Huszadik alkalommal adta közre a Symantec éves internetes biztonsági jelentését. A 2015 Internet Security Threat Report (ISTR) elkészítéséhez a vállalat a múlt év folyamán 157 országban 175 millió végpontról és 57 millió szenzorról gyűjtött adatokat, naponta a világ vállalati levelezésének 30 százalékát szkennelte 1,8 milliárd webes adatlekéréssel együtt, továbbá 3,7 billió sor telemetrikus adatot elemzett.
Computerworld: Megszokhattuk az elmúlt két évtizedben, hogy a Symantec éves jelentése igen jó rálátást ad az internetes fenyegetések fejlődésére és terjedésére. De hogyan készült az első tanulmány?
György László: Figyelemre méltó, hogy az adatgyűjtés módja, szerkezete nem változott az eltelt húsz év alatt, azt a Symantec elsőre jól megtervezte. Ha az adatgyűjtés méreteit nézzük, a két évtizeddel ezelőtti állapotokat össze sem lehet hasonlítani a maiakkal. Az első jelentés összesen 128 ezer rosszindulatú kódról számolt be, az idei 317 millióról. Időközben az adatgyűjtés a mobileszközökre és a dolgok internetére is kiterjedt. Míg 20 éve 5 főállású biztonsági szakember dolgozott a jelentésen, mára ez a létszám 40 főre emelkedett, és a munkában további tíz elemző is részt vesz.
Jól érzékeltetik ezek a számok is, hogy mindössze két évtized leforgása alatt milyen hihetetlen mértékben nőtt az internetes fenyegetettség. A mostani jelentésben szereplő, 317 millió új rosszindulatú kód 26 százalékos növekedést mutat egyetlen év leforgása alatt. Robbanásszerűen nőtt a hálózatra csatlakozó eszközök száma és az internetes adatforgalom is, a kettő összefügg egymással, de a rosszindulatú kód elburjánzásában közrejátszott az a körülmény is, hogy a támadások elkövetéséhez szükséges eszközök széles körben hozzáférhetők, nőtt a kiberbűnözők tábora is.
CW: Melyek a legújabb és a legnagyobb biztonsági kockázatot jelentő internetes fenyegetések a 2015-ös ISTR-jelentés szerint?
GYL: Különösen kisebb szervezetek hajlamosak azt gondolni, hogy viszonylag nagyobb biztonságban tudhatják magukat, mert úgymond nem jelennek meg a nagyobb értékű adatvagyon megszerzésére pályázó kiberbűnözők radarképernyőjén. Valójában azonban hat vállalatból csupán egyet nem ért támadás az elmúlt évben, ami több mint 80 százalékos arányt jelent, és a megtámadott vállalatok 60 százaléka kis-, illetve középvállalat volt. Magyarországi viszonyokra vetítve ez még mindig meglehetősen nagy vállalatméretnek felel meg, de a magas arány arra figyelmeztet, hogy a támadók senkit sem kímélnek.
A napjainkra jellemző, kifinomult, célzott támadások már eleve számolnak azzal, hogy a kiszemelt nagyvállalat fejlettebb IT-biztonsági rendszerekkel vértezte fel magát, ezért kerülő úton, például a partnerkörbe tartozó kisebb vállalatokon, illetve azok alkalmazottain keresztül próbálnak beférkőzni a hálózatba. Magyarországon is volt rá példa, hogy egy állami cég nem eléggé védett rendszereihez, állambiztonsági szempontból is érzékeny adatokhoz fértek hozzá így a támadók.
Míg 20 éve a támadások száma éves szinten is alig haladta meg a százezret, addig tavaly már a napi 1 millióhoz közelített. Döbbenetes méretek ezek, és a kép még riasztóbb, ha figyelembe vesszük, hogy a támadók zömét ma már az anyagi haszonszerzés vezérli, csalásra használható információkat, azonosítókat, bankkártya- és egészségügyi adatokat igyekeznek megszerezni, amelyeket a feketepiacon is továbbértékesíthetnek.
Nőtt a POS terminálok és ATM-ek, az értékesítési pontok és a bankjegykiadó automaták, valamint az otthoni routerek ellen irányuló, IoT-típusú támadások száma is 2014-ben, de a legnagyobb mértékben, 113 százalékkal a zsarolókódot (ransomware) bevető támadásoké ugrott meg. Ezek a rosszindulatú szoftverek titkosítják a számítógépen levő fájlokat, és a kulcsért cserébe pénzt követelnek a felhasználótól, aki gyakran hiába fizet, vagy nem kap hozzáférést adataihoz, vagy ismételt zsarolás áldozatává válik. Megjelent a ransomware immár a mobileszközökön is, és a támadások fontos elemévé válik a social engineering, a felhasználók manipulálása is. Tavaly az Android appok 17 százaléka rosszindulatú volt, további 36 százalékuk pedig – bár nem ezzel a céllal készült – szintén kárt okozott. A közösségi hálókon terjedő támadások esetében a rosszindulatú kód 70 százalékát a félrevezetett felhasználók manuálisan osztották meg.
Míg a korábbi években azt tapasztaltuk, hogy a virtualizált környezetek viszonylag védettek az internetes fenyegetésekkel szemben, addig az elmúlt évben már a rosszindulatú szoftverek közel harmadának a virtualizáció sem jelentett akadályt. A vállalatoknak sürgősen felül kell vizsgálniuk eddigi gyakorlatukat, és a védelmet a virtualizált környezet minden rétegére ki kell terjeszteniük.
CW: A sikeres kibertámadás két fontos jellemzője a gyorsaság és a precizitás a jelentés szerint. A vállalatok azonban túl lassan javítják a bevezetett szoftverek sérülékenységeit. Tavaly ehhez átlagosan 59 napra volt szükségük, míg a Heartbleed sérülékenységet közzététele után mindössze 4 órával már kihasználták a támadók. A virtualizált környezetek fokozott védelmén és a szoftverek naprakész frissítésén túl mit tanácsol a hazai vállalatoknak, hogyan növeljék a védekezés hatékonyságát?
GYL: Egyre nehezebb megmondani, hol húzódik a vállalati hálózat pereme, a mobileszközök és a felhőszolgáltatások elterjedésével ugrásszerűen bővült a végpontok köre, és a dolgok internetén ez még sokkal inkább így lesz. Elmosódik a határ belső és külső hálózat között, ezért nehezebb meghatározni, hogy a vállalatnak mit és hol kell védenie. A mind összetettebb környezetben a támadások is rendkívül kifinomulttá fejlődtek, éppen ezért ma már nem az a kérdés, hogy a vállalat célponttá válik vagy sem, hanem az, hogy ez mikor következik be.
Egyetlen szervezet sem képes száz százalékban kivédeni minden támadást, ezért nem is erre, hanem a támadás minél gyorsabb észlelésére és elszigetelésére kell törekednie. A gyakorlatban ez azt jelenti, hogy az egyes rendszerek védelme helyett rendszerek, eszközök, alkalmazások, hálózatok működését, felhasználók tevékenységét kell folyamatosan figyelni, hogy a támadásra vagy más rendellenességre utaló, első jelek alapján a vállalat azonosíthassa és minél gyorsabban elszigetelje a biztonsági eseményt kiváltó okot, ezzel elejét vegye a károkozásnak, vagy minimalizálja annak mértékét.
A végfelhasználóknak, akik a nyilvános felhőben elérhető szolgáltatásokat vesznek igénybe mobileszközökről, tanácsos olyan szolgáltatót választaniuk, amely kétfaktoros azonosítást alkalmaz, például az azonosítók mellett sms-ben egyszeri belépő- vagy tranzakciós kódot is küld. Vállalati ügyfelek számára a szolgáltatóknak lehetővé kell tenniük, hogy IT-biztonsági eszközeikkel ellenőrizhessék, alkalmazottaik milyen információkat osztanak meg a nyilvános felhőben. A vállalatok többsége által preferált, hibrid környezetben ugyanis a felelősség is közös, szolgáltatónak és ügyfélnek együtt kell működnie a nagyobb biztonság érdekében.
CW: Miként hasznosítja a Symantec a jelentés készítése során nyert betekintést termékeinek és szolgáltatásainak fejlesztésében? Milyenek lesznek a közeljövő IT-biztonsági megoldásai?
GYL: A végpontokról és szenzorokról, hálózati eszközökről és eseményekről gyűjtött, egyre nagyobb adatmennyiséget a gyors és hatékony védelem kialakításához gyorsan és hozzáértő módon elemezni kell, de az ehhez szükséges erőforrásokat sok vállalat nem tudja házon belül biztosítani. A Symantec világszerte 9 helyszínen, összesen több mint félezer IT-biztonsági szakembert foglalkoztató központot működtet, amely szolgáltatásként kínálja a gyors válaszadásra, a károkozás megelőzésére képes védelmet.
Miután a vállalat 2015 végére Veritas néven külön cégbe szervezi információmenedzsment üzletágát, és ez év áprilisától már két külön szervezetként működik, ez a kiberbiztonsági szolgáltatás, amely a hálózat monitorozásától kezdve az eseménykezelésen és szimulációkon át az újfajta támadások, fenyegetésre utaló minták felismeréséhez szükséges intelligenciáig mindent magába foglal, ismét a termékfejlesztés egyik fókuszterületévé vált. A Symantec portfólió másik három pillére a végpontok, az adatközpontok és az átjárók fenyegetésekkel szembeni védelme, az adatvédelmet és azonosságkezelést magába foglaló információvédelem, valamint a mindezek alapját adó egységes biztonsági analitikai platform napló-, telemetriai, viselkedés- és más típusú elemzésekhez.
Iparáganként a támadások más-más mintákat követnek, ezért a továbbiakban a biztonsági intelligencia vertikalizációját látjuk majd a köré épülő, nyilvános felhőben és házon belül is bevezethető szolgáltatásokkal együtt, amelyek az analitikai eszközökkel nyert betekintést a védelem minden szintjén hasznosítják, a végpontoktól kezdve a biztonsági események kezeléséig.