Egyre gyakrabban érkeznek hírek arról, hogy feltörték egy kisebb vagy nagyobb vállalat rendszerét, és bizalmas adatokat loptak el, komoly károkat okozva ezzel a szervezetnek és az ügyfeleinek vagy partnereinek. Senki sincs biztonságban, a Cyberedge Group felmérése szerint az utóbbi egy évben Észak-Amerikában és Európában a vállalatok több mint 60 százalékánál előfordult valamilyen biztonsági incidens legalább egy alkalommal. 46 százalékuknál öt alatt, 16 százalékuknál pedig öt felett volt a támadások száma.
A vizsgálatok azt mutatják, hogy a vállalatok többnyire hamis biztonságérzetbe ringatják magukat. A Vanson Bourne kutatásából kiderült, hogy az informatikai vezetők 42 százaléka gondolja úgy, hogy cége megfelelően védett a támadásokkal szemben. 35 százalékuk szerint perceken belül, 22 százalékuk szerint egy napon belül képesek észlelni a biztonsági eseményeket.
A valóság azonban teljesen más képet mutat. A Verizon a Data Breach Investigations elemzésében a közelmúlt biztonsági incidenseit vizsgálva arra jutott, hogy egyetlenegy olyan eset sem volt, ahol perceken vagy órákon belül észlelték volna a támadást. Az esetek 27 százalékában néhány napon belül vették észre a behatolást, az áldozatok 24 százalékának hetekbe, míg 39 százalékának hónapokba telt észrevenni, hogy megtámadták őket.
Nehezített pálya, változó játékszabályok
A vállalatoknak nincs könnyű dolguk, ha folyamatosan naprakész védelmet akarnak fenntartani, hiszen az alkalmazottaik szokásai is változnak, és a kiberbűnözők is egyre kifinomultabb módszereket alkalmaznak.
A vállalati felhasználók magánéletükben megszokták a felhő, a mobileszközök és a közösségi hálózatok nyújtotta kényelmet és egyszerű hozzáférést minden információhoz, így ugyanezt igénylik a munkahelyükön is a maximális hatékonysághoz.
A kibertámadásokra pedig már nem csupán kívülről kell számítani, ugyanis a hackerek egyre könnyebben törik fel a peremvédelmet, és a hálózaton belülre jutva kiemelt felhasználóknak, például rendszergazdáknak álcázzák magukat, mivel a privilegizált jogosultságokkal bármihez hozzáférhetnek. Szintén bevett gyakorlat a kiberbűnözőknél, hogy a szolgáltatókat támadva jutnak be a szervezetek infrastruktúrájába, vagy a vállalatok rossz biztonsági gyakorlatait és konfigurációit használják ki. Emellett az adathalászat terén is egyre fejlettebb és célzottabb módszereket fejlesztenek ki.
Mennyiség helyett minőség
Egyre több vállalat próbál tenni a veszélyek kivédéséért, de sokszor nem a megfelelő módszert választják. Sok helyen például üzembe helyeznek valamilyen eszközt, ami monitorozza az eseményeket és tevékenységeket. Az így összegyűjtött adatok elemzését pedig az informatikai szakemberekre bízzák, akik a legtöbb helyen már enélkül is eléggé leterheltek, így nincs idejük napi szinten vizsgálni a naplófájlokat. Ráadásul a vállalati rendszerek hatalmas mennyiségű adatot képesek összegyűjteni, ezért óriási a zaj, de ebből rendkívül kevés a hasznos információ.
Az események rögzítése tehát nem elég, azonosítani kell a szokatlan tevékenységeket, méghozzá minél rövidebb időn belül.
A NetIQ szerint ezt úgy lehet a leghatékonyabban kivitelezni, ha a biztonsági információ- és eseménykezelő (SIEM) megoldásokat a vállalatok egyéb eszközökkel egészítik ki, például a jogosultságokhoz és személyazonosságokhoz kapcsolódó információk felügyeletével, konfigurációkezeléssel és tevékenységfigyeléssel.
Személyazonosság- és jogosultságkezeléssel a leggyengébb láncszem ellen
A legtöbb szervezetnél a felhasználók számítanak a leggyengébb láncszemnek, akik véletlenül vagy szándékosan nem tartják be a biztonsági előírásokat. Például előfordul, hogy a nagyobb kényelem és hatékonyság érdekében átállítják a számítógépeik konfigurációit, illetve bizalmas vállalati adatokat tárolnak hordozható eszközeiken vagy fájlmegosztó oldalak fiókjaiban, ami mind növeli a biztonsági kockázatokat.
Szintén komoly probléma, hogy egyes felhasználók nem képesek mérlegelni a félrevezető e-mailek valóságtartalmát, és akaratlanul is rosszindulatú szoftvereket töltenek le gépeikre, vagy adathalászati kísérletnek esnek áldozatul. A naiv felhasználók tehát szintén komoly károkat képesek okozni még akaratlanul is, de ennél is nagyobb fenyegetést jelenthet egy elégedetlen, szabotőr vagy lefizetett alkalmazott a hálózaton belül.
Egy alkalmazott hibájának kihasználásával kezdődött egy nagy áruházlánc elleni támadás is, amelyet a legkomolyabb adatlopási esetek között tartanak számon a szakértők. A hackerek először a láncolat egyik partnerének rendszerébe hatoltak be, méghozzá malware-ekkel fertőzött e-mailekkel. A feltételezések szerint valamelyik alkalmazott megnyithatta az egyik fertőzött levelet, amivel észrevétlenül a gépére települt egy, a jelszavak ellopására készített program. A partnercég hozzáféréssel rendelkezett az áruházlánc belső hálózatához, ennek belépési adatait lopták el a támadók, és ezt kihasználva telepítették saját adattolvaj-szoftverüket az áruházlánc egyes pénztárgépeire.
A partner hűtő- és fűtőberendezések forgalmazásával, illetve karbantartásával foglalkozik, és valószínűleg a tesztelési, ellenőrzési és hibajavítási feladatok ellátása miatt kapott hozzáférést a áruház hálózatához. Azt viszont senki nem ellenőrizte, mihez kezd a cég a hozzáféréssel, hova lép be és mit tesz a hálózaton belül.
Ha ez esetben a SIEM megoldást összekötötték volna egy személyazonosság- és jogosultságkezelő alkalmazással, akkor azonnal észlelték volna ezt a visszaélést. Hiszen a rendszer automatikusan érzékelte volna, hogy egy olyan hozzáféréssel használják a pénztárgépeket, amelynek nincs ott keresnivalója, és elküldte volna a riasztást az illetékes személyeknek.
Ez csak az egyik példa, számos egyéb előnnyel és lehetőséggel jár, ha a személyazonosságokhoz kapcsolódó információkat is felhasználják a védelem kiépítése során. Érdemes a SIEM eszközöket integrálni a személyazonosság-kezelési rendszerekkel és a hálózati eszközökkel. Erre tökéletesen alkalmasak például a NetIQ kapcsolódó megoldásai, amelyek nem csupán a NetIQ SIEM szoftverével, a Sentinellel használhatók, de más biztonsági információ- és eseménykezelő rendszerekkel is tökéletesen képesek együttműködni. A személyazonossági információk ezen felül a felesleges jogosultságok csökkentésénél vagy megszüntetésénél is jól felhasználhatók, illetve a kiemelt, rendszergazdai jogosultságok kezelésénél és figyelésénél is alkalmazhatók.
Vigyázó szemetek a tevékenységetekre vessétek!
A személyazonossági információk mellett természetesen a tevékenységek követésére is célszerű komoly figyelmet fordítani. Ennél a témakörnél a következők a legfontosabb kérdések:
Milyen változások történtek?
Mikor történtek a változtatások?
Ki vitte őket véghez?
Honnan végezték el a változtatásokat?
Jóváhagyott változtatások voltak?
Egy profi eszköz, például a NetIQ Change Guardian képes folyamatosan figyelemmel kísérni minden szükséges változtatást a kritikus rendszerekben és fájlokban, és szükség esetén riasztást küldeni a gyanús tevékenységekről az illetékeseknek. A megoldás észleli a felügyelet nélküli módosításokat, a kritikus adatokhoz történő illetéktelen hozzáférést és az engedély nélküli, kiemelt jogosultságokat igénylő tevékenységeket. Ezáltal nem csupán a bizalmas adatokra és rendszerekre leselkedő kockázatokat csökkenti, de a megfelelőség biztosítását is elősegíti a legfontosabb előírások esetén, beleértve a PCI DSS, a HIPAA/HITECH, az ISO/IEC 27001 szabványokat és az EU adatvédelmi irányelvét. Egy ilyen jellegű monitorozó eszköz szintén segíthetett volna megállítani az áruház elleni támadást, hiszen azonnal észlelte volna az adatlopó program telepítését a pénztárgépeken.
Konfigurációk követése egyszerűen
Az áruház esetében a hackerek nem közvetlenül a pénztárgépekről vitték ki az adatokat, hanem először a szervezeten belül továbbították egy másik szerverre, ahonnan könnyebb volt exportálni az értékes információt, elkerülve a felfedezést. Ez szintén megelőzhető lett volna, ha a konfigurációkezelésre is alkalmaznak egy dedikált eszközt, amelyet a SIEM megoldással is integrálnak. A NetIQ Secure Configuration Manager például teljes körűen felméri és folyamatosan monitorozza a konfigurációkat és a felhasználói jogosultságokat, továbbá segít a biztonsági rések felderítésében. A szoftver az ellenőrzéskor figyelembe veszi az előírásokat és a saját, folyamatosan frissített adatbázisában megtalálható legjobb gyakorlatokat, majd ezeknek megfelelően szükség esetén javaslatokat tesz a beállítások módosítására.
A NetIQ eszköze a legújabb fejlesztéseknek és a Cisco vállalattal folytatott együttműködésnek köszönhetően már hálózati eszközökön is képes a biztonsági beállítások felmérésére. Így például képes észlelni, ha egy felhasználó két különböző eszközről és helyről jelentkezik be egy adott időben, ami gyanakvásra ad okot.
A kevesebb több
A megfelelő eszközök használatával tehát a vállalatok az óriási mennyiségű, de nehezen feldolgozható információtenger helyett jól átlátható, jó minőségű adatokhoz juthatnak, amelyek segítségével egyszerűen, gyorsan és hatékonyan azonosíthatják a támadásokat, és megtehetik a szükséges intézkedéseket.
Ez nem csupán az alapvető biztonsági szempontok miatt létfontosságú, de az ISO 9001-es minőségbiztosítási szabvány is előírja a vállalatok számára, hogy folyamatosan gondoskodniuk kell a termék konformitásának eléréséhez szükséges infrastruktúra meghatározásáról, rendelkezésre bocsátásáról és fenntartásáról, beleértve a munkafolyamatokhoz szükséges eszközöket, hardvereket és szoftvereket, illetve informatikai és információs rendszereket, valamint a kapcsolódó szolgáltatásokat. Ezek pedig akkor működnek megbízhatóan, ha minden oldalról védve vannak.
