A digitális bankolás és bankkártyás tranzakciók térnyerésével megnyílt egy innovatív, előremutató, ugyanakkor veszélyekkel teli új dimenzió, amely mind a kényelem, mind a praktikum miatt villámgyorsan szerves részévé vált mindennapjainknak. Mára gyakorlatilag el sem tudnánk képzelni az életünket internetes vásárlás, PayPass, ATM-es készpénzfelvételi lehetőség nélkül, miközben az évezred elején ez a szolgáltatási irányzat még épp csak a szárnyát bontogatta.

Egy kis történelem

A folyamatos térnyerés és a szolgáltatások minőségi fejlődése mellett a biztonság sajnos nem kapott kellő figyelmet, így annak érdekében, hogy a kártyás vásárlások biztonságát megfelelő és egységes szintre emeljék, 2006-ban a MasterCard, Visa, JCB International, Discover Financial Services és American Express megalapította a PCI-SSC-t (Payment Card Industries Security Standards Council), hogy az általuk brandelt kártyák adatait a tranzakciók teljes életciklusa során csak olyan szervezetek kezelhessék - bármilyen formában -, amelyek megfelelnek az általuk támasztott követelményeknek. Követelményeik fő célja az adatlopások és visszaélések számának visszaszorítása és a kártyás tranzakciók általános védelmének növelése. Mára tizenöt szabvány köthető a PCI-SSC-hez, ezek közül a legismertebb a PCI-DSS (Payment Card Industries Data Security Standard), amely a legnagyobb szeletét fedi le a tranzakciók életciklusának.

PCI-DSS

A PCI-DSS központi eleme a kártyaadat, amelynek védelméhez szükséges követelményeket foglalja magában, hat nagyobb, illetve összesen tizenkét kisebb területre vetítve. Kártyaadatnak számít minden olyan információ, amely a kártyabirtokos azonosítására alkalmas:

• a kártyabirtokos neve,
• a kártyaszám,
• a kártyaazonosító szám,
• a kártya lejárati dátuma,
• a kártyakibocsátó neve,
• a mágnescsík,
• a PIN kód,
• a chip,
• a CAV2/CVC2/CVV2 kód.

Ezek kezelését és tárolását szigorú szabályokkal korlátozzák, amelyek betartását évente kell bizonyítani. A szabvány által taglalt követelmények lefedik az információbiztonság területeit: nevesítve kitér a hálózatbiztonság, adatvédelem, sérülékenység-menedzsment, hozzáférés-kezelés, ellenőrzés- és felügyelet, valamint szabályozás témakörökre. A szabvány követelményei objektív szemléletűek, így teret engednek több megközelítési módnak is, persze csak akkor, ha a követelményben foglaltak teljesülnek. Az előírások mellett ellenőrzési leírásokat is tartalmaznak, amelyek elsősorban az auditorok számára készültek, ugyanakkor az ellenőrzési szemlélet megismerésével a vállalat helyzetét is segíthetik a megfelelőbb kontrollok kialakításában. A követelmények egyéb segédpontokat is megfogalmaznak, amelyek segítenek az elvárások relevanciáját, súlyát és szerepét megérteni. Felsorakoztatnak bevált praktikákat és példákat, hogy a megvalósítás egyszerűbbé váljon.

A technológia fejlődésével a szabvány is folyamatosan bővül, az újításokkal járó problémaforrásokat és a kiforratlanságokból eredő anomáliákat igyekszik újabb követelményekkel vagy korábbiak kiegészítésével lefedni. A változtatásokat mindig egy új verzióban közlik, ilyenkor az előző és az új kiadás alapján is lehet auditáltatni. E rugalmasság egyben időt biztosít arra is, hogy a szabvány hatálya alá tartozó szervezetek felkészülhessenek az új verzióban található módosításokra, szükség esetén bevezethessenek új kontrollokat, így az audit során már - jó eséllyel - nem éri őket meglepetés.

A 4.0-ás szabvány

A szabvány legújabb, 4.0-ás kiadása 2022. március végén lépett hatályba. A korábbi 3.2.1-es verzió még érvényben van egészen 2024.március végéig. Ezen időszak alatt az érintett szervezeteknek még lehetőségük van a 3.2.1-es verzió alapján auditáltatni, azonban érdemes rákészülni az 4.0-ás kiadásra, hiszen 2024. március után az auditoroknak már kötelező lesz az új verzió alapján ellenőrizni a vállalat PCI-DSS hatálya alá tartozó részeit, működését, kontrolljait.

A szabvány újabb verziói jellemzően mindig a korábbi kiadásokra épülnek, az olyan követelmények, amelyek a megfelelő minimális biztonsági szintet képesek megkövetelni, változatlanul vagy kisebb módosításokkal benne maradnak az új kiadásban is, míg az olyan területeket, amelyeket az előző verzió nem taglalt, de kiemelkedő jelentőséggel bírnak, új követelmények formájában részletezi a szabvány. Az ilyen új és módosított követelményekre való felkészülés az, ami a korábban már sikeresen auditált vállalatok számára a felkészülési időszakban a legnagyobb odafigyelést igényli: fel kell mérni, hogy az aktuális működés és az érvényben levő kontrollok, gyakorlatok milyen mértékben találkoznak a követelmények által meghatározott minimális feltételekkel, a felmérést követően össze kell gyűjteni azokat a kontrollokat, amelyeket módosítani szükséges vagy újonnan létre kell hozni, ezt követően pedig ütemtervet kell készteni a változtatások bevezetésére, melyeket a vállalati kultúrával összhangban a következő – már új verzió alapján történő – auditig kell bevezetni.

A 4.0-ás verzió a korábbi kiadáshoz képest innovatívabb megközelítést alkalmaz, teret enged a felhő-érának, nagyobb hangsúlyt fektet az adathalász támadások elleni védekezésre és felderítésre, illetve szigorítja az authentikációs folyamatokhoz tartozó kritériumokat (szigorúbb jelszókövetelmények, MFA). Az incidenskezelés területén elvárásként fogalmazza meg a naplófájlok automatizált mechanizmusokkal történő elemzését is, minden olyan területen, ahol kártyaadat megfordulhat.

Egy elkülönített terület: CDE

A szabvány nem kötelezi a vállalatokat arra, hogy a kártyaadatok kezelését egy különálló hálózatban, elkülönített irodában végezzék, de elvárja, hogy azok a területek, ahol az adatok tárolása, kezelése, továbbítása megtörténhet, a PCI-DSS szabvány által meghatározott követelményeknek eleget tegyenek. Bevált praktika ezért, hogy a vállalatok külön hálózatot alakítanak ki azon munkavállalóknak és eszközöknek, amelyek részt vesznek e folyamatokban. Emellett fizikailag elkülönített irodát hoznak létre a kártyaadatokkal munkát végző munkavállalóknak is, hogy a szabvány hatályát azokra a közegekre korlátozzák, ezzel csökkentve a megfeleléshez szükséges anyagi- és erőforrásbeli igényeket. Ezt az elkülönített területet Cardholder Data Environment-nek, röviden CDE-nek hívjuk.

Azzal, hogy az auditor által ellenőrizendő területet csökkenti a vállalat, könnyíthet a dolgán és egyszerűbbé teheti az életét, de még ha kisebb területen is, a kritériumoknak mindenképpen meg kell felelni. Vannak feltételek, amelyek folyamatos odafigyelést igényelő kontrollok meglétét várják el. Ilyenek például az ismétlődő feladatok, amelyeket folyamatos, negyedéves, féléves és éves ciklusokban kell megismételni. De ide tartoznak még a negyedéves - külső és belső - elfogadható eredménnyel záruló sérülékenység-vizsgálatok, Rogue AP vizsgálatok, féléves tűzfalszabály felülvizsgálatok, éves képzések, kockázatértékelések, incidenskezelési folyamatok felülvizsgálata, penetrációs tesztek lefolytatása, és azok eredményeinek rögzítése, szükség esetén azonnali javítása. Folyamatos feladat az általános üzemeltetés mellett a folyamatos naplóelemzés és a potenciális incidensek korai szakaszban történő detektálása és elhárítása.

Komplex folyamat: PCI-DSS és SOC megfelelés

A PCI-DSS-nek való megfelelés komplex, több területen átívelő folyamat, amely gördülékenységet és hatékonyságot igényel. Mivel az incidenskezelés és a védelem megfelelő szinten tartása sarkalatos pontok, így egy Biztonsági Műveleti Központ (Security Operation Center – SOC) nagy segítség lehet a vállalat számára. Legyen szó külső, vagy akár belső SOC kialakításáról, a feladatok elvégzésének hatékonysága markánsan nőhet, ha azok végrehajtását, menedzselését egy arra dedikált csoport végzi. Ilyen feladatok lehetnek a sérülékenység-menedzsment, fenyegetések felderítése (threat intelligence), az incidenskezelés, vagy a naplófájlok automatikus mechanizmusokkal ellátott elemzése. Ugyan egy SOC központi feladata általában a naplófájlok elemzése és az incidenskezelés, e tevékenység bővülhet, s jellemzően bővülni is szokott, természetesen a szerződő felek közti megállapodás alapján.

Felmerülhet a kérdés, hogy olyan esetben, amikor a vállalatnak meg kell felelnie a PCI-DSS követelményeinek, és e feladatok elvégzésére SOC-ként külsős felet bíz meg, a külsős fél számára is kötelező érvényűvé válik-e a szabványnak való megfelelés? A válaszhoz a szabvány által meghatározott definíciót érdemes alapul venni, miszerint: „A PCI-DSS követelményei azokra a szervezetekre vonatkoznak, amelyek környezetében kártyaadatokat (kártyabirtokosi adatok és/vagy érzékeny hitelesítési adatok) tárolnak, feldolgoznak vagy továbbítanak, valamint azokra az entitásokra, amelyek környezetében a CDE biztonságát befolyásolhatják.”

E fenti idézet alapján, mivel a SOC a CDE biztonságát pozitív irányban befolyásolja, egyértelmű a válasz: igen. További tényező még, hogy a PCI-DSS szerint minden olyan kapcsolódó rendszer is a hatókörbe tartozik, amely támogatja a PCI-DSS követelményeknek való megfelelést, illetve biztonsági szolgáltatást nyújt a CDE számára.

Összegzésül

Összességében elmondható, hogy a PCI-DSS egy innovatív, gyakorlatorientált és következetes szabvány, amely biztosítja, hogy a kártyás tranzakciók során a kártyaadatok biztonságos környezetben kerüljenek feldolgozásra, kezelésre, tárolásra. A szabványban meghatározott követelmények ésszerűek és teljesíthetők, ám a megfelelés komoly tervezést, odafigyelést, költségvetést és folyamatos üzemeltetést igényel.

A TISAX megalkotásának háttere

A vállalatok működése az elmúlt évtizedekben gyökeresen átalakult, nagy mértékben megnőtt az informatikától való függőségük. Mára elképzelhetetlen olyan vállalat, amely ne használna informatikai rendszereket működése szinte minden területén. Az informatikai támogatás megvalósításához egyre nagyobb számítástechnikai kapacitás, egyre erősebb informatikai infrastruktúra, valamint ezek üzemeltetéséhez megfelelő, speciális szaktudás szükséges. Több ok miatt bevált gyakorlat, hogy ezen feladatok nagy részét, az informatikai infrastruktúra üzemeltetését és akár magát az infrastruktúrát a rajta futó alkalmazásokkal együtt a vállalatok kiszervezik külsős, erre szakosodott vállalkozásoknak, majd azokat felhőszolgáltatásként veszik igénybe.

A felhőszolgáltatások előretörése mellett az internetre csatlakoztatott IoT eszközök és az Ipar 4.0 is egyre inkább terjed. Ez a trend azonban számos előnye mellett sok újfajta veszélyt, kockázatot is hordoz. A vállalat működése nagy mértékben kiszolgáltatottá vált az azt támogató informatikától, és ezáltal az azt szolgáltató vállalatoktól. Hogyha az adott folyamatot támogató informatikai szolgáltatás nem érhető el, akkor már az érintett folyamat sem tud működni. Ha az informatikai szolgáltatásban hiba, szolgáltatás megszakadás történik, akkor az a támogatott folyamat hibás működését is eredményezi. Ez könnyen bekövetkezhet akárcsak a szoftver hibájából, üzemeltetési problémából, vagy kibertámadásból (pl. ransomware) kifolyólag, és mindegyik jelentős kárt okozhat. De gondolhatunk az információ bizalmassági kérdéseire is, hiszen a vállalat működését támogató rendszerekben lévő adatok bizalmas üzleti információkat jelentenek, illetéktelenek általi megismerésük beláthatatlan üzleti kárt, veszteséget, akár jogi következményeket vonhat maga után.

A fentiek miatt egyre fontosabb a vállalatok számára nem csak saját, hanem beszállítóik információbiztonsági rendszereinek biztonságos működése is. A járműgyártásra jellemző különleges elvárások, kiemelt minőségi és biztonsági követelmények miatt pedig kiemelten fontos ez az autóipar esetében. Ennek biztosítása érdekében a német autóipari vállalatok szakmai képviseleti szervezete (VDA - Verband der Automobilindustrie / Német Autóipari Szövetség) 2017-ben létrehozott egy autóipari információbiztonsági követelmény- és auditálási rendszert TISAX (Trusted Information Security Assessment Exchange) néven. Bár ezek részlegesen az autóipari minőségirányítási szabvány-követelményekben már eddig is megjelentek, viszont a TISAX-ban tisztult le egységes formában, ez egységesíti a kiberbiztonsági elvárásokat az autóipari szereplők számára. A TISAX szabványnak két nagy előnye van: egyrészt meghatároztak egy kötelezően elérendő, egyenszilárd és magas biztonsági szintet, másrészt közös nevezőt hoztak létre a megalkotásával. Egy nagy, több gyártóval is együttműködő autóipari beszállító számára nagy kihívást jelentene elérni és összehangolni a gyártónként eltérő és szigorú követelményeknek való megfelelést, a bizonyosságnyújtásról, például a gyártónként külön végrehajtott auditok lebonyolításáról már nem is beszélve. A TISAX követelményrendszer egységes formában összefoglalja az autóipari beszállítókra vonatkozó információbiztonsági elvárásokat, így minden autóipari gyártó és megrendelő azonosan értelmezi, auditálja, és fogadja el, és emiatt általában kiindulási feltételként is fogalmazódik meg az autóipari beszállítóvá váláshoz.

Az autóipar és a harmadik felek által jelentett kockázatok

A Gartner 2019-es felmérése[1] alapján a compliance vezetők – iparágtól függetlenül – a harmadik felek által jelentett kockázatot (third party risk) tartották a legnagyobb fenyegetésnek, ami azóta is meghatározó. Egyetlen szervezet sem működik teljesen önállóan, mindegyiknek vannak kiszervezett tevékenységei, beszállítói, amelyeknek érzékeny adatokat kell átadni vagy hozzáférési jogosultságot kell biztosítani, hogy megfelelően végezhessék a feladataikat az ellátási- és értékláncokban. Gyakori támadói megközelítés, hogy nem a jól védett, elsődlegesen célpontnak számító szervezetet támadják, hanem a gyengébb védelmi intézkedéseket alkalmazó beszállítókat támadják meg, amit könnyebb kivitelezni. Így a támadók ugyanúgy hozzájuthatnak a megszerezni kívánt érzékeny adatokhoz vagy a hozzáférési jogosultságokhoz, amivel további cselekményeket követnek el.

Mindez igaz az autóiparra is, ami egy rendkívül kompetitív és gyorsan fejlődő iparágnak minősül és hazánknak is nagy érintettsége van a nálunk működő gyárak és a számos beszállító miatt. Az új fejlesztések, innovációk által biztosított versenyelőny kulcsfontosságú, éppen ezért a TISAX szabvány és az ennek alapját képező ISA felmérés a fejlesztések biztonságát és bizalmasságát célzó követelményekre fókuszál. Az egyik legszembetűnőbb dolog, hogy a prototípusokat a mai napig legfőképp álcázással védik a kémfotósoktól, de számos hírt lehetett olvasni az iparági fejlesztésekre vonatkozó érzékeny adatok megszerzésére irányuló ipari kémkedésekről is, ami a jelenlegi trendeknek megfelelően a kibertérben is zajlik.

A TISAX megalkotásának oka, hogy az autógyártóknak kezelniük kellett a nem megfelelő információbiztonsági szinttel rendelkező beszállítóik által jelentett kockázatokat. A TISAX a VDA tagjai (pl. ismert autó-, busz- és teherautógyártók, alkatrészgyártók) által a beszállítóikkal szemben elvárt információbiztonsági követelményeket tartalmazza, a széles körben ismert ISO 27001 szabvány kontrolljain alapulva, de számos egyedi elemet is tartalmaz.

 A TISAX felépítése

Fő dokumentumok

A TISAX szabvány két fontos dokumentumon alapul: a minősítés megszerzésének szabályait tartalmazó Participant Handbook-on és az információbiztonsági követelményeket tartalmazó VDA Information Security Assessment (ISA) táblázaton.

Értékelési célok (Assessment objectives)

A TISAX által meghatározott információbiztonsági követelmények logikájának megértése érdekében át kell tekinteni az ENX TISAX Participant Handbook jelenlegi, v2.5.1 kiadásában részletezett értékelési célokat is. Az értékelési célok az autógyártók és más partnerek által a beszállítónak átadott adattól függenek és ezek határozzák meg az alkalmazandó védelmi intézkedéseket is.

A beszállítónak ki kell választania az általa folytatott tevékenységeket és az ezekhez tartozó védelmi intézkedéseket kell alkalmaznia. Megfelelés esetén ezekre vonatkozóan kapja meg a TISAX minősítést. Az értékelési célokat három csoportba lehet sorolni:

1. Általános információbiztonság (védendő átadott információ)
2. Prototípus védelem (védendő átadott prototípus alkatrész és jármű)
3. Adatvédelem (átadott, feldolgozott személyes adatok)

Információbiztonsági követelmények

Az általános információbiztonságra vonatkozó katalógus értékelése minden felmérés esetén kötelezően elvégzendő. Az információbiztonsági kritériumokon belül a meghatározott védelmi igény függvénye, hogy melyik kontrollokat szükséges alkalmazni. A másik két kritérium teljesítése opcionális, a beszállító által meghatározott értékelési céloktól függ. A prototípusok védelme a kifejlesztett prototípusok és egyes komponensek kezelésére, fotózásokon és egyéb eseményeken történő prezentálására, általános fizikai védelmére vonatkoznak, míg az adatvédelmi követelmények értékelése során GDPR-releváns kérdések felmérésére kerül sor.

Az információbiztonságra vonatkozó TISAX követelmények tartalmilag az ISO 27001 szabvány kontrolljaira támaszkodnak, az ISA táblában ezek egyértelműen megfeleltethetőek egymásnak. Az ISA követelmények viszont sokkal részletesebbek és konkrétabbak, míg az ISO 27001 szabvány kontrolljai általánosak, amelyeket az adott szervezetnek kell kidolgoznia.

A meghatározott védelmi igény függvényében minden követelményt legalább a TISAX szabvány által meghatározott hármas (3 - Established) érettségi szinten kell teljesíteni, viszont, ha ez akár csak egy követelmény esetében nem teljesül, akkor ez már nemmegfelelőséget eredményez.

TISAX folyamatok

A TISAX szabvány csak a követelmények tartalmában támaszkodik a ISO 27001 szabványra, a megfeleléssel kapcsolatos szabályokat, folyamatokat és nyilvántartásokat külön alkották meg, amiket a szintén autóipari szereplőket összefogó ENX Association felügyel. A TISAX megfelelés elérésének három lépése van:

1. Regisztráció,
2. Értékelés,
3. Megosztás.

Regisztráció

A megfelelési folyamat a regisztrációval indul, amiről a Participant Handbook részletes leírásokat tartalmaz. Ez egy adminisztratív eljárás, amit az ENX Portálon kell végrehajtani.

A regisztrációnál egy fontos döntést kell meghozni: az értékelés hatókörének kijelölését, aminek ki kell terjednie a beszállító szervezetének minden olyan elemére, amelyek részt vesznek az autógyártók és más partnerek által a beszállítónak átadott adatok kezelésében. Ilyen elemek lehetnek a fizikai telephelyek, IT rendszerek és hardverek, igénybe vett felhőszolgáltatások és más kiszervezett tevékenységek is. A standard scope a meghatározott telephelyeken található összes olyan folyamatot és érintett erőforrást magában foglalja, amelyekre biztonsági követelmények vonatkoznak.

Értékelés

Felkészülés

Elsőként a szervezetnek el kell jutnia a TISAX szabvány – és a kiválasztott értékelési cél(ok) – által elvárt információbiztonsági szintre. A beszállítóknak a kiinduló helyzetben ajánlott egy gap assessment-et végezni, vagyis felmérni, hogy a TISAX szabvány követelményei közül milyen alkalmazandó előírásoknak felel meg és melyeknek nem. A felmérést követően – akár külső segítséget is igénybe véve – egy vagy több belső projektet kell indítani az azonosított hiányosságok megoldása érdekében. Ha mindent sikerült pótolni, akkor ezek ellenőrzéseként sor kerülhet a TISAX szabvány által is előírt önértékelésre (self-assessment), ami előfeltétele az éles értékelésnek is.

Auditor kiválasztása

Más információbiztonsági szabványokhoz hasonlóan a TISAX megfelelést is csak az arra jogosult, az az ENX oldalán listázott auditorok tanúsíthatják, akiket a szabvány audit provider-ként nevez meg.

Információbiztonsági értékelés végrehajtása

A TISAX szabvány többféle információbiztonsági értékelési megközelítést alkalmaz, amelyek közül az Assessment Level 2 (AL2) és az Assessment Level 3 (AL3) releváns. Az AL2 audit csak néhány értékelési cél esetén lehetséges, ilyenkor az auditorok az önétékelés (self-assessment) meglétét és az evidenciák hitelességét ellenőrzik és az interjúkat is videokonferencián keresztül folytatják le, a beszállító telephelyein történő helyszíni vizsgálat opcionális. Az értékelési célok nagyobb része az AL3 auditot várja el, amely keretében helyszíni vizsgálat történik és az evidenciákat és az önértékelést is szigorúbban vizsgálják visszaigazolás útján.

Megosztás

A sikeres audit lebonyolítását követően az auditor feltölti az auditról készült jelentését az ENX Portálra és az a portálon keresztül, az autógyártók és más partnerek információigényétől függően több szinten megosztható: akár csak a címke, de a jelentés összefoglalása, részletei és az érettségi szintje is.

Konklúzió

Az ISA követelményeknek való megfelelés és a TISAX minősítés megszerzése komoly kihívás elé állíthatja a szervezetet, ugyanakkor a befektetett energia minden esetben meghozza az elvárt eredményeket.

A nehézségek között számolni kell azzal, hogy az információbiztonsági követelményeknél ismertetett elvárások minimálisan hármas érettségi szinten történő teljesítése, kidolgozása és bevezetése azok átfogó jellege és számossága miatt jelentős munkamennyiséggel jár, ha az még nincs alkalmazva a beszállítónál.

Ez első lépésként intenzív dokumentáció készítést, majd ennek folyamatos működtetését jelenti, ami jelentős és megfelelő szakértelemmel bíró erőforrás bevonást tesz szükségessé. Ehhez szorosan kapcsolódik, hogy a dokumentáció elkészítése nem a cél, hanem az eszköz, a gyakorlatban valós kockázatkezelésre van szükség, ami a szervezet saját érdeke is, hiszen csak ezáltal tud hozzáadott értéket teremteni.

A leküzdendő nehézségek mellett érdemes szem előtt tartani a minősítéssel járó előnyöket is. A TISAX olyan szemlélettel került megalkotásra, hogy közös nevezőt teremtsen a beszállítók közt, az elvárások a keretek között egységesek legyenek. A szervezet számára is előnyös, mivel hathatósan hozzájárul a szervezet reputációja, know-howja, és közvetetetten a működése védelméhez és pénzügyi stabilitásának fenntartásához (pl. egy beszállító által elszenvedett zsarolóvírusos támadás megakasztja az ellátási láncot és nem lehet teljesíteni a just in time rendeléseket, vagy a beszállító jelentős kötbér megfizetésére számíthat, ha kibertámadás során ellopják egy alkatrész prototípusáról készült szigorúan bizalmas CAD rajzokat).

Érdemes tehát a TISAX minősítésre való felkészülés és megszerzés folyamatára nem mint elvárt, kötelezően teljesítendő feladatra, hanem mint lehetőségre gondolni.

Hogyan segít az EURO ONE

Ügyfeleinket a TISAX tanúsítvány megszerzéséhez vezető úton több ponton is tudjuk támogatni:

• Lehetőséget biztosítunk egy ingyenes kiinduló konzultációra. Ennek keretében felmérjük a szervezet jelenlegi helyzetét annak érdekében, hogy a legmegfelelőbb ajánlatot kapja a TISAX auditra történő felkészítésre, és az információbiztonság további eredményes menedzselése érdekében.
• Támogatást nyújtunk a felkészülés során, ami magában foglalhatja a szabályozási keretrendszer magalkotását, kockázatelemzés elvégzését vagy a személyes adatok kezelési rendjének kialakítását.
• Előzetes próba-audit keretében felmérjük a vállalat megfelelőségét, így egy valós audit előtt kiderülhetnek az esetleges hiányosságok.

Amennyiben cégüknek szüksége van az EURO ONE tanácsadási tevékenységére a TISAX tanúsításra való felkészüléshez, keressen minket bizalommal!

[1] https://www.gartner.com/en/legal-compliance/insights/third-party-risk-management

Az elmúlt évek során bebizonyosodott, hogy ma már egyetlen cég sem veheti félvállról az IT biztonságot, így a vállalatvezetők szemében jelentősen felértékelődtek a megbízható biztonsági tesztek is. Ezek közé tartozik a penetrációs teszt, vagy elterjedt nevén a penteszt (pentest) is, amely a vállalatok kiberbiztonsági intézkedéseinek tesztelésére szolgál, mint kipróbált és jól bevált gyakorlati módszer. E tesztek segítségével ellenőrizhető, hogy egy szervezet mennyire felkészült a kibertámadásokkal szemben. A klasszikus pentesztben a piros és a kék csapat általában egymástól elkülönítve dolgozik, de az úgynevezett lila csoport alkalmazása új szintre emeli a pentesztelést, amely így az csapatok elszigetelése helyett az átláthatóságra és az együttműködésre összpontosít.

A felügyelt biztonság ma már számos különböző összetevőt és módszert foglal magába. Azok, akik nem csak elméletben, hanem a gyakorlatban is próbára tennék biztonsági infrastruktúrájukat, gyakran választják a pentesztet. Sajnos még a leggondosabban kidolgozott biztonsági intézkedéseknél is megbújhatnak gyenge pontok, s ezek kizárólag gyakorlati teszteléssel felfedezhetők. A hagyományos pentesztelés bizonyítottan jó választás a sérülékenységek, sebezhető pontok felfedezésére, ám még az ilyen jól bevált módszereket is érdemes továbbfejleszteni: a Purple Teaming a következő lépcsőfokot jelenti a pentesztelés fejlődéstörténetében.

Klasszikus pentesztelés: közel a valósághoz, elszigetelt csapatokon keresztül

A penteszt alapelve mindeddig éppoly nyilvánvaló volt, mint amennyire bevált és kipróbált: egy, a valósághoz minél közelebb álló támadási forgatókönyvet játszottak el, s a biztonsági intézkedéseket a hatékonyság és a reakciógyorsaság szempontjából tesztelték.

Egy etikus hackerekből álló csoport vállalta a támadói (vörös csapat) szerepkört. Céljuk az volt, hogy leküzdjék a biztonsági szakértők egy csoportja - a kék csapat - által védelmezett falakat. A különböző pentesztek főként a tesztelt támadási mintákban különböztek, illetve abban, hogy a vörös csapatnak mennyit kellett előre tudnia a biztonsági struktúrákról (fekete doboz vs fehér doboz). Egy valami azonban szinte minden pentesztben közös volt: a piros és a kék csapat egymástól függetlenül, titokban tevékenykedett, hogy a forgatókönyv a lehető legközelebb álljon a valósághoz. Ám az ilyen eseteknél mindig szem előtt tartandó, hogy ez a tesztelés csak a technikai felkészültség révén nyújt megfelelő tájékoztatást.

Az átláthatóság pontosabb eredményekhez vezet

A Purple Teaming alapgondolata már a nevében is következik: a klasszikus penteszttel ellentétben ez enyhíti a piros és kék csapatok közötti együttműködés tilalmát. Ahelyett, hogy a két csoport egymástól tökéletesen elszigetelten dolgozna, a Purple Teamingben mindketten átláthatóan munkálkodnak. Ha a piros csapat teszi meg az első lépést és kezdi meg a támadást, tájékoztatja a kék csapatot a követett stratégiáról és az alkalmazott technikákról. A kék csapat így láthatja, hogy a használt biztonsági eszközök mennyire működnek, és az is kiderülhet, hogy az ilyen esetre létrehozott eljárások ésszerűek és hatékonyan megtervezettek-e. Ennek során olyan értékeket mérnek, amelyek indikátorként szolgálnak. Az összegyűjtött mérőszámok így összehasonlítók az elméletben meghatározott incidensre adott válaszstratégiával, és a gyakorlatban értékelhető a hatékonyságuk. 

Nagyobb hatásfokú tanulás, együttműködéssel

Az újonnan nyert átláthatóság előnye az értékelés pontosságában rejlik. Természetesen a hagyományos penteszt a saját struktúrák hatékonyságát is elemzi, hisz végsősoron ez az egész módszer célja. A Purple Teaming azonban a pontos jelentés új szintjét éri el, mert ahelyett, hogy csak azt ellenőriznénk, hogy egy támadás működött-e, így közvetlenül felismerhetők a gyenge pontok, illetve beazonosítható, hogy a támadás mely fázisában volt átjárható a rendszer. Ha a vörös csapat a támadás során közvetlenül tájékoztatja a kék csapatot arról, hogy hol található sebezhetőség, az időt és energiát takarít meg a kék csapatnak, mivel így közvetlenül kiküszöbölhetik a meglévő sebezhetőségeket.

A lila csoport másik előnye a megismételhetőség. Ha minden támadási terv nyitott, akkor azok célzottan megismételhetők, így a védők egy második kísérletben tesztelhetik, hogy újonnan kidolgozott védelmük megállítja-e a behatolókat.

Végül, de nem utolsósorban, a Purple Teaming óriási hatással van a tanulásra is: a vörös csapat nemcsak ismerteti a védőkkel az alkalmazott stratégiákat, technológiákat, hanem lépésről lépésre elmagyarázza azt is, hogy miért éppen ezt a módszert választották. Így a kék csapat megismeri a támadókat és megérti gondolkodásmódjukat. Az esetleges működési vakság ezzel hatékonyan ellensúlyozható.

Így sikeres a Purple Teaming

A Purple Teaming hatékony alkalmazásához számos szempontot kell figyelembe venni, amelyek közül talán ezek a legfontosabbak:

• Technikai szakértelem a különböző módszerekkel kapcsolatban: A szolgáltatóknak ismerniük kell mind a kék, mind a piros csapat módszereit. Ez magában foglalja például a biztonsági felügyeletet és a támadásokra való reagálást, az úgynevezett incidensreakciót a kék csapat számára, vagy az automatizált támadásokat a piros csapat esetében. Ennek eredményeképpen a helyes tartalmi beállítások és egyéb rendszerspecifikus tippek is elérhetők.
• Csapatvezetés és -irányítás: Mivel a Purple Teaming a tanulás sikerességére összpontosít és rendszeres ellenőrzéseket igényel annak megállapítása érdekében, hogy a fejlődés megvalósul-e, a szolgáltatóknak a csapatok vezetésében és irányításában is jártasságot kell szerezniük.
• Tervezés: Mint minden pentesztelési módszer esetében, a Purple Teaming sikeréhez is fontos a pontos terv kidolgozása. Ha a csapat aprólékosan felkészült, az eredmények is magasabb színvonalúak és meggyőzőbbek lesznek.

Annak érdekében, hogy a kék csapatnak legyen elképzelése arról, hogy mire számíthat a végső gyakorlaton, a csapatok általában ismert APT-támadók - mint mondjuk az APT29 - többlépcsős kibergyilkos láncát használják.

Együtt a sikerért

A Purple Teaming sikeréhez elengedhetetlen, hogy a két csapat szorosan és átláthatóan összedolgozzon. Ez egyrészt azt jelenti, hogy a vörös csapat nyilvánosságra hozza: hogyan, miért és milyen eljárásokat alkalmaz. Így a kék csapat jobban megismeri a támadókat és viselkedési mintáikat. Mindeközben a kék csapatnak is közölnie kell, hogy milyen hibákat követett el, és hol képes javítani a hozzáállásán. Ha a csapatok ily módon kéz a kézben dolgoznak, a gyakorlat tartós hatású lehet és elősegíti a biztonsági szint növelését.

Számos előnye ellenére azonban nem az a cél, hogy a Purple Teaming teljesen felváltsa a hagyományos penteszteket, inkább azok továbbfejlesztésére alkalmas. A helyzettől függően az is lehet, hogy a csapatok egymástól függetlenül dolgoznak, így a tesztkörnyezet közelebb kerül a valósághoz.

A Purple Teaming esetében a SOC szolgáltató alkalmazása is előnyös lehet: ez a szolgáltató olyan további lehetőségekkel rendelkezik, amelyekkel még átfogóbbá tehető a teszt. A kiberbiztonság területén szerzett magas szintű szakértelemmel, valamint a legkorszerűbb eszközökkel és módszerekkel a SOC szolgáltató pontosan az adott vállalatra szabhatja az eljárást, s így teljes mértékben kiaknázhatja a Purple Teamingben rejlő lehetőségeket.

Mint az manapság a vállalati szegmens legtöbb területén tapasztalható, a digitalizációnak köszönhetően a pénzügyi szektor kitettsége is folyamatosan növekszik. Eddig az IKT (információs és kommunikációs technológia) -kockázatokat a különböző pénzügyi felügyeletek az EU-n belül is eltérő módon és eltérő hatékonysággal kezelték. A ma bemutatásra kerülő, a pénzügyi ágazat digitális működési rezilienciájáról - ellenálló képességéről - szóló EU 2022/2554 rendelet (hivatalos nevén Digital Operational Resilience Act, vagy röviden DORA) megalkotásának célja az IKT-kockázatkezelési gyakorlatok egységesítése, javítása az EU pénzügyi szektorában. Ennek megvalósítása a pénzügyi szervezetekre és a nekik IKT szolgáltatásokat nyújtó harmadik felekre vonatkozó kockázatkezelési követelmények konszolidálásával, vagyis azonos alapokra helyezésével történik.

A DORA rendelet előírja a pénzügyi szervezetek és nekik IKT-szolgáltatásokat nyújtó vállalatok számára, hogy a digitális ellenálló képességet működésük minden szintjén alkalmazzák. Ennek megfelelően az érintett szervezeteknek sürgősen el kell kezdeniük a hiányosságok felmérését és ütemtervet kell készíteniük a megfelelés elérése érdekében. Mai cikkünkben ehhez igyekszünk segítséget nyújtani, tisztázva a szabályozás fontos részleteit, s természetesen elérhető gyakorlati segítséggel is szolgálva.

Mit kell tudni a DORA szabályozásról?

A kiberbiztonságot érintő más uniós jogszabályokkal ellentétben a DORA nem egy elvi alapú jogszabály, hanem a pénzügyi szervezetek működési és biztonsági képességeinek fokozását célzó követelmények részletes listája. Bár a DORA a korábbi uniós és tagállami jogszabályokra, a felügyeleti hatóságok iránymutatásaira, nemzetközi biztonsági és IKT-kockázatkezelési szabványokra épül, valójában első ízben a DORA kísérli meg az IKT-kockázatkezelés minőségi követelményeinek uniós szintű harmonizálását, a szabályozási keretrendszer egységesítését.

Az új követelményeknek való megfelelés a pénzügyi szervezetek és kritikus fontosságú külső IKT-szolgáltatóik közös érdeke, a megfelelés közös munkát, együttműködést, koordinációt igényel. Bár nem minden követelmény teljesen új, fontos megjegyezni, hogy a teljesítendő kritériumok immár nem csupán IKT-szabványokon és hatósági iránymutatásokon, hanem kötelező érvényű uniós és nemzeti jogszabályokon és rendeleteken alapulnak.

Emellett szintén fontos változás, hogy az IKT-szolgáltatók félig felügyelt szervezetekké válnak, azaz az európai felügyeleti hatóságok felhatalmazást kapnak az értékelésükre, iránymutatást adhatnak nekik, a megfelelés elmulasztása esetén pedig szankciókat alkalmazhatnak.

A menetrend

Az Európai Bizottság már 2020 szeptemberében javaslatot tett a pénzügyi szervezetek és egyes IKT-szolgáltatók számára a digitális kockázatkezelés teljesen új szabályozási keretére. A DORA rendelet 2022. december 27-én jelent meg az Európai Unió Hivatalos Lapjában, majd 2023. január 16-án lépett hatályba, és 2025. január 17-től alkalmazandó.

A következő 24 hónap szolgál a hatóságok részéről az úgynevezett Szabályozási Technológiai Előírások (Regulatory Technological Standards / RTS) és Végrehajtási Technikai Előírások (Implementation Technical Standards / ITS) által definiált részletszabályok véglegesítésére, az érintett szervezeteknek pedig - a felkészülésre fordítható - türelmi időt biztosít. Ez idő alatt a szabályok részletekbe menő pontosítása történik meg, a már hatályba lépett törzsszövegben előírtakon módosítani nem fog.

Mivel a megfelelés elérése sok időt, erőforrást igénylő feladat, ezért a felkészülést érdemes időben elkezdeni, hogy a 24 hónap elteltével biztosan felkészült legyen a szervezet. A határidő leteltével a rendelet kötelezően alkalmazandó lesz, a penetrációs tesztek elvégzését előíró fejezetek kivételével, amelyekre további 12 hónap felkészülési idő biztosított.

Kire vonatkozik a DORA-rendelet?

Mivel a rendelet egyik fő célja az IKT-kockázatkezelésre vonatkozó szabályok harmonizálása, a DORA meglehetősen széles körben alkalmazható. A hitelintézetektől kezdve a pénzforgalmi intézményekig, biztosítótársaságokig, minden pénzügyi szereplőre kiterjed. A kifejezetten pénzügyi szereplőkön túlmenően azok kritikus IKT-szolgáltatóit is szabályozza, beleértve például a felhőszolgáltatókat is. A javaslat szerint a kritikus IKT-szolgáltatók mindegyikének lesz egy-egy kiemelt felügyelője (az EBA, az ESMA vagy az EIOPA), aki ellenőrzi a pénzügyi szereplőknél esetlegesen jelentkező IKT-kockázatok kezelésére hozott szolgáltatói eljárásokat és intézkedéseket. A vezető felügyelő hatásköre az információk bekérésétől kezdve, a vizsgálatok lefolytatásán át, a szolgáltatókkal szembeni kényszerítő bírságok kiszabásáig terjedhet.

Melyek a DORA szerinti legfontosabb kötelezettségek?

A DORA átfogó keretet határoz meg a pénzügyi ágazat fokozódó digitalizációjával kapcsolatos kockázatok kezelésére, a rendeletet az alábbi fejezetekre osztva fel:

• IKT-kockázatkezelés:
  Továbbra is a pénzügyi szervezet vezető testülete bír a végső felelősséggel az IKT-kockázat kezeléséért. Ehhez a DORA felsorolja a vezetőségre vonatkozó feladatokat és kötelezettségeket, beleértve a vezetőség tagjainak arra vonatkozó kifejezett kötelezettségét, hogy fejlesszék és fenntartsák az IKT-kockázatokkal kapcsolatos ismereteiket.
  A pénzügyi szervezeteknek azonosítaniuk kell az IKT-kockázati környezetüket, átfogó IKT-kockázatkezelési keretrendszerrel kell rendelkezniük, amely az IKT-kockázatkezeléssel kapcsolatos valamennyi munkát irányítja és vezérli. A mikrovállalkozások kivételével a pénzügyi szervezetek kötelesek nemzetközileg elismert információbiztonsági irányítási rendszert is bevezetni és működtetni. 
• Az IKT-val kapcsolatos incidensek osztályozása és jelentése:
  A pénzügyi szervezetek kötelesek az IKT-vel kapcsolatos incidenskezelési folyamatot bevezetni, és az ilyen incidensek kezelésére, nyomon követésére alkalmas képességeket kialakítani.
  Az incidenseket osztályozni kell a rendeletben meghatározott tényezők szerint, mint például az incidens földrajzi kiterjedtsége, az érintett szolgáltatások kritikussága, vagy az incidens időtartama. A súlyos incidenseket a rendeletben meghatározott háromszintű eljárásnak megfelelően jelenteni kell az illetékes hatóságnak.
• Digitális működési ellenállóképesség tesztelése:
  A DORA előírja az arányos és kockázatalapú digitális működési reziliencia tesztelési program végrehajtását. Ennek a programnak tesztek teljes körét kell biztosítania, például sebezhetőségi értékelések, vizsgálatok, és hálózatbiztonsági értékelések elvégzését.
  A kritikus IKT-rendszereket és alkalmazásokat évente tesztelni kell, egyes pénzügyi szervezetek pedig háromévente egyszer kötelesek úgynevezett fenyegetés-vezérelt behatolásvizsgálatot (TLPT - Threat Led Penetration Testing) is végezni.
• Beszállítóktól eredő IKT-kockázatok kezelése:
  A DORA a pénzügyi szervezet számára IKT szolgáltatást nyújtó külső féllel szembeni kockázatot is az IKT kockázatkezelési keretrendszer szerves részének tekinti. A pénzügyi szervezetek ezért kötelesek rendszeresen felülvizsgálni az IKT harmadik féllel szembeni kockázatra vonatkozó stratégiát, valamint egy nyilvántartást vezetni, amely tartalmazza az IKT harmadik felekkel kötött valamennyi szerződéses megállapodást.
  A DORA meghatározza továbbá az új IKT-szolgáltatások alkalmazásának legfontosabb lépéseit, a szolgáltatások megszüntetésére vonatkozó követelményeket, valamint a külső szolgáltatókkal kötött szerződésekben szerepeltetendő konkrét rendelkezéseket. Előírja továbbá a pénzügyi szervezetek számára, hogy új szerződéses megállapodások megkötése előtt végezzenek IKT-koncentrációs kockázatértékelést.
• Pénzügyi szervezetek közötti információmegosztás:
  A pénzügyi szervezetek megoszthatják egymással a kiberfenyegetettséggel kapcsolatos információkat és hírszerzési információkat, feltéve, hogy az ilyen információcsere célja a pénzügyi szervezetek digitális működési ellenálló képességének növelése, megbízható közösségeken belül történik, és az alkalmazandó - például adatvédelemre, üzleti titkokra és verseny védelmére vonatkozó - jogszabályokkal összhangban történik.

A szabályozás jövője

Szerencsére az átfogó kép mostanra némileg letisztult. Az újonnan megállapított követelmények részleteit azonban még a felügyeleti hatóságok (EBA, ESMA, EIOPA) fogják meghatározni a második szintű intézkedések, például a Szabályozási Technológiai Előírások (RTS) és Végrehajtási Technikai Előírások (ITS) által. Így minden érintett fél számára javasolt a második szintű intézkedések kialakítására vonatkozó egyeztetések figyelemmel kísérése, hogy a végleges követelményeknek időben megfelelhessenek.

Miben tud segíteni az EURO ONE?

A DORA fontos előrelépést jelent a pénzügyi szervezetek és IKT szolgáltatóik biztonsági érettségének fejlesztésében. E terület egységes, áttekinthető és számonkérhető szabályozása a kiberbiztonsági szempontból ellenálló és naprakész vállalatok alapköve és digitalizálódó társadalmunk egyik fontos bástyája.

A pénzügyi szektor számára kritikus szolgáltatásokat nyújtó pénzügyi szervezeteknek, IKT-szolgáltatóknak, partnereknek azt tanácsoljuk, hogy tervezzék meg a szigorított, illetve teljesen új követelmények 2024 végére történő megfelelését. A követelmények némelyike ugyan nem hoz jelentős változásokat a jelenlegi keretekben és intézkedésekben, de akadnak olyanok, melyek sok időt, koordinációt és erőfeszítést igényelnek a szervezeteken belül, a legkülönbözőbb szakemberektől.

Az EURO ONE Infosec üzletága számos projekt során nyújtott már tanácsadást az IKT kockázatkezeléssel, a rugalmassággal, a kiberbiztonsággal, a külső felek kezelésével és a pénzügyi szektor szabályozási kereteivel kapcsolatban. Munkatársaink több éves, a pénzügyi- és infokommunikációs szektorba tartozó ügyfeleknek nyújtott tanácsadói tapasztalattal rendelkeznek, s a DORA felkészítés esetében is jól használható, széleskörű szakértelemmel bírnak a megfeleltetés, a vezetői döntéstámogatás és kockázatértékelés (GRC) terén.

Forduljon hozzánk bizalommal, ha többet szeretne megtudni, vagy ajánlatot kérne az alábbi témák bármelyikében:

• Gap-elemzés az előírt működési rugalmassági keretrendszer teljesítéséhez szükséges ütemterv kidolgozásához
• A kritikus IKT-szolgáltatók azonosítása és nyilvántartásba vétele
• Szállítói menedzsment / kiszervezés / harmadik fél kockázatkezelés (TPRM)
• A beszerzési / kiszervezési megállapodások jogi felülvizsgálata
• Incidenskezelés és jelentéstétel
• Az üzletmenet-folytonosság és a katasztrófa utáni helyreállítás értékelése

Az elmúlt években megnőtt a vállalatok biztonsági csapatainak vállára nehezedő teher, mivel az egyre szervezettebben fellépő támadók aprólékosan kihasználják az informatikai infrastruktúrák növekvő szintű összetettségét. Azonban a SOAR (Security Orchestration, Automation and Response) segítségével hatékonyan automatizálhatók a kiberbiztonsági folyamatok, s ez hatalmas előnyt jelenthet a biztonsági vezetők számára.

SOAR: amikor az automatizálás biztonságot teremt

Aki hatékonyan szeretné kialakítani a biztonsági folyamatokat és a legtöbbet kívánja kihozni azokból, az nem kerülheti meg többé az automatizálást, s így van ez az IT-biztonsági iparág esetében is. A szakképzett munkaerő hiányának kialakulása és ezzel egyidejűleg az IT-infrastruktúrák növekvő összetettsége óriási kihívások elé állítja a biztonsági csapatokat, ezért kézenfekvő megoldásnak tűnik, ha átadunk néhány feladatot a gépnek, amelyeket az a lehető legrövidebb idő alatt - és beavatkozásunk nélkül - elvégez. Ez nemcsak a dolgozókat tehermentesíti, hanem döntően felgyorsítja a biztonság szempontjából kritikus folyamatokat is.

A saját informatikai biztonság automatizálásának egyik módja a SOAR használata. Ez a megoldás számos olyan eszközt kínál, amelyekkel sok helyen automatizálható az IT-biztonság, és ezáltal javítható a vállalat egészének biztonsága.

Amikor minden másodperc számít

Az automatizálást gyakran akkor alkalmazzák, amikor az ismétlődő folyamatok túlzóan lefoglalják a kapacitásokat és ezzel a késedelem mellett jelentős frusztrációt is okoznak. Ha ezeket a feladatokat átadjuk a gépnek, az utánozza az emberi viselkedést. Ezt a klasszikus eljárást RPA-nak (Robotic Process Automation) nevezik. Bár a SOAR kezdetben szintén hasonló technikákon alapul, de azokat a kiberbiztonsági ágazat tipikus folyamataira alkalmazza és használata különösen az incidensreakció módszereit gazdagítja. Ebben hatalmas lehetőségek rejlenek, mivel egy válaszadás során gyakran minden perc - vagy akár másodperc - döntő fontosságú lehet. Ha biztonsági szempontból releváns esemény történik, a biztonsági csapatoknak a lehető leggyorsabban kell cselekedniük, és mielőbb megtenniük a védekezéshez szükséges lépéseket. Az automatizálás fontos szerepet játszhat ebben. Ha például a rendszer riasztást indít, automatikusan létrejön az ehhez tartozó hibajegy, és az elemző azonnal megkezdheti az adatok vizsgálatát. Ha valóban rosszindulatú szereplőről van szó, a biztonsági csapat automatizált műveleteket indíthat, amelyek során más rendszerek blokkolják a rosszindulatú fiókot vagy blokkolnak egy IP-címet az elemzés során. Ez azt jelenti, hogy a biztonsági csapatok nem vesztegetik az időt ismétlődő feladatokra, hanem közvetlenül képesek a riasztások értékelésére, a megfelelő, összetettebb lépések megtételére, s így a kár minimalizálására vagy adott esetben annak komplett kiküszöbölésére.

Az áttekinthetőség fenntartása a nagyfokú összetettség ellenére

Modern infrastruktúrák talán legnagyobb kihívása azok növekvő összetettsége. Az évek során - hála az IoT megállíthatatlan fejlődésének - számos eszköz halmozódik fel, ráadásul folyamatosan bővül a hálózatok szereplőinek száma is. A kiberbűnözőknek ez a komplexitás kész csemege, hiszen egyrészt nő a támadási felület, másrészt a szerteágazóság lehetőséget kínál arra, hogy eltűnjenek a tömegben.

A múltban legtöbbször elegendő volt egy SIEM-megoldás (Security Information and Event Management) használata, amely rövid idő alatt nagy mennyiségű adatot vizsgál meg, és riaszt, ha gyanús viselkedést észlel. Ám ahogy egy hálózat mérete növekszik, úgy gyarapodik a riasztások száma is, és ezeknek csak a töredéke vonatkozik ténylegesen veszélyes szereplőre. Ez kvázi "riasztási kimerültséget” okoz a biztonsági személyzet körében, hiszen napi szinten, tengernyi jelentéssel szembesülnek, s egyre nehezebbé válik számukra, hogy megkülönböztessék a hamis riasztásokat a valós fenyegetésektől. A SOAR itt is megkönnyebbülést hozhat.

Ez nem tévesztendő össze az úgynevezett XDR-megoldásokkal (Extended Detection and Response), amelyek mesterséges intelligenciát használnak a szereplők viselkedésének korrelálására a különböző végpontokon, hogy felfedezzék a mozgásmintákat és azonosítsák a káros szereplőket. Az XDR-eszközöket fenyegetések felderítésére használják. A SOAR azonban a figyelmeztető jelzések sorrendjére és a figyelmeztető jelzésekre adott értékelési válaszra összpontosít. Ám épp e különbözőségből adódóan, a SOAR és az XDR kifejezetten jól kombinálható. Előbbi számos egyéb biztonsági eszközzel összekapcsolható, így központi áttekintést nyújthat a rendszer minden, biztonsági szempontból releváns folyamatáról, aminek köszönhetően a biztonsági csapatoknak nem kell váltogatniuk az egyes eszközök között.

A megfelelő felkészülés kulcsfontosságú

Nem meglepő, hogy az automatizált folyamatok lényegesen gyorsabban futnak, mint kézzel végrehajtott megfelelőik. Ennek megfelelően kecsegtető lehetőségek rejlenek bennük a vállalati biztonságra nézve, amint azt az automatikusan támogatott incidensreakciók példája is mutatja. Mindazonáltal a SOAR semmiképpen sem tekinthető csodaszernek, különösen a szakképzett munkaerő súlyos hiányával szemben, mert még ha az automatizálás sok fontos helyen tehermentesíti is a biztonsági csapatokat, a vállalatoknak nem szabad alábecsülniük az ilyen rendszerhez szükséges emberi erőforrásokat.

A SOAR úgynevezett playbookokon alapul. Ezeket a terveket különböző biztonságkritikus esetek incidenciatípusaihoz használják. Ahhoz azonban, hogy az automatizált folyamatok megfelelően működjenek és a szakértők támaszkodhassanak rájuk, a playbookokat elengedhetetlen folyamatosan frissíteni és pontosan az adott helyzetekre szabni. Minél összetettebbek a folyamatok a saját ökoszisztémában, annál időigényesebb ez a feladat. Különösen nagyvállalatok esetében szükséges a SOAR folyamatos nyomon követése, már csak az esetleges hibaforrások beazonosítása érdekében is. A gyakori frissítés szintén létfontosságú, hogy a biztonsági csapatok a lehető leggyorsabban kijavíthassák a playbookokban fellelt hibákat.

Hatékony biztonsági intézkedések az automatizálásnak köszönhetően

Egyértelmű tehát, hogy a saját biztonsági folyamatok automatizálásához emberi erőforrások szükségesek, mivel a SOAR sem működik tökéletesen önállóan. Mindazonáltal az előnyök sok esetben meghaladják a hátrányokat, mert a SOAR drasztikusan csökkenti az incidens észlelése és a biztonsági csapat reakciója közötti időt. Így nemcsak a szakembereket tehermentesíti, hanem nagyobb biztonságot is szavatol.

Összegzésül

Azoknak, akik még az automatizálási út elején járnak, érdemes megfontolniuk külső szolgáltatók bevonását. Ők már kellően nagy tapasztalattal rendelkeznek ezen a területen, és támogatni tudják a vállalatokat például a SOAR integrálásában és az automatizálás használatában, ott, ahol az valóban előnyös lehet a cég számára. Világos persze, hogy nem minden biztonsági struktúra automatizálható, de annál fontosabb, hogy a csapatoknak legyen idejük azokra a létfontosságú feladatokra, amelyeket nem végezhetnek el gépek. Minél kevesebb ideje van a támadónak a támadási folyamat kivitelezésére, annál nagyobb az esélye annak, hogy a védők végül képesek lesznek elhárítani azt, így garantálva saját szervezetük biztonságát.

Minden bizonnyal ez az újév is fogadalmak sorával indul szinte mindenkinél, s ez nem is meglepő, hiszen mindig van min változtatni, van miről leszokni, s van mit átgondolni. Ám ez nem csak az általános életvitelre igaz. Egy új év új kihívásokat rejt az IT világban is, kiváltképp ha a biztonságról van szó. Így aztán mi mással indíthatnánk el az idei blogbejegyzések sorát, minthogy csokorba szedjük, melyek lesznek 2023 IT biztonsági trendjei és veszélyei.

2023 IT biztonsági trendjei és veszélyei

Visszatérő olvasóink már megszokhatták, hogy évről évre azzal kezdjük a januárt itt a blogban, hogy sorra vesszük, mit hoz az új év. Így lesz ezúttal is, amikor megpróbáljuk összefoglalni, mire számítanak 2023-ban az olyan piacvezető IT biztonsági gyártók, mint a Trend Micro, a Palo Alto Networks vagy épp az RSA Security. De rajtuk kívül természetesen a független piacvezető szakértők véleményét is áttekintjük.

A Cybersecurity Ventures szerint a kibertámadások a leggyorsabban növekvő bűnözési formává nőttek globális szinten, így 2023 végére az általuk - egy év alatt - okozott kár mértéke már világszinten átlépheti a 8 000 000 000 000 dolláros (8 billió USD) határt, 2025-re pedig - a növekedéssel arányosan - elérheti a 10.5 billió dolláros szintet.

A technológia fejlődésével a vállalkozások egyre aggasztóbb kiberbiztonsági kihívásokkal szembesülnek évről évre. A digitális környezet és a támadási felületek napról napra változnak, így ma már létfontosságú tudni, hogy mikor kell változtatni a prioritásokon a megfelelő alkalmazkodási képességek kialakításához. Ez kulcskérdéssé vált a megfelelő IT biztonsági stratégiák és költségvetések meghatározásakor.

E cikkben azon fontos trendeket, veszélyeket és koncepciókat foglaljuk össze, amelyek vélhetően nagyban változnak idén az elmúlt évekhez képest.

Az AI és ML hatásai az IT-ra

A mesterséges intelligencia egyre nagyobb és fontosabb szerepet tölt be az üzleti folyamatokban, hiszen sok esetben - a matematikai modellek segítségével - az embernél jóval gyorsabban hoz döntéseket és talál megoldásokat egy rendszer hatékony működéséhez. Az AI számtalan biztonsággal kapcsolatos feladatot elláthat, beleértve az adatelemzést és a gépi tanulást.

Fontos megjegyezni, hogy a mesterséges intelligenciát a támadók is előszeretettel alkalmazták az elmúlt időszakban, a támadások hatékonyságának növelése, gyorsítása, illetve automatizálása érdekében. A kiberbiztonság területén immár elengedhetetlen az AI-alapú, automatizált megoldások beépítése, az erőforrások megtakarítása, illetve az automatizált támadások elleni megbízhatóság növelése érdekében.

2022-ben az egyik legnépszerűbb AI alapú megtévesztési támadás a mélyhamisítással készült videó volt, amely látványos fejlődésen ment át a közelmúltban, s mára élő videók hamisítására, vagy épp videóhívásoknál is előszeretettel alkalmazzák a támadók. Elsősorban államilag szponzorált akciók vagy kiberterrorizmus esetében.

Becslések szerint 2023-ban még több ilyen támadásra lehet számítani előre felvett anyagokkal, de az AI-nak köszönhetően a videóhívásokkal végrehajtott támadások is egyre népszerűbbé válnak. S akkor még nem is beszéltünk arról, hogy az AI-t hasznosító támadások a következő években egyre szélesebb körben válnak elérhetővé, illetve egyre változatosabb formákban alkalmazhatják azokat a kiberbűnözők.

Supply Chain Attacks

Napjaink vállalati működését főként a beszállítók világméretű hálózata, harmadik féltől származó szolgáltatások és ellátási láncok segítik. Sajnos ez a függőség növeli a vállalkozások támadási felületét, hiszen számos belépési pontot biztosít a hackereknek. Az ellátási lánc feltörése nem új keletű probléma, de egyre több opportunista, pénzügyileg vezérelt kiberbűnöző él ezen eszközökkel, méretük és hatásuk miatt.

Jelentések szerint az ellátási lánc támadásainak száma 430%-kal nőtt 2021-ben, de 2022-ben is tovább emelkedett e támadások aránya, ráadásul egyre változatosabb formákban találkozhattunk velük. 2023-ban az ellátási lánc támadásai a hackerek legkedveltebb eszközeivé válhatnak. A hackerek rájöttek, hogy a nagyvállalatok által használt, harmadik féltől származó szoftverek új támadási felületeket nyújthatnak. Jó példák erre elmúlt évek legjelentősebb támadásai: a SolarWinds és a Kaseya Ransomware, ahol a támadók harmadik féltől származó szoftvereket használtak a vállalati alkalmazások kihasználására. Idén jó eséllyel ismét akadnak majd nagy port kavaró támadások.

Célzott és fejlett Ransomware támadások

Egy másik fontos kiberbiztonsági trend, amely mindig is létezett: a célzott ransomware. Nem hagyhatjuk figyelmen kívül e célzott zsarolóprogramos támadásokat, amelyek különösen a fejlett országok iparágaiban támaszkodnak nagymértékben speciális szoftverekre, napi tevékenységeik végrehajtásához.

Ezek a zsarolóvírus-megoldások igen jól fókuszáltak, ahogy láthattuk azt a National Health Service kórházai elleni „Wanna Cry” támadás esetében is - Angliában és Skóciában -, amelynek során több mint 70 000 orvosi eszközt zároltak 2022-ben. A kampányokkal ellentétben ezek a támadások személyre szabottak és aprólékosan felépítettek - adott esetben akár hosszú időn át tartó előkészítéssel -, hogy minél pontosabban célba érjenek. Mivel ez meglehetősen kifizetődő technikának bizonyult, így 2023-ban egyre több olyan forgatókönyv születhet, ahol a kampányok helyett a támadók sokkal inkább személyre szabott és nehezebben detektálható támadásokat hajtanak végre.

Ransomware támadások a felhős rendszerekben

A hagyományos zsarolóvírus támadásokkal ellentétben a kiberbűnözők már nem csak az on-site telepített rendszereket támadják, hanem a felhőmigrációs projektek népszerűsödésével arányosan egyre kiemeltebb célponttá válnak a felhős környezetbe kihelyezett adatok is. A zsarolóvírusos támadások folyamatosan fejlődnek és az adatok felhőbe történő migrációjával párhuzamosan a támadók is alkalmazkodnak a változó trendekhez. 2023-ban valószínűsíthetően megnövekszik majd a felhőalapú adatszivárgás, az ezeket célzó ransomware támadások miatt.

A harmadik féltől származó ellátási láncok több rejtőzködési lehetőséget kínálnak a bűnözők számára. A felhőszolgáltatók célkeresztbe kerülése pedig egyetlen szervezet kompromittálásán túl, bővebb lehetőségeket biztosít a kiberbűnözőknek.

Sőt, a támadók megfenyegethetik a külső felhőszolgáltatókat is, mely taktika már október elején hatással volt az oktatási szektorra Amerikában, amikor a Vice Society ransomware csoport megzsarolta a Los Angeles Unified-ot (LAUSD), az Egyesült Államok második legnagyobb iskolai intézményét. A támadók érzékeny információkat szereztek meg, beleértve banki adatokat és a diákok pszichológiai-egészségi állapotáról szóló jelentéseket, s ezek darkneten történő publikálásával fenyegetőztek.

Modern MFA bevezetése

Az elmúlt évben több olyan esetről hallhattunk, amelyeknél az áldozatoknak ugyan volt többtényezős hitelesítési megoldása, a kiberbűnözők mégis sikeresen hajtották végre a támadásokat. Sőt, a közelmúltban számos olyan támadás valósult meg, amelyeknél a támadás egyik alappilére volt, hogy a támadók megszerezték a legitim hitelesítő adatokat és visszaéltek azokkal. Néhány példa a közelmúltból: az Uber esetében láthattuk, hogy az MFA legyőzhető, az Okta esetében pedig azt, hogy maguk az MFA-cégek is célpontokká válhatnak.

Pár évvel ezelőtt még „silver bullet” megoldás volt az MFA a hitelesítő adatokkal való visszaélés elleni küzdelemben, de nem tartott sokáig a támadóknak, hogy megtalálják és kihasználják az MFA gyengeségeit. Így lesz ez 2023-ban is.

Az MFA kritikus fontosságú marad az alapvető kiberhigiénia szempontjából, de többé már nem tekinthető önálló „set and forget” megoldásnak. A hozzáférhetőséggel és a használhatósággal kapcsolatos kérdések továbbra is meghatározzák az MFA-beszélgetéseket, és ezeket csak felerősíti a felhő és a SaaS népszerűsödése, valamint a hagyományos on-prem hálózatok megszűnése.

Ma és a jövőben az MFA-ra úgy kell tekinteni, mint Zero Trust architektúrára épülő megoldásra, amelynél azonban ki kell egészíteni a hagyományos MFA képességeket a modern MFA elvárásaival is, ahol a viselkedésalapú elemzés központi szerepet játszik az alkalmazottak viselkedésének megértésében és bizonyos hitelesítő adatok felhasználásával végrehajtott tevékenységek engedélyezésében. A modern MFA szoftveres megoldásoknak rendelkeznie kell olyan önvédelmi mechanizmusokkal, amelyek képesek érzékelni és megvédeni a felhasználót abban az esetben, ha az eszköz, amelyre telepítve vannak, kompromittálódott.

Automatizálási megoldások egyre növekvő szerepe

2023-ban láthatjuk majd, hogy az automatizálást a biztonsági műveletek olyan fennmaradó területein is bevezetik, amelyek jelenleg még manuális folyamatoktól függenek. Ezen területek magukban foglalják a fenyegetésekkel való kitettség kezelését, ami segíthet megválaszolni az olyan kérdéseket, mint például a: „Mennyire vagyunk felkészülve a szervezetünket leginkább célzó támadók és támadások észlelésére és reagálására?”

Egy másik, automatizáltabbá váló terület az észleléstechnika, amely még mindig nagymértékben függ a speciális szakértelemtől és tudástól. Az automatizálás nemcsak a kockázatot csökkenti e szervezeteknél, hanem megszabadítja az SOC személyzetét a hétköznapi feladatoktól, így olyan kihívásokra összpontosíthatnak, amelyek valóban emberi kreativitást és innovációt igényelnek: például a fenyegetésvadászat, vagy az új és újszerű támadási taktikák és technikák megértése.

Mobileszközök elleni támadások növekedése

A mobileszközök ma már hatalmas mennyiségű értékes adatot tárolhatnak, és változatos funkciókat hajthatnak végre távolról. A mobilok biztonsága alulértékelt, különösen a nem üzleti felhasználók körében, és ez a hatalmas előny a fenyegetések kiöltőinek. A gyártók biztonsági törekvései ellenére minden mobileszköz csak egy újabb lehetséges kapu a hálózat megsértéséhez. Az RSA Current State of Cybercrime jelentése szerint a tranzakciós csalások mintegy 70 százalékának a mobilplatformok a forrásai. A legtöbb mobileszköz-kompromittálódás jelenleg adathalászat és rosszindulatú programok támadása miatt következik be. Várhatóan a megszokott támadási módszerek száma is növekszik majd idén, de sajnos új taktikák is megjelenhetnek.

A kiberbiztonsági trendek már 2019-ben is jelentős - 50 százalékos - növekedést jelentettek a rosszindulatú mobilbanki appok vagy támadások számában, így mobil eszközeink kiváló perspektívát jelentenek a hackerek számára. Mobil eszközeinken megtalálhatóak fényképeink, pénzügyi tranzakcióink, céges- és magán levelezésünk, ami igen vonzó a kiberbűnözők számára. Az okostelefonos vírusok és rosszindulatú appok már 2022-ben felkeltették a szakértők figyelmét, s teret hódíthatnak majd 2023-ban is.

Az IoT és az 5G kapcsolatokban rejlő potenciális veszélyek

Az Insider Intelligence szerint a következő öt évben valószínűleg megközelítőleg 64 milliárd IoT-eszköz kerül be a vállalati rendszerek vérkeringésébe. Mindazonáltal az IoT eszközök számának növekedésével arányosan növekszik a szervezetek támadási felülete is. A számítógépek vagy telefonok korszerűbb biztonsági óvintézkedésekkel rendelkeznek, mint más IoT eszközök. Ennek fényében az egyik kritikus kiberbiztonsági téma, amelyre 2023-ban figyelni kell, az IoT és a fokozott digitalizáció.

A vezeték nélküli kapcsolat új szintjét hozta el az 5G terjedése is, amely az IoT eszközök terjedésével párhuzamosan növelheti a támadási felületet és a támadások sebességét is. Mind az IoT, mind az 5G új architektúrának számít, így időbe telik az alkalmazkodás és a megfelelő biztonsági szint kialakítása. A korai alkalmazóknak óvatosaknak kell lenniük a csúcstechnológiák integrálásakor, sőt, bizonyos esetekben kifejezetten korlátozniuk kell az IoT-alapú eszközök használatát.

Cloud security

Egyre több vállalat és szervezet tér át a felhős rendszerek alkalmazására, bevezetésére. Elmondható, hogy a felhőbe költözés továbbra is növekvő szerepet kap a közeljövőben, annak minden előnyével és hátrányával együtt. E felhős platformok esetén továbbra is az jelenti a legnagyobb biztonsági kockázatot, hogy a legtöbb szolgáltató nem rendelkezik titkosítással vagy MFA hitelesítéssel, s a felelősséget a felhasználó szervezetekre hárítja, hogy az adatok megfelelő védelméről és biztonságáról saját maguk gondoskodjanak.

Mindazonáltal az elmúlt években történtek jelentős fejlesztések a kezdeti biztonsági kockázatok csökkentésére a felhőbiztonság területén is. Ilyen például a „Zero Trust” felhőalapú biztonsági architektúra. A zéró bizalom architektúra számos olyan problémát képes kezelni, amellyel az egyének és szervezetek manapság szembesülhetnek.

Az autóipari támadások növekedése

Az autók gyakran rendelkeznek automatizált szoftverekkel, amelyek megalapozzák az olyan funkciókat, mint a sebességtartó automatika, a motor időzítése, a légzsákok, az automatikus ajtózár és a jobb vezetői támogatási rendszerek.

Úgy gondoljuk, hogy 2023-ra a hackerek átvehetik az irányítást a járművek felett vagy a mikrofonon keresztül lehallgathatják a beszélgetéseket, rosszabb esetben pedig akár baleseteket is előidézhetnek.

Az adatszuverenitás fontosságának növekedése

Ahogy a világ egyre inkább függ az adatoktól és a digitális információktól, nő a felhasználok ellenőrzésének és védelmének, valamint a kritikus szolgáltatások folyamatos elérhetőségének vágyából eredő szabályozások és jogszabályok mennyisége is. Ennek eredményeként az adatok lokalizációjáról és az adatszuverenitásról szóló beszélgetések 2023-ban szintén felerősödnek.

Képzett emberi munkaerő hiánya és megtartása

Annak ellenére, hogy a kiberbiztonság - és úgy általában az IT - egy recesszióálló iparág lehet, valószínű, hogy a személyzet mérete és a tudásbeli minőség megcsappan a gazdasági visszaesés miatt. Egyelőre nem látjuk a kiberbiztonság alapvető költségvetésének csökkentését, de a „diszkrecionálisabb” területeken, például a képzési költségvetéseknél valószínűleg vissza kell venni azon költségekből, amit eddig a kollégák továbbképzésére fordítottak. Ez vonatkozik a vállalatoknál tartott biztonsági tudatosságra vonatkozó képzésekre és a kiberbiztonsági szakemberek kritikus eszközeinek megfelelő védelmét ismertető képzésekre egyaránt. Az iparág már most is a képzett munkaerő hiányával néz szembe, és valószínűleg azt látjuk majd, hogy a szakképzett munkaerőhiány súlyosbodik, ahogy eluralkodik a recesszió 2023-ban.

Összegzésül

Mindent egybevetve ezek lehetnek 2023 IT biztonsági trendjei és veszélyei, de be kell valljuk, hogy idén bizony nehezebb dolgunk volt, amikor megpróbáltunk összeszedni öt vagy maximum hét olyan pontot, amely érinti az IT változásait vagy az előző éves trendekben történő fejlődési és evolúciós jóslatokat. A legtöbb nemzetközi szakértő szervezet és a piacvezető IT biztonsági gyártók sok szempontból ugyanazokat a jóslatokat adják. Mindazonáltal mindenkinek van egy két saját ötlete is, amelyeket a 2022-es tapasztalatok alapján prognosztizál a közeljövőre. Ez alkalommal igyekeztünk a fentiekből azokra összpontosítani, amelyek a közös jóslatokat fogalmazzák meg, de lehet, hogy a megérnek majd egy külön cikket az egyes piaci szereplők 2023 IT veszélyeire vonatkozó önálló sejtései is.

GRC tanácsadóként az ITIL 4 Foundation vizsgámra való felkészülés során sokszor felmerült bennem, hogy a keretrendszer elemei és ajánlásai nagy mértékben – ha nem egészében – alkalmazhatóak a kiberbiztonságra is. Az egész keretrendszerből a Continual Improvement Model tetszett a legjobban és ezt találtam a leginspirálóbbnak, pedig nincs benne extra tartalom és újdonság, csupán jól fel van építve és logikusan tartalmazza azokat az összefüggéseket, amelyekről a mindennapokban hajlamosak vagyunk megfeledkezni.

Ebben a cikkben a saját gondolataimat kívánom megosztani arról, hogy a kiberbiztonsági projektekben hogyan lehet és érdemes alkalmazni a Continual Improvement Model-t és annak milyen előnyei lehetnek. Elsőre úgy tűnhet, hogy sok triviális – józan ésszel is magyarázható – elem szerepel az írásomban, de a saját tapasztalatom az, hogy sokszor távolról, az alapoktól kell kezdeni, hogy a célok, a kontextus és az összefüggések biztosan érthetőek legyenek.

Security – service

A bevezetőben azt állítottam, hogy az ITIL 4 ajánlásai nagy mértékben alkalmazhatóak a kiberbiztonságra. Akár egy szervezet belső, a CISO által irányított security csapatáról, esetleg egy vállalatcsoportot kiszolgáló Cyber Defence Centerről, vagy a szervezet által megbízott külső tanácsadóról van szó. Az közös bennük, hogy a kiberbiztonsági tevékenységeikkel szolgáltatást nyújtanak az adott szervezet számára. Ezek pontos köre és az általuk előállított érték sokrétű és a szolgáltatástól függ, de végső soron az adatok bizalmasságának és sértetlenségének védelmét, az üzleti és támogató funkciók működőképességének és ellenállóképességének biztosítását, valamint a megfelelést említhetjük.

Continual Improvement Model

A continual improvement, vagyis a folyamatos fejlesztés nem újkeletű dolog, a minőségügyi és egyéb kapcsolódó szabványok visszatérő és központi eleme. A megközelítés ITIL 4-ben is több helyen visszaköszön: service valuce chain activity-ként, practice-ként és a jelenleg tárgyalt modellként egyaránt. A Continual Improvement Model a folyamatos fejlesztés iteratív megközelítését támogatja, a munkát menedzselhető darabokra osztja külön célokkal, amelyeket fokozatosan lehet elérni.

A cikk gondolatmenetének vezetése érdekében egy egyszerű minta projekten keresztül szemléltetem a Continual Improvement Model egyes elemeit. A minta projekt célja egy szervezet incidenskezelési folyamatainak kidolgozása. (A megfelelő védelem kialakításához ez önmagában kevés, de a példának érthető okokból egyszerűnek kell lennie.)

What is the vision?

Első lépésként a víziót és a célokat kell meghatározni, amelyeket a projekt megvalósításával akarunk elérni. Ez biztosítja a kontextust minden későbbi döntéshez, és összekapcsolja az egyedi cselekvéseket a szervezet jövőképével.

A minta projektünk esetén a fő ösztönző a valódi kockázatok kezelése. A szervezet a globális fenyegetési jelentések (pl. Verizon Data Breach Investigation Report, ENISA Threat Landscape), illetve a kifinomult és súlyos támadások hírei alapján megállapította, hogy maga is bármikor áldozat lehet, ezért valamit tennie kell, hogy megfelelően tudjon reagálni a fenyegetésekre. Az a víziója, hogy fejleszti az incidenskezelési képességeit és előre felkészül a támadásokra, mert így sokkal jobb esélyekkel védekezhet egy anyagi veszteségeket és reputációvesztést okozó támadás ellen. Ezek alapján dokumentált biztonsági incidenskezelési folyamatok kialakítását és az incidenskezeléssel foglalkozó személyek kiképzését tűzi ki célul. A szervezet a célkitűzés során megállapította, hogy ez a cél nagyban támogatja az üzleti céljait is, hiszen ez növeli az ellenállóképességét és megvédheti a kritikus funkcióit.

Sok esetben a valós kockázatok kezelése mellett a megfelelési nyomás is hasonló ösztönző lehet, ami szintén támogatja a szervezet üzleti céljait és vízióját, mert enélkül gyakran nem is működhet egy olyan vállalat, amely erősen szabályozott környezetben folytatja a tevékenységét, vagy jövedelmező üzleti lehetőségektől esik el.

Where are we now?

Az incidenskezelési képességek kialakítása során az első lépés a jelenlegi, kiinduló (as is) állapot felmérése. Az ITIL 4 egy találó példát hoz ehhez a lépéshez: a javulás felfogható úgy, mint egy utazás A pontból B pontba és az utazást nem lehet feltérképezni, ha a kiindulási pont nem ismert.

A minta projektünkben – és sok hasonló esetben is – egy gap assessmenttel lehet meghatározni a kiinduló állapotot. A gap assessment – amelynek nem igazán van magyar kifejezése – célja a baseline-tól való eltérés(ek) megállapítása. Fontos, hogy ne csak a best practice-kre, hanem a kötelező elvárásokra is gondoljunk, amelyeket jogszabály vagy szerződés támaszthat. Az incidenskezelési képességnél maradva a baseline lehet az ISO 27001:2022 incidenskezelésre vonatkozó kontrolljainak felmérése, de alapul vehetjük a NIST Cybersecurity Framework (CSF) Respond biztonsági funkciójához tartozó kontrollokat is.

Ha jól csináltuk, akkor a scope-ba tartozó kiinduló helyzet felmérésének az outputjaként van egy részletes információkat tartalmazó dokumentumunk és egy összefoglalónk, amely pontosan megmutatja, hogy a szervezet hány darab kontrollnak felel meg teljesen, részlegesen vagy egyáltalán nem. Ha meg akarjuk könnyíteni a későbbi munkánkat, akkor a hiányosságokat – vagy eltéréseket – priorizáljuk.

Where do we want to be?

Az előző lépésben leírt ITIL 4-es hasonlatnál maradva az aktuális lépés az elérendő állapot (to be), az úticél, vagyis a B pont meghatározása, amely nélkül szintén nem tudjuk megtervezni az utazásunkat. Nagyon fontos, hogy a baseline kiválasztásával egy kicsit már az elérendő állapotot is meghatározzuk, hiszen az előző lépésben az ettől való eltérést vizsgáljuk, persze ez nem ilyen egyszerű.

A gap assessment által feltárt hiányosságok közül ebben a lépésben kell pontosan meghatározni a prioritást élvező feladatokat, intézkedéseket, amelyeket a projekt során el kell végezni, le kell szállítani. A minta projektünkben prioritásként feltárásra került, hogy a szervezetnek nincs egy egységes, széleskörben ismert incidens definíciója, az incidenskezeléssel kapcsolatos szerepkörök és felelősségek hiányosak, továbbá nincsenek scenario-specifikus incidenskezelési tervek (IRP) sem, például adathalászat, malware fertőzés, külső behatolás esetére, valamint a tapasztalatok (lessons learnt) nem kerülnek elemzésre és beépítésre.

A szervezet a magasszintű céljához kapcsolva, alacsonyabb szintű célként kitűzte a felsorolt, prioritásként azonosított hiányosságok megoldását és a felelős személyek képzését a megoldás részleteire vonatkozóan.

A szervezetek a projekt kritikus sikertényezőjeként, vagyis a kívánt eredmények eléréséhez szükséges előfeltételekként határozta meg az alábbiakat:

• Kiberbiztonsági incidens definíciójának és kategóriáinak meghatározása
• Kiberbiztonsági incidenskezeléssel kapcsolatos szerepkörök és felelősségek azonosítása, részletes kifejtése,
• Kiberbiztonsági incidenskezelési tervek (3 db) adathalászat, malware fertőzés, külső behatolás esetére
• Ellenőrzőlista a kiberbiztonsági incidenskezeléssel kapcsolatos tapasztalatok elemzésére és működésbe való beépítésére

Ha a szervezetnek megvan az érettsége és a szándéka, akkor a kritikus sikertényezők teljesülését KPI-val mérheti. A KPI mérőszám, amelyet a cél elérésének sikerének értékelésére vagy teljesítménymérésre használnak. Gyakorlati példákból kiindulva, rendkívül érdekes lenne, ha egy szervezetnek projekt eredménytermékek leszállítására vonatkozó mérőszáma lenne. Incidenskezeléssel kapcsolatban sokkal közelebb állna a valósághoz, ha az SLA-k betartására, vagy kiberbiztonsági incidensek detektálására (Mean Time To Detect – MTTD) és azokra történő reagálásra (Mean Time To Respond – MTTR) vonatkozó mérőszámot alakítanának ki. A KPI-k kialakítása során számos körülményt kell figyelembe venni és meghatározni, amelyek ismertetése nem célja a jelen cikknek.

Különös gondot kell fordítani a megfelelő célok és mérőszámok kialakítására, hiszen a projekt az előrehaladása és lezárása során ezek alapján lesz értékelve. Előfordulhat, hogy a szervezet nem elég érett ahhoz, hogy mérőszámokat alkalmazzon. Ebben az esetben fontosnak tartom az elérendő célok pontos meghatározását, amelyek elérését vagy elérésének kudarcát egyértelműen meg lehet állapítani.

How do we get there?

Ha megvan a kiinduló pontunk és az úticélunk, akkor meg kell terveznünk az utazást. A minta projekt csapat ebben a lépésben kell megtervezi a célok elérésével járó konkrét feladatokat, kijelölni a résztvevőket, a feladatok felelősét és a határidőket. A tervezés során alaposan kell eljárniuk: figyelembe kell venniük a kapacitásaikat, az előfeltételeket és a függőségeket is. Valószínűleg nem az incidenskezelési tervekkel fognak kezdeni, amíg nem határozzák meg az incidens definícióját és azoknak a feladatait, akik a kezelésükkel foglalkoznak majd.

Take action

Ha kész a terv, akkor nincs más hátra, el kell kezdeni a megvalósítást, a feladatok végrehajtását. Elképzelhető, hogy menet közben újra kell tervezni és projektje válogatja, hogy mekkora lépésekben lehet haladni. A minta projekt csapat tagjai átbeszélik a tervek részleteit és megkezdik a munkát.

Did we get there?

A feladatok végrehajtása során monitorozni kell az előrehaladást és értékelni kell a kitűzött célokhoz tartozó kritikus sikertényezők teljesülését, mérőszámok alakulását.

A minta projekt csapat rendszeresen státuszol és igyekszik dinamikusan kezelni a végrehajtás során felmerülő nehézségeket, akadályokat, amelyekből nincs hiány. A csapat végül elkészült a kritikus sikertényezőknél felsorolt dokumentumokkal és sikeresen átadták a tudást az incidenskezelésért felelős személyeknek, így lezárásra került a projekt.

How do we keep the momentum going?

Az ITIL 4 ajánlása alapján, ha sikerült megvalósítani a kitűzött célokat, akkor utána a sikerek marketingjére és a bevezetett új módszerek megerősítésére kell koncentrálni. Ezzel lehet biztosítani, hogy az elért haladás ne vesszen el, támogatást és lendületet adjon a következő fejlesztésekhez és a működés ne essen vissza a projekt előtti állapotba. A szervezeteket ebben a változásmenedzsment és tudásmenedzsment segíti.

A szervezet a minta projekt eredménytermékeit egy tudásbázisban hasznosította, ami minden érdekelt személynek rendelkezésre áll és az új incidenskezeléssel foglalkozó munkatársak is részesülnek a szükséges, korábban megtartott képzésekben.

Continual Improvement Plan és projektmenedzsment

A lépések bemutatása során igyekeztem sugallni, hogy a Continual Improvement Plan egyes lépéseit a projektmenedzsment módszertanok is tartalmazzák, az viszont elképzelhető, hogy más-más ciklusban.

A vízió meghatározása a projekt előtt történik. A szervezeten kívüli és belüli hatások eredményeként tulajdonképpen ebben a lépésben merülhet fel a projekt iránti igény. A vízió és a célok meghatározása a projektmenedzsment módszertanok (pl. Prince 2) szerint a business case-ben történik meg, amit természetesen költségre, megtérülésre vonatkozó részletekkel is ki kell egészíteni. Ez alapján ítélhető meg, hogy a projekt kívánatos, életképes és megvalósítható-e.

Ha a business case elfogadásra került, akkor indulhat a projekt előkészítése és tervezése. Ez más, mint az utazás megtervezése a 4. lépésben, hiszen itt a fejlesztési célok elérése érdekében végrehajtandó, fejlesztési feladatok tervezése történik (pl. kockázatkezelési terv), de addig el kell jutnia a szervezetnek. A projekttervben az összes lépés végrehajtásához szükséges erőforrásokat és ütemezést kell tervezni.

A klasszikus projektmenedzsment módszertan alkalmazása (projekttervezés, eredménytermékek meghatározása, projektindítás, státuszolás, változásmenedzsment stb.) elősegíti a Continual Improvement Plan megvalósítását, de nem valósítja meg szükségszerűen a modell előnyeit. Egy jól előkészített és gördülékenyen lebonyolított projekt is lehet kudarc egy éles helyzetben, ha az szakmailag nem megalapozott és az összefüggések nem lettek figyelembe véve: például üzletmenet-folytonossági terveket nem lehet üzleti hatáselemzés nélkül készíteni (hacsak már nem áll rendelkezésre a kritikus folyamatok és azokat támogató vagyonelemek listája, vagy éppen olyan kis méretű a szervezet, hogy anélkül is be lehet azonosítani a kritikus folyamatokat)

Konklúzió

A cikkben összefoglaltam az ITIL 4 Continual Improvement Model kiberbiztonsági projektekben való alkalmazhatóságát.

Összegzésként egy kérdést igyekszem megválaszolni: Mit adhat nekünk a Continual Improvement Model? Amennyiben röviden kellene válaszolnom, akkor azt mondanám, hogy szakmailag megalapozott projekteket, HA következetesen alkalmazzák.

Ha bővebben kellene válaszolni, akkor azt mondanám, hogy a modell egy strukturált fejlesztési megközelítést ad, amit univerzálisan, szinte bármilyen projektben alkalmazhatunk. Használhatjuk SIEM rendszer bevezetésére irányuló, komplex projekt során is, hiszen a fő lépések és a megközelítés változatlan. A modell következetes felhasználással az ad-hoc, gyakran a buzzword-ök által vezérelt célok helyett valós kockázatokat kezelő, koncepcionálisan megalapozott és jól előkészített projekteket eredményezhet, amelyek nagyobb valószínűséggel végződnek sikerrel.

Meglehetősen sok szempontot kell figyelembe vennie annak, aki hosszú távra alkalmas, megbízható megoldást keres az XDR-iparágban. A szeptembert elérhető NetWitness XDR 12 Platform olyan összetett funkciókészletet kínál, amellyel már most is a leginkább jövőbiztos XDR-ütemtervet ígéri.

Korát megelőző XDR megoldás

Az XDR, avagy az eXtended Detection and Response egy viszonylag új kifejezés az első osztályú security operations centerekben (SOC) szükséges eszközökre. Mivel az elmúlt évtizedekben mind az adatok, mind a támadások mennyisége jelentősen megnőtt, így részmegoldások ezrei jelentek meg a konkrét fenyegetések elleni védekezésre, beleértve a különböző víruskeresőket, behatolásmegelőző rendszereket, tűzfalakat és spamszűrőket. Ha abból indulunk ki, hogy minden olyan támadás, amelyet ezen eszközök valamelyike meghiúsít, már győzelem, akkor ezek kétség kívül hasznosak. Ennek ellenére az ilyen megoldások önmagukban már nem elegendőek a napjainkban tapasztalható kifinomult támadások hatékony kivédéséhez.

Mivel a NetWitness már a 2000-es évek elején előre látta ezt az állapotot, idejekorán elkezdte integrálni az örökölt hálózati (NDR), a log (LDR), majd később a végponti (EDR), illetve a tárgyak internetének (IoT) eszközeire vonatkozó észlelési és reagálási képességeket. Miközben az elmúlt évtizedekben - a gyártók számának növekedésével párhuzamosan -, robbanásszerűen elszaporodtak az olyan megközelítési módok, amelyek ezek egyikét vagy másikát hirdették, addig a NetWitness végig arra összpontosított, hogy mindezt egyetlen biztonsági elemző platformba integrálja.

E megközelítés kulcsa, hogy egy közös elemzőmotor működjön az egységes adatmodell ellenében. Mialatt a nagy teljesítményű NetWitness XDR elemzőmotorba sokfajta adattípus - hálózati csomagok, rendszer- és alkalmazásnaplók, végponti tevékenység és IoT-kimenetek - bekerül, az adatokat metaadatokkal gazdagítja és egységes adathalmazzá normalizálja, az automatikus elemzéshez és korrelációhoz. A NetWitness XDR 12 Platform emellett teljes körű SOAR (security orchestration, automation, and response), TIP (threat intelligence platform) és UEBA (user and entity behavior analytics), valamint új eszközelemzési és priorizálási képességeket kínál, amelyek kvázi erőnövelőként szolgálnak a megfelelő számú képzett munkatársat felvenni és megtartani igyekvő SOC-ok számára.

Ez a radikális láthatóság nagyon megnehezíti a támadók számára a rejtőzködést. Az adathalmazok finom jelzései, amelyeket anno zajként értelmezve figyelmen kívül hagytak volna, hirtelen a security analyst-ek és a threat hunterek szeme elé kerülnek. Ahogy a szlogen is mondja: See Everything. Fear Nothing.

Mit ígér az XDR? 

Az XDR ígérete pontosan az, amit a fentiekben már említettünk: egyszerűsíteni a folyamatok spektrumát - adminisztratív és működési szempontból is - olyan mértékben, hogy egy biztonságtudatos szervezet saját maga vagy egy szolgáltató segítségével hatékonyan védekezhessen a kiberfenyegetések ellen, s közben képes legyen visszaszorítani az ilyen támadások által okozott kockázatokat.

Bár a hangsúly ezúttal az XDR-en van, de nem ez az egyetlen, amit a NetWitness XDR 12 Platform szállít. Jelentős fejlesztés lévén a NetWitness XDR 12 Platform több száz izgalmas és praktikus újítást tartalmaz a termék teljes rendszerében, például:

• Az új fenyegetés-felderítési tartalomrendszer újratervezett munkafolyamataival és a központosított kezelhetőséggel megkönnyíti a tartalom telepítését és kezelését a platformon és annak összetevőin belül.
• Az alapértelmezett és automatikusan frissülő "tartalomcsomagok" az egyedi érzékelési tartalmakat logikai egységekbe tömörítik az egyes felhasználási esetek, iparágak, földrajzi területek, fenyegetés típusok stb. szerint. Ez a megközelítés egyszerű és gyors módszer az egyes fenyegetési kategóriák elemzésére és azok kivédésére.
• A fenyegetések gyorsabb és könnyebb felderítését szolgáló vizsgálati fejlesztések, amelyek lehetővé teszik a lekérdezések szabályonkénti és dashboardonként történő mentésének lehetőségét is.
• Az iparági szabványok és keretrendszerek, köztük a MITRE ATT&CK teljes körű támogatása.
• Új és továbbfejlesztett mérések és riportok, beleértve a támadások észlelésének (MTTD), felismerésének (MTTA), illetve megválaszolásának (MTTR) átlagos idejét is.
• A felhasználói élményt érintő számos, az ügyfelek által megszavazott fejlesztés, beleértve az egyszerűsített időtartomány kiválasztását, a továbbfejlesztett végpontkezelést és az automatizált telepítést.
• Bővített és kiterjesztett támogatás a technológiák és szabványok számára, beleértve a SaaS-szolgáltatásokat, a Secure Access Service Edge (SASE) és a Cloud Access Security Broker (CASB) gyártókat, valamint az ARM processzorokat és a Windows Server 2022-t a végpontokon.

Összegzésül

A NetWitness XDR 12 Platform megjelenésével az IT Security csapatok végre valóban kihasználhatják az XDR által ígért előnyöket. Az évekig tartó innováció, integráció és iteráció eredményeként egy rendkívül sokoldalú XDR platform jött létre, amely mostantól bárki számára elérhető.

Már javában dolgoznak az XDR témák következő hullámán, így a NetWitness Vision XDR-en is, amely egy tisztán SaaS alapú megoldás és követi azt a már megkezdett intelligens fejlesztési irányt, amely a NetWitness-t a kezdetek óta jellemzi.

További információért vagy demó időpont egyeztetésért forduljon hozzánk: infosec@euroone.hu

A kiberbiztonsági szakemberek közül mindenki egyetért azzal, hogy a biztonsági tudatosítás kulcsfontosságú és elengedhetetlen védelmi intézkedés, aminek minden CISO security programjában szerepelnie kell.

Az egyszerű és a kifinomult támadások kezdeti lépései egyaránt megcélozzák a gyanútlan felhasználókat, akiknek a tudatosságán múlhat a támadó sikere. Ilyen kezdeti lépés lehet egy adathalász levél összeállítása és kiküldése, amivel belépési adatokat - és egyúttal hozzáférést is - lehet szerezni. Ezt alátámasztják a különböző keretrendszerek, modellek, amelyek a támadások fő lépéseit és technikáit írják le (pl. MITRE ATT&CK®: Initial Access Technique és Phishing Sub-technique). Erről a témakörről előző cikkünkben is olvashat.

Örökérvényű igazság - és lassan közhely is -, hogy az ember a leggyengébb láncszem. A szervezet számtalan technológiai kontrollt alkalmazhat, pl. klasszikus vírusirtókat és EDR-t, hálózati szegmentációt, erős jelszókövetelményeket és többfaktoros hitelesítést, SIEM-et, de a támadó könnyen átjuthat a nem tudatos felhasználók és utána kizárólag a többi kontrollon múlik, hogy megállítják-e vagy észlelik-e a támadó rosszindulatú tevékenységét és a szervezet megfelelő módon el tudja-e hárítani a támadást. Emiatt a megfelelő biztonságtudatossági programok rendkívül hatékonyak lehetnek, továbbá ezek költsége jelentősen alacsonyabb a többi technológiai kontrollhoz képest.

Tudatosító program és annak elemei

A szervezetnek első körben ki kell dolgoznia a tudatosító programját, ami nem egyenlő egyetlen tudatosító oktatással. Ha a Prince 2 projektmenedzsment módszertan definíciójából indulunk ki, akkor a program több összehangolt projektből áll, hogy különböző előnyöket érjenek el, amelyeket különálló irányítással nem lehet elérni. Ez alapján tudatosító programnak magában kellene foglalnia a tudatosító oktatásokat, ezek eredményességét valós szituációban felmérő kampányokat, ezek ütemezését, a területtel kapcsolatos célkitűzéseket, mérőszámokat, felelősségeket és költségvetést.

A tudatosító oktatásokat új kollégák belépésekor, illetve évente a meglévő alkalmazottak esetében ajánlott megtartani. Ha a szervezetnél jellemző, akkor az oktatásokból nem érdemes kihagyni azokat a beszállítókat, alvállalkozókat, akiknek hozzáférése van a vállalati rendszerekhez.

Az oktatások jellemzően prezentáció vagy e-learning útján valósulnak meg. Mindenképp érdemes kitérni a felhasználókat célzó fenyegetésekre (pl. rosszindulatú e-mail csatolmányok, adathalászat, social engineering), azok ismérveire és következményeire, a követendő magatartásra, valamint a kapcsolódó szervezeti szabályozásra és sajátosságokra. Fontosnak tartom, hogy az oktatásnak érdekesnek, figyelemfelkeltőnek kell lennie, hogy ne simuljon bele - az egyébként fontos és elengedhetetlen - munka- és tűzvédelmi oktatások szürkeségébe, mert ez buktató lehet. Ezt egyrészt úgy lehet elérni, ha az oktató érdekes, valós példákkal szemlélteti az egyes fenyegetéseket, amelyeket a közönség a magánéletben is hasznosítani tud. A 100%-os részvételt nehéz elérni, de megfelelő vezetőségi elkötelezettséggel nem lehetetlen megközelíteni a 90% körüli értéket, amit már jónak mondhatunk.

Az oktatásokat követően kötelezően teljesítendő kvízekkel vagy vizsgákkal mérjük vissza a tudatosító oktatásokon történő tudásátadást. Sikertelen eredmény vagy egy biztonsági incidens okozása esetén ajánlott kötelezővé tenni az oktatás és vizsga ismételt elvégzését.

Az oktatások után a következő érettségi szint a különböző biztonságtudatossági kampányok szervezése és lebonyolítása. Az ilyen kampányokat természetesen a legnagyobb titokban kell szervezni, ellenkező esetben nem fogja elérni a kívánt hatást, mivel a felhasználók figyelmeztetni fogják egymást (ez persze egy támadási kísérletnél is lehet így). A kampányokhoz jellemzően szükséges kifejezetten erre a célra fejlesztett platformot alkalmazni, amely például teszi az adathalászat szimulációját. Meg lehet vizsgálni, hogy mennyien kattintanak rá egy kiküldött gyanús linkre, vagy éppen mennyien adják meg a jelszavukat egy meghamisított bejelentkező oldalon, vagy éppen mennyien nyitják meg a gyanús e-mail csatolmányt. Másik népszerű kampány tematika a pendrive-ok szétszórása a szervezet környékén (pl. parkolóban), mivel a külső adathordozók útján is terjednek a rosszindulatú programok. Ilyen kampányok során szintén szükséges az ezt támogató megoldás, amellyel ki lehet deríteni, hogy ki csatlakoztatta a vállalati számítógépéhez az ismeretlen adathordozót. Egy ezzel foglalkozó szervezet szerint az emberek 45%-a megteszi. Vannak olyan megoldások, amelyek az Active Directory jelszavak erősségét képes tesztelni és ki tudja szűrni a gyenge, duplikált és soha le nem járó jelszavakat.

A következő érettségi szint lépést a tudatosítás játékossá tételével, vagyis a gamification-nel lehet elérni. A játékos út egyre elterjedtebb és hatékonyabb. Ezt meg lehet valósítani applikációkkal és interaktív oktatásokkal (pl. biztonságtudatossággal kapcsolatos online szabadulószoba), de nemrégiben ilyen témájú társasjáték is ki lett fejlesztve. Jómagam az utóbbi időben részt vettem egy gamification-alapú tudatosító oktatáson és sokkal emészthetőbb, barátságosabb volt, mint egy száraz, elméleti előadás. Nem véletlen, hogy egyre inkább népszerűbb ez a tudatosítási mód és több kutatás is foglalkozik vele.

Szintén növeli a szervezet érettségi szintjét, ha mérik a tudatosítást és természetesen ez alapján optimalizálják a végrehajtást. A tudatosítás fontossága alapján a részvételi és vizsga sikerességi/sikertelenségi mutatók fontos mérőszámok (KPI/KRI) lehetnek, amelyek mérése nem bonyolult.

A tudatosításért jellemzően a CISO a felelős, de a végrehajtásban gyakran közreműködik a szervezet HR részlege is.

Konklúzió

Ebben a cikkben igyekeztem rávilágítani a biztonságtudatosság kialakításának fontosságára és lehetséges módszereire. Azoknak a szervezeteknek, amelyek még nem foglalkoztak a területtel, azt javaslom, hogy minél hamarabb dolgozzák ki a saját tudatosító programjukat és hajtsák végre. Azok a szervezetek, akik már foglalkoznak a tudatosítással, azt javaslom, hogy a lehetőségeikhez képest tartsanak kampányokat és alkalmazzanak gamification elemeket is, hogy minél hatékonyabban tudjanak védekezni az emberi tényező ellen.

Biztonsági tudatosító programmal kapcsolatban keressenek minket: infosec@euroone.hu

Ha IT-biztonságról, a kiberbűnözés megelőzéséről vagy bármely olyan védelmi intézkedésről esik szó, amelyet a cégek hackertámadások elleni védelem érdekében alkalmaznak, az emberek általában tűzfalakra, SIEM, SOAR és XDR platformokra, esetleg teljeskörű high-tech biztonsági műveleti központokra gondolnak. Alig pár embernek jut eszébe, hogy ezen fenyegetéseknek akadhatnak nem technológiai elemei, valamint az tény, hogy a legtöbb támadás vállalaton belülről érkezik, ami már önmagában is hatalmas fenyegetést jelent. Valójában a hackertámadások mindössze harminc százalékát hajtják végre technikai úton, a fennmaradó hetven százalék bizony az emberi tényezőt kihasználva zajlik. Éppen ezért arra gondoltunk, tisztázzuk végre, miként működik valójában a szervezett kiberbűnözés, s mit tehetünk annak érdekében, hogy felkészültebbek legyünk a hackerek támadási kísérleteinek elhárítására.

Ismerjük meg a bűnöző hackerek arcait

Az egyik legnagyobb - részben a hollywoodi, javarészt egy kaptafára épülő filmes tálalásnak köszönhető - tévhit a bűnözői hackerszervezetekkel kapcsolatban az, hogy egy maroknyi titokzatos, csuklyás remetéből állnak, akik félhomályos szobákban élnek, villámgyorsan gépelnek, és általában gyenge szociális készségekkel dicsekedhetnek. A mozivásznon széles körben elterjedt hacker képpel ellentétben a kiberbűnözők nagyon is úgy dolgoznak - és úgy is néznek ki -, mint a hagyományos céges alkalmazottak. S ami a legszebb az egészben: a kiberbűnözői szervezetek ugyanúgy működnek és irányítják a személyzetüket, mint a hétköznapi vállalatok. Ismert tény például, hogy az egyik legnagyobb németországi bűnözői hackerszervezet több mint harminc céget hozott létre, amelyek mindegyike hús-vér munkavállalókat foglalkoztat, igaz, mindannyian hamis személyi igazolványokkal, hamis útlevelekkel és hamis címekkel kerültek bejelentésre. Ennek ellenére a külvilág számára ezek a cégek egy professzionális vállalkozás benyomását keltik, profi alkalmazottakkal. Lássunk néhány példát arra, hogyan dolgoznak e kiberbűnözői szervezetek és hackerek.

Blackheads: az igazi belső fenyegetés

A bűnözői hackertámadások talán leggyakoribb és legkifinomultabb típusát az úgynevezett blackheads-ek hajtják végre, amelyek tevékenysége erősen emlékeztet a trójai faló történetére. Ezek a különleges hackerek általában hatalmas tudással rendelkeznek bizonyos informatikai területeken, különösen a hálózati technológiában. Őket a bűnszervezetek hamis személyi igazolványok, hamis útlevelek, hamis lakcímigazolások és tökéletesre faragott önéletrajzok segítségével juttatják be a vállalatokhoz. Alapos háttérellenőrzés nélkül tökéletes jelöltnek tűnnek bármely vállalat számára, így általában gyorsan felveszik őket, majd rövid időn belül adminisztrátori jogokat és teljes hozzáférést kapnak mindenhez. Azonban a károk, amelyeket ezek a kiberbűnözők okozhatnak, szörnyű következményekkel járnak. A legutóbbi, szászországi blackhheads támadás során például két beépített hackernek egy hét alatt sikerült egy egész szervezetet leállítania, hosszú távú anyagi károkat okozva ezzel a vállalatnak és kétezer alkalmazottjának.

Aki úgy véli, ilyen támadások ritkán esnek meg, gondolja újra a dolgot: csak Németországban jelenleg több mint 6000 ilyen eset van bírósági szakaszban. Ennek ellenére ritkán derül fény arra, hogy a támadásokat egy kiberbűnözéssel foglalkozó szervezet által a vállalatba telepített hackerek hajtották végre.

Mit lehet tenni? A felvételi folyamat során az egyik legfontosabb lépés az alapos háttérellenőrzés elvégzése, különösen, ha olyan alkalmazottról van szó, aki korlátlan hozzáférést kap a vállalat teljes IT-infrastruktúrájához. Mivel azonban ez speciális készségekkel rendelkező erőforrásokat igényelhet, a legjobb, ha ezt egy átvilágításra szakosodott cégre bízzuk.

Egykori alkalmazott támadása

A belső fenyegetés egy másik típusa akkor fordul elő, amikor egy bosszúvágyó alkalmazott távozik a cégtől. Ennek több oka is lehet, de sokszor - gyakrabban, mint gondolnánk - a vezetőség hibájából történik. Ezzel kapcsolatban akad egy elég közismert mondás is, amely így szól: "a jó alkalmazottak nem a vállalatokat hagyják el, hanem a vezetőket".

De mi van akkor, ha a távozás olyannyira borús hangulatban zajlik, hogy a továbbálló munkavállaló bosszúra szomjazva akar visszavágni korábbi sérelmeiért a volt munkaadójának? A dark weben több mint ötven olyan csoport létezik, amelyeknél a volt alkalmazottak rejtett, bizalmas információkat szolgáltathatnak ki egy vállalatról, amelyeket aztán felhasználhatnak zsarolóprogramok, rosszindulatú programok vagy más típusú kibertámadások indítására. Ebben az esetben, bár a támadás nem a vállalat területén történik, a fenyegetés belülről ered.

Társadalmi tervezés és a megfelelő IT-biztonsági oktatás fontossága

A hackertámadások egy másik, rendkívül hatékony típusa a social engineering, amely kifejezés a rosszindulatú tevékenységek széles skáláját takarja. Ezeket emberek manipulálásával váltják valóra, akik emiatt biztonsági hibákat követnek el. Egy ismert, manapság sajnos meglehetősen elterjedt módszer, hogy olyan embereket keresnek munkaajánlatokkal, akik anyagilag nehéz helyzetben vannak - ez sajnos akkor is elképzelhető, ha valaki egy vállalatnál dolgozik -, majd beszervezik őket bizonyos termékek eladására, extra jövedelemszerzés reményében. Ha elvállalják, amire már cikkünk írásakor is több mint 2 millió élő példa van, valóban megbízást kapnak, méghozzá havi 200, 300 vagy akár 500 eurós fizetéssel. Egy idő után, amikor a bizalom már kiépült, az "alkalmazottak" kapnak egy pendrájvot, amelyet egy adott pillanatban - épp, amikor a munkahelyükön vannak - kell a számítógéphez csatlakoztatniuk, hogy elvégezzenek egy képzést, amellyel extra pénz ütheti a markukat. Ők pedig, nem sejtve, hogy valójában egy összehangolt kibertámadás résztvevői, követik az utasításokat, tudtukon kívül segítve a hackereknek bejutni a rendszerbe. Az utóbbi idők egyik ilyen esetekor ugyanannak a vállalatnak 11 alkalmazottja, akiknek fogalmuk sem volt arról, hogy mit tesznek éppen, 7 másodperc alatt leállította a cég központját, amivel 1800 embert tettek munkaképtelenné.

A fenyegetés - annak ellenére, hogy az alkalmazottak részéről nem volt rosszindulatú szándék - ezúttal is belülről érkezett. Egyszerűen bedőltek egy trükknek, mivel nem kaptak megfelelő oktatást a kibertámadásokról.

Egy hacker karrierje

Fentebb már megállapítottuk, hogy a bűnöző hackerek nem közönséges utcai rablók. Ők többnyire szuperintelligens, magasan képzett, nagy tapasztalattal rendelkező informatikai szakemberek. Hogyan jutnak ilyen szakértelemhez és jártassághoz? A válasz egyszerűbb, mint gondolnánk: egyetemre járnak. Ami azt illeti, a világ legjobb informatikai, programozási és szoftverfejlesztési egyetemein végzett abszolvensek húsz százaléka nem azért fejezi be tanulmányait, hogy vállalatoknál dolgozzon, hanem hogy a szervezett kiberbűnözés felé vegyék az útjukat. Miért? Mert egy átlagos informatikus körülbelül 4000 eurót keres havonta, míg egy bűnöző hackerszervezet, egy tehetséges fiatal hackernek könnyedén kifizet évi 2-3 millió eurót. Lássuk be, ez a különbség igencsak megdöbbentő!

Támadásonként körülbelül 20-25 millió eurós kár keletkezik, ami ellen úgy is lehetne védekezni, hogy az informatikusok fizetését akár többszörösére emelik és így kevesebb végzős informatikust vonzana a kiberbűnözés. Ezzel a vállalatok is több millió eurót takaríthatnának meg. Vagyis számolni kell azzal, hogy mindig lesznek jól fizetett bűnöző hackerek, akikkel a vállalatoknak fel kell venniük a harcot, és az ilyen fenyegetést legtöbbször nem lehet csak pusztán technológiával elhárítani.

Következtetés

A fő probléma tehát az, hogy a technológia önmagában nem jelent megoldást a fenti kihívásokra. A mai napig a vállalatok túlnyomó többsége csak azért fektet be SOC-okba, tűzfalakba és egyéb biztonsági technológiákba, hogy megvédje magát a kibertámadásoktól. Azt azonban nagyon kevesen ismerik fel, hogy a legtöbb támadás nem csak a technológián alapul. Bármennyire is bonyolultak és kifinomultak a bűnszervezetek, mindig a legegyszerűbb utat választják arra, hogy betörjenek egy vállalati rendszerbe. Ez az út pedig általában a munkavállalókon keresztül vezet.

A vállalkozásoknak fel kell ismerniük, hogy legalább akkora hangsúlyt szükséges fektetniük a vezetésre és az alkalmazottakra, mint az informatikai részlegre. Ha a vezetőség csak az informatikai személyzetbe és technológiába fektet be - a fenyegetésre való felkészültség reményében - akkor csak a kiberbiztonsági problémák harminc százalékát oldja meg. Bármilyen hatékony is a tűzfal és a felhőplatform biztonsága, a fennmaradó és elsöprő hetven százalék mindig megtalálja a módját, hogy kárt okozzon. A támadás pedig leginkább belülről érkezik, s ilyenkor nem számít, hogy profi beépített hackerek, pénzügyileg instabil alkalmazottak vagy bosszúszomjas öregdiákok okozták-e a bajt. Az ügyész mindig a vezérigazgatóért jön, nem az informatikai részlegért.

Éppen ezért mindenkinek az az érdeke, hogy egy vállalat teljes mértékben tisztában legyen azzal, miként védekezhet a bűnözői hackertámadások minden formája ellen: legyen szó az újonnan érkezők alapos háttérellenőrzéséről, a személyzet informatikai biztonsággal kapcsolatos oktatásáról, vagy akár az anyagilag nehéz helyzetben lévő alkalmazottak megsegítéséről.

Ebben a cikkben a biztonsági tudatosítás fontosságáról van szó, olvasd el hogyan tudod használni a szervezetednél.