A webalkalmazások és a mobileszközök számítanak a vállalati kibervédelem legsebezhetőbb pontjának – derült ki a CyberEdge Group felméréséből (2015 Cyberthreat Defense Report), amelyben több mint nyolcszáz, IT-biztonságért felelő szakember vett részt hét európai és észak-amerikai ország színeiben, 19 iparág területéről. A válaszadók mindegyike legalább ötszáz főt foglalkoztató szervezet alkalmazásában áll.
Még az idén sikeres hackertámadás éri vállalatunkat – ezzel az állítással a megkérdezettek több mint fele (52 százaléka) értett egyet, ami a kikezdhetetlen védelembe vetett bizalom romlását mutatja. A tavalyi felmérésben ugyanis ez az arány még mindössze 39 százalék volt.
Kiderült a mostani válaszokból az is, hogy az IT-biztonsági szakemberek kevésbé bíznak a végpontvédelemben, több mint kétharmaduk a bevezetett megoldás kibővítésére vagy lecserélésére készül. A szoftveresen meghatározott hálózatról viszont jó véleménnyel vannak a megkérdezettek, közel kétharmaduk (63 százalékuk) látja úgy, hogy az SDN (software defined network) megoldásokra támaszkodó szervezetek hatékonyabban tudnak védekezni a kiberfenyegetésekkel szemben.
Rések a pajzson
A webalkalmazások, amelyek napjainkban teljesen átszövik a szervezetek informatikai környezetét, a kibertámadók kedvelt célpontjává váltak, többek között azért, mert közvetlen hozzáférést adnak az érzékeny adatokhoz, és kódjuk nagy valószínűséggel sérülékenységet is hordoz. Nem meglepő, hogy a felmérés résztvevői a webalkalmazások biztonsága miatt aggódnak a leginkább. Egytől ötig terjedő skálán a válaszadók az adathalászat, a rosszindulatú kód – vírusok, férgek és trójaiak –, valamint a nulladik napi sérülékenységeket kihasználó támadások veszélyességi fokát értékelték a legmagasabbra (3,38–3,44), de az olyan fenyegetések is 3,10 fölötti értéket kaptak, mint a puffertúlcsordulás, az SQL kódbeszúrás, a fejlett és kitartó fenyegetések (APT-k), az SSL titkosítással operáló, illetve a mobileszközöket célzó támadások.
Az IT-biztonsági szakemberek a mobileszközöket – okostelefonokat és tableteket – jelölték meg a kibervédelem leggyengébb pontjaként. Egytől ötig terjedő skálán csupán 2,75-re értékelték a támadásokkal szembeni védekezés hatékonyságát ebben a tartományban, de a közösségi hálók, a laptopok és az asztali gépek is hasonlóan alacsony (2,81 és 2,99 közötti) értéket kaptak. A skála másik végén az adatközpontok végeztek, a válaszadók a fizikai és a virtuális szerverek, valamint a hálózatperem védelmének hatékonyságában bíznak a leginkább (amit 3,45 és 3,52 közötti értékek jelölnek), de a IaaS, PaaS és SaaS felhőszolgáltatások is 3 feletti értékkel végeztek. A felmérésben részt vevő vállalatok 30 százaléka támogatja jelenleg a BYOD-kezdeményezéseket, de ez az arány egy éven belül közel a duplájára, 59 százalékra ugorhat. Mindez arra utal, hogy a szervezetek a következő időszakban további IT-beruházásokkal igyekeznek majd megerősíteni a mobileszközök védelmét, és a szállítók számára is adott a lehetőség, hogy további, innovatív megoldásokat találjanak az üzleti mobilitás biztonságosabbá tételére.
Nem kerülték el a kiberfenyegetések elleni, hatékonyabb védekezésre törekvő IT-biztonsági szakemberek figyelmét a szoftveresen meghatározott hálózatok lehetőségei sem. Az SDN megoldásokkal például mikroszegmensekre bonthatók a hálózatok, amelyek leszűkítik a sikeres behatolást végrehajtó támadók mozgásterét, illetve a védelem ellenlépései az eszközök fizikai helyétől függetlenül, egységesen kiterjeszthetők a hálózati kapcsolatokra. A válaszadók túlnyomó többsége (több mint 10:1 arányban) egyetértett abban, hogy az ilyen és hasonló lehetőségek erősítik a vállalat védekezőképességét.
Kedvező fordulat, hogy a CyberEdge Group felmérése szerint a vállalatok 62 százaléka idén növelte IT-biztonsági költségvetését, amelyből elsősorban a végpontok és a mobileszközök védelmét erősítené újgenerációs megoldások bevezetésével, de a gyorsan fejlődő biztonsági analitikai szolgáltatások és a hatékonyságot automatizálással fokozó, szoftveresen meghatározott megoldások is felkerülhetnek a bevásárlólistára.
Csapat gyors válaszlépésekhez
Mint láttuk, az IT-biztonsági szakemberek többsége egyetért abban, hogy előbb-utóbb minden vállalatot sikeres kibertámadás érhet. Más kérdés, hogy ez mekkora kárt okozhat az üzletnek. Nagyon sok múlik ugyanis a gyors, felkészült válaszadáson. Ideális esetben a vállalatot nem érheti meglepetésként egy ilyen biztonsági esemény, mert jó előre részletesen kidolgozta az intézkedéstervet, amelynek alapján szervezett módon, azonnal megteheti a behatolást elszigetelő, a kárt minimalizáló és a rendes üzemelést visszaállító lépéseket.
Akkor sincs azonban minden veszve, ha ilyen tervet még nem dolgozott ki a vállalat – írja testvérlapunk, a NetworkWorld, és cikkében (7 things to do when your business is hacked), felsorolja a hatékony eseménykezeléshez szükséges teendőket.
Mozgósítson hozzáértő embereket – Biztonsági eseménye válogatja, hogy mely területek szakértői tehetik a legtöbbet a hatékony elhárításért. Ha a nyomozó hatóságok értesítik a vállalatot, hogy a hálózatba kiberbűnözők hatolhattak be, a cég jogászát az elsők között kell a csapatba hívni. Különösen értékes adatvagyon, például üzleti titok sérülésekor a csúcsvezetőket is azonnal tájékoztatni kell, ha pedig az ügyfelek személyes adatai kerülnek illetéktelen kezekbe, a törvényi megfelelés felett őrködő kollégák feladata lesz az érintettek tájékoztatása.
Gyűjtsön információt a döntésekhez – Minden biztonsági esemény megválaszolásában az első 24–48 óra a legkritikusabb szakasz. Ez idő alatt tárja fel a vállalat, hogy a támadás mely gépeket, alkalmazásokat érintette, milyen adatok és információk kerülhettek a behatolók kezébe. A feltárást a biztonsági esemény jellegétől függetlenül a cég gyorsreagálású csapata végzi, amely más felállású, mint az első pontban említett, hozzáértők csoportja. Rendkívül fontos, hogy a két csapat hatékonyan kommunikáljon egymással, és intézkedéseit megérzések helyett tényekre alapozza.
Készítsen tervet – Az előre kidolgozott intézkedéstervtől eltérő, az adott biztonsági eseményre szabott terv ez, amelynek négy területre mindenképp ki kell terjednie. Kommunikáció: meg kell határozni, hogy a vállalat miképp tájékoztassa az alkalmazottakat, az igazgatótanácsot, a nyilvánosságot és a hatóságot, majd az üzenetet késlekedés nélkül ki kell küldeni. Technikai analízis: pontosan ki, milyen szerepkörben és feladatokkal vesz részt a támadás kiterjedésének részletes feltérképezésében. Elszigetelés: az elemzés alapján meg kell határozni, hogy a hálózat mely része fertőzött, hogy elhatárolható legyen a többi rendszertől. Visszaállítás: a rendes üzletmenet visszaállítása a biztonsági mentésekből, a tűzfalbeállítások módosításával és a fertőzött gépek hálózatból történő kizárásával.
Határozza meg a feltárás és az elhárítás prioritásait – A támadás nyomainak felkutatása a nyilvánvalóan érintett hosztok, naplófájlok és fájlrendszerek átvizsgálásával, lehetőleg az észlelést követő 2–4 órán belül. A talált indikátorok bevitele a biztonsági rendszerekbe, hogy azok a vállalati hálózat egészét ellenőrizve megtalálják az összes, fertőzött gépet. A legsúlyosabban kompromittált hosztok még részletesebb átvizsgálása a támadás jellegének és lefolyásának megértéséhez és a rendszerek teljes megtisztítását célzó, helyreállítási terv kidolgozásához.
Támogassa az elhárításon dolgozó csapatot – A biztonsági események megválaszolására kijelölt emberek rendes körülmények között más feladatokon dolgoznak. A hatékony eseménykezelésért felelős vezetőnek ezért krízishelyzetben gondoskodnia kell arról, hogy a csapat tagjai gyorsan kivonhassák magukat a napi teendők végzése alól, a nagyobb prioritású elhárításra összpontosíthassanak, és ehhez minden információt gyorsan megkapjanak.
Tájékoztasson határozottan és hatékonyan – Találgatásoknak nincs helye a biztonsági esemény megválaszolásán dolgozó csapaton kívül. A munkában részt vevő szakemberek az első bizonyítékokból kiindulva elméleteket állítanak fel a történteket illetően, de a felsővezetőknek, az alkalmazottaknak és a nyilvánosságnak adott tájékoztatást száz százalékban adatokra, bizonyítékokra kell alapozni, és testre kell szabni. Nagyon rossz fényt vetne a vállalatra az egyébként is kényes helyzetben, ha a kiadott jelentésen utóbb változtatni kényszerülne.
Vonja le a tanulságot – A támadás következményeinek elhárítása után a csapatnak egy héten belül ismét össze kell ülnie, hogy megbeszélje, a biztonsági esemény megválaszolásában mi ment jól, és mi nem, hogyan készülhet fel jobban a következő incidens kezelésére. A gyakorlatban bevált lépéseket érdemes az intézkedéstervbe foglalni, hogy ismét alkalmazhatók legyenek, amikor a vállalatot legközelebb kibertámadás éri.
