SecureTrends - ComputerTrends magazin 2024.06.06.
A ComputerTrends magazin 2024. június 6-án megjelent lapszáma, SecureTrends melléklettel.
A ComputerTrends magazin 2024. június 6-án megjelent lapszáma, SecureTrends melléklettel.
- No tags were found...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
SECURETRENDS<br />
Ha a támadók<br />
napokat,<br />
vagy heteket<br />
töltenek a<br />
hálózatunkban<br />
feltérképezve<br />
azt, információkat<br />
gyűjtve,<br />
végpontok<br />
tucatjait elérve,<br />
akkor már<br />
nagy gondban<br />
lehetünk.<br />
„felvevőpiac” nélkül nem kellene, hogy a növekvő<br />
támadási felület ezzel arányosan növekvő károkat<br />
is jelentsen. Ha nem alakult volna ki egy egész<br />
iparág az online fosztogatásra, zsarolásra, akkor<br />
messze nem lenne ennyi kiberbiztonsági incidens.<br />
Az üzletszerű kiberbűnözés nélkül sokkal<br />
kevesebb „hackertámadás” headline lenne.<br />
De mit is jelent a gyakorlatban ez az üzletszerű<br />
kiberbűnözés? Valójában pont azt, amit az üzlet<br />
szó sugall: nagyvállalati működést, profi, képzett<br />
és szervezett csapatokat, akiknek a nagyvállalati<br />
struktúrákhoz nagyon hasonló szervezeti felépítésben<br />
működve egyetlen dolguk van: sikeres<br />
támadásokat kivitelezni. Míg a másik oldalon,<br />
a célpontok oldalán a védekezés csupán egy<br />
– sokszor nem eléggé helyén kezelt és/vagy<br />
alulfinanszírott – a sok feladat közül, nem<br />
mellesleg megemlítve, hogy nem ez a fő tevékenység.<br />
Ez egy aszimmetrikus helyzetet eredményez,<br />
és ez az aszimmetria az utóbbi 15 évben<br />
elképesztő formákban jelent meg. A zsarolóvírus<br />
csoportok online ügyfélszolgálatairól régóta<br />
tudunk, a malware terjesztő infrastruktúrák<br />
összetettsége sem újdonság, de pár éve már az<br />
sem csak spekuláció, hogy valóban „multis” a<br />
működésük, olyan finomságokkal, mint munkatársi<br />
ajánló program, képzések, hónap dolgozója<br />
díj és egyéb ösztönzők.<br />
De van még egy összetevő a képletben a profi<br />
csoportok és a megnövekedett „lehetőségek”<br />
mellett: a támadások kivitelezése során használt<br />
eszközök, módszerek, trükkök széles tárháza.<br />
És itt visszautalnék az első mondatban említett<br />
könyvre – a számok ezen a téren is hasonlóan<br />
változtak.<br />
Szerencsére segítségünkre van egy rendszeresen<br />
karbantartott keretrendszer – a MITRE<br />
ATT&CK framework – ami egy nagyon jó fogódzó<br />
a támadók által alkalmazott taktikák, technikák<br />
vonatkozásában. Ez ugyan hasznos, de még<br />
csak kevés vállalat, szervezet engedheti meg<br />
magának, hogy időt, energiát, szakértelmet<br />
biztosítson a gyakorlatban felhasználására.<br />
Emellett vannak trükkök, amelyek egyfelől folyamatosan<br />
változnak, megújulnak, másfelől nem<br />
könnyen illeszthetők be a MITRE adatbázisba,<br />
vagy legalábbis nem egzaktul. Ilyenek például a<br />
már „telepített” malware-rel command&control<br />
szerverek elérhetőségének (vagy akár már tényleges<br />
parancs, utasítás) megosztása Instagram,<br />
Telegram vagy akár Gmail fiókok kreatív fel -<br />
használásával.<br />
Ebben az egyszerűnek távolról sem nevezhető<br />
helyzetben mégis mit lehet tenni a tankönyvi<br />
alapelvek (mint például a defense in depth,<br />
vagyis az egymást átfedő védelmi rétegek felhúzása)<br />
követésén túl? Sajnos nem fogunk tudni<br />
mindig mindent megállítani a határvonalainknál<br />
– de természetesen törekedni kell rá – különösen,<br />
hogy az utóbbi 10 évben ezek a határok<br />
egyre nehezebben definiálhatóak a klasszikus<br />
értelemben. Viszont készülhetünk az ilyen helyzetekre<br />
is, várhatjuk felkészülten a váratlant.<br />
Ennek elengedhetetlen alapfeltétele, hogy minél<br />
jobban lássuk, hogy mi történik a hálózatunkban,<br />
mi zajlik a végpontokon, valamint - és ez talán a<br />
legfontosabb – lássuk, felfedezzük az események<br />
közötti összefüggéseket, amelyek az atomi<br />
történések halmazából egy incidens történetét<br />
rajzolhatják ki.<br />
A cél az, hogy mindez időben, minél hamarabb<br />
megtörténjen. Hiszen az incidensek akkor igazán<br />
veszélyesek, ha van idejük a kiteljesedésre. Ha a<br />
támadók napokat, vagy heteket töltenek a hálózatunkban<br />
feltérképezve azt, információkat gyűjtve,<br />
végpontok tucatjait elérve, akkor már nagy<br />
gondban lehetünk. De egyetlen végpont kompromittálódása<br />
még nem feltétlenül katasztrófa, ha<br />
ezen incidens detektálása, lokalizása, a válaszlépések<br />
megindítása, az incidens izolációja időben<br />
megtörténik.<br />
A felkészülés a gyakorlatban eszközöket és<br />
előre definiált folyamatokat jelent. Eszközök<br />
terén pedig egy, a különböző forrásokból (hálózati<br />
forgalom, végpontok, CTI) érkező információk<br />
alapján a sok-sok infomorzsából a lényeget kiválogatni,<br />
és azok korrelációja alapján a történetet<br />
– az incidenst – felrajzolni képes megoldás lenne<br />
ideális a standard security stack fölé.<br />
Pontosan ezt a feladatot hivatott betölteni a<br />
Cisco XDR (Extended Detection and Response).<br />
Különböző forrásokból – ezek lehetnek Cisco,<br />
de egyéb gyártók termékei is – érkező jelzésekből<br />
gépi tanulással megtámogatott incidens<br />
detektálás, az incidensek priorizálása, valamint<br />
az incidenskezelés támogatása a célja.<br />
Az incidensek könnyebb megértését az incidenst<br />
alkotó egyes elemi események MITRE ATT&CK<br />
framework megfelelő eleméhez rendelésével<br />
támogatja – biztonsági elemzőként így azonnal<br />
átláthatjuk, hogy az adott incidens milyen fázisokat<br />
ért már el, és ez kulcskérdés további<br />
döntések meghozatalában. Az „R”, vagyis a<br />
respond funkció szintén a kezünk alá dolgozik a<br />
SANS által lefektetett incidenskezelési lépések<br />
mentén, előre elkészített, illetve saját magunk<br />
által összerakható folyamatokkal, amelyek adott<br />
esetben manuálisan vagy akár automatizáltan<br />
is lefuthatnak, így támogatva a minél gyorsabb<br />
izolációt, az incidens kiterjedésének megakadályozását,<br />
illetve annak felszámolását.<br />
A közeljövőben nem várható a támadói motiváció,<br />
de a támadási felületek csökkenése sem,<br />
viszont a rendszereink komplexitása csak nőni<br />
fog. Ezért az ismert fenyegetések mellett folyamatosan<br />
készen kell állnunk az ismeretlennel<br />
való küzdelemre is, felismerve azt, hogy ha az<br />
első jelzések után mi rövidebb idő alatt tudunk<br />
reagálni, mint amennyi idő kell a támadónak a<br />
céljai eléréséhez, akkor már nyertünk.<br />
2024. június | <strong>ComputerTrends</strong> | 13