Juraj Malcho az ESET termékek magyarországi disztribúcióját vezető Sicontact által június 9-én szervezett budapesti rendezvény után válaszolt a Computerworld kérdéseire.
CW: Vannak-e olyan iparágak, amelyek IT-biztonsági szempontból kiemelten veszélyeztetettebbek, mint mondjuk a többi terület?
JM: Természetesen vannak ilyen, a kiberbűnözők által preferált iparágak, amelyek iránt nagyobb az érdeklődés, ezért feléjük gyakoribbak a támadások, de ez semmiképpen nem jelenthet megnyugvást a többi szereplőnek. A kiemelt ágazatok mellett ugyanis a védetlenebb kisvállalati szektor ugyanúgy támadás elszenvedőjévé válhat, és ne felejtsük el, számos kisvállalkozás mint beszállító van kapcsolatban a nagyobb cégekkel. Jellemzően ez a kisvállalati réteg, amely anyagi ráfordítás vagy az IT-biztonsághoz értő szakemberek hiánya miatt könnyebben sebezhető, így egy-egy nagyobb támadási hullámban hamar áldozattá válhat, miközben eredetileg nem is e réteg volt a bűnözők elsődleges célpontja. Az okok keresésénél jellemzően a hanyag és figyelmetlen munkavállalók mellett a védelmi megoldások teljes hiánya jelenti a problémát.
A nagyobb kockázatnak kitett iparágak és célcsoportok közé sorolhatjuk például az értékes adatokkal dolgozó pénzintézeteket, vagy az egészségügyi intézményeket, ahol viszont a nem teljes körű védelmi infrastruktúra lehet gyenge pont a támadásoknál. Itt ugyanis már jóval kifinomultabb és testreszabottabb módszerekkel próbálkoznak a támadók, így a védelmi megoldások felsorakoztatása mellett legalább ennyire lényeges a felkészült szakembergárda megléte is.
CW: Melyek azok a rosszindulatú programok, amelyek vállalati informatikai környezetekben a leginkább elterjedtek?
JM: A rosszindulatú támadások módszerei állandóan változnak és finomodnak, ugyanakkor a támadók általában a régóta ismert trükkökkel próbálkoznak legelőször. A biztonsági cégek által már unalomig ismételt elv itt még mindig igaz, azaz a munkavállaló a leggyengébb láncszem. A social engineering, vagyis megtévesztés módszerével történő támadások a legelső próbálkozást jelenthetik egy-egy érvényes email-cím megszerezésével, amelynek segítségével már könnyebb dolguk van a támadóknak bármilyen rosszindulatú program terjesztésénél.
Ráadásul hiába van több különböző biztonsági szoftvere is a cégnek, ha eközben az informatikus nem frissíti ezeket. Sajnálatos módon ezeken a területeken évek óta nem látunk érdemi javulást, vagyis a munkavállalók oktatása, képzése nem megfelelő, emellett a rendszer sem friss, így pedig a védelmi programok önmagukban nem nyújthatnak teljes körű megoldást.
CW: Melyik az a fenyegetéstípus, amely a közelmúltban a legnagyobb fejfájást okozta a CIO-knak?
JM: Egyértelműen a célzott támadások okozzák mostanában a legtöbb fejtörést és izgalmat az informatikai vezetőknek és a védelmi szakembereknek egyaránt. Az ezeknél emlegetett népszerű rövidítés buzzwordje az APT (Advanced Persistent Threat – a Szerk.), ami véleményem szerint pontatlan. Azt az érzetet kelti ugyanis, hogy egy fejlett trójai, valami mesterséges intelligencia állandóan ott ül valahol a felhasználó rendszerében, és így okoz kárt. Helytelen ez az elképzelés, mert ahogyan egy kollégánk megfogalmazta, ez voltaképpen Targeted Persistent Attack (célzott folyamatos támadás – a Szerk.). Igen, pontosan erről beszélünk: célzott, mert megcéloz egy konkrét felhasználót, állandó, mert megállás nélkül folyik, és támadás, mert valóban támadja a megcélzottat, nem csupán valamilyen jelenlévő intelligens fenyegetés.
Konkrét emberi elkövető vagy csapat áll mögötte, aki vagy amely kombinált támadással folyamatosan igyekszik megszerezni például a nagy cégek felsővezetői által kezelt adatokat, információkat. Úgy gondolom, hogy a CIO-knak ettől kell a leginkább tartaniuk, fel kell készíteniük az IT-biztonságért felelős kollégáikat az ilyen típusú támadások kivédésére.
CW: Vannak-e olyan vírusok, amelyek tipikusan a magyarországi rendszerekre jellemzőek?
JM: Azt mondhatom, hogy Magyarországon a vírushelyzet a nyugat-európaival vethető egybe, tehát nagy különbségeket nem látunk. Nincsenek speciális helyi támadási formák, és a védelmi készültség is nagyban hasonló. Megengedhetik maguknak a felhasználók, hogy költsenek az IT-biztonságra, jogtiszta operációs rendszert használnak, zömében rendelkeznek belső frissítési szabályzatokkal, emellett pedig a vállalati informatikai szervezetek szaktudása magas színvonalú.
CW: Melyek a jellemző biztonsági kihívások a régió vállalkozásaiban tevékenykedő informatikusok számára?
JM: A régióban igen elterjedt a saját eszköz használata vállalati környezetben. Úgy vélem, hogy a „hozd a saját eszközödet” (BYOD) felszólítás sokkal inkább így fordítható: „hozd a saját sérülékenységedet”. Ha megengedjük a munkatársainknak, hogy használják saját tulajdonú eszközeiket a vállalati környezetben és rendelkezzenek ezen eszközök felett, akkor arról is gondoskodnunk kell, hogy valahogy menedzseljük ezeket az eszközöket. Léteznek ugyan ilyen megoldások, és ismertek szigorúbb szabályozási módszerek is, de az az igazság, hogy ha ezeket alkalmazzuk, akkor a mobileszközök vonzereje, amiért használjuk őket, elvész.
CW: Mi a tanácsa az informatikai vezetőknek, mire ügyeljenek leginkább az IT-biztonság terén?
JM: Rendelkezzenek megfelelő számú és magas képzettségű munkatárssal az IT-biztonság területén. A biztonsági csoport rendszeresen vegyen részt képzéseken, amelyeken megismerkedhetnek az adott időszak legjellemzőbb támadásaival. Az informatikusok oktassák a vállalat dolgozóit arra, hogy mire ügyeljenek, amikor kezelik a levelezésüket. Az IT-biztonság terén tevékenykedőknek pedig észben kell tartaniuk, hogy nincs egyetlen üdvözítő megoldás, amellyel megvédhetik magukat és cégüket, hiszen a védekezés egy nagyon komplex feladat, amely ráadásul folyamatos odafigyelést igényel.
Felhővel hatékonyabb
Jakub Debski, az ESET központi technológiájának fejlesztési vezetője szerint a felhő fontos platform a kiberbűnözők elleni küzdelemben.
– Mi a folyamata annak, ahogyan egy kártékony program beazonosításától és megismerésétől eljutnak a hatásos ellenszer előállításáig?
– Ez a munkafolyamat rengeteget változott az utóbbi időkben. A kiberbűnözők hatalmas pénzeket fektetnek a támadásokba, ezért nagyon hamar képesek reagálni a fejlesztéseinkre is. Ez a macska-egér–harc igen költséges, és minden bizonnyal örökre így is marad. A megközelítésünk a felhőtechnológia alkalmazásával változott, így egyben látjuk az informatikai rendszerek nagy képét, és azt, hogy a rosszindulatú szoftverek szerzői miként alkalmazkodnak a védelmi reakcióinkhoz. Rengeteg szenzorunk működik világszerte, amelyekből metaadatokat, telemetriai - és egyéb információkat nyerünk ki, és ezzel igyekszünk megtudni, hogy e kártékony programok szerzői miként alkalmazkodnak. Közben pedig azt is tudjuk, hogy ők ugyanezt teszik velünk: látják, használják, folyamatosan analizálják a mi alkalmazásainkat. A felhő számunkra nagy előnyt jelent, hiszen amint a rosszindulatú programok szerzői kezdik kutatni, hogy érzékeltük-e már azokat, mi azonnal látjuk őket, és azonnal reagálhatunk. A felhasználóknak pedig nem kell várniuk a frissítésre, mert ha bekapcsolták a felhős funkciót a termékben, akkor azzal már azonnali védelmet kaphatnak.
– A fenyegetések megváltozásával hogyan változik a termékük magja, amelynek fejlesztésért személy szerint ön felel?
– Esettanulmányokat készítünk, ha valami korábban elkerülte a figyelmünket. Megvizsgáljuk, hogy miért nem fedeztük fel azonnal a szóban forgó fenyegetést. Külön folyamatunk van az ilyen speciális esetekre, amelynek célja, hogy kiderítsük, a munkafolyamat melyik elemén kell még javítanunk. Termékünk réteges felépítése egyszerűvé teszi ezeket fejlesztéseket, emellett pedig folyamatosan fejlesztjük a termék motorját is, hogy ezzel az újfajta fenyegetéseket is minél hatékonyabban kivédhessük.
