Megállj az IT-támadásoknak

Nincs teljesen biztonságos technológia. Az IT biztonsággal foglalkozó szakemberek számára e megállapítás, amelyet egyelőre senkinek sem sikerült megcáfolni, magától értetődő. Dolgozzanak akár a technológiai megoldások kifejlesztésén, vagy akár azon az oldalon, ahol a technológia berendezéseit működtetik, a dolguk nem irigylésre méltó. Lehetetlennek tűnik például annak az elvárásnak megfelelni, amelyet a vezetés gyakorta fogalmaz meg az IT vezetővel szemben: "Legyen az IT rendszered biztonságos, de ne költs rá többet, mint amennyit beterveztünk a költségvetésbe!"

A BDO Magyarország két szakértője szakmai konferenciájukon előadásaikkal azt kívánták bemutatni, hogyan tudják megteremteni az IT vezetők a biztonságos informatikai rendszer hátterét.

Biztonsági trendek és statisztikák

A felhőalapú számítástechnika gyors terjedése miatt a privát és céges adatok megszerzése könnyebb lett a kiberbűnözők számára. Ennek kivédésére megfelelő jelszómenedzsmentre, hozzáférés-menedzsmentre és arra van szükség, hogy gondosan válasszák ki a szállítókat.

Bár idén már lassuló tempóban, de folytatódik a mobil malware múlt évi gyors terjedése és ez javuló biztonságot is eredményez. Az angol malware kifejezés az angol malicious software (rosszindulatú szoftver) összevonásából kialakított mozaikszó, s mint ilyen, a rosszindulatú számítógépes programok összefoglaló neve. Mint a szakmai konferencián megtudhattuk, egyre célzottabb támadások érik a cégeket.

Az Egyesült Államokban egyenesen buzdítják a munkavállalókat saját eszközeik üzleti használatára, ez az úgynevezett Bring Your Own Device (BYOD - Hozd be saját eszközöd) szemlélet. A közelmúltban végzett nagyvállalati felmérésekből kiderül, hogy már többen engedik meg a saját eszközök vállalati felhasználását, mint ahányan tiltják, az otthonról beszivárgó "kütyük" használatának szabályozása ugyanakkor a legtöbb helyen még megoldásra váró probléma, és a biztonsági kockázatok kivédése érdekében is fontos e megfelelő szabályozások bevezetése, keretek közé szorítása, BYOD Szabályzatok alkalmazása.

A fent említett tendenciák miatt egyre fontosabbá válik eszközeink és informatikai programjaink megfelelő védelme. Egyre nagyobb hangsúly helyeződik a Mobile Device Managementre, amely a mobil eszközök és a rajtuk tárolt információk, alkalmazások, illetve a kommunikációs folyamatok központi, távoli védelmét, flottában történő menedzselését jelenti.

Az informatikai biztonságot veszélyeztetheti egy olyan forráskódban terjesztett vagy bináris program, adathalmaz vagy parancssorozat, amely alkalmas egy szoftver vagy hardver biztonsági résének, illetve hibájának kihasználására, így érve el a rendszer tervezője által nem várt viselkedést. Ezt a programot, adathalmazt vagy parancssorozatot exploitnak nevezik. Ezzel összefüggésben elmondható, hogy az új Windows megnehezíti a támadók dolgát. A Windows XP-t nagyon sokan támadták, most a Windows 7 az új célpont.

Fontos látni, hogy az eszközök robbanásszerű elterjedése és az IT biztonsági szempontok nélkülözése új kapukat és lehetőségeket nyit meg a támadók előtt.

Új irány: biztonsági szoftverek helyett biztonságos szoftverek

Az internetes szoftverek kilencvenkilenc százalékának van legalább egy sérülékenységi pontja. A hacking incidensek kilencven százalékát soha nem hozzák nyilvánosságra. A szakértők felhívták a figyelmet arra, hogy a banki weboldalak nyolcvanegy százaléka tartalmaz komoly sérülékenységet. Mint jelezték, egy weboldal évente átlag tizenegy komoly sérülékenységet tartalmaz, ezeknek az ötvennégy százalékát javították ki.

Biztonsági auditok és jellemzőik

Négyféle audit típust különböztetnek meg a szakemberek, ezek a network scanning, a vulnerability assessment, a penetration testing és az application security assessment.

A vulnerability assessment audit célja alapvetően a megcélzott rendszer kockázatainak, sérülékenységeinek a felderítése. Minél szélesebb spektrumot céloz meg, és minél több találatot eredményez, annál sikeresebb. A cél az összes potenciálisan kihasználható sérülékenység azonosítása. A vizsgálat eredménye a sérülékenységek kategorizált és minősített listája, mely alapján el lehet kezdeni a kockázatok elhárítását.
Jellemzői:

Az auditnak lehet külső vagy belső kiindulási pontja.

A felfedezett sérülékenységek nem kerülnek kihasználásra.

Az audit során nem kerül sor aktív támadásra (pl . DOS).

Alapvetően automatizált, különböző szoftver eszközök használatával történik (pl. Nessus, Retina).

Kétféle megközelítés létezik: kívülről vizsgáljuk a rendszert - potenciális támadó szemszögéből, belülről vizsgáljuk a rendszert - belső, biztonsági jogosultságokkal rendelkező személy szemszögéből: a két megközelítés alapvetően más eredményeket szolgáltat. Jellemző szervezetekre, rendszerekre, hogy a védelmi pontokat a külső támadók távoltartására készítik fel.

A penetration testing auditot akkor használják, amikor alapvetően egy tényleges cél elérése a feladat. Például egy védett adatbázis kompromittálása, egy rendszerparaméter megváltoztatása, egy alrendszer feltörése. Az auditorok a legígéretesebb sérülékenység mélységi kihasználásának segítségével haladnak minél mélyebbre a célzott rendszerben. A vizsgálat eredménye a cél elérésének egy részletes módszertani leírása (lépésről, lépésre).

Jellemzői:

Az auditnak lehet külső vagy belső kiindulási pontja.

A felfedezett sérülékenységeket maximálisan kihasználják a cél elérése érdekében.

Az audit során sor kerülhet veszélyes aktív támadásra (pl . DOS) az ügyféllel való egyeztetés után.

Szoftver eszközök mellett nagyon fontos különböző exploitok és kreatív megoldások használata (social engineering is!)

Úgy tűnik, a jövő megoldása a hálózati átláthatóság lehet. Ezt kínálja több publikus és privát felhőkész megoldás: ezek biztosítják nagy mennyiségű adat átláthatóságát és olyan riportolási funkciókkal rendelkeznek, melyek azonnal elkülönítik és megmutatják a hálózati biztonsági fenyegetéseket,
trendeket, továbbá felgyorsítja a fontos biztonsági házirendek beállítását a hálózaton keresztül.

Az adatforgalom szűrési módjának köszönhetően a kritikus információk, a legaktívabb felhasználók és kapcsolatok azonnal láthatóvá válnak. Meg lehet tudni egy pillanat alatt, hogy ki használja a legnagyobb sávszélességet, vannak-e szokatlan tevékenységek, vagy akár, hogy melyik a leglátogatottabb weboldal.
Bármikor és bármilyen információra rá lehet keresni attól függően, hogy mikor és milyen információra van szüksége egy vezetőnek.

Ha pedig mindezeket az adatokat információvá alakítjuk, máris láthatóvá válik, hogyan is védje meg egy vezető a cégét, milyen biztonsági házirendeket vezessen be a megfelelő védelem érdekében.