Ha IT-biztonságról, a kiberbűnözés megelőzéséről vagy bármely olyan védelmi intézkedésről esik szó, amelyet a cégek hackertámadások elleni védelem érdekében alkalmaznak, az emberek általában tűzfalakra, SIEM, SOAR és XDR platformokra, esetleg teljeskörű high-tech biztonsági műveleti központokra gondolnak. Alig pár embernek jut eszébe, hogy ezen fenyegetéseknek akadhatnak nem technológiai elemei, valamint az tény, hogy a legtöbb támadás vállalaton belülről érkezik, ami már önmagában is hatalmas fenyegetést jelent. Valójában a hackertámadások mindössze harminc százalékát hajtják végre technikai úton, a fennmaradó hetven százalék bizony az emberi tényezőt kihasználva zajlik. Éppen ezért arra gondoltunk, tisztázzuk végre, miként működik valójában a szervezett kiberbűnözés, s mit tehetünk annak érdekében, hogy felkészültebbek legyünk a hackerek támadási kísérleteinek elhárítására.
Ismerjük meg a bűnöző hackerek arcait
Az egyik legnagyobb - részben a hollywoodi, javarészt egy kaptafára épülő filmes tálalásnak köszönhető - tévhit a bűnözői hackerszervezetekkel kapcsolatban az, hogy egy maroknyi titokzatos, csuklyás remetéből állnak, akik félhomályos szobákban élnek, villámgyorsan gépelnek, és általában gyenge szociális készségekkel dicsekedhetnek. A mozivásznon széles körben elterjedt hacker képpel ellentétben a kiberbűnözők nagyon is úgy dolgoznak - és úgy is néznek ki -, mint a hagyományos céges alkalmazottak. S ami a legszebb az egészben: a kiberbűnözői szervezetek ugyanúgy működnek és irányítják a személyzetüket, mint a hétköznapi vállalatok. Ismert tény például, hogy az egyik legnagyobb németországi bűnözői hackerszervezet több mint harminc céget hozott létre, amelyek mindegyike hús-vér munkavállalókat foglalkoztat, igaz, mindannyian hamis személyi igazolványokkal, hamis útlevelekkel és hamis címekkel kerültek bejelentésre. Ennek ellenére a külvilág számára ezek a cégek egy professzionális vállalkozás benyomását keltik, profi alkalmazottakkal. Lássunk néhány példát arra, hogyan dolgoznak e kiberbűnözői szervezetek és hackerek.
Blackheads: az igazi belső fenyegetés
A bűnözői hackertámadások talán leggyakoribb és legkifinomultabb típusát az úgynevezett blackheads-ek hajtják végre, amelyek tevékenysége erősen emlékeztet a trójai faló történetére. Ezek a különleges hackerek általában hatalmas tudással rendelkeznek bizonyos informatikai területeken, különösen a hálózati technológiában. Őket a bűnszervezetek hamis személyi igazolványok, hamis útlevelek, hamis lakcímigazolások és tökéletesre faragott önéletrajzok segítségével juttatják be a vállalatokhoz. Alapos háttérellenőrzés nélkül tökéletes jelöltnek tűnnek bármely vállalat számára, így általában gyorsan felveszik őket, majd rövid időn belül adminisztrátori jogokat és teljes hozzáférést kapnak mindenhez. Azonban a károk, amelyeket ezek a kiberbűnözők okozhatnak, szörnyű következményekkel járnak. A legutóbbi, szászországi blackhheads támadás során például két beépített hackernek egy hét alatt sikerült egy egész szervezetet leállítania, hosszú távú anyagi károkat okozva ezzel a vállalatnak és kétezer alkalmazottjának.
Aki úgy véli, ilyen támadások ritkán esnek meg, gondolja újra a dolgot: csak Németországban jelenleg több mint 6000 ilyen eset van bírósági szakaszban. Ennek ellenére ritkán derül fény arra, hogy a támadásokat egy kiberbűnözéssel foglalkozó szervezet által a vállalatba telepített hackerek hajtották végre.
Mit lehet tenni? A felvételi folyamat során az egyik legfontosabb lépés az alapos háttérellenőrzés elvégzése, különösen, ha olyan alkalmazottról van szó, aki korlátlan hozzáférést kap a vállalat teljes IT-infrastruktúrájához. Mivel azonban ez speciális készségekkel rendelkező erőforrásokat igényelhet, a legjobb, ha ezt egy átvilágításra szakosodott cégre bízzuk.
Egykori alkalmazott támadása
A belső fenyegetés egy másik típusa akkor fordul elő, amikor egy bosszúvágyó alkalmazott távozik a cégtől. Ennek több oka is lehet, de sokszor - gyakrabban, mint gondolnánk - a vezetőség hibájából történik. Ezzel kapcsolatban akad egy elég közismert mondás is, amely így szól: "a jó alkalmazottak nem a vállalatokat hagyják el, hanem a vezetőket".
De mi van akkor, ha a távozás olyannyira borús hangulatban zajlik, hogy a továbbálló munkavállaló bosszúra szomjazva akar visszavágni korábbi sérelmeiért a volt munkaadójának? A dark weben több mint ötven olyan csoport létezik, amelyeknél a volt alkalmazottak rejtett, bizalmas információkat szolgáltathatnak ki egy vállalatról, amelyeket aztán felhasználhatnak zsarolóprogramok, rosszindulatú programok vagy más típusú kibertámadások indítására. Ebben az esetben, bár a támadás nem a vállalat területén történik, a fenyegetés belülről ered.
Társadalmi tervezés és a megfelelő IT-biztonsági oktatás fontossága
A hackertámadások egy másik, rendkívül hatékony típusa a social engineering, amely kifejezés a rosszindulatú tevékenységek széles skáláját takarja. Ezeket emberek manipulálásával váltják valóra, akik emiatt biztonsági hibákat követnek el. Egy ismert, manapság sajnos meglehetősen elterjedt módszer, hogy olyan embereket keresnek munkaajánlatokkal, akik anyagilag nehéz helyzetben vannak - ez sajnos akkor is elképzelhető, ha valaki egy vállalatnál dolgozik -, majd beszervezik őket bizonyos termékek eladására, extra jövedelemszerzés reményében. Ha elvállalják, amire már cikkünk írásakor is több mint 2 millió élő példa van, valóban megbízást kapnak, méghozzá havi 200, 300 vagy akár 500 eurós fizetéssel. Egy idő után, amikor a bizalom már kiépült, az "alkalmazottak" kapnak egy pendrájvot, amelyet egy adott pillanatban - épp, amikor a munkahelyükön vannak - kell a számítógéphez csatlakoztatniuk, hogy elvégezzenek egy képzést, amellyel extra pénz ütheti a markukat. Ők pedig, nem sejtve, hogy valójában egy összehangolt kibertámadás résztvevői, követik az utasításokat, tudtukon kívül segítve a hackereknek bejutni a rendszerbe. Az utóbbi idők egyik ilyen esetekor ugyanannak a vállalatnak 11 alkalmazottja, akiknek fogalmuk sem volt arról, hogy mit tesznek éppen, 7 másodperc alatt leállította a cég központját, amivel 1800 embert tettek munkaképtelenné.
A fenyegetés - annak ellenére, hogy az alkalmazottak részéről nem volt rosszindulatú szándék - ezúttal is belülről érkezett. Egyszerűen bedőltek egy trükknek, mivel nem kaptak megfelelő oktatást a kibertámadásokról.
Egy hacker karrierje
Fentebb már megállapítottuk, hogy a bűnöző hackerek nem közönséges utcai rablók. Ők többnyire szuperintelligens, magasan képzett, nagy tapasztalattal rendelkező informatikai szakemberek. Hogyan jutnak ilyen szakértelemhez és jártassághoz? A válasz egyszerűbb, mint gondolnánk: egyetemre járnak. Ami azt illeti, a világ legjobb informatikai, programozási és szoftverfejlesztési egyetemein végzett abszolvensek húsz százaléka nem azért fejezi be tanulmányait, hogy vállalatoknál dolgozzon, hanem hogy a szervezett kiberbűnözés felé vegyék az útjukat. Miért? Mert egy átlagos informatikus körülbelül 4000 eurót keres havonta, míg egy bűnöző hackerszervezet, egy tehetséges fiatal hackernek könnyedén kifizet évi 2-3 millió eurót. Lássuk be, ez a különbség igencsak megdöbbentő!
Támadásonként körülbelül 20-25 millió eurós kár keletkezik, ami ellen úgy is lehetne védekezni, hogy az informatikusok fizetését akár többszörösére emelik és így kevesebb végzős informatikust vonzana a kiberbűnözés. Ezzel a vállalatok is több millió eurót takaríthatnának meg. Vagyis számolni kell azzal, hogy mindig lesznek jól fizetett bűnöző hackerek, akikkel a vállalatoknak fel kell venniük a harcot, és az ilyen fenyegetést legtöbbször nem lehet csak pusztán technológiával elhárítani.
Következtetés
A fő probléma tehát az, hogy a technológia önmagában nem jelent megoldást a fenti kihívásokra. A mai napig a vállalatok túlnyomó többsége csak azért fektet be SOC-okba, tűzfalakba és egyéb biztonsági technológiákba, hogy megvédje magát a kibertámadásoktól. Azt azonban nagyon kevesen ismerik fel, hogy a legtöbb támadás nem csak a technológián alapul. Bármennyire is bonyolultak és kifinomultak a bűnszervezetek, mindig a legegyszerűbb utat választják arra, hogy betörjenek egy vállalati rendszerbe. Ez az út pedig általában a munkavállalókon keresztül vezet.
A vállalkozásoknak fel kell ismerniük, hogy legalább akkora hangsúlyt szükséges fektetniük a vezetésre és az alkalmazottakra, mint az informatikai részlegre. Ha a vezetőség csak az informatikai személyzetbe és technológiába fektet be - a fenyegetésre való felkészültség reményében - akkor csak a kiberbiztonsági problémák harminc százalékát oldja meg. Bármilyen hatékony is a tűzfal és a felhőplatform biztonsága, a fennmaradó és elsöprő hetven százalék mindig megtalálja a módját, hogy kárt okozzon. A támadás pedig leginkább belülről érkezik, s ilyenkor nem számít, hogy profi beépített hackerek, pénzügyileg instabil alkalmazottak vagy bosszúszomjas öregdiákok okozták-e a bajt. Az ügyész mindig a vezérigazgatóért jön, nem az informatikai részlegért.
Éppen ezért mindenkinek az az érdeke, hogy egy vállalat teljes mértékben tisztában legyen azzal, miként védekezhet a bűnözői hackertámadások minden formája ellen: legyen szó az újonnan érkezők alapos háttérellenőrzéséről, a személyzet informatikai biztonsággal kapcsolatos oktatásáról, vagy akár az anyagilag nehéz helyzetben lévő alkalmazottak megsegítéséről.
Ez a cikk Robert Ehlert és Morgan Alexander (Quantum Cyber Lab AG) előadásán alapszik. Ezen az oldalon visszanézheti előadásukat : socssummit.com
