Ne csak védekezzünk, az elhárításra is készüljünk

„Amelyik hadvezér ütközet előtt túl sokat törődik a tartalékokkal, azt biztosan legyőzik.”
I. Napóleon francia császár

A legtöbb vállalatnál ma már egyértelmű, hogy nem az a kérdés, érheti-e valamilyen kibertámadás a szervezetet, hanem az, hogy mindez mikor történik meg. Azt azonban sokan nem tudják, mihez kezdjenek a felismeréssel, és hogyan módosítsák biztonsági stratégiájukat ennek megfelelően. A Micro Focus szakértői szerint arra kell összpontosítani, hogy megtaláljuk az egyensúlyt a megfelelő védvonal kiépítésére, illetve a már megtörtént támadások gyors elhárítására fordított idő és erőforrások között.
Minden vállalat igyekszik megtenni a megfelelő lépéseket annak érdekében, hogy megvédhesse értékes információit és rendszereit. Ahhoz azonban, hogy a cégek az egyre találékonyabb kiberbűnözőkkel és az egyre összetettebb fenyegetésekkel is felvehessék a harcot, változtatniuk kell a kockázatok kezeléséhez és a védekezéshez kapcsolódó megközelítésükön.
Idő kérdése
Kiberbiztonsági szempontból nézve kétféle időszak létezik a szervezetek életében: amikor védve vannak a rendszereik és amikor valamilyen biztonsági eseményt kell felismerni, majd elhárítani a fenyegetést. A védelem fenntartásánál az a cél, hogy az érzékeny adatok és informatikai szolgáltatások minél hosszabb ideig biztonságban legyenek, ugyanakkor az alkalmazottak elérjék azokat. Ehhez elengedhetetlen, hogy a vállalatok szabályokat alkalmazzanak, illetve felügyeljék a folyamatokat és a felhasználókat, így tudják bizonyos körülmények között megóvni az erőforrásokat.
Ezek az intézkedések ahhoz hasonlíthatók, mint amikor azért helyezünk el tűzálló széfet az otthonunkban, hogy vész esetén megóvjuk készpénzünket. Ha utánanéztünk a széf specifikációinak, pontosan tisztában vagyunk a feltételekkel. Tudjuk, mit óvunk a széffel (készpénzt), tudjuk, mennyi ideig nyújt védelmet (pl. 30 perc) és tudjuk, milyen veszélynek képes ellenállni (pl. 200 fokos hőmérséklet).
Ezzel egyidejűleg azonban az esetlegesen beütő baj kezelésére is fel kell készülnünk. A vállalatoknál ez azt jelenti, hogy olyan eszközöket kell alkalmazniuk, amelyek segítségével azonnal észlelhetik és kezelhetik a támadásokat, majd helyreállíthatják az érintett rendszereket. A fenti példát folytatva ez olyan elhárítási módszer, mintha biztonsági rendszert is felszereltetnénk az otthonunkban, amely képes észlelni a tüzet és riasztást küldeni az illetékes telefonközpontba. Innen ezután megpróbálják felvenni a kapcsolatot a lakás tulajdonosával, hogy ellenőrizzék, valós-e a probléma, majd kiküldik a tűzoltókat. Ideális esetben az az idő, amíg az értékeink ki vannak téve a károkozásnak (azaz ég a tűz), rövidebb, mint az az idő, amíg az előzetes óvintézkedéseink biztosítják a védelmet (tehát amíg a széf ellenáll a lángoknak).
Védeni és megelőzni
A kiberbiztonsági óvintézkedések tervezésekor nehéz megtalálni ezt az egyensúlyt, hiszen számos befolyásoló tényező akad. Ha a „védettségi időt” kívánjuk növelni, annak nem csupán a költségvetési keretek szabhatnak korlátot. Ha csak a biztonsági szempontokat kellene figyelembe venni, akkor minden cég egyszerűen lecsatlakozna az internetről, így mindössze a belső veszélyektől kellene tartania. Ez azonban természetesen nem kivitelezhető a mai világban, hiszen hozzáférést kell biztosítani az alkalmazottak, ügyfelek és partnerek számára a megfelelő erőforrásokhoz. Ezeket az eléréseket kell az IT-biztonsági szakembereknek a lehető legnagyobb védelemmel ellátni és felügyelni.
Ez viszont már gyakran a kényelem rovására megy, a felhasználók pedig nem szeretik a kontrollt és a túlzott szabályozást. Időrablásnak tekintik, hogy mindenhol bonyolult előírásoknak tegyenek eleget, hosszú jelszavakat használjanak, és lemondjanak olyan jól bevált szolgáltatásokról a napi munkájuk során, amelyeket a magánéletükben már megszoktak. Az informatikai szakemberek számára tehát az az egyik legnagyobb kihívás, hogy egyszerű, de biztonságos feltételeket biztosítsanak a felhasználóknak a munkavégzéshez.
Mivel a költségvetési problémák, a kényelem és az egyre találékonyabbá váló kiberbűnözők miatt egyre szűkösebb a „védett időszak”, az a tartalék terv marad a vállalatok számára, hogy felkészülnek az elkerülhetetlenre, és megpróbálják minimalizálni a „fenyegetések elhárításához szükséges időtartamot” is. Ehhez fontos, hogy képesek legyenek időben észlelni és elhárítani a támadásokat, például olyan biztonsági információ- és eseménykezelő szoftverek segítségével, mint a Sentinel, illetve az ArcSight termékcsalád. Ezek a megoldások monitorozzák a rendszereket, észlelik a gyanús tevékenységeket és vész esetén riasztást küldenek az informatikai szakembereknek, illetve ha szükséges, akkor automatikusan is képesek megtenni a szükséges válaszlépéseket.
Szintén fontos, hogy a támadás után minél hamarabb helyreállítsák az érintett rendszereket, hogy a szervezet zavartalanul, minél rövidebb leállással folytathassa napi működését. Ehhez érdemes előzetes terveket készíteni és rendszeresen tesztelni is azokat, hogy éles helyzetben már minden rutinszerűen menjen.