fiókok kreatív felhasználásával.
Ebben az egyszerűnek távolról sem nevezhető helyzetben mégis mit lehet tenni a tankönyvi alapelvek (mint például a defense in depth, vagyis az egymást átfedő védelmi rétegek felhúzása) követésén túl? Sajnos nem fogunk tudni mindig mindent megállítani a határvonalainknál - de természetesen törekedni kell rá - különösen, hogy az utóbbi 10 évben ezek a határok egyre nehezebben definiálhatóak a klasszikus értelemben. Viszont készülhetünk az ilyen helyzetekre is, várhatjuk felkészülten a váratlant. Ennek elengedhetetlen alapfeltétele, hogy minél jobban lássuk, hogy mi történik a hálózaunkban, mi zajlik a végpontokon, valamint - és ez talán a legfontosabb - lássuk, felfedezzük az események közötti összefüggéseket, amelyek az atomi történések halmazából egy incidens történetét rajzolhatják ki.
A cél az, hogy mindez időben, minél hamarabb megtörténjen. Hiszen az incidensek akkor igazán veszélyesek, ha van idejük a kiteljesedésre. Ha a támadók napokat, vagy heteket töltenek a hálózatunkban feltérképezve azt, információkat gyűjtve, végpontok tucatjait elérve, akkor már nagy gondban lehetünk. De egyetlen végpont kompromittálódása még nem feltétlenül katasztrófa, ha ezen incidens detektálása, lokalizása, a válaszlépések megindítása, az incidens izolációja időben megtörténik.
A felkészülés a gyakorlatban eszközöket és előre definiált folyamatokat jelent. Eszközök terén pedig egy, a különböző forrásokból (hálózati forgalom, végpontok, CTI) érkező információk alapján a sok-sok infomorzsából a lényeget kiválogatni, és azok korrelációja alapján a történetet - az incidenst - felrajzolni képes megoldás lenne ideális a standard security stack fölé.
Pontosan ezt a feladatot hivatott betölteni a Cisco XDR (Extended Detection and Response). Különböző forrásokból - ezek lehetnek Cisco, de egyéb gyártók termékei is - érkező jelzésekből gépi tanulással megtámogatott incidens detektálás, az incidensek priorizálása, valamint az incidenskezelés támogatása a célja.
Az incidensek könnyebb megértését az incidenst alkotó egyes elemi események MITRE ATT&CK framework megfelelő eleméhez rendelésével támogatja - biztonsági elemzőként így azonnal átláthatjuk, hogy az adott incidens milyen fázisokat ért már el, és ez kulcskérdés további döntések meghozatalában. Az "R", vagyis a respond funkció szintén a kezünk alá dolgozik a SANS által lefektetett incidenskezelési lépések mentén, előre elkészített, illetve saját magunk által összerakható folyamatokkal, amelyek adott esetben manuálisan vagy akár automatizáltan is lefuthatnak, így támogatva a minél gyorsabb izolációt, az incidens kiterjedésének megakadályozását, illetve annak felszámolását.
A közeljövőben nem várható a támadói motiváció, de a támadási felületek csökkenése sem, viszont a rendszereink komplexitása csak nőni fog. Ezért az ismert fenyegetések mellett folyamatosan készen kell állnunk az ismeretlennel való küzdelemre is, felismerve azt, hogy ha az első jelzések után mi rövidebb idő alatt tudunk reagálni, mint amennyi idő kell a támadónak a céljai eléréséhez, akkor már nyertünk.
Cikkünk a ComputerTrends magazin 2024. június 6-ai nyomtatott lapszámában jelent meg.
