Elterjedt vélemények szerint a zsarolóprogram-támadások számának növekedését és intenzív szolgáltatásbénító támadásokat hozó 2016-os év kiberbiztonsági szempontból igencsak katasztrofálisan alakult, és egyáltalán nem remélhető, hogy jövőre javulni fog a helyzet. Sharon Fiorentine, a CIO.com magazin munkatársa két vezető kiberbiztonsági szakértőt - Matt Dirckst, a biztonságos hozzáférési technológiákkal foglalkozó Bomgar cég vezérigazgatóját, valamint Scott Millst, a biztonságos eszközfelügyeleti és mobilbiztonsági területen tevékenykedő Cyber adAPT műszaki vezetőjét - kérdezte meg arról, mit várnak 2017-től az informatikai biztonság területén.
Érett jelszókezelés
Hatalmas károkat okozott az internet nagy részén októberben egy elosztott szolgáltatásbénító támadás, amelyet részben az tett lehetővé, hogy a dolgok internetének eszközein nem változtatják meg az alapértelmezésbeli jelszavakat, így a hackerek egyszerűen átvehették felettük az ellenőrzést. Dircks úgy véli, sok bajunk lesz emiatt a jövőben is, hiszen rengeteg olyan hagyományos eszköz van használatban, amelyeket primitív, elterjedt vagy elavult jelszavakkal "védenek". Várható, hogy a sebezhetőségüket felismerő vállalatok egyre nagyobb számban alkalmaznak majd hatékony jelszókezelő rendszereket.
Komoly fejtörést okoz a kiberbiztonsági szakembereknek a kritikus infrastruktúrák, a kapcsolódó és távolról elérhető rendszerek megvédése, ha gyenge jelszókezelési irányelvek maradnak érvényben. Fejlett jelszó-felügyeleti rendszer bevezetésével a belső fenyegetések elhárítása szintén hatékonyabbá válik. Dircks szerint olyan megoldást érdemes üzembe állítani, amely biztonságosan tárolja a felhasználók számára ismeretlenül maradó jelszavakat, s amely rendszeresen változtatja és rotálja ezeket a biztonság javítása érdekében. Biztonsági szempontból ideális környezetben a felhasználóknak egyáltalán nem kell ismerniük a jelszavaikat, mert azokat olyan adattrezorban tárolják, amely minden héten megváltoztatja őket. A hackerek közismerten lusták, és a könnyebb ellenállás irányába mozognak. Ha megnehezítik a dolgukat, továbbállnak, és inkább máshol próbálkoznak.
Kiemelt felhasználók védelme
A kiberbűnözők a magas szintű hozzáférés megszerzése érdekében a kiemelt jogosultságokkal rendelkező felhasználók - informatikusok, felsővezetők - bejelentkezési adatait igyekeznek megszerezni. Amint ezek birtokába jutottak, porba hullanak a kritikus fontosságú vállalati rendszerek, alkalmazások és adatok védelme érdekében foganatosított biztonsági intézkedések. Dircks véleménye szerint 2017-ben a körültekintő szervezetek végre nem csupán rendszereiket, hanem az azokat kiemelt jogokkal használó alkalmazottaikat is fokozott védelemben részesítik majd azonosítási módszerekkel, hozzáféréseik monitorozásával, valamint a munkájukhoz nem szükséges erőforrásokhoz való hozzáférés megszüntetésével.
Gyakran hallotta ügyfeleitől Dircks, hogy VPN-en keresztül biztosítottak hozzáférést külső partnereknek, valójában azonban fogalmuk sem volt arról, hogy azok milyen erőforrásokat érnek el. A privilégiumfelügyelet révén korlátozhatók az egyes felhasználók, köztük az illetéktelenül bejelentkezők jogosultságai. Hiába rendelkezik valaki érvényes jelszóval, amint olyan erőforrásokat próbál használni, amelyekhez nincs jogosultsága, a rendszer blokkolja őt, és riasztást ad ki.
Tovább javítják a védelem hatékonyságát a potenciális veszélyek ismertetésére hivatott képzések és tréningek, amelyek különösen a mobilmunkavállalók esetében hasznosak. Ők ugyanis hajlamosak könnyelműen megadni személyes adataikat a hozzáférés érdekében, mivel úgy vélik, hogy a biztonságukról mások gondoskodnak.
Folytatódnak a vádaskodások
A dolgok internetének (IoT) terjedése és a biztonsági megoldásokat nyújtó szolgáltatókra hagyatkozás következményeként továbbra sem lesz egyszerű megállapítani, hogy például egy adatlopási incidens bekövetkeztekor kit terhel a felelősség - hívja fel a figyelmet egy másik problémára Dircks. Kinek kell megvédenie, karbantartania, frissítenie az egyes technológiákat? Súlyosbítja a helyzetet, hogy számos IoT-eszközt nem lehet frissíteni, így ezek sebezhetővé teszik a hozzájuk kapcsolódó belső rendszereket is. A dolgok internete, az automatizálás és a felhő integrációjának következményeként senki sem tudhatja biztosan, voltaképpen ki felel az egyes komponensek biztonságáért: az IoT-eszköz gyártója, a biztonsági szolgáltatások nyújtója, a belső vállalati IT-részleg vagy az egyes felhasználók? Márpedig a védelem erősségét a legkevésbé biztonságos berendezés vagy kapcsolat határozza meg - mutat rá Dircks.
Amikor azután bekövetkezik a súlyos biztonsági incidens, megkezdődik a felelősök keresése, az egymásra mutogatás, kinek a feladata az elhárítás és a károk felszámolása. A gyors válaszlépéseket megbénító vádaskodást úgy kerülhetik el a vállalatok, hogy javítják az IT-részleg és az üzleti vezetés közötti kommunikációt a potenciális fenyegetések, valamint a biztonsági lehetőségek, kihívások és kényszerek feltárása érdekében.
Ellenőrizhetetlen zsarolóprogramok
A Symantec szakemberei naponta átlagosan több mint négyezer zsarolóvírus-támadást regisztrálnak, ami 300 százalékos növekedést jelent az előző évhez képest. Millis úgy tapasztalja, hogy a legtöbb szervezet tűzfalakkal, antivírusprogramokkal és behatolásgátló megoldásokkal veszi fel a harcot a zsarolóvírusok ellen, ezek az eszközök azonban nem nyújtanak kielégítő védelmet. Minthogy a hackerek pszichológiai trükkök és a közösségi hálózatok segítségével igyekeznek értékes vállalati adatokat kiszedni áldozataikból, minden korábbinál fontosabbá vált az alkalmazottak biztonságtudatos szemléletének kialakítása. Van még mit javítani az észlelés hatékonyságán is: egyes programkártevők hónapokon keresztül észrevétlenek maradhatnak a vállalat informatikai infrastruktúrájában, oldalirányú mozgásokat végezve képesek lehetnek megakadályozni a fejlettebb támadások elleni védekezést. Ráadásul a legújabb támadási felületek - IaaS, SaaS és IoT - még annyira újak, hogy a szervezeteknek még nem jutott idejük arra, hogy kidolgozzák a hatékony védelmüket.
Nem javuló észlelési idők
Millis szerint 2017-ben sem fog csökkenni a sikeres támadások és a felfedezésük között eltelt idő, sőt extrém esetekben elérheti a két évet is. Ennek fő oka, hogy a vállalatok nem összpontosítanak eléggé a támadások által kiváltott aktivitások megfigyelésére. Bár a válaszreakciók és a helyreállítási képességek javultak valamelyest, ez nem járt együtt az észlelési idő csökkenésével. A biztonsági szakértők a hálózati eszközök naplófájljait használják a támadási kísérletek nyomainak felderítésére, az ilyen jellegű vizsgálatokhoz szükséges nagymennyiségű adat tárolása és átvizsgálása azonban költséges és nem túl hatékony.
Millis úgy véli, a biztonsági információ- és eseménykezelő (SIEM-) rendszerek kiválóan használhatók a bekövetkezett incidensek vizsgálatára, ám még mindig nem elég eredményesek a folyamatban lévő támadások leleplezésében. A megoldást olyan új termékek jelentik, amelyek a nyers hálózati forgalom elemzésével azonosítják a támadásokra utaló jeleket, jelentősen rövidítve az észlelési időt.
Jön a fenyegetések internete?
A dolgok internete eszközeiben felfedezett sérülékenységek (az idei DefCon konferencián 21 gyártó 23 eszközében talált 47 új sebezhetőségről számoltak be a résztvevők) és az ezek kihasználásával indított támadások száma jövőre növekedni fog, ami megköveteli ezen berendezéseknek a biztonsági szempontokat messzemenően figyelembe vevő szabványosítását. A fenyegetés mértékét jól mutatja, hogy a nagy globális webhelyek - többek között a Twitter, a Netflix és a Reddit - ellen októberben elkövetett masszív DDoS-támadást a feltört IoT-eszközökből felépített Mira bothálózat segítségével hajtották végre.
Dircks nem zárja ki annak a lehetőségét, hogy a közeli jövőben az elektromos hálózatok vagy a közlekedési rendszerek, például a vasút ellen követnek el hackertámadásokat. Az ezeknél kiterjedten alkalmazott régi - nemritkán a múlt század 50-es, 60-as éveiből származó - technológiák szintén védtelenek.
