ÜZLETI IT-SECURITY

A biztonságos home office alapjai

Krékity Gusztáv és Bikki Mónika cikke

2020. március 23. - EURO ONE

A koronavírus helyzet miatt egyre többen térnek át home office munkarendre. Legyen szó nagyvállalatokról vagy kkv-król, mindkét esetben fontos a munkatársak és az ügyfelek egészsége, s jelen pillanatban - ahol az adott munkakörnél megoldható - az otthonról végzett munka tűnik a legjobb megoldásnak ennek elősegítéséhez. Mindez rendjén is van, azonban az elmúlt egy-két hétben meglehetősen vegyes kép alakult ki nálunk is a cégek felkészültségét illetően. A home office ugyanis nem csak az általános hardveres és szoftveres háttér megteremtése végett adja fel a leckét az IT vezetésnek, hanem biztonsági szempontból is. Éppen ezért arra gondoltunk, röviden összefoglaljuk, milyen lehetőségek vannak arra, hogy az otthonról dolgozó munkatársak ne veszélyeztessék a céges adatbiztonságot

Vegyes felkészültségi szintek

Mielőtt belevágnánk, adunk némi helyzetképet. Akadnak például enterprise szinten lévő cégek, melyeknél eleve megvolt a szükséges hardverpark, így ők megúszhatták emergency licencek vásárlásával, amelyek installálásával viszonylag zökkenőmentesen a megnövekedett igényekhez igazíthatták IT struktúrájukat. Ha a rendszerben eleve volt tartalék, akkor a skálázhatóság kihasználásával ezek a cégek rugalmasan tudtak idomulni a koronavírus okozta hirtelen változásokhoz is. Az előző cikkünket a távmunkáról itt olvashatod el.

De sajnos azt kell mondjuk, a cégek jó része - s ezek között kisebb és nagyobb méretűek egyaránt akadnak - abszolút nem volt felkészülve arra, hogy nagyobb mértékben álljanak át otthoni munkavégzésre. Rosszabb esetben ezeknél a vállalatoknál most megy a kapkodás. Jobb esetben szakértői segítséget kérnek, hogy megtalálják a lehető leggyorsabban bevezethető, megbízható megoldást. Csak érdekesség képpen jegyezzük meg, hogy van olyan ügyfelünk, aki még az önként vállalt megelőző karanténból is képes kimozdulni, hogy minél gyorsabban tető alá hozzunk egy ellenőrzési, átállási tervet a távoli munkavégzésre. Ha egy cég szenzitív adatokkal dolgozik, ott nincs idő halogatásra.

Az adatok biztonsága létfontosságú, ennek ellenére sok cégnél most derül ki, hogy eddig erre vajmi kevés figyelmet fordítottak. Igaz, sokuknál ez kényszerhelyzet is, hiszen korábban egyáltalán nem volt náluk példa az otthoni távmunkára. Mindenesetre az biztos, hogy jelenleg még sokan csak az előkészítésnél tartanak. Az elkövetkező hetek számukra a felkészülésről, átállásról szólnak majd.

Home office a saját számítógépről?

Döbbenetes, de sokszor tapasztaljuk, hogy a home office a cégek egy részének azt jelenti: az otthonról dolgozó kollégák a saját otthoni gépükről, ne adj’ isten a gyerek notebookjáról érik el a céges munkaállomást, szervert. Ez azonban nem különösebben jó gyakorlat, hiszen ezeken a gépeken általában még megfelelő szintű vírusvédelem sincs. Az otthoni vírusvédelmi szoftverek és tűzfalak nem igazán alkalmasak vállalati szintű veszélyek kivédésére.

Egy jól átgondolt home office esetében tehát a cég adja a gépeket is a munkatársaknak, amelyekre előre telepítik a megfelelő színvonalú vírusvédelmi, tűzfal és további védelmi megoldásokat, melyek gondoskodnak a távoli kapcsolat biztonságossá tételéről. Ezek telepítése ráadásul megoldható group policy alapján, így minden szükséges szoftver a számítógépre kerülhet, pár lépésben.

Ha ezt nem lépjük meg, a felhasználók saját, otthoni számítógépeiről pillanatok alatt kerülhetnek kártékony kódok a céges rendszerbe, nem beszélve arról, hogy már az elmúlt hetekben is megnövekedett a távmunkát bevezető cégek elleni támadások száma, amelyek könnyebben találnak utat egy szimpla otthoni gépen keresztül a céges infrastruktúra felé, mintha jól védett klienseket használnának a munkatársak, s azokkal megfelelően felvértezett céges rendszerhez kapcsolódnának.

A megfelelő tűzfal kiválasztása

Rengeteg tűzfal megoldás létezik, de a megfelelő kiválasztását segítheti, ha tisztában vagyunk pár fontos kritériummal, amelyeknek egy hatékony tűzfalnak meg kell felelnie.

Egy jó minőségű tűzfal például több szinten is képes ellenőrizni a kliens megbízhatóságát. Például csak akkor enged be a céges VPN-re, ha - a cég irányelveit követve - mondjuk Microsoftos környezet van rajta (például Windows 10), abból is a legutóbbi frissítésekkel ellátott példány.

Emellett legyen telepítve egy fejlett végpont védelmi megoldás a kliensen, természetesen a legfrissebb szoftver verzióval, adatbázissal, s az elmúlt 24 órában legalább egyszer történt teljes kliensoldali rendszerellenőrzés is. Ha mindezen szempontok teljesülnek, a kliens beléphet a központi rendszerbe.

Azonban még ezeken felül is érdemes további megfelelőségi kapukat felállítani. Ilyen lehet például az RSA SecurID, amely a felhasználónév és jelszó pároshoz ad egy extra védelmi szintet. A belépéshez rendelkeznie kell a felhasználónak a megfelelő tokennel, s csak az erről leolvasható, 60 másodpercenként megújuló kód beírása után tud egyáltalán belépni, hiába ismeri a név+jelszó kombót.

Végül harmadik faktorként használhatnak valamilyen certificate megoldást is, amelynek meglétét szintén képes ellenőrizni a tűzfal, s csak ennek birtokában engedi belépni a felhasználót. Ezzel viszonylag egyszerűen lehet garantálni, hogy nem a saját, otthoni gépéről igyekszik bejutni, kockáztatva ezzel egy adatbiztonsági incidenst.

Sajnos nem az a jellemző, hogy mindenki e három faktor biztosításával kezdene neki a távmunkának, de már most is akadnak olyan cégek, amelyek ezeket kérik tőlünk. Számukra fontos, hogy a bizalmas adatok ne kerüljenek illetéktelen kezekben a kialakult kényszerhelyzetben sem. Ráadásul ezzel hosszú távon is biztosítható a távmunka, s később sem kell kapkodni, ha újabb hasonló helyzet áll elő, vagy esetleg időközben ráéreznek a cégnél a home office ízére.

Promóciók a gyors kiépítéshez

A fenti megoldások kiépítése persze időbe telik és pénzbe kerül, így a megfelelő megoldás keresése, a finanszírozás átgondolása túlságosan elhúzhatja a döntéshozói folyamatokat. Szerencsére akadnak nagyszerű promóciók is, amelyek közül mi is ajánlunk néhányat ügyfeleinknek, hiszen ezekkel gyorsan és költséghatékonyan lehet kiépíteni a megfelelő biztonsági infrastruktúrát.

A Palo Alto az aktuális promóciójával speciálisan a kialakult helyzetben igyekszik támogatni az új és a már meglévő ügyfeleit egyaránt. Ennek keretein belül limitált számú fizikai tűzfal áll rendelkezésre NFR (Not for resale) változatban. Ezek nem értékesíthetők a piacon, vagyis ha egy ügyfél megkapja, s később esetleg a megvásárlása mellett dönt, nem az adott NFR példányt hagyják ott nála, hanem egy teljesen újat adnak. Ezeken az eszközökön van egy 30 vagy 60 napos (igénytől függ) eval licence, így ezen időszak alatt képes frissíteni a támadási content adatbázist. Ezen felül a GlobalProtect szolgáltatást is 90 napig ingyenes biztosítja a gyártó..

Emellett elérhető a Palo Alto virtual appliance megoldás, melynek lényege a virtualitás, hiszen így nem kell logisztikailag is megoldani az eszközök szállítását, ami gyorsabb beüzemelést jelent. Az ügyfél részéről egy virtuális környezet szükséges hozzá. Ehhez is van 30 vagy 60 napos eval licenc, illetve a GlobalProtect ebben az esetben is 90 napig jár.

Ezekkel a megoldásokkal akár azok a cégek is élhetnek (gyakorlatilag mérettől függetlenül), amelyeknél nem igazán skálázható az IT rendszer. Segítségükkel ők is több hónapra beüzemelhetik a biztonságos VPN hozzáférést és a támadások megakadályozásához szükséges tűzfalat.

RSA SecureID megoldások díjmentesen

Ha már szóba került korábban, fontos kiemelnünk, hogy az RSA hat hónapig ingyen adja a kétfaktoros autentikáció bizonyos alap szolgáltatásait azoknak az új, potenciális ügyfeleknek, akik még nem rendelkeznek hasonló szolgáltatással.

Ebben az esetben is szükség van ügyfél oldalról egy virtuális gépre. Lényegében ezen keresztül, illetve a munkavállalók telefonján lévő kliens alkalmazásokkal valósul meg a multifaktoros autentikáció (MFA).

Mivel a pusztán felhasználónévre és jelszóra építő beléptetések egyre nagyobb mértékben vannak kitéve támadásoknak (a támadások közel 80%-a erre irányul), ráadásul nagy az esély, hogy a belépéshez szükséges két adat illetéktelen kezekbe kerüljön, így az RSA MFA bevezetése szinte mindenkinek ajánlott, nem csak azoknak, akik érzékeny, bizalmas adatokkal dolgoznak. Egy ilyen rendszer kiépítése egyébként meglepően gyorsan megvalósulhat.

Az RSA e terület nagy öregje, gyakorlatilag a token alapú megoldások legjelentősebb gyártója. Ha a multifaktoros autentikáció szóba kerül, az RSA szinte biztos, hogy ott van a figyelemre méltó ajánlatok között.

Összegzésül

Mindent egybevetve a fenti megoldások ma már kihagyhatatlanok, ha a távoli munkavégzés kiépítése a célunk. A jelenlegi, COVID-19 koronavírus okozta helyzetben egyre több munkavállalónak kell majd otthonról dolgoznia. Ezekhez a körülményekhez pedig - sajnos - még a cégeknél is gyorsabban alkalmazkodtak a kiberbűnözők, akik komolyan ráálltak a home office rendszerek sebezhetőségeit kihasználó támadásokra. Emellett egyre nagyobb veszélyt jelentenek a ransomware támadások és az adathalász próbálkozások, melyek száma az elmúlt hetekben megnőtt.

Nem csak a bizalmas, szenzitív adatokkal dolgozó vállalatok, hanem minden, az otthoni munkavégzést támogatni kívánó cég esetén kiemelt fontosságú tehát a megfelelő biztonsági megoldások használata. Elég kihívást jelent egészség és gazdaság szempontjából a való világ vírustámadása, nem érdemes ezt tovább tetézni virtuális kártevőkkel, adatbiztonsági incidensekkel.

Érdekel a téma? Kövesd a LinkedIn oldalunkat.

Folytatjuk, kövesd a blogot, vagy iratkozz fel, hogy értesítsünk a következő cikkről. ITT

A hatékony távmunka eszközei, járvány és karantén idején

2020. március 17. - EURO ONE

Immár Magyarországot is elérte a kínai Vuhan városából kiindult koronavírus (COVID-19), a kormány pedig, a kialakult hazai és nemzetközi helyzetre reagálva, az elmúlt napokban rendkívüli jogrendet hirdetett. S bár azt - e bejegyzés készültekor még - a vállalatokra bízta, hogy a koronavírus kapcsán miként járulnak hozzá az egészségügyi helyzethez, úgy tűnik, hogy a hazai cégek között is egyre többen hirdetik meg a rendkívüli munkarendet. Ennek kialakítása során saját hatáskörben rendelkeznek arról, hogy a dolgozóik otthonról végezzék-e a munkát, vagy bejárjanak az irodába, az adott munkakörök elvárásaihoz is igazodva. A cél, hogy a járvány további terjedését lassítsák a megfelelő munkarend kidolgozásával. Erre pedig a legjobb megoldás értelemszerűen a távmunka vagyis home office, amikor a munkavállaló az otthona elhagyása nélkül végezheti el céges feladatait.

De mire van szüksége egy vállalatnak, hogy azonnal léphessen? Milyen IT feltételek szükségesek ahhoz, hogy a távmunka ne csak egészségügyi szempontból, hanem a céges adatvédelem tekintetéből is biztonságos legyen? Hogyan oldhatjuk meg a hatékony home office bevezetését? Ezekre a kérdésekre adunk választ ebben a bejegyzésben.

Mire van szükség a hatékony távmunkához?

Míg a családon, rokonságon belüli kapcsolattartáshoz ilyenkor is elegendő lehet a megszokott, szinte minden platformon elérhető Facebook Messenger és Gmail páros, addig ezek az eszközök egy cég esetében túl sok biztonsági problémát vetnek fel. Jól meg kell hát választanunk a biztonságos kapcsolattartáshoz, táveléréshez, fájlcseréhez használt szoftvereket. De ugyanígy az sem mindegy, milyen minőségű internetkapcsolaton keresztül érik el a dolgozók a cég belső hálózatát, annak védeleméről nem is beszélve. A legfontosabbak tehát:

1.           Sávszélesség, amely képes kiszolgálni az adott cég méretét távmunka esetén.

2.           Alap technikai feltételek: notebook, mobiltelefon és internet elérés.

3.           Olyan skálázható IT infrastruktúra, amely tartalmazza az otthoni felhasználók kapcsolódását biztosító eszközt, szaknyelven VPN koncentrátort vagy VPN koncentrátorként is használható tűzfalat.

4.           Biztonságos kapcsolat.

5.           Megfelelő szoftverek, például Webex, Microsoft Teams stb.

Terjedelmi okokból nem tudunk minden pontot kifejteni, így most csak a harmadik és negyedik pontokban felvetett hozzávalókkal kapcsolatban osztunk meg néhány gondolatot.

Skálázható IT infrastruktúra

Jelen pillanatban azok a vállalatok képesek biztosítani az azonnali távoli munkavégzést, akiknek már adottak a harmadik pontban leírt IT feltételek, s ezekhez megfelelő licencekkel is rendelkeznek. Az elmúlt években napi szinten volt szó a skálázható informatikai rendszerekről, és arról, milyen előnyei vannak. Ezt most a gyakorlatban is megtapasztalhatjuk.

Szinte biztosan kiderül majd minden érintett cég számára, miért is olyan fontos a jelenlegi IT rendszer skálázhatósága. Az ok egyszerű: a hirtelen megnövekvő igénybevételt is ki kell tudja szolgálni. Ilyen igény például amikor minden munkatárs távolról, egyszerre igyekszik elérni a céges környezetet.

Gyorsan tudnak a jelenlegi helyzetben reagálni azok a vállalatok is, akik rendelkeznek ugyan megfelelő eszközökkel, viszont nem rendelkeznek a szükséges szolgáltatás vagy kapcsolódás használhatóságáról gondoskodó licencekkel. Ők licenc bővítéssel - s ha szükséges a VPN kliensnek a távolról csatlakozó kollégák eszközeire való feltelepítésével - gyorsan működőképessé tehetik a rendszert.

Hasonló esetekre léteznek úgynevezett vészhelyzeti licencek (Emergency Licenses) is, amelyek csupán néhány hétig érvényesek, majd az adott időszak végén lejárnak. Amennyiben átmeneti állapotról van szó, érdemes ezt a lehetőséget is megfontolni.

Mit tehet, aki nincs felkészülve a home office-ra?

Ha a rendszer a megnövekedett felhasználói igényeket nem képes kiszolgálni, vagy nem rendelkezik VPN koncentrátorral, esetleg elavult és régi a tűzfal, akkor az infrastruktúrát mindenképpen fejleszteni kell.

Egy olyan fizikai rendszert, amelyben egyáltalán nincs VPN koncentrátor, az idő rövidsége, a gyártási folyamatok és a logisztika lassulása miatt hosszú idő lenne felkészíteni. Jelenleg a koronavírus első és második hulláma zajlik a világban. S bár a COVID-19 még a virológus szakemberek számára is sok kérdőjeles tulajdonsággal rendelkezik, azt semmiképpen sem javasoljuk, hogy bárki félvállról vegye. A spanyolnátha például anno három hullámban jelentkezett egy éven belül, és a második hullám jóval nagyobb volt az elsőnél. Fontos tehát mielőbb meghozni a szükséges fejlesztési döntéseket.

Mi történik például abban az esetben, ha a jelenlegi IT infrastruktúra jól működik az adott kapacitással, de a megnövekedett igényeket már nem tudja kiszolgálni? Nézzünk egy példát!

Vegyünk egy 100 felhasználós céget, amelyiknél a jelenlegi rendszer kapacitása 20 felhasználót képes kiszolgálni távolról. A hálózatuk már így is maximálisan kihasznált, aminek következtében a nagyobb terhelést - hiába is vásárolják meg a szükséges licenceket - képtelen kiszolgálni. Ez a rendszer túlterheléséhez vezet. Ebben a helyzetben megoldást biztosíthat a virtuális eszközök integrációja is. Ez azt jelenti, hogy virtuális tűzfalat integrálunk a meglévő rendszerhez, amellyel akár 5 nap alatt megvalósítható minden felhasználó számára a biztonságos, távoli munkavégzés lehetősége.

Az érzékeny adatokkal dolgozó cégek számára megfontolandó egy multifaktoros hitelesítő rendszer bevezetése is a távoli kapcsolatok biztonságosabbá tételéhez, akár a meglévő rendszerek kiegészítéseként is. Érdemes szem előtt tartani azt is, hogy bár vészhelyzetben az alapbeállítások pár nap alatt elvégezhetők, azért a bevezetés ideje nagyban függ a cég méretétől és igényeitől.

Ne legyenek kétségeink: az következő hetek meghatározzák a jövőt. A változás mindenki számára elkezdődött. A digitális transzformáció évek óta zajlik, most azok tudnak rugalmasabban reagálni, akik már részesei az átalakulásnak, és rendelkeznek üzletmenet folytonossági tervvel is. 

IT szakember vagy? Ezeket mindenképpen gondold át: Kattints ide

3 alapvető kérdés a jogosultságkezelésedről

Bikki Mónika cikke

2020. február 27. - EURO ONE

3 alapvető kérdés a jogosultságkezelésedről

Noha sokan továbbra is azt hiszik, hogy minden jól elszeparált és védett, a szembeszökő valóság az, hogy egy folyamatosan fejlődő korlátok nélküli világban élünk, ahol bárki, bárhonnan, bármit elérhet. Vállalati infrastruktúránk is határok nélküli, kritikus adataink felhőalapúak és felhasználóink a világ bármely pontjáról dolgozhatnak.

Az első, és valószínűleg egyetlen védelmi vonalunk a dolgozó: olyan megbízható személy, aki rendelkezik jogosultságokkal, és feltételezzük megbízhatóan dönt és figyelembe veszi a kockázatokat. Sajnos a legtöbb szervezet soha nem nézi át munkatársai felhasználói fiókjait, illetve azok jogosultságait, továbbá kihagyja a lehetőséget egy olyan jogosultságkezelési programnak, amire támaszkodhatna a jövőben.

Az évek során megállapítottuk, hogy néhány kérdésen keresztül rávilágíthatunk a jogosultságkezelési stratégiára, hogy ügyfeleink átgondolják mennyire érett szervezetük jogosultságkezelése. Ezek a kérdések azért nem terjednek ki mindenre, de segítenek megérteni azokat a pontokat, amelyek bármilyen típusú jogosultságkezelési stratégiának az alapját képezik.

1. Hol vannak a jogosultságaid? Először azt érdemes megvizsgálni, hogy rendelkezünk-e megbízható jogosultsági nyilvántartással, vagy sem. A jogosultsági nyilvántartás a felhasználói fiókok, szerepkörök és hozzáférési jogok gyűjteménye, a teljes vállalati környezetre nézve.

A jogosultsági nyilvántartás sok felhasználói fiókot tartalmaz, de felhasználónként csak egy, egyedi azonosító van, amely a dolgozóhoz tartozik. Egy vállalat tipikusan az Active Directory-t (AD) tekinti a jogosultsági nyilvántartásának, hisz az AD felhasználói fiókokokat használják a hozzáférések kezelésére. Ugyanakkor érdemes meggyőződni arról is, hogy ezek kiterjednek-e azokra az infrastruktúra-elemekre is, amelyek nem használnak AD-t a hitelesítéshez. Fontolóra kell venni az összes alkalmazás, hálózati eszköz és a Linux szerver hitelesítési- és jogosultságkezelési folyamatát, valamint azt, hogy létezik-e olyan központi rendszer, amely tartalmazza ezen elemek felhasználói és jogosultsági adatait is.

2. Hogyan működik a hitelesítés? Másodszor, fontos a vállalkozáson belüli összes hitelesítési folyamatot felülvizsgálni. Általánosságban elmondhatjuk, hogy régi infrastruktúrákkal találkozunk a munkánk során, melyek évtizedek óta felügyelet nélkül működnek, ezáltal a technikai felhasználói fiókok felelősei teljesen nyomon követhetetlenné váltak az évek során. Míg a szervezetek túlnyomó többsége az Active Directory-ba központosította Windows-környezetét, jóval kevesebben integrálták hálózati eszközeiket, alkalmazásaikat vagy azok Linux szervereit is AD-hoz. A legtöbb esetben az ilyen típusú rendszerek helyi azonosítókat használnak a hitelesítéshez, ugyanakkor ezeket semmilyen központi nyilvántartási rendszerben nem kezelik vagy rendelik felelősökhöz.

A hitelesítési folyamatok felmérése nehézkes lehet, különösen az évtizedek óta működő alkalmazások esetében. Kihívást jelentenek az alkalmazások adatbázisában vagy a fájlokban eltemetett technikai fiókok, a több éves (vagy évtizedes) régi SSH kulcsok és megbízhatatlan „megosztott” fiókok. Nem kétséges, hogy a rendszerek átvizsgálására fordított idő hosszútávú befektetést jelent a vállalat számára.

3. Hogyan támogatja a vállalatot a jogosultságkezelési stratégiád? Végül fontos, hogy teljesen átlássuk a jogosultságkezelési folyamatok működését vállalatunknál. Noha a manuális folyamat megfelelő szigor mellett sikeres lehet, mégis automatizálás szükséges ahhoz, hogy minimalizáljuk az emberi hibákat, amelyek eredendően előfordulnak a manuális folyamatok során.

Az auditálhatóság is kulcsfontosságú kérdés. Véletlenszerűen kiválasztva a felhasználói fiókok 20% -át, egyértelműen kijelenthető-e, hogy mindegyik követi a fiókok létrehozásának dokumentált folyamatát? Új belépő dolgozók esetén a HR-től indul a beléptetési folyamat? A közvetlen felettes kezdeményezi a jogosultsági igényléseket? A munkatársuk maguknak igénylik a hozzáféréseket? Mi a helyzet az áthelyezésekkel vagy promóciókkal?

Minden jogosultságkezelési stratégia valódi célja a felhasználói fiókok létrehozásának, karbantartásának és végleges törlésének, jóváhagyási folyamatainak megértése. Mindezek mellett biztosítani kell a historikus adatok ellenőrizhetőségét auditok esetén, melyek során mindenképpen kiderül mennyire fontos a megfelelő jogosultságkezelési program.

Három alapvető szempont mindenki számára, aki gondolkozik  minimális jogosultságkezelési stratégia készítésén. Ha előzetesen figyelembe veszed ezt a három szempontot, garantálható, hogy hosszútávon sikeresebb lesz.

Érdekel a téma? Kövess minket a LinkedIn-en is!

Vegyél részt az éves Cyber Security Summit-on! Kattints ide

A MITRE ATT&CK filozófiája

2020. február 25. - EURO ONE

Mintegy 5 évvel ezelőtt kezdte el kategorizálni a MITRE az ismert támadási módszereket annak érdekében, hogy szimulálják a támadók viselkedését és javítsák a behatolásdetekciós képességet.  Azóta jelentősen megnőtt a MITRE ATT&CK mind a tartalmát, mind a tartalom fenntartásának a folyamatát tekintve.

A MITRE nagyon fontosnak tartja, hogy hasznos maradjon a közösség számára. Kiadtak egy a filozófiáról szóló whitepapert, amely hiteles forrása az ATT&CK módszertan mögött álló tervezési, illetve filozófiai gondolatoknak. Úgy gondolják, a módszertan fontossága jobban fenntartható, ha átláthatóak a mögötte lévő döntések. A kezdetek óta még nyitottabbá vált a modell, és a nyitottság továbbra is alapvető elem.

Nem minden potenciális fenyegetés egyforma

Az ATT&CK módszertanát úgy fejlesztették ki, hogy utólagosan minél jobban észleljék a kiberbűnözők támadás alatti viselkedését. A fejlesztési munka célja, hogy aki az ATT&CK módszertant használja, képes legyen a dokumentált támadási viselkedésre összpontosítva rangsorolni a védekezés módját. A folyamatos fenyegetések – ezt gyakran ATP-nek nevezik – onnan kapták a nevüket, hogy a támadók a céljaik elérése érdekében, a célt azt különböző időben elnyújtva, többször, sokféleképpen, működésüket megszakítva végzik. A tartós fenyegetéseknek számos formája lehet, mint például az államok által szponzorált ATP-k, a kémkedés, a pénzügyileg motivált bűnözők, illetve a szellemi tulajdont fenyegetők. Mindegy milyen egyéni motivációval érkeznek a támadók, azok a technikák, amiket használnak, nagyon hasonlítanak egymáshoz. A támadók által alkalmazott technikák tárháza hatalmas. Elég, ha csak megnézzük, mi történt az előző években, vagy mi történik most, vagy mivel foglalkoznak a kutatások, illetve hogyan néznek ki ma a sérülékenységi adatbázisok, ha éppen valaki új ötlettel állt elő.

Megdöbbentő, hogy a vállalatoknak mennyi minden ad okot az aggodalomra, egyre nehezebb a technológia területén is boldogulni, miközben egyensúlyoznak a biztonsági események hatékonysága és a döntéseket alátámasztó kritikusság között. Nagyon praktikus, ha valaki képes ezeket részeire bontani, az empirikusan dokumentált fenyegetési aktivitásokra fókuszálni, hogy priorizáljon és azokkal foglalkozzon először, amelyek alapvetően befolyásolják a biztonsági szintjüket.

 

Milyen információforrásokat használ az ATT&CK?

 

Számos különböző információforrás van:

·       Threat intelligence jelentések

·       Konferencia-előadások

·       Webináriumok

·       Közösségi média

·       Blogok

·       Nyílt forráskód-tárházak

·       Malware-minták

 

Minden hasonló technikára, fenyegetettségi információra nyitott a MITRE egészen addig, amíg az megbízható forrásból származik és növeli a közösség kollektív technikai megértését. Az ATT&CK csapatnak számos munkatársa van, akiknek többéves közösségi tapasztalata van threat intel védelemben és szimulációs gyakorlatokban.

Mi a helyzet a red teaminggel és az új technikák kutatásával?

Sajnos a nyilvánosan elérhető információk nem elégségesek, hogy megértse a MITRE mit csinálnak a szemben lévő támadók.  Ami látható, illetve riportálható, azokon az adatokon alapul, amit valaki éppen abban a pillanatban látott, de az igazán érzékeny része az információnak – hogy mi is vezetett az aktuális esethez, mit is csináltak a támadók – legtöbbször publikusan nem elérhető.

Ez igazán komoly kihívás az ATT&CK számára, mivel folyamatosan frissen akarják tartani a keretrendszert. A legutóbbi taktikákat, technikákat, folyamatokat az úgynevezett TTP-t szeretnék feldolgozni, amit minden egyes védelemben dolgozó szakembernek tudnia kellene. Mindezt figyelembe véve többféle módszertant használnak arra, hogy megközelítőleg meg tudják mondani a támadók módszereit a való életben.

Léteznek nem túl gyakran dokumentált események, mert nem születnek róluk leírások. Az információmegosztási kontrollok és az adatok érzékenysége limitálja ezt, ezért, ha egy megbízható információforrás azt mondja, hogy felbukkant egy technika az életben és elég információ van róla, hogy elmondják hogyan történt, a legtöbb esetben bizonyítottnak tekintik, még akkor is, ha nincs róla riport.

 

Red teaming

Ugyanazzal a céllal történik általában, ahogyan a fenyegetéseket próbálják szimulálni.  A támadóoldali technika nagyon sokszor hasonlít a valós élethez, de néhány esetben teljesen különbözik. Ha azt tapasztalják, hogy ezek a red teamek sikeresen használnak bizonyos technikákat és elég sok ügyfél sérülékeny ezekre a módszertanokra, valószínűsíthető, hogy egy a való életben is előforduló módszertanról van szó.

Az új technikákról rengeteg kutatás készül, sok jó publikálás születik az új módszertanokról és a biztonsági problémákról. Időnként ezek a technikák a való életből származnak, de vannak teljesen újak is, amit most fedeztek fel. Ilyenkor a régi adatokat vizsgálják, de új szemszögből. Ebben az esetben nagyon fontos, hogy az újonnan megjelent technikákat valamilyen szinten a múlttal is összevessék és így vizsgálják a megtörténésük valószínűsíthetőségét.

 

Technikákat befolyásoló döntési faktorok

Akkor kell új technikát létrehozni, amikor új előfordulást vagy új leíró riportot találnak. Bizonyos esetekben azonban csak kicsit átalakítják vagy kiegészítik azt egy meglévő részleteivel, vagy az észlelthez hasonló technikával, vagy csak új infót helyeznek el benne. Amikor egy-egy ilyen technikába új információt tesznek, akkor sok tényezőt gondolnak át, hogy megértsék a modellben, tudásbázisban hogyan és hova illeszthető be.

 

Számos szempont alapján mérlegelnek 

Mit is valósít meg ez a technika? Hasonló technikák már előfordulhatnak úgy is, hogy különböző taktikai lépéseket valósítanak meg, vagy az is meglehet, hogy különböző technikák valósítanak meg hasonló taktikai lépéseket kicsit másképpen.

Akciók. Hogyan is hajtották végre ezt a támadási taktikát? A taktikát jelző trigger esemény különbözik még akkor is, ha a végeredmény ugyanaz vagy hasonló.

Megnézik, ki használja. Ha több csoport használja, ők hogyan használják? Ugyanúgy vagy különböző módon? Milyen előzmények szükségesek?  Milyen komponensekre van szükség, hogy ezt a technikát kivitelezni tudják, és hol fejti ki a hatását? Fájlokon, registry változásokban, API-hívásokban, vagy jogosultságkezelési beállításokban?

Milyen hasonló komponenseket használnak a különböző technikákban? Mi a különböző és mi a hasonló?

Megnézik a detektálási oldalt is. Mi kell ahhoz, hogy észlelni tudják a technika használatát? Ez kapcsolatban van valami előzetes követelménnyel vagy cselekvéssel. Az is előfordulhat, hogy hasonló technikákban ez teljesen eltérő.

Hogyan tudják a hatását csökkenteni? Milyen hatáscsökkentő mechanizmusok állnak rendelkezésre abban az esetben, ha ezek hasonlóak más technikákkal? Ugyanazokat kell lépniük, és ugyanazok az eredmények várhatóak?

Legtöbb esetben az előbb említett kérdések egyike sem képes eldönteni, hogy hova tegyék az új információkat. De mindezeket átgondolva segítenek megtalálni a legjobb módot arra, hogy hogyan is építsék be az információkat az ATT&CK keretébe.

Ha érdekel a téma ezt is olvasd el

Regisztrálj a webinárra, hogy megértsd hogyan használhatod fel! 

A keretrendszer amely átalakította az IT biztonságot

Krékity Gusztáv cikke

2020. február 25. - EURO ONE

Bár elsőre azt gondolhatnánk, hogy az ATT&CK az angol attack (azaz támadás) szó vicceskedvű marketingesek által feltuningolt változata, de valójában nem, vagy legalábbis nem teljesen. Ez bizony egy betűszó, mégpedig az Adversarial Tactics, Techniques, and Common Knowledge kezdőbetűiből. A jelentése: támadási taktikák, technikák és közös tudásbázis. 

mitre.jpg

A MITRE 2013-ban indította el a projektet, hogy dokumentálja az ismert támadói taktikákat, technikákat és folyamatokat, illetve minél jobban leírják a Windows megoldásokat érő támadásokat.

 Az ATT&CK framework az FMX kutatás mellékterméke. A projekt célja az volt, hogy megvizsgálják a végponti telemetriás adatokat és elemzési lehetőségeit, illetve javítsák a hálózaton belül megtalált támadási aktivitásoknak az utólagos felderítését. A kutatás négy nagy problémára fókuszált.

  1. A támadók viselkedése. Azzal, hogy a támadói technikákra/taktikákra fókuszálnak, az elemzők számára lehetővé válik a védekezési és elemzési módszerek kifejlesztése. Az alábbi tipikus jelzésekkel dolgoztak: domainek, ip címek, fájl hash, registry kulcsok stb…, Ezek könnyen megváltoztathatók a támadók által egy támadás közben, és csak egy bizonyos időpillanatban van komoly jelentése, de még ebben az időpillanatban sem tudják leírni, hogy a támadók a megtámadott rendszerekkel hogyan kerültek kapcsolatba és hogyan viselkednek a támadás során.
  2. A támadási életciklus modellek kill chain megközelítése a MITRE szerint nem igazán jól használható, mivel ezek a koncepciók túl magas szinten próbálják meg leírni a támadók viselkedését.  Így amikor a védelmi oldal próbálta használni ezt a modellt, nem lehetett hozzá csatlakoztatni a fent már említett taktikákat, technikákat.
  3. Valós környezetben is működőképes modellt kerestek. A fent már említett TTP-k (leíró módszertanok) már a korábban észlelt és riportált eseményeken alapulnak, így ezek a valós életet tükrözik.  Találni kellett egy mindenki által használható taxonómiát, mert ezeknek a leírásoknak minden különböző típusú támadási csoport módszertanát le kell tudni írni.
  4. Az ATT&CK- en belül hisznek abban, hogy a védelmi intézkedések legjobb fejlesztője maga a támadás. Egy szervezetnek a detektálási és védekezési illetve támadást megállító képessége nagymértékben fejleszthető, ha folyamatosan naprakészen tartják a támadási tudásukat és a védelmi csapatok szorosan együtt dolgoznak.

Az FMX-ben az ATT&CK-et azért alakították ki, hogy a kutatás során emulálni, azaz modellezni tudják a támadók viselkedését. A projektben a támadás szimulációs csapat az ATT&CK-ben leírt lehetséges támadási módszereket arra használta, hogy a való élet által inspirált aktivitásokat megjelenítsék a hálózatban. Ezután a csapatok igazolták, hogy a szenzorok, elemzői eszközök jól működnek, és képesek detektálni a valódi hálózaton belül történő aktivitásokat.

Ez a megközelítés nagyon jól működött, gyorsan hozott eredményt és mérhetővé tette a vizsgálatot. Rövid időn belül az ATT&CK alapeszközévé vált a támadás emulációs csapatoknak. Arra használták, hogy megtervezzenek támadási eseményeket a védelmi csapat pedig, hogy ellenőrizze a támadás kivitelezését.

Annyira hasznos volt a MITRE-n belül ez a kutatási program, hogy úgy érezték publikálni kell és így 2015 májusában létrehoztak egy közösséget. Azóta jelentősen megnőttek és számtalan újabb technikát írtak le. Bekerültek a főbb operációs rendszer elleni támadások, amelyeket mobile device-ra is és ipari környezetre is elkészítettek.

De mi is az ATT&CK?

Az ATT&CK egy hatalmas tudásbázis, ami a támadók technikáit írja le csoportosítva, klasszifikálva a védekezés vezérelt akciók platformok szerint specifikálódva. Más hasonló munkától eltérően itt a fókusz nem a támadók által használt tool-okon vagy malwareken van, hanem azon, hogy támadás közben hogyan kommunikálnak, milyen kapcsolatot építenek fel a megtámadott rendszerrel. Különböző szempont alapján rendezik, így próbálják elmagyarázni és megteremteni a kontextust.  Minden egyes technika tartalmazza azokat az információkat, ami mind a red team, mind a támadó csapatok számára szükséges a működéshez. Ugyanígy a védelmi csapatnak is fontos, hogy megértsék milyen nyomokat hagy maga után a technika.  

A taktikák a miért kérdésre válaszolnak. A taktika leírja a támadó igazi célját, és miért hajtja végre az adott támadást.  Ez egy kiegészítő kategória minden egyes technika mellett. Magas szintű információt szolgáltat a támadó működéséről. Mennyi ideig tartott a támadás, milyen információkat szerez, hogyan mozog a hálózaton belül, hogyan hajt végre futtatható fájlokat, hogyan viszi el a megszerzett információt.

A technikák a hogyan kérdésre adnak választ, hogyan éri el  egy támadó a taktikai célját támadás közben. Például megszerzi a jogosultságokat, privilegizált user adatot akar ellopni, amit aztán felhasznál, hogy beljebb kerüljön. A technikák megjeleníthetik a mit kérdésre adott választ is. Nem csak hogy hogyan, de mit csinál egy támadó. Ez azért fontos, mert a támadást megelőző taktikák gyakorlatilag megvilágítják milyen típusú információt is keres az adott támadó az akciója során. Nyilván több út és technika létezik a taktikai cél megvalósításához, de ez megtalálható a különböző taktikai kategóriában.

Hogyan is néz ki az ATT&CK mátrix

 0_d7eyav-rxxpyxb7e_copy.jpg

A technika és taktika közötti kapcsolatot a MITRE vizuálisan egy mátrixban jelenítette meg. Itt csoportosítva találhatóak az információk. Például taktikai lépés a jelenlét fenntarthatósága, ami nagyon fontos célja a támadónak, hogy úgy hajtsa végre a támadást ne fedezzék fel és a lehető legtöbb ideig ott maradhasson. Tehát, ha valaki kíváncsi arra milyen technikákat használnak a rejtőzéshez, akkor nagyon sok technikát talál meg az adott oszlopban. Minden ilyen egyszerű technika megvalósítja a támadó célját, de ezt persze sokszor kombinálják. Ma a mátrix a legszélesebb körben elismert kategorizáló eszköz, ami elterjedt és jól használható a védelmi infrastruktúra kialakításánál, illetve a detekciós képesség és biztonság detekciós képességének feltérképezésére.

Kiber fenyegetettségi adatbázis

Az ATT&CK-nek egy másik nagyon fontos aspektusa, hogyan kapcsolódik a CTI infóval, hogyan integrálódik. Nagyon sokáig a CTI-t használták az elsődleges jelzőrendszerként a támadás szimulációban és a védekezés megerősítésében.  Az ATT&CK nem így dolgozik, mert az ATT&CK a viselkedés profilozására fókuszál.  Például az APT 29-es támadói csoport jelen állapotú publikus támadási technikáit is meg lehet találni a rendszerben. Sokszor támadás leíró dokumentumokat használnak arra, hogy egy incidenst vagy egy csoport tevekénységét leírják, de ez komoly nehézségekbe ütközik, ha az esemény több incidensen keresztül történt, vagy több csoport aktivitását kell leírni és megmagyarázni. Ezek alapján nehéz eldönteni milyen védelmi intézkedés lett volna a leghatékonyabb a csoporttal szemben.

Ha az ATT&CK-et használják a védelem felállításánál, koncentrálva a támadási technikákra mindegy ki hajtja végre, milyen csapat hány támadásra elosztva fog fellépni. Például, ha el akarják dönteni milyen védelmi erőforrásra fókuszáljanak, egy elemző először azokkal a technikákkal akar dolgozni, amit a legtöbbször használnak.  Az ATT&CK-ban az van leírva a támadó hogyan használja a technikát, jól dokumentált példákon keresztül.  A dokumentumban egyetlen procedúra leírása található meg, de még így is hasznos lehet abból a szempontból, hogy rájöjjünk hogyan használhatjuk az adott technikát. Illetve amikor ezek alapján megpróbálnak modellezni egy viselkedést, nagyon könnyen összeállíthatóak a különböző variációk.

Konklúzió:

A Mitre ATT&CK használatának sok nagyszerű előnye és oka van. Többek között a Mitre filozófiája szerint egy olyan bárki számára használható keretrendszert fejlesztettek amely segíti a támadások észlelését és elemzését, fejleszti a  fenyegetési intelligenciát illetve képes arra, hogy  a támadók kihasználási kísérleteinek az emulációját is segítse.

Ahhoz, hogy a keretrendszert jól tudjuk használni fontos, hogy  ismerjük a mögöttes gondolkodást és tudnunk kell, hogy milyen problémákat próbálunk megoldani az ATT&CK használatával.

Mi a legfőbb különbség a Kill Chain és a Mitre megközelítése között? 

Általánosságban elmondható, hogy mind a két keretrendszer esetében ugyanazt a mintát követjük „ juss be a hálózatba, ne kapjanak el, szerezd meg a bizalmas információkat”.

Az elsődleges és egyik legfontosabb különbség a kettő között az, hogy a Mitre egy mátrix és nem javasol konkrét műveleti sorrendet. A Kill Chain egy jól meghatározott eseménysorozat a felderítéstől kezdve egészen a támadás sikeres befejezéséig. A Mitre megközelítése az, hogy a vörös csapat különböző támadási technikákat alkalmaz és a technikáktól függően különböző forgatókönyvek készülnek el a támadások különböző életciklusaira vonatkozóan az adott helyzettől függően.

MITRE filozófiája a következő támadási taktikákat határozza meg:

  •      Kezdeti hozzáférés
  •      Végrehajtás
  •      Kitartás
  •      Privilégiumok eszkalációja
  •      Védelmi rendszer kijátszása
  •      Hitelesítő adatok megszerzése, hozzáférése
  •      Felfedezés
  •      Oldalirányú mozgás, terjeszkedés
  •      Adatok gyűjtése
  •      Adatok elvitele a hálózatból
  •      Irányítás fenntartása

Kill Chain filozófiája a következő technikákat határozza meg:

  •      Felderítés
  •      Behatolás
  •      Kizsákmányolás
  •      Privilégiumok eszkalációja
  •      Oldalirányú mozgás
  •      obfuzkáció
  •      szolgáltatás megtagadás
  •      adatok megszerzése

 

Érdekel a téma? Vegyél részt WEBINÁRIUMONKON is!

RÉSZT VESZEK

 Olvasd el a MITRE filozófiáját is.