Az idei év első jelentős biztonsági konferenciáján a hálózatbiztonság, a célzott támadások veszélye valamint a kiemelt felhasználók tevékenységének felügyelete különös hangsúlyt kapott.
Magyarországon a nagyobb biztonsági konferenciák sorát minden évben az IDC IT Security Roadshow szokta megnyitni. Nem volt ez másként idén sem. A 2013-as Roadshow követte az előző években kialakult hagyományokat, gyakorlatot, ami egyben azt is jelentette, hogy ezúttal is elsősorban az IT- és biztonsági vezetőket, az informatikai döntéshozókat valamint az üzemeltetési menedzsereket várták a szervezők. A konferencián hazai és külföldi előadók egyaránt felszólaltak, akik a biztonsági nehézségek, problémák felvázolását követően igyekeztek némi munícióval szolgálni a védelmi intézkedések meghozatalához valamint a fenyegetettségekkel szembeni küzdelem technológiai és szervezeti megvalósításához. A rendezvényen kétségtelenül azok az előadások kerültek túlsúlyba, amelyek hálózatbiztonsági témákat karoltak fel. Ugyanakkor szó esett a biztonsági trendekről, az emberi tényezők kezeléséről, a mobil technológiák által jelentett kockázatokról és a célzott támadásokhoz felhasznált kártékony kódokról is.
A legérdekesebb trendek
Az IDC IT Security Roadshow – a hagyományoknak megfelelően – egy elemzőjellegű előadással kezdődött, amelynek során Thomas Vavra, az IDC CEMA alelnöke vázolta fel az elmúlt egy évben tapasztalható biztonsági trendeket. A szakember hangsúlyozta, hogy az adataik, felméréseik továbbra is azt támasztják alá, hogy a fenyegetettségek gyorsan változnak, ami természetszerűleg a biztonság változásával is együtt jár. Azonban figyelemreméltó, hogy a vállalatok oly annyira felismerték a védelem jelentőségét, hogy a legtöbbjük első számú prioritásként kezeli a biztonságos IT-környezetek kialakítását.
Thomas Vavra meghatározta azt a négy legfontosabb területet, amelyek napjainkban és feltételezhetően a közeljövőben is alapvetően fogják befolyásolni a védelmi technológiák fejlődését. A négy meghatározó tényező: cloud computing, mobil technológiák, közösségi üzleti tevékenységek valamint a big data. Az előadó elmondta, hogy a legtöbb szervezet napjainkban e területeket biztonsági szempontból még reaktívan kezeli, de előbb-utóbb el kell jutniuk a proaktív, illetve a prediktív szemléletmódok alkalmazásáig. A big data pedig elsősorban a naplózás során keletkező nagymennyiségű adat elemezésében és a gyorsabb reagálásban tud majd segítséget nyújtani. Vavra azt várja, hogy a SaaS alapú (Software as a Service), tehát a szolgáltatásként értékesített szoftverek modellje a védelmi alkalmazások kapcsán is mind inkább előtérbe kerül, különösen, ami az azonosságkezelést, az üzenetkezelést és a végpontbiztonságot illeti.
Középpontban a hálózatbiztonság
Az idei Roadshow egyik kiemelt témájának a hálózatbiztonság számított. Csósza László, a Check Point biztonsági mérnöke az elosztott szolgáltatásmegtagadási (DDoS - Distributed Denial of Service) támadásokról beszélt. Elmondta, hogy az SQL injection, a fejlett, célzott APT (Advanced Persistent Threat) fenyegetettségek és a botnetek után a legnagyobb kihívást a DDoS-támadások jelentik a szervezetek számára. A problémát fokozza, hogy ezek az akciók minden korábbinál kifinomultabb technikákat alkalmaznak, amik az ellenük való küzdelmet igencsak megnehezítik. Már csak azért is, mert bárki által elérhető eszközök, egyszerű scriptelés révén is lehet (randomizált) támadásokat kezdeményezni. Ugyancsak fontos trend, hogy a hálózatalapú DDoS mellett egyre több gondot okoznak az alkalmazásszintű támadások. Mind elterjedtebb technikának számít, hogy a támadók normál, legitim kapcsolatokat használnak, és azok számának folyamatos növelésével próbálják megbénítani vagy lassítani a célkeresztbe állított rendszereket, és akár viszonylag kis csomagszám mellett tudnak károkat előidézni. Csósza László elmondta, hogy a DDoS-ra adott válaszlépéseknek gyorsaknak kell lenniük a károk minimalizálása érdekében. A támadások felismerésébe és elhárításába pedig a hagyományos (szűrő- és threshold alapú) technikák mellett szignatúrákra és viselkedéselemzésre épülő technológiákat is be kell vonni.
A hálózatbiztonsági témát Dalibor Kruljac, a DELL SonicWALL regionális vezetője folytatta, aki arról beszélt, hogy manapság a hagyományos hálózatbiztonsági eszközök, tűzfalak nem elégségesek ahhoz, hogy a kockázatokat kezelni lehessen. Ennek többek között a konzumerizáció, a mobil technológiák térhódítása és az egyre több eszköz üzleti környezetekben való megjelenése az oka. A SonicWALL felmérése szerint egy átlagos vállalatnál rendelkezésre álló sávszélesség 25 százalékát a nem üzleti célú adatforgalom teszi ki. 30 százaléknyi forgalom pedig egyértelműen a közösségi hálózatokhoz köthető. Mindez pedig erősíti a következő generációs tűzfalak (NGFW - Next-Generation Firewall) létjogosultságát, amik többek között behatolásmegelőzővel, alkalmazásszűrővel, címtárakkal történő integrációs lehetőségekkel és titkosított adatforgalom ellenőrzésére alkalmas technológiákkal is rendelkeznek. A szakember úgy látja, hogy a jövőben a tűzfalértékesítések 60 százalékát már az NGFW-megoldások fogják kitenni. A következő generációs tűzfalak fontosságára világított rá Seweryn Jodlowski, a Palo Alto Networks rendszermérnöke is, aki a megoldást a védelem alkalmazásokra, felhasználókra, illetve tartalmakra történő kiterjesztésében látja.
Kordában tartott felhasználók
A kiemelt jogosultságokkal rendelkező felhasználók tevékenységének monitorozásával kapcsolatban két előadást halhatott a konferencia közönsége. Az egyiket Illés Márton, a BalaBit IT Security technológiai igazgatója tartotta. A szakember elmondta, hogy minél több jogosultsággal rendelkezik egy felhasználó, annál nagyobb a szabadsága, annál több mindent megtehet, és mind komplexebb problémákhoz járulhat hozzá. Ahhoz azonban, hogy a kockázatok kezelhetők legyenek, először azt kell tisztázni, hogy egy adott szervezeten belül pontosan milyen felhasználói csoportok vannak. A felmérés során gondolni kell a vendégekre, a webes szolgáltatásokat igénybevevő ügyfelekre, a belsős alkalmazottakra, a vezetőkre és nem utolsó sorban a rendszergazdákra is. Ezt követően ki kell alakítani egy monitorozó rendszert, aminek célja lehet a megfelelőségi követelmények, a kockázatkezelés és a prevenció lefedése. Sajnos azonban könnyen előállhat az a helyzet, hogy a tevékenységmonitorozáshoz egy adott szervezetnek nincs elégséges erőforrása, ezért fókuszálni kell e tevékenységet. Általános elmondható, hogy a felhasználók 20 százaléka tehető felelőssé a problémák 80 százalékáért. Ennél fogva a naplókat érdemes szűrni, és a szelektált adatokat feldolgozni, elemezni, illetve tárolni. Illés Márton a BalaBit Shell Control Box rövid bemutatás után kifejtette, hogy a tevékenységmonitorozás jövőjét az események és kontextusok vizsgálata, illetve a viselkedéselemzés jelentheti.
A kiemelt felhasználói fiókokkal kapcsolatos biztonsági nehézségekre Ana-Maria Boldizsar, a Cyber-Ark regionális vezetője is kitért. Arra hívta fel a figyelmet, hogy a belső károkozások kockázatainak csökkentésével kiemelten kell foglalkozniuk a szervezeteknek, ugyanis így többek között az APT-alapú támadásokkal szemben is hatékonyabban lehet fellépni. A védelemi intézkedéseknek ki kell terjedniük a hagyományos számítógépek érzékeny adatokat tároló rendszerektől történő megfelelő szintű izolálására, a kontrollok felállítására, az elszámoltathatóság biztosítására, a forensic vizsgálatok támogatására és a folyamatos monitorozásra.
A kiberháborúk a vállalatokat sem hagyják érintetlenül
A konferencián több ízben előkerült a kiberhadviselés és a manapság nagy port kavart kibertámadások problémája. Stefan Tanase, a Kaspersky Lab vezető biztonsági kutatója arról beszélt, hogy a vállalatokat miként érintik a kiberháborúk, illetve azok a nagyszabású kibertámadások, amelyek mögött különböző nemzetek állnak. A szakember szerint a szervezetek nem vehetik félvállról ezeket az incidenseket, ugyanis – ha nem is feltétlenül közvetve – de hatást gyakorolnak a biztonságukra. Elég, ha csak a 2010-ben megjelent Stuxnetre, a 2011-ben felfedezett Duqu-ra vagy a 2012-ben nagy visszhangot kiváltott Flame, illetve MiniFlame károkozókra gondolunk. A tavaly terjedésnek indult Gauss nevű malware - amely bizonyos szempontból a Stuxnetnél is kifinomultabb technikákat alkalmazott - azt is igazolta, hogy a kiberfegyverekbe miként kaphatnak helyet „hagyományos” banki trójai programok esetében alkalmazott összetevők.
biztonsagportal.hu |
Kezdőlap