SecureTrends - ComputerTrends magazin 2024.06.06.

More documents

Recommendations

Info

A jó, a rossz, és az unknown 1992-ben megjelent egy könyv Vírushatározó címmel azzal a nemes szándékkal, hogy az összes ismert vírusról – és azok variánsairól – egyfajta katalógusként szolgáljon, tartalmazva a vírusok leírása mellett az azok detektálásához használható szignatúrákat is. Akkoriban ez egy élhető elképzelés volt, bár már akkor is látszott, hogy a vírusok és egyéb kártékony szoftverek gyarapodása exponenciális pályára kezd állni, és az ilyen kézműves megoldások dicséretesek ugyan, de hosszú távon inkább csak szakmai háttéranyagként, sem mint hatékony, bevethető tudástárként lehet rájuk tekintetni. Azóta a malware-ek körüli számok, trendek szédítő adatokkal sokkolnak – csak egy példa a TALOS (a Cisco CTI csapata) által naponta vizsgált 2.4 millió új minta. De a helyzet az, hogy még csak nem is ezek az elképesztő számok napjaink kiberbiztonsági problémájának legfőbb okai. A kiberbizonság a kezdetektől fogva ezzel a nagy kérdéssel küzd: mi a jó és a mi a rossz? Legyen az egy file, egy IP cím, egy domain – ha mindről el tudnánk dönteni, hogy melyik kategóriába tartozik, készen is lennénk, problem solved. Az ismert rosszak megállíthatóak a viszonylag egyszerű megoldásokkal, ezek – akár csak az érettségi – szükségesek, de nem mindig elégségesek. Tűzfal és minimum klasszikus vírusirtó már a 80-as években létezett. Sőt, az első vírus-vírusirtó páros (Creeper – Reaper) 1971-es (hogy igazán pontosak legyünk, a Creeper egy féreg volt), de még az első zsarolóvírust sem a 2010-es évek termelték ki: az AIDS néven futó első digitális túszejtő 1989-ben szedte áldozatait. Óvatosan számolva is volt rá lassan 40-50 évünk, hogy az IT rendszereinket immunissá tegyük a támadások, károkozások ellen. De akkor miért érezheti úgy akár egy laikus is, hogy nem igazán kerültünk közelebb az áhított immunitáshoz, és szemlátomást a tűzfalak és vírusirtók mellett megjelent új biztonsági megoldásokkal egyre nagyobbra duzzadó security stack ellenére a helyzet nemhogy javulna, de évről évre csúnyább számokat mutatnak a károkat prezentáló diák. És ezek a számok nem csak üzleti károkat jelentenek, nem csak reputációs veszteséget, de egyre gyakrabban kritikus infrastruktúra elleni sikeres támadások eredményeit is, amit sok esetben nehéz, vagy nem is érdemes dollárra/forintra átváltani. A helyzet amellett, hogy nem túl fényes, picit csalóka is, ha például a '90-es, 2000-es évekhez viszonyítjuk. Az akkoriban használt számítástechnikai eszközök, szoftverek, online szolgáltatások száma elenyésző a maiakhoz képest, és talán még nagyobb a különbség az online rendszereket használók tekintetében – és itt a vállalati/ KOVÁCS ZOLTÁN, cybersecurity specialist, Cisco üzleti felhasználók mellett hatalmasat nőtt a magánszemélyek online jelenléte. Persze ezzel nem mondtunk semmi újat, de azért érdemes figyelembe venni, hogy mi következik a rendszerek, szolgáltatások és felhasználók számának robbanásszerű növekedéséből – a támadási felületek ugyanilyen ütemű növekedése. A két görbe sanszosan párhuzamos lenne, ha ábrázolnánk. Ez persze magyarázat lehet, de vigasz nem. De 12 | <strong>ComputerTrends</strong> | 2024. június
SECURETRENDS Ha a támadók napokat, vagy heteket töltenek a hálózatunkban feltérképezve azt, információkat gyűjtve, végpontok tucatjait elérve, akkor már nagy gondban lehetünk. „felvevőpiac” nélkül nem kellene, hogy a növekvő támadási felület ezzel arányosan növekvő károkat is jelentsen. Ha nem alakult volna ki egy egész iparág az online fosztogatásra, zsarolásra, akkor messze nem lenne ennyi kiberbiztonsági incidens. Az üzletszerű kiberbűnözés nélkül sokkal kevesebb „hackertámadás” headline lenne. De mit is jelent a gyakorlatban ez az üzletszerű kiberbűnözés? Valójában pont azt, amit az üzlet szó sugall: nagyvállalati működést, profi, képzett és szervezett csapatokat, akiknek a nagyvállalati struktúrákhoz nagyon hasonló szervezeti felépítésben működve egyetlen dolguk van: sikeres támadásokat kivitelezni. Míg a másik oldalon, a célpontok oldalán a védekezés csupán egy – sokszor nem eléggé helyén kezelt és/vagy alulfinanszírott – a sok feladat közül, nem mellesleg megemlítve, hogy nem ez a fő tevékenység. Ez egy aszimmetrikus helyzetet eredményez, és ez az aszimmetria az utóbbi 15 évben elképesztő formákban jelent meg. A zsarolóvírus csoportok online ügyfélszolgálatairól régóta tudunk, a malware terjesztő infrastruktúrák összetettsége sem újdonság, de pár éve már az sem csak spekuláció, hogy valóban „multis” a működésük, olyan finomságokkal, mint munkatársi ajánló program, képzések, hónap dolgozója díj és egyéb ösztönzők. De van még egy összetevő a képletben a profi csoportok és a megnövekedett „lehetőségek” mellett: a támadások kivitelezése során használt eszközök, módszerek, trükkök széles tárháza. És itt visszautalnék az első mondatban említett könyvre – a számok ezen a téren is hasonlóan változtak. Szerencsére segítségünkre van egy rendszeresen karbantartott keretrendszer – a MITRE ATT&CK framework – ami egy nagyon jó fogódzó a támadók által alkalmazott taktikák, technikák vonatkozásában. Ez ugyan hasznos, de még csak kevés vállalat, szervezet engedheti meg magának, hogy időt, energiát, szakértelmet biztosítson a gyakorlatban felhasználására. Emellett vannak trükkök, amelyek egyfelől folyamatosan változnak, megújulnak, másfelől nem könnyen illeszthetők be a MITRE adatbázisba, vagy legalábbis nem egzaktul. Ilyenek például a már „telepített” malware-rel command&control szerverek elérhetőségének (vagy akár már tényleges parancs, utasítás) megosztása Instagram, Telegram vagy akár Gmail fiókok kreatív fel - használásával. Ebben az egyszerűnek távolról sem nevezhető helyzetben mégis mit lehet tenni a tankönyvi alapelvek (mint például a defense in depth, vagyis az egymást átfedő védelmi rétegek felhúzása) követésén túl? Sajnos nem fogunk tudni mindig mindent megállítani a határvonalainknál – de természetesen törekedni kell rá – különösen, hogy az utóbbi 10 évben ezek a határok egyre nehezebben definiálhatóak a klasszikus értelemben. Viszont készülhetünk az ilyen helyzetekre is, várhatjuk felkészülten a váratlant. Ennek elengedhetetlen alapfeltétele, hogy minél jobban lássuk, hogy mi történik a hálózatunkban, mi zajlik a végpontokon, valamint - és ez talán a legfontosabb – lássuk, felfedezzük az események közötti összefüggéseket, amelyek az atomi történések halmazából egy incidens történetét rajzolhatják ki. A cél az, hogy mindez időben, minél hamarabb megtörténjen. Hiszen az incidensek akkor igazán veszélyesek, ha van idejük a kiteljesedésre. Ha a támadók napokat, vagy heteket töltenek a hálózatunkban feltérképezve azt, információkat gyűjtve, végpontok tucatjait elérve, akkor már nagy gondban lehetünk. De egyetlen végpont kompromittálódása még nem feltétlenül katasztrófa, ha ezen incidens detektálása, lokalizása, a válaszlépések megindítása, az incidens izolációja időben megtörténik. A felkészülés a gyakorlatban eszközöket és előre definiált folyamatokat jelent. Eszközök terén pedig egy, a különböző forrásokból (hálózati forgalom, végpontok, CTI) érkező információk alapján a sok-sok infomorzsából a lényeget kiválogatni, és azok korrelációja alapján a történetet – az incidenst – felrajzolni képes megoldás lenne ideális a standard security stack fölé. Pontosan ezt a feladatot hivatott betölteni a Cisco XDR (Extended Detection and Response). Különböző forrásokból – ezek lehetnek Cisco, de egyéb gyártók termékei is – érkező jelzésekből gépi tanulással megtámogatott incidens detektálás, az incidensek priorizálása, valamint az incidenskezelés támogatása a célja. Az incidensek könnyebb megértését az incidenst alkotó egyes elemi események MITRE ATT&CK framework megfelelő eleméhez rendelésével támogatja – biztonsági elemzőként így azonnal átláthatjuk, hogy az adott incidens milyen fázisokat ért már el, és ez kulcskérdés további döntések meghozatalában. Az „R”, vagyis a respond funkció szintén a kezünk alá dolgozik a SANS által lefektetett incidenskezelési lépések mentén, előre elkészített, illetve saját magunk által összerakható folyamatokkal, amelyek adott esetben manuálisan vagy akár automatizáltan is lefuthatnak, így támogatva a minél gyorsabb izolációt, az incidens kiterjedésének megakadályozását, illetve annak felszámolását. A közeljövőben nem várható a támadói motiváció, de a támadási felületek csökkenése sem, viszont a rendszereink komplexitása csak nőni fog. Ezért az ismert fenyegetések mellett folyamatosan készen kell állnunk az ismeretlennel való küzdelemre is, felismerve azt, hogy ha az első jelzések után mi rövidebb idő alatt tudunk reagálni, mint amennyi idő kell a támadónak a céljai eléréséhez, akkor már nyertünk. 2024. június | <strong>ComputerTrends</strong> | 13
Page 1 and 2: AZ INFORMATIKA MAGAZINJA 2024 • J
Page 3 and 4: Tartalom 8 4 Idén 15. alkalommal r
Page 5 and 6: Hidakat építünk a technológiai
Page 7 and 8: SECURETRENDS nológiákkal kapcsola
Page 9 and 10: SECURETRENDS A Check Point magyaror
Page 11: SECURETRENDS forrás: symantec-ente
Page 15 and 16: SECURETRENDS személyazonosság- é
Page 17 and 18: SECURETRENDS hosszadalmas feladat,
Page 19 and 20: Hogyan lesz üzleti előny a kiberb
Page 21 and 22: SECURETRENDS CT: Van olyan tendenci
Page 23 and 24: SECURETRENDS CT: Vannak jelentős k
Page 25 and 26: SECURETRENDS innovatív kiberbizton
Page 27 and 28: FEJLÉC 2024. június | ComputerTre
Page 30 and 31: Tartalom 8 CÍMLAPUNKON 5 TC2 - SAP
Page 32 and 33: SAP konverzió két lépésben az A
Page 34 and 35: 2024. október 9-10. Inárcs, Flow
Page 36 and 37: AKTUÁLIS szert alakít ki, a megl
Page 38 and 39: Csapatmunka és üzleti szemlélet
Page 40 and 41: TECH/AI IBM watsonx Orchestrate: ú
Page 42 and 43: TECH/AI folyó szöveget gyártson.
Page 44 and 45: TECH/AI donú, magáncélra is hasz
Page 46 and 47: TECH/AI ...és Ashesh Badani, term
Page 48 and 49: TECH/AI nagyobb átviteli sebesség
Page 50 and 51: ÜZLET Standard & Poor's Ratings Se
Page 52: PYTHON haladó Adatvizualizáció,

SecureTrends - ComputerTrends magazin 2024.06.06.

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?