A digitális átalakulás, a felhős környezetek használatának elterjedése, az otthoni munkavégzés általánossá válása mind-mind növelik a támadási felületeket és ezzel együtt a szervezetek biztonsági csapataira súlyosodó nyomást.
A kiberbűnözés ráadásul napjainkra jól prosperáló, több milliárd dolláros üzletté vált, ahol a szervezett bűnözői csoportok mellett egyes államok is megjelentek a szereplők között. Sőt, ezen illegális tevékenységek támogatására már komplett infrastruktúra épült ki: a sérülékenységeket kihasználó kódokat, felhasználói adatbázisokat, backdoorokat aukciós portálokon adják-veszik a dark weben.
Nem kell messzire néznünk, hogy informatikai támadások nyomait láthassuk, csak néhány kiragadott példa a közelmúltból: a legnagyobb üzemanyagszállító-csővezetéket üzemeltető amerikai céget egy kiszivárgott jelszó használatával törték fel. Egy logisztikai cég mobilalkalmazását meghamisítva a "rossz fiúk" átvették a mobiltelefonok feletti uralmat és banki utalásokat végeztek a felhasználók kárára. De világszerte számos kórház is megtapasztalhatta már, hogyan képesek megbénítani a működést a zsarolóvírusok.
Foki Tamás, Senior System Engineer, Clico Hungary
A cégeket, ügyfeleket nemcsak a támadásokkal okozott elsődleges költségek terhelik (mint például a szolgáltatáskiesés, a rendszerek helyreállításának költségei vagy az esetlegesen ellopott szellemi javak értéke), hanem az az erkölcsi veszteség is, ami a vállalat jó hírét, reputációját éri. A szervezetek által használt védelmi megoldások a legtöbb esetben csak a saját környezetükre terjednek ki, és nem tudnak mit kezdeni az olyan külső tényezőkkel, mint például egy, a cég weboldalát lemásoló és hasonló domain néven üzemelő phishing oldal, amely közvetlenül az ügyfeleket célozza meg.
Ilyenkor kerülhetnek elő a CTI (Cyber Threat Intelligence) megoldások, amiket magyarul kiberhírszerzési szolgáltatásnak szoktunk hívni. Ezek a szolgáltatások a legkülönbözőbb forrásokból gyűjtik össze az adott szervezetre kockázatot jelentő támadási vektorokat. Ilyen privát hírszerző szolgáltatást korábban csak a legnagyobb szervezetek engedhettek meg maguknak, mert ezek jelentős erőforrásokat igényelnek. A fenti igények és körülmények hozták létre az üzleti CTI szolgáltatásokat olyan szervezetek részére, amelyek nem rendelkeznek a szükséges dedikált személyi és tudásbeli feltételekkel.
A Rapid7 tavaly vásárolta fel a 2015-ben, elit hírszerző szervezetek korábbi munkatársai által alapított IntSights nevű céget, amely rövid idő alatt vezető szerepet ért el a CTI-piacon. Az IntSights szolgáltatásait a Rapid7 "Threat Command" néven integrálta be a portfóliójába. A Threat Command mögött álló elemzők több ezer különböző forrásból gyűjtik össze az információkat - kiterjednek a legkülönbözőbb OSINT (open source intelligence) forrásokra, social media intelligence eszközökre, folyamatosan monitoroznak deep és dark webes forrásokat, például nyílt internetes és dark webes fórumokat, IRC-csatornákat, malware repository-kat, fekete piaci aukciós portálokat, alkalmazás boltokat, beleértve számos publikusan nem hozzáférhető forrást is.
Ezt a folyamatosan gyűjtött hatalmas adatmennyiséget elemzik, kategorizálják, majd rangsorolják az észlelt kiberfenyegetettségeket. Ezt részben automatikus, gépi tanulással támogatott, mesterséges intelligenciát használó technológiákkal és saját fejlesztésű adatbányászati algoritmusokkal végzik, valamint igénybe veszik szakértőkből álló csapat támogatását is. Az így létrejött átfogó és kontextusba helyezett, immáron könnyen felhasználható információs források alapján képes közel valós időben riasztást adni az ügyfél digitális jelenlétét célzó fenyegetettségekről. A Threat Command a "vészjelzést" egy könnyen értelmezhető és intuitív módon használható grafikus felületen keresztül jeleníti meg, ahol a biztonsági csapatok javaslatokat is kaphatnak a probléma azonnali elhárításra.
Amennyiben érdekli a téma, vegyen részt online a Computerworld által szervezett SecWorld 2022 konferencián. Az esemény ingyenes, de regisztrációhoz kötött >>>
A megoldás által feltárt fenyegetettségek kiterjednek adatszivárgások felfedezésére, márkavédelemre (például cégvezetők nevével való visszaélésre, hamisított social media-profilokra, weboldalakra), lopott hitelesítési adatok megjelenésének észlelésére, hamisított alkalmazásokra, a szervezetet éríntő adathalász kísérletekre, bankok esetében az eltulajdonított hitelkártya adatokkal való kereskedelemre, de kiterjedhetnek nyílt digitális eszközök feltérképezésére (például rosszul konfigurált felhős tárolási szolgáltatásokra, nyitott portokra, publikusan elérhető javítatlan sebezhetőségekre), és képes észlelni a cég bejegyzett domain neveire hasonlító nevek megjelenését is.
A Threat Command nemcsak jelzi a fenti fenyegetettségeket, hanem aktívan segít is azok elhárításában a megoldáshoz tartozó menedzselt szolgáltatások használatával. Ez kiterjed arra, hogy egyes felderített fenyegetettségekről bármikor (24x7x365) lehet kérdezni a cég szakértőit, de segítséget nyújtanak azok aktív elhárításában is, például egy social media-profil letiltásában vagy phishing domainek lelövésében, esetleg kártékony kódokat tartalmazó, hamisított alkalmazás alkalmazásboltokból való eltávolításában. A Threat Command így válik mindenki számára azonnal használatba vehető, komplett CTI megoldássá, amely segít a külső fenyegetések felderítésében, továbbá proaktív segítséget nyújt ezen fenyegetések elhárításában, mindenezt a Rapid7 IntSight felhős platform környezetébe integrálva, ahol a gyártó InsightConnect nevű SOAR és az InsightIDR nevű SIEM és XDR megoldásával tud közvetlenül együttműködni.