A valós kibertámadások beazonosítása átlagasoan 191 nap után történik meg
Ransomware le, Cryptomining fel – Emberi erőforrás költségek töredékére csökkentése az IT-biztonsági szakmában
Továbbra is tévedésben élnek a kis- és középvállalatok vezetői. A hordozható eszközöket (laptop, tablet, mobil, stb.) szinte elhanyagolható kiberfelületi fenyegetettségnek találják, nem ismerik fel a Menedzselt Biztonsági Szolgáltatás jelentős emberi erőforrás költségeinek csökkentő hatását sem, és még inkább nincsenek tisztában a valós támadások igen késői felfedezésével. Ezen felül a hátrahagyott károk költségeit is csak utólag vehetik számításba. A nagyvállalatok körében is ritka az afféle átfogó védelem fenntartása, ami valós idejű reagálásra ad lehetőséget. MSS (Managed Security Services) nélkül a kicsit is nem felkészült cégek olyan előre nem látható károkat szenvedhetnek, amik még a vállalat fennmaradását is veszélyeztethetik.
Néha nehéz pontosan elmagyarázni egyes vállalatok menedzsmentjének, mik a lényeges dolgok az internetes támadásokkal kapcsolatban. A Ponemon Institute független felmérése során 13 országban és régióban, 419 vállalatnál tartottak felmérést a kártékony esemény valós bekövetkezésétől a felfedezésig eltelt időt illetően. Emellett a biztonsági rés kiküszöbölése és az IT-biztonsági rendszer tökéletes működésének visszaállításához szükséges időtartamra vonatkozva is gyűjtöttek adatokat. Az összes érintett vállalat megtapasztalta a 2.600 és csaknem 100 ezer közötti számot kitevő természetes személy adatainak elvesztését vagy eltulajdonítását.
A felmérés eredménye alapján az előző évi, átlagosan 201 naphoz képest 10%-ot csökkent a felismerési idő, azaz átlagosan 191 napra. A probléma megoldásához és a rendszer tökéletes helyreállításához 2016-ban átlagosan több mint 66 napra volt szükség, amiben tíz nap és 164 nap közötti időszakok szerepelnek. Ki engedhet meg magának akárcsak egy nap késést? A 2018-es felmérések még csak készülőben vannak, ám a naponta exponenciálisan növekvő és finomodó kibertámadások alapján ezek a számok kizárólag külső segítséggel csökkenthetőek.
Ugyancsak a Ponemon Institute által 2018 márciusában kiadott globális felmérés 2.848 IT-biztonságban tevékenykedő szakértőre és specialistára alapul. Ebben egy 12 hónapos időszakot vizsgáltak meg (2017 elejétől 2018 elejéig), aminek során az incidens felismerési idejét, a behatolás elszigetelését és a vélaszlépésekkel eltöltött időt összevonták. Az eredmény, amire számítani lehetett, időbeli növekedést mutat a megkérdezettek 57%-ánál, 32%-uk az időintervallumot változatlannak jelölte meg, 9% válaszadó jelentette, hogy az eltelt idő valamivel kevesebb lett. A szakértők csupán 3%-a számolt be jelentős időbeni csökkenésről. (A 101%-os végeredmény a törtszámok kerekítése miatt keletkezett.)
A legfőbb ok, hogy hiányoznak az incidensekre való azonnali válaszlépések, illetve a költségvetésbe nem beépített IT-biztonsági fejlesztésre szánt összegek.
A vállalati IT-biztonsági szakértők túlságosan el vannak foglalva a valós incidensek beazonosításával, miközben olyan károk történhettek, amik akár a milliós értéket is elérhetik (forintban és dollárban számolva, cégtől függően). Egy cégen belüli csapatnak nincs ideje, sem kapacitása oly mértékben lépést tartani a támadókkal szemben, ami esélyt adhatna a valós idejű reagálásra, tehát megállítani a behatolást és a károkozást vagy azonnal felismerni és ellenlépéseket tenni.
Mit visz véghez az Menedzselt Biztonsági Szolgáltatás (MSS)?
A válasz: szinte mindent! Aktív eseménykezeléssel egészíthető ki a meglévő vagy újonnan beszerzett végpont és a hálózati megoldások üzemeltetése. Ez azt jelenti, hogy akár egyetlen tűzfal vagy egy teljes SIEM rendszer esetében is, a behatolás vagy bármilyen incidens nagyon ritkán észlelhető azonnal. Az MSS-sel egy teljes IT-biztonsági csapatot lehet helyettesíteni, előre beszerezni az esetlegesen hiányzó eszközöket, a lehető legkorszerűbb, valós idejű reagálásra képes IT-biztonsági rendszert tudhat magáénak a legkisebbtől a legnagyobb vállalatig.
A fentiekhez szorosan hozzátartozik a Ransomware lefelé tendálása, ugyanis az előző váltságdíj követelős gyakorlattól eltérően a legtöbb eszköz észrevétlenül megfertőzhető valamelyik bitcoin„ásó” (cryptomining) szoftverrel, amivel kihasználják a processzor és a videokártya számolási képességeit.
2018 elején az összes távoli kódfuttatási támadás 90%-a a cryptomininggal volt összefüggésben. Itt szükséges elgondolkodni a hordozható eszközök munkatársaknak való átadásáról és azok védelméről egyaránt.
A naivnak látszó, ám a szakmájukban professzionális módon dolgozók (vezető és asszisztens pozíciót betöltők egyaránt) eszközei egyszercsak lelassulnak. A CPU kihasználtság folyamatosan 100%-hoz közelít, ám ezt kevesen veszik észre, csak a „Már megint ez a céges gép nem működik hatékonyan.” mondattal továbblépnek rajta, és ami a legfontosabb a vezetők számára, hogy legalább 30%-kal csökken a munkateljesítményük.
A személyes használatra vásárolt eszközöknél, azaz a saját laptopjaiknál is megtapasztalják ezt, amit ugyancsak az eszköz elavultságával vagy helytelen működésével azonosítják. Ilyen esetben érdemes egy teljes antivírus szkennelést végezni az eszközön, majd likvidálni minden gyanúsként felismert folyamatot és alkalmazást.
Mire adott vállalat IT szakértői felfedezik a fertőzést, addigra a munkatársak bizalmukat veszítik a cég eszközeiben, csak a legszükségesebb feladatokat látják el, és egy jelentősebb behatolást, ami adatvesztéssel vagy azok eltulajdonításval jár, még említésre sem kerül.
Szallós István, a BlackCell és MSS szolgáltatásának vezető szakértője eként nyilatkozott: „Ahogy Darwin is megfejtette, itt ugrásszerű evolúcióról van szó. Egyrészről a malware-ek előkerülése négyzetesen növekszik és a különbőző támadási módszerek is egyre jobban fejlődnek. Egyszer megkérdezték, hogyan tudok ennyire hatékony lenni a támadásokkal szemben, miközben a közhiedelem szerint a kiberbűnözők mindig egy lépéssel előrébb járnak. A válasz nem volt bonyolult, ebben nőttem fel, nekem a fekete is fehér, tehát oly mértékben lépést tartok velük, hogy a stratégiailag felépített fejlesztéseink már előre megadják a válaszlépéseket, ám korábban engem is értek gyakran meglepetések. A jelenlegi csapatunk tudásával – és persze a gyártóink legfejlettebb eszközeivel, szoftvereivel felszerelkezve – próbálkozzon, aki csak akar. Ha bejut, és még el is lop valamilyen adatot, úgy megkapja a Viktória Keresztet, természetesen egy kis fekete BestBlackHatHacker csillaggal megjelölve.”
Végkövetkeztetésképpen elmondható, hogy az MSS szolgáltató valójában a SIEM és egyéb rendszerek, végpontok, új generációs tűzfalak, stb. olyféle kiegészítése, ami nemcsak garanciát vállal az esetleges károkért, de napi 24 órában szemmel is tartja a vállalati hálózat minden mozzanatát, továbbá azonnali incidenskezelésre képes. Hozzátéve, a teljes IT-biztonság megoldható az emberi erőforrás költségeinek töredékére való csökkentésével, miközben a hiányzó eszközök kezdettől fogva telepítésre kerülnek, tehát tervezhető kiadások mellett milliós (szintén forint vagy dollár) nagyságrendű megtakarítás érhető el, illetve egyidőben a legfejlettebb kibervédelmet tudhatja magáénak az IT strtatégiára kevéssel a minimumnál többet foglalkozó vállalat.