Adatlopások és zsarolóprogramok uralják a fenyegetéskörnyezetet a tavalyi ITBN CONF-EXPO óta eltelt időszakban. Idén eddig az FBI, az IRS (az Egyesült Államok adóhatósága), a LinkedIn és a Myspace közösségi oldal, a Brazzer pornóportál, a Mail.ru, a Yahoo, a Google, a Microsoft email-szolgáltatása sok százmillió felhasználó adatait veszítette el, a Seagate-et pedig saját alkalmazottai perelik személyes adataik kiszivárgása miatt. Sorra érkeznek a hírek a zsarolóprogramok áldozatává vált intézményekről és vállalatokról, amelyek hajlandók fizetni a kiberbűnözőknek, hogy visszakaphassák titkosított állományaikat.
Computerworld: A 2015-ös ITBN CONF-EXPO előtt készült interjúnkban még a dolgok internetének sérülékenységéről, IT-biztonsági szakemberek által feltört személyautókról és repülőgépekről, állami szponzorálás mellett fejlesztett és bevetett kiberfegyverekről beszéltünk, a média tőlük volt hangos. Gyakorlatiasabbá, fokozottan bevételközpontúvá vált volna azóta a kiberalvilág?
Keleti Arthur: Továbbra is jelen vannak az említett finomságok a fenyegetéskörnyezetben, csak mostanában kissé háttérbe szorultak, mivel a korábbi évek gyakorlatától eltérve egyre több szervezet beszél nyíltan az elszenvedett adatlopásokról, zsarolóprogramokkal elkövetett kibertámadásokról. Az Egyesült Államokban erre törvény kötelezi őket, de a szervezetek más piacokon is rájönnek, hogy nem érdemes elhallgatniuk a bekövetkezett biztonsági eseményeket, mert azok úgyis kitudódnak, és a lelepleződés akár többet árthat megítélésüknek, mint maga a támadás.
Szintén szemléletváltásra utal ezzel összefüggésben a hackerek, a hibakeresők változó megítélése. Nem az etikus hackerek jó ideje elérhető, professzionális szolgáltatásairól beszélek persze, hanem olyan magánszemélyekről, akik a technológia iránti érdeklődésüktől hajtva, lelkesedésből, többnyire jó szándéktól vezérelve keresnek hibákat a szoftverekben, törnek fel rendszereket. Egészen a közelmúltig sem a társadalom, sem a gazdasági szféra nem tudta igazán hova tenni ezeket a hibakeresőket. Idén azonban, az év első felét átívelő holland uniós elnökség alatt a tagállamok elfogadtak egy törvényjavaslatot, amely megszavazását és hatályba lépését követően a biztonsági események felelősségteljes nyilvánosságra hozatalára kötelezné a szervezeteket, ami nyilván kedvezően hatna vissza a következmények kezelésére, elhárítására.
Elismeri ezzel a törvényhozó és a társadalom, hogy a vállalatok és intézmények rendszerei sérülékenyek, feltörhetők, amiről nyíltan kell beszélnünk, mert az információk megosztása mindannyiunk biztonságát növelheti. Erősíthetik a védelmet az említett hibakeresők is, akik a talált sérülékenységekről könnyebben adhatnak át információt az adott szervezetnek, ha az például formális bug bounty program keretében ezt valamilyen formában elismeri, jutalmazza.
Míg a profi, etikus hackerek szolgáltatásait a szervezetek - részben anyagi megfontolásból - csupán alkalmanként veszik igénybe, így azok egy pillanatképnél többet nem adhatnak a biztonság szintjéről, addig a hibakeresők népes közössége folyamatosan szállíthatja a kockázatokra utaló információt. Egy holland bank például bug bounty programján keresztül heti 2-4 sérülékenységről értesül, és ezeket javítja rendszereiben. Fontos ugyanis, hogy egy ilyen program mögött szervezet álljon, amely a jó hackerektől kapott információk alapján kiiktatja a védelem minden újabb gyenge pontját, az egésznek így lesz értelme, gyakorlati haszna.
CW: Puszta méretük is a figyelem középpontjába állítja az adatlopásokat. Az Anonymous hacktivista csoport áprilisban 55 millió szavazó adatait lopta el a Fülöp-szigeteki választási bizottságtól, de említhetjük a Panama-papírok néven ismert, több mint 214 ezer offshore cég bizalmas adatait tartalmazó, 11,5 millió dokumentumot is, amely a Mossack Fonseca vállalati szolgáltatótól szivárgott ki. Noha a mai napig nem ismert, hogy alkalmazott vagy külső támadó áll az adatlopás mögött, az biztos, hogy a cég informatikai környezetének felügyelete és védelme számos sebből vérzett.
KA: Hasonló esetek, az epikus méretű adatlopások és a felismerés hatására, hogy egyetlen szervezet sem immúnis a kibertámadásokkal szemben, az IT-biztonsági cégek úgynevezett threat intelligence szolgáltatással lépnek piacra, amelyet magyarul kiberhírszerzésnek nevezhetnénk. Az egyik legújabb trendet képviselő szolgáltatás lényege, hogy a fenyegetési környezetet kiterjedt méretekben, világszinten figyelő és elemző IT-biztonsági cégek rengeteg információt gyűjtenek össze a különböző típusú fenyegetésekről, mintákat, regionális sajátosságokat azonosítanak, és mindezek alapján egy észlelt biztonsági eseményből kiindulva meg tudják mondani ügyfelüknek, milyen további fejlemények várhatók, és hogyan készülhetnek fel egy esetlegesen kibontakozó összetett támadás kivédésére. A szolgáltatás működéséhez persze ügyféloldalon is fel kell állítani biztonsági műveleti központot (SOC-ot), amelyben néhány naprakész tudású szakember folyamatosan ügyeletet tart, és a kiberhírszerzéstől kapott információnak azonnal utána tud járni a rendszerekben.
Napjaink kifinomult, összetett és célzott támadásainak észleléséhez olyan hatalmas adatmennyiség folyamatos elemzése szükséges, hogy szintén új trendet képviselve megjelennek a tanuló algoritmusokat - egyes szállítók szerint mesterséges intelligenciát - alkalmazó, automatizált IT-biztonsági megoldások. Különösen sok feltörekvő vállalat, start-up cég fejleszt ilyen technológiákat, ezért számos újabb akvizíció várható az IT-biztonsági piacon.
Az idei ITBN CONF-EXPO előadói közül többen foglalkoznak az említett trendekkel, a FireEye, a Securenetworx és a Trend Micro a kiberhírszerzésről, a BalaBit a SOC-központokról, míg a Darktrace tanuló algoritmusokra épülő védelemről fog beszélni, ez a megoldás konferenciánkon debütál. Tekintettel a hazai vállalatok korlátozott pénzügyi lehetőségeire, várhatóan időbe telik majd, mire ezek a trendek elérnek hozzánk. A magyar IT-biztonsági szakembereknek azonban szem előtt kell tartaniuk, hogy mára ledőltek azok a nyelvi korlátok, amelyek nemrég még viszonylagos védelmet adtak a világ más régióiból érkező phishing-, spearphising- és ransomware-támadásokkal szemben. Ma már kifogástalan magyarsággal megírt adathalász vagy zsarolólevelekkel támadnak a kiberbűnözők, amelyek sok felhasználót könnyen megtéveszthetnek. Míg a zsarolóprogramokkal elkövetett támadások látványosak, addig a célzott, fejlett és kitartó támadások korántsem azok, a rosszindulatú szoftverek ezek esetében átlagosan 200 napot töltenek észrevétlenül az áldozatok rendszereiben. Idei konferenciánk mottója éppen ezért a kiberéberség fokozására hívja fel a figyelmet - és ugyanezt teszi majd a megelőző védekezésről szóló előadásában a Fortinet.
CW: Fontos a kiberéberség erősítése már csak azért is, mert az idén szintén adatlopás áldozatává vált Verizon első féléves jelentése (2016 Data Breach Investigation Report) szerint a kiberbűnözők az emberi természet gyengeségeit használják ki. Itt nem csupán arról van szó, hogy idén a felhasználók az adathalász levelek 30 százalékát megnyitották - míg tavaly ez az arány 23 százalék volt -, és 13 százalékukban a linkre, illetve a mellékletre is rákattintottak. A sikeres támadások 85 százaléka mindössze tíz jól ismert sérülékenységre épített, amelyeket a vállalatok nem foltoztak be rendszereikben. A kibertámadások nagy sajtóvisszhangja ellenére az emberek nem tanulnának mások hibáiból?
KA: Gyakran banális emberi hibák szolgáltatják ki a szervezeteket a kiberbűnözőknek, ahogyan azt a SWIFT bankközi elszámoló rendszert ért idei támadások is szemléltették. Hozzátenném azonban, hogy közben a nulladik napi sérülékenységek alvilági piaca szintén virágzik, és a kifinomult támadások elkövetői gyakran ezeket, vagy nulladik napi és ismert sérülékenységek kombinációját használják.
Az ember a kibervédelem gyenge láncszeme, ezért nagyon fontos, hogy a vállalatok oktatáson és más kezdeményezéseken keresztül tudatosítsák a kockázatokat, az éberség szükségességét a felhasználókban. Az IT-cégek ehhez úgy járulhatnak hozzá, hogy biztonságosabbá teszik szoftvereiket, ahogyan az autógyártók is növelték a járművek biztonságosságát. A Checkmarx például kódelemző megoldását mutatja be előadásában, amely automatikusan azonosítja a készülő szoftverben a sérülékenységek mellett azokat a következetlenségeket is, amelyek később biztonsági kockázatot jelentenének.
Várhatóan javítani fog a helyzeten a 2018-tól életbe lépő uniós adatvédelmi szabályozás, a General Data Protection Regulation, amelyről a CDSys, valamint a CA részéről Yves Le Roux tart előadást, aki részt vett a törvény megalkotásában.
CW: Mely előadások emelkednek még ki az idei ITBN CONF-EXPO kétnapos programjából?
KA: Az első nap nyitóelőadását Vincent Danjean, az Interpol kibervédelmi központjának vezetője jegyzi, a második napot pedig Prinya Hom-anek, a thaiföldi igazságügyi minisztérium kibervédelmi tanácsadója indítja, aki tavalyi konferenciánkon is nagy sikerrel szerepelt. Ezúttal kínai útjáról fog beszélni, melynek során hackercsoportokkal is találkozott. Hacker, az @Yafsec néven ismert, holland Edwin van Andel előadása zárja majd a konferenciát, aki bug bounty programokat szervez vállalatoknak.
Kiemelném még az S&T és a MOL esettanulmányát, amelyben az olajipari vállalatnál megvalósított MobilIron bevezetés tapasztalatait fogják megosztani a közönséggel, ami ritkaságszámba megy. A T-Systems a dolgok internetének biztonságáról fog beszélni, a Cisco pedig a nemrég felvásárolt OpenDNS megoldását mutatja be, amely egyszerű, de hatékony módon leplezi le a rosszindulatú szoftvereket terjesztő infrastruktúrákat. Az ESET víruskutatója a malware-ek anatómiájába ad majd betekintést, a határvédelmi megoldásokat szállító PaloAlto pedig az ismeretlen támadások észleléséről és megállításáról tart előadást.
Pódiumra lép a tavalyi konferenciánk idején alakult Nemzeti Kibervédelmi Intézet szakértője, valamint Rajnai Zoltán, Magyarország kiberkoordinátora, aki az állami és a piaci szereplők együttműködési formáiról fog beszélni, míg a kiberbiztonsági központot építő Quadron szakemberei több demót tartanak majd. Előadással szerepel még a világszinten terjeszkedő Bitdefender és az operációs rendszerébe mind több biztonsági funkciót beépítő Microsoft.
Korántsem teljes a felsorolás, az ITBN CONF-EXPO 2016 mindkét napja egyaránt tartalmas és érdekes programot kínál, ezért mindenkit arra bátorítok, aki érdeklődik az IT-biztonság trendjei és újdonságai iránt, hogy szeptember 27-én és 28-án jöjjön el a Groupama Arénába.
A nem létező titok
Keleti Arthur könyvének bemutatójára - amely az Amazon kiadásában, angol nyelven jelenik meg The Imperfect Secret címmel - szintén az idei ITBN CONF-EXPO-n kerül sor. A kiadótól nyomtatott és elektronikus könyv formájában egyaránt megvásárolható kötet szerzője kifejti, hogy a kibertérben működő rendszerek összetettsége, az információáramlás sebessége, valamint az emberi viselkedés olyan helyzetet teremt, amelyben lehetetlen megvédenünk adataink többségét - és a megoldásnak magához a titokhoz van köze.