English

Belépés


Véget nem érő küzdelem a fejlett fenyegetettségek ellen

A fejlett fenyegetettségek elleni küzdelem folyamatosan megújuló biztonsági intézkedéseket követel meg, amelyeket egy jól kidolgozott stratégia mentén célszerű meghozni. De vajon mik legyenek a stratégia alappillérei, és milyen irányvonalakat érdemes követni egy korszerű védelmi infrastruktúra kialakításakor?

Napjainkra az információbiztonság rendkívül összetett területté nőtte ki magát, ami alapvetően két módon is komoly nyomást helyez a szervezetekre. Egyrészt olyan védelmi infrastruktúrát kell kialakítaniuk, amely a változó IT-környezeteket megfelelően képes oltalmazni. Másrészt a felépített biztonsági rendszereket folyamatosan, a lehető legnagyobb éberség mellett kell üzemeltetniük. Nyilvánvalóan a védelmi rendszerek kialakítása és azok üzemeltetése is csak akkor lehet hatékony, ha a teljes infrastruktúra gondosan megtervezett. Manapság már nemcsak a rendszerszemléletű megközelítés fontos, hanem az is, hogy a biztonság olyan modellekre épüljön, amelyek a fenyegetettségek teljes életciklusát lefedik, sőt még a jövőre is gondolnak, különféle prediktív technikák bevonásával.

Már régóta hangoztatott tény, hogy kellő szintű biztonságot csak folyamatos védekezés mellett lehet elérni. Ugyanakkor ez a folyamatosság nem minden esetben nyilvánul meg, különösen nem az olyan védelmi területeken, mint amilyen például az incidensreagálás. Ideális esetben egy szervezet rendelkezik incidenskezelési tervekkel, amelyeket egy-egy támadás, nemkívánatos esemény során elővesz és alkalmaz. A nap, mint nap bekövetkező támadások azonban egyre inkább azt vetítik előre, hogy már nem elégséges ez a fajta megközelítés, hiszen tulajdonképpen folyamatosan tettre készen kell állni, és kezelni a különböző eseményeket, ami természetesen egy szemléletbeli változást is indukál a védelem szempontjából. Már csak azért is, mert a folyamatosság azt is feltételezi, hogy a védett rendszerek kapcsán a monitorozás, a naplóelemzés, a detektálásra szolgáló megoldások és az átláthatóságot biztosító egyéb technológiák töretlenül végzik a dolgukat.

Körforgásban a biztonság

A védelem kialakítása egy véget nem érő folyamat, amelyet a Gartner szakemberei négy fázisra bontottak. Ez a négy csoport azonban nem kezelhető egymástól teljesen függetlenül, ugyanis a védelmi teendők egymásra épülnek, felhasználják a korábban összegyűjtött adatokat, tapasztalatokat, és ilyen módon válnak egyre hatékonyabbá.

A négylépcsős biztonsági modell első fázisában a megelőző tevékenységek jutnak szerephez. Itt kerülnek meghatározásra a védendő termékek, folyamatok és a házirendek. A legfontosabb cél pedig nem más, mint hogy a támadási felületek méretét csökkenteni lehessen, és még azelőtt váljanak megakadályozhatóvá a támadások, mielőtt azok kifejthetnék káros hatásukat.

Noha a megelőzés rendkívüli fontossággal bír, azért hiú ábránd lenne azt gondolni, hogy minden károkozásnak elejét lehet venni. A mindennapokban ugyanis a komplex és szofisztikált támadások miatt egész egyszerűen nem lehet minden gyenge pontra gondolni, már csak azért sem, mert rengeteg napvilágra nem kerülő sebezhetőséget aknáznak ki a kiberbűnözők. Ezért a detektálásra, a fenyegetettségek felismerésére is komoly hangsúlyt kell helyezni. Ez esetben a cél az, hogy a támadások, incidensek felismerése a lehető legbiztosabban és a lehető leggyorsabban megtörténjen, ugyanis ezzel a károk nagyságát jelentősen lehet csökkenteni. E feladat napjainkban már jóval bonyolultabb és erőforrásigényesebb, mint azt sokan gondolják, hiszen a fenyegetettségi térkép kiterjedése és változatossága miatt rengeteg kockázati tényezővel kell számolni. A helyzetet pedig jelentősen nehezíti, hogy az informatika fejlődésével is lépést kell tartani, és a védelmet folyamatosan kell kiterjeszteni például a cloud computingra vagy éppen a mobil eszközökre.

Sajnos a támadások detektálására sem lehet száz százalékos megoldásokkal előrukkolni, ezért bizony megeshet, hogy a kiberbűnözők vagy éppen a rosszindulatú alkalmazottak elérik a céljukat, és sikeres támadást hajtanak végre. Előbb vagy utóbb azért fény derül a nemkívánatos történésekre, amikor rögtön egyszerűnek látszó, de mégis nehezen megválaszolható kérdések merülnek fel: Ki volt a támadók? Mi volt a célja? Hogyan követte el a bűncselekményt? Milyen adatokhoz fért hozzá? E kérdések megválaszolására pedig csak akkor nyílhat lehetőség, ha a védelem kialakítása kiterjed a naplózásra, a naplóelemzésre és a forensic szemléletű megközelítésekre is. A történeti adatok elemzése nemcsak az elkövetők kilétének felderítése miatt fontos, hanem azért is, mert így lehet meghozni azokat az intézkedéseket, amelyek révén a jövőbeli, hasonló módszerekkel elkövetett támadásoknak gátat lehet szabni. Vagyis egyfajta visszacsatolás történik a preventív és a detektáló „rétegek” felé. A legegyszerűbb példa minderre, amikor egy szoftveres sebezhetőség révén következik be a nem várt esemény, és mindezt a patch menedzsmenttel gyorsan le kell reagálni.

Sokáig a megelőzés, a detektálás és a visszacsatolás volt a védelem három legfontosabb alappillére, azonban napjainkban már érdemes egy lépéssel tovább haladni, ami a gyakorlatban a prediktív eljárások és folyamatok kialakítását jelenti. Vagyis a cél nem más, mint hogy a rendelkezésre álló adatok, információk alapján bizonyos valószínűséggel előre lehessen jelezni a fenyegetettségeket, és fel lehessen készíteni a proaktív védelmi vonalakat a várható eseményekre. Amennyiben ezt jól sikerül kivitelezni, akkor a megelőzésre szolgáló biztonsági eszközök, technológiák jóval hatékonyabban lesznek képesek megakadályozni egy-egy incidens bekövetkezését.

A Gartner a négyszintű modellt további részekre osztotta fel, amelyek már konkrétabb védelmi teendőkre utalnak:

Rendszerek megerősítése Olyan megoldások alkalmazása, amelyek csökkentik a valószínűségét annak, hogy illetéktelenek hozzáférnek a rendszerekhez. Ezen eszközök közé tartoznak a tűzfalak, az alkalmazáshozzáférést szabályozó eljárások, a titkosítás, valamint a hálózat- és végpontbiztonság is.
Támadáseltérítés Cél a támadók dolgának megnehezítése és a támadások kivitelezéséhez szükséges idő megnyújtása. Erre a feladatra alkalmas például a Juniper Networks által fejlesztett WebApp Secure alkalmazástűzfal is.
Incidensmegelőzés Annak megelőzése, hogy a támadók átvegyék az irányítást a rendszerek felett. Itt jutnak szerephez a hagyományos vírusvédelmi megoldások és a behatolásdetektáló eszközök is.
Támadásfelismerés Mélyszintű, folyamatos monitorozást, felügyeletet igénylő tevékenység, amely alkalmas arra, hogy kiszűrje a különféle anomáliákat.
Kockázatok priorizálása Egy támadás vagy nem várt esemény veszélyességi besorolása, és ennek megfelelő priorizálása. Ennek révén érhető el, hogy a biztonsági csapatok mindig a legveszélyesebb, legkritikusabb történésekkel tudjanak foglalkozni.
Elszigetelés A támadások elszigetelése a károk mérsékelése érdekében. Az ekkor életbe lépő védelmi intézkedések sorában megtalálható a végpontok izolálása, a hozzáférések letiltása, a gyanús folyamatok leállítása stb.
Vizsgálat, forensics A kompromittált rendszerek utólagos vizsgálata, az események pontos feltérképezése, az incidensek kiterjedésének és hatásainak meghatározása, valamint a bizonyítékok összegyűjtése.
Modellek módosítása Az újabb támadások megakadályozása a vizsgálati eredmények figyelembevételével. Ez történhet manuálisan, vagy például a Juniper egyes megoldásai által is támogatott, automatikus szignatúragenerálás segítségével.
Változtatások véghezvitele A változtatások érvényre juttatása, amely szintén történhet manuálisan vagy az egyes biztonsági eszközök közötti kommunikáció révén automatizált eljárásokkal.
Alaprendszer igények szerinti módosítása A folyamatosan megjelenő informatikai (és mobil) eszközök, alkalmazások, sebezhetőségek stb. alapján a rendszerek felkészítése a potenciális fenyegetettségekre.
Támadások előrejelzése A kiberbűnözők gyakran előre jelezhető módon végzik a tevékenységeiket. A trendek figyelésével, a gyártók és a biztonsági cégek által közzétett figyelmeztetések nyomon követésével sok támadásra előre fel lehet készülni. Az előrejelzés szervezeten belül is megtörténhet, hiszen ha egy telephelyen incidens következik be, akkor a többi helyen is gyors óvintézkedéseket lehet foganatosítani.
A proaktív védelem megerősítése A védelmi rendszer proaktív képességeinek fokozása. E tekintetben a felhőalapú rendszerek fontos szerephez jutnak, amelyek az összegyűjtött védelmi információkat gyorsan tudják megosztani a szoftveres vagy hardveres védelmi eszközökkel.

 

Folyamatos monitorozás

Ahhoz, hogy az előbbiekben ismertetett négyszintű védelmi megközelítés működőképes legyen, számos technológiai feltételnek kell teljesülnie. Ezek közül az egyik legfontosabb a folyamatos monitorozás és a kellő átláthatóság biztosítása. A mélyszintű, szüntelen naplózás azonban további megoldandó problémákat vet fel. Elég, ha csak a nagymennyiségben képződő adatokra, illetve azok – akár valós idejű – elemzésére gondolunk. A nagy adathalmazokból történő releváns információk kiszűrése manuális módszerekkel nem kivitelezhető, ezért újabb technológiák bevezetésére van szükség. Nem csoda, hogy a SIEM (Security Information and Event Management) rendszerek mellett egyre gyakrabban lehet arról hallani, hogy a Big Data is beköszönt a biztonság területére, és különböző analitikai, statisztikai, heurisztikus elemzésekkel és mesterséges intelligenciára épülő módszerek alkalmazásával segíti elő a valóban lényeges események feltárását. Mindez azonban nem jelenti azt, hogy a SIEM megoldásoknak leáldozóban van, ugyanis míg a Big Data elsősorban az elemzéseket szolgálja, addig a SIEM sokkal inkább a valós idejű vagy rövidtávú incidenskezelést támogatja. Legyen szó bármilyen megoldásról egy esetben sem lehet elkerülni az események közötti korrelációk, láncolatok feltérképezését.

A védelemről már hosszú ideje elmondható, hogy csak akkor lehet hatékony, ha többrétegű kialakítást követ, vagyis az informatikai infrastruktúrák minden egyes szintjén kifejti hatását. Manapság ugyanez a személetmód már a monitorozást is átszövi, hiszen annak is ki kell terjednie a hálózatokra, a végpontokra, az alkalmazásokra és nem utolsó sorban az alkalmazottakra, rendszerüzemeltetőkre (kiemelt felhasználókra) is. Mindezek mellett számos más forrásból is származhatnak olyan bemeneti adatok, amiknek a fogadására a naplókezelő rendszereket fel kell készíteni. Így például nem célszerű figyelmen kívül hagyni a házirendeket, szabályzatokat, a kontextusfüggő (hely, idő stb.) paramétereket, a közösségi tudásbázisokat, a sebezhetőségi jelentéseket és a biztonsági cégek laborjai által szolgáltatott információkat sem.

Összetett védelem

Mint látható a védelem komplexitása csak olyan módon gyűrhető le, ha a biztonság több szinten, de az egyes rétegek közötti hatékony együttműködéssel és kommunikációval valósul meg. Ugyanakkor mindez nemcsak a teljes védelmi infrastruktúrára igaz, hanem annak egyes összetevőire is, így például a végpontbiztonságra is. A Gartner a vállalati végpontbiztonsági megoldások piacát elemző Magic Quadrant jelentésében például nemcsak a vírusvédelmi képességeket vette górcső alá, hanem egyebek mellett tűzfalas védelmet, a hosztalapú behatolásmegelőzést és a port-, illetve eszközvédelmet is vizsgálta. Emellett pedig gyakran olyan funkciók is megjelentek az egyes termékekben, mint amilyen a teljes lemezes titkosítás, a patch management, az adatszivárgás-megelőzés (DLP) vagy a mobil eszközmenedzsment (MDM). Vagyis manapság a végpontokon is igen széles körű funkcionalitásra van szükség, méghozzá olyan módon, hogy minden esemény, védelmi teendő központilag is felügyelhető, kivitelezhető legyen. Ebből a szempontból a Gartner például a Bitdefender és a Lumension megoldásainak esetében kiemelte a webes, valamint a cloud alapú menedzsment felületek hatékonyságát.

 

 

Ismerjük ki az ellenséget!

Az egyre nagyobb számban jelen lévő, mind szofisztikáltabb fenyegetettségek elleni küzdelemben csak úgy lehet talpon maradni, ha a védelem folyamatos, és minden releváns rendszerösszetevőre kiterjed. Napjainkban a megelőzésre, a detektálásra és az incidensreagálásra épülő védelmi modellek kiegészülnek egy újabb szinttel, amely a támadások előrejelzését hivatott elősegíteni. Mindez azonban csak akkor lehet hatékony, ha az informatikai és védelmi rendszerekben képző megannyi adatot sikerül folyamatosan gyűjteni, elemezni, és a kinyert információkat a biztonság érdekében felhasználni.