ÜZLETI IT- Tartalmas, előremutató, vicces de közben halálosan komoly

EURO ONE

Ne építsünk égő házat, avagy ilyen, ha az üzemeltetés segítségre szorul

Becker Zoltán cikke #adatközpont

2021. április 26. - EURO ONE

Minden bizonnyal nem árulunk el hatalmas titkot, ha azt mondjuk: mindenkinek a saját feladata a legfontosabb és a többségben fel sem merül, hogy esetleg a kapcsolódó tevékenységekkel kapcsolatban is érintett lehet. Ez gyakran előforduló probléma az IT üzemeltetés területén is.

Egy üzemeltetési probléma jellemzően technikai erőforrás kérdésekből, kimutatási vagy riport kérdésekből adódik. Másrészt azonban komoly tényező lehet az emberi oldal is, éppen ezért érdemes e két dolgot elkülönítve is megközelíteni.

Kezdjük ott, hogy ahány ember, annyiféle nézőpont: ugyebár vannak az üzemeltetők, akik teljesen mást gondolnak arról, mikor van szükségük segítségére, mint amit az ő közvetlen vezetőjük. És még ez sem az összes aspektus, hiszen a hierarchia legtetején találjuk az IT vezetőt, aki ugyancsak a saját szemszögéből figyeli a dolgokat. Emellett pedig ott van még az ügyfél is, aki szintén jelezheti, ha problémát észlel, s minden bizonnyal számára is az lesz a fő vonulat, ami közvetlenül őt érinti.

adatkozpont-blog-cikk-ne-epitsunk-ego-hazat_v2.jpg

A problémák beazonosítása

Van egy mondat, amely az esetek többségében előkerül egy üzemeltetői probléma kialakulásakor: “sajnos semmire sincs időnk”. Ennek elhangzása egyike az első jeleknek, amelyekből már sejthetjük, hogy valami nincs rendjén. Szintén klasszikus égi jel, amikor azt tapasztaljuk, hogy egyre több a visszatérő probléma (erről beszéltünk egy korábbi cikkünkben is ITT), illetve az is, amikor a problémák tömegesen jelentkeznek. Ekkor már látszik, hogy valami nem megfelelően működik, és felmerülhet a tervezés szükségessége.

Időnként előfordul, hogy az üzemeltetés annyira szegmentált, hogy a probléma megoldása két terület között akad el, ilyenkor az érintett területek képviselői egymásra mutogatnak. Ennek sajnos a jövőre nézve sincs jótékony hatása (legfeljebb elmérgesíteni lehet vele a munkahelyi kapcsolatokat, ami tovább gátolhatja az együttműködést), és a probléma megoldását sem szokta elősegíteni.

Sajnos jellemző probléma az is, hogy üzemeltetés nem követi nyomon a rendelkezésre álló hardver, szoftver, licenc mennyiséget. Ennek egyenes következménye a munka elakadása, amint elfogynak az erőforrások.

A problémák megoldása

Ha sikerült beazonosítani egy problémát (pláne ha még a kezdeti szakaszban elcsíptük), az kétség kívül nagy előrelépés. A kérdés már csak az, hogy ilyenkor az üzemeltetői oldal felől, vagy fentről érdemesebb-e megindítani a problémamegoldást.

Nos, szerintünk ez kétirányú. Egyrészt minden ilyen csapatban van egy-két olyan ember, aki képes kicsit felülről nézve, tágabban tekinteni a problémára. Az már csak a hab a tortán, ha képes a kollégákat is ebbe az irányba terelni. Mindenesetre inkább az a jellemző, hogy az üzemeltető észreveszi, érzékeli a problémát, de kevésbé jellemző, hogy egyben megoldással is ő szolgáljon.

S itt jön a képbe a csoportvezető, a közvetlen felettes, az, akinek minderre figyelnie kell, s akinek a hierarchiát tekintve is megvan a lehetősége, hogy erre a szemléletmódra rávezesse a többieket, vagy konkrét megoldást adjon a kezükbe. Általában ő az, akinek feltűnik, hogy folyamatosan csúszásban vannak, egyre több a munka, s egyre kevesebb feladat elvégzésére jut idő. Mindig előre kell venni valamit, semmi nem készült el időre, állandóan haladékot kell kérni az igénylőtől vagy a felettesektől, s az ő tevékenysége is lassan abból áll csak, hogy állandó operatív munkát végez, vagyis a problémákat és az embereket menedzseli. Pedig egy csoportvezető ennél azért többre hivatott, s ha bekerül ebbe a mókuskerékbe, azzal csak egy bizonyos szintet lehet tartani, de előre jutni és hosszú távú megoldásokkal szolgálni aligha.

El kell érni, hogy a csoportvezetőnek jusson ideje a tervezésre, fejlesztésre, hogy indukátorként működhessen és segítségével a csapat is megfelelő ritmusban, tervek alapján tudjon előrehaladni. Ha ez elmarad, az csak újabb problémákat generál. Ha azonban sikerült ezt elérni, általában az is rögtön kiderül, hogy nem az erőforráshiány, hanem a rosszul menedzselt folyamatok jelentették a fő gondot. Ezeket kell tehát tiszta fejjel, felülről áttekintve rendezni.

Éppen ezért egy csoportvezető legfontosabb feladata a folyamatok kitalálása, felügyelete, azok racionalizálása, s amennyire csak lehet - ez ugyebár trendi téma manapság - azok automatizálása is. Ez utóbbit illetően is neki kell átlátnia, mivel lehet segíteni az üzemeltetők munkáját, mi az, amit az automatizálással rábízhatunk a gépre, hogy időt nyerjünk.

A menedzsment szint

A fenti folyamatokon keresztül kiderülhet egy csoportvezetőnél, mikor érkezik el arra a pontra, amikor segítségre van szüksége, még ha nem is feltétlenül veszi ezt észre. A következő szint pedig az IT vezető, azaz a menedzsment szint.

Itt is akad két-három olyan eset, amikor a menedzsment észlelheti ha gond van. Az egyik, hogy házon belül jutnak el hozzá a problémák, vagyis az alatta lévő középvezetőkön is átívelnek. A másik - ami egy menedzsmentnél klasszikus esetnek számít -, amikor SLA riportokat, teljesítménymutatókat (KPI) néznek, s ha azokat rendszeresen olvassák és elemzik, könnyen feltűnik, hogy valahol porszem került a gépezetbe.

A harmadik eset - amelyiket valószínűleg minden cég szeretne elkerülni -, amikor az ügyfelektől érkezik visszajelzés. Lássuk be, ha az ügyfél annyira elégedetlen a szolgáltatással, hogy közvetlenül a menedzsmentet keresi, ott már nagyon ég a ház.

Menedzsment szinten a legfőbb kihívást az jelenti, hogy mielőbb sikerüljön beazonosítani, pontosan hol bújik meg a probléma oka. Ki kell deríteni, hogy emberi mulasztás, esetleg hardveres erőforrás okozza-e, vagy mondjuk a folyamat egy bizonyos pontjával van gond. Ez az a rész, ahol a menedzsment szorulhat a középvezetők segítségére.

Ne építsünk égő házat, avagy a probléma megelőzése

Az eddigiek alapján úgy gondoljuk, a folyamatoknál alapvető, hogy azok átgondoltak, racionalizáltak és az üzemeltetők számára is komfortosak legyenek. Ez az egyik legfontosabb.

Emellett a folyamatokba be kell építeni olyan eszközöket, amelyekkel kimutathatóvá válnak a belefektetett idők, energiák, vagyis statisztikák nyerhetők ki róluk. Így például ha veszünk egy helpdesket, akkor tudnunk kell összegezni az emberek munkáját, a feladatok végrehajtásának idejét, az esetleges teljesülési hiányosságokat. A céges szintű jelentések és csoportszintű beszámolók egyaránt fontosak.

Meg kell találni azokat a termékeket, amelyeket használva kimutatásokat készíthetünk a folyamatok egyes pontjain. Az is nagyon fontos, hogy ezek a riportok, ne másfél-két napos munkával előállítható Excel táblázatok legyenek, feldobva pár kördiagrammal. Ehelyett egyszerűen, gyorsan elkészíthető, nagyon könnyen összehasonlítható kimutatásokra van szükség, ahol egy-egy aktuális értéket villámgyorsan össze lehet hasonlítani az elvárttal. Érjük el, hogy akár a nap végén egyszerűen lehessen lehúzni egy ilyen jelentést. Ez nagyon fontos, hiszen ha egy ilyen beszámoló elkészítése túl sok időt emészt fel, akkor ez lesz a gátja annak, hogy megfelelő visszajelzéseket kapjunk.

Ezekre a feladatokra egyébként bőven akad megfelelő eszköz. A teljesség igénye nélkül ilyenek a különféle helpdesk rendszerek (OTRS, ServiceNow, Freshdesk, ManageEngine…stb). Ezek mindegyike képes jelentéseket készíteni a benne végrehajtott feladatokról. Az ezekben használt ticketek végrehajtása folyamathoz kötött, az ezeken alapuló workflow-k és tevékenységek mind-mind több szinten riportozhatók, tehát akár egy csoportvezető is lehúzhatja magának a statisztikát, például arról, hogy mennyi nyitott jegy van, mennyi van közülük csúszásban, az egyes embereknél mennyi feladat áll. Így rögtön le lehet szűrni, hogy ki az, aki túlterhelt vagy éppen kinek nem jutott feladat. Így optimalizálhatók a folyamatok.

Technikai oldalról térjünk még vissza egy kicsit a monitoringhoz, vagyis hogy miként állnak a hardver erőforrások, a rendelkezésre álló erőforrások, vagy akár a rendelkezésre álló licencek. Ezek technikai dolgok, amelyeket egy monitoring rendszer képes folyamatosan figyelni, követni, képes ezekről trendeket, grafikonokat készíteni, szükség esetén riasztást generálni, és adott időközönként - nyilván itt a hierarchiától függően negyedévente, félévente, évente - készíthet olyan beszámolókat is, amelyekből az erőforrás használati trendek követők. Így ha veszünk egy csoportvezetőt, ő is megnézheti, hogy akár az elmúlt egy hónapra visszamenőleg miként fogytak el a tárhely kapacitások, mennyiben nőtt a virtuális környezetek memória és CPU terhelése, és ebből következtethet arra, hogy a beérkező feladatok, igények és az elfogyott erőforrások között van-e összefüggés? Ebben az esetben akár ő maga is elindíthatja az erőforrásbővítési folyamatot, vagy módosíthat úgy folyamatokat, hogy nagyobb kontrollhoz jusson. Így például elkerülhető, hogy mindenki, minden részfeladatra újabb virtuális gépet kérjen, s így egy idő után már ezer darab virtuális gépünk legyen, amelyek közül ötszáz ugyanazon a feladaton dolgozik.

Tehát a monitoring rendszer technikai statisztikái, grafikonjai, és az emberi erőforrásra vonatkozó jelentések remekül párhuzamba állíthatók. Mindez pedig jól jöhet az éves tervezéseknél, a jövő évi tervek készítésénél is, hiszen így könnyebben kideríthető, miként növekedhetnek az erőforrás igények az ügyfelek oldaláról és saját részről.

A lényeg az, hogy mindig azt a pontot, azt a helyet, azt az embert, azt a csoportot kell tudni pontosan meghatározni, ahol a beavatkozásra, segítségre szükség van.

Ransomware alapok, avagy a zsarolóvírusok térhódításának története

Krékity Gusztáv cikke

2021. április 15. - EURO ONE

 Lassan nosztalgiával gondol vissza az ember az egykori DOS-os vírusokra, amelyek ugyan kalandosabbá tették az IT szakemberek életét, de a legtöbb átlagfelhasználó sosem találkozott velük, csak a róluk szóló horror-sztorikkal (kivételt talán csak az iskolai számítógépek jelentettek, amelyeken valahogy mindig megjelent egy-egy képviselője a kor malware-inek). Aztán a digitális kártevők rohamos fejlődésnek indultak, s mára a kiberbűnözők népszerű, napi szinten használt eszközévé váltak. Mostanság ezen bűnös eszköztár legnépszerűbb darabjai a különféle zsarolóvírusok, avagy a ransomware programok.

blogbejegytes-ransomware-01.jpg

Nem ma kezdték

A ransomware őrület ugyan a 2000-es években burjánzott el igazán, de valójában már a 90-es évek előtt is velünk voltak ezek a malware-ek. Az első zsaroló kód 1989 decemberében látott napvilágot és fertőzött flopi lemezeken terjedt, amelyeket - körülbelül 20 ezer példányban - egy AIDS konferencia résztvevőinek kézbesítettek. A lemezeket AIDS Information – Introductory Diskettes címkével látták el, hogy növeljék a támadás hatékonyságát, s - az emberi kíváncsiság végett - minél biztosabb legyen, hogy a címzett megnézi majd a lemez tartalmát. Aki így tett, egy üzenttel szembesült, mely szerint 189 dollárért (USD) cserébe újra hozzáférhet titkosított adataihoz. Így kezdődött, de mára, hatékonyság tekintetében jelentősen túlnőttek a zsarolóvírusok az ősökön.

Amikor a ransomware berobbant a kiberfenyegetések világába, még egy kategóriába sorolták az olyan megoldásokkal, mint például a FAKEAV, amely hamis vizsgálati eredményeket készített, hogy rákényszerítse az áldozatokat hamis antivírus szoftverek megvásárlására. Aztán az idő haladtával a sikeresebb ransomware családok fenyegetőbbé váltak: elkezdték a fájlokat nagyszámban titkosítani. Ám a kezdetben okozott sokk után ez a taktika idővel elvesztette hatékonyságát, mert a szervezetek rájöttek, hogy rendszeres biztonsági mentéssel csökkenthető a zsarolóprogram okozta veszély és megelőzhetők a komoly károk. Bizonyos értelemben a zsarolóvírusok hírneve csökkeni kezdett és besorolásuk a veszélyesről a kellemetlenre szelídült. Nagy kár, hogy mindez csak ideiglenes folyamat volt.

2016-ban és 2017-ben számos új zsarolóvírus-család jelent meg, amelyek hatalmas pusztítást végeztek világszerte. Ezekre a kiterjedt ransomware támadásokra válaszul a szervezetek megerősítették védekezési képességeiket. 2018-ra úgy tűnt, hogy a zsarolóvírusok fejlesztése visszaszorul, mert a kriptovaluta bányászatra alkalmazott vírusok elkezdték megelőzni őket a népszerűségi listán. Ám mind kiderült, ez is csak átmeneti visszaesés volt, mert még abban az évben megérkezett a Ryuk, amely magasabbra helyezte a lécet és fordulópontot hozott a zsarolóvírusok életében.

A Ryuk az első dokumentált ransomware volt, amelyet célzott támadásként alkalmaztak. A trickbot és annak moduljai segítségével terjesztette és telepítette a powershell empire-t. Az oldalirányú mozgáshoz kiterjedten használta a PowerShellt és a WMI-t is. 2019-re a ransomware támadások célzottabb megközelítést alkalmaztak, amely 2020-ra már normává vált.

1_1.png

A zsarolóvírusok (ransomware) fejlődésének idővonala

Míg 2019-ben még csak 95 ransomware család létezett, amelyekkel a támadások során találkozhattunk, addig 2020-ban már 127 családra bővült a választék, s 2021-ben ez a szám jelentősen tovább növekedhet.

Mi az a kettős zsarolás?

A kettős zsarolás kiemelkedett a ransomware programok közös vonásai közül és az adatsértések jelentős részében szerepet kapott. A kiberbűnözők ebben az esetben nem csak titkosították az adatokat és blokkolták a hozzáférést, hanem azzal is fenyegetőztek, hogy publikálják a megszerzett adatok másolatát, amennyiben nem teljesítik követeléseiket. Ez a szervezetek számára jelentősen megnövelte a kockázatot, viszont éppen ezért fokozta a zsarolóprogramok elleni védekezési képességek erősítésére tett erőfeszítéseket is. Az ugyanis egy dolog, ha egy cégnek esetleg adatvesztése származik egy-egy támadásból, de a nagyobb szervezetek számára, amelyek rengeteg érzékeny, bizalmas, adott esetben személyes információval dolgoznak, ezek kéretlen publikálása egyenesen végzetes lehet. Egy ilyen támadás esetén nem csak az anyagi veszteségtől, de a hírnév elvesztésétől és a kemény munkával felépített imázs teljes összedőlésétől is retteghetnek.

2_1.png

2019.November és 2020 Október közötti Ransomware támadások, amely kettős zsarolást hajtottak végre

 

Az, hogy az adatokat már nem csak az áldozatok rendszerein belül titkosították hanem egy füst alatt el is lopták, megteremtette a célzott támadások megközelítésének lehetőségét. A támadók ismert taktikákat, technikákat és eljárásokat (TTP-t) használtak, amelyek nem különböztek más APT- vagy célzott támadásoktól.

A ransomware támadások négy szakasza

A tipikus ransomware támadási folyamatok jobb megértése érdekében lebontjuk, hogy egy támadás vagy kampány milyen szakaszokból és összetevőkből áll. A 2020-as ransomware támadások átlagosan négy fő szakaszra voltak oszthatók.

3_2.png

Minden szakasz magába foglalja az eszközöket és a technikákat, amelyek egyedi célokhoz lettek hozzáigazítva:

  1. Kezdeti hozzáférés
    Többféle módszert is alkalmazhatnak a rendszer gyenge pontjának meghatározásához. Céljuk a leghatékonyabb és leggyorsabb behatolás megtervezése, például egy adathalász levéllel vagy valamilyen publikus sérülékenység kiaknázásával.
  2. Hálózat felderítése és oldal irányú mozgás
    E lépés során a támadók elkészítik az áldozat hálózatának leltárát. A támadó ezt követően vagy tovább értékesíti a megszerzett adatokat - a dark weben, egy fórumon stb. - vagy közvetlenül maga folytathatja a kinyert információk alapján a megtervezett támadást.
  3. Adatszűrés
    Ez a folyamat elengedhetetlenné vált a kettős zsarolási elv megvalósításához, ugyanis mielőtt még titkosítani kezdenék az áldozat adatait, a Ransomware készítője előbb fontos adatokat lop el az áldozattól. Ezek általában rendkívül érzékeny információk - például szellemi tulajdon, szerződések, személyazonossági adatok -, amelyeket feltöltenek felhőbe vagy akár egy FTP szerverre.
  4. Ransomware telepítése
    Az adatok ellopásával folytatódhat a támadás és telepíthető a zsarolóvírus az áldozat rendszerébe. Első lépésként a kliens védelme és a futó folyamatok kerülnek leállításra, hogy biztosan telepíthető legyen a kártékony kód. A támadók rendszerint törlik a naplókat is, hogy lehetőleg ne maradjon digitális lábnyom utánuk, így nehezebb legyen kideríteni, hogy mi is történt valójában.

Zsarolóvírus, mint elsődleges fegyver

Az elmúlt években a ransomware elsődleges fegyverré vált a gyors vagyonszerzésre törekvő kiberbűnözők kezében. Bár a WannaCry és a Petya által okozott károk óvatosabbá tették az embereket, illetve a szervezetek is következetesebb biztonsági intézkedéseket vezettek be a fenyegetések ellen, sajnos ezzel egy időben a támadók is egyre szofisztikáltabb megoldásokat vetnek be, hogy továbbra is sikeres támadásokat hajthassanak végre. Az elmúlt évben például egyre többször okozott problémát, hogy a ransomware programokat célzott támadások során alkalmazták és már nem csak titkosították az érzékeny adatokat, hanem meg is szerezték azokat. A kettős zsarolás technikájára támaszkodtak, hogy még inkább sarokba szorítsák és hatékonyabban zsarolhassák áldozataikat.

Miért figyeljünk a zsarolóvírusokra?

A ransomware támadások súlyos hatással járhatnak és semmi garancia nincs arra, hogy a felhasználó adatait visszaállítják, akkor sem, ha az áldozat hajlandó ezért kifizetni a váltságdíjat. Ilyen következmények például:

  • Személyes szinten a pénzügyi kár vagy érzékeny személyes adatok nyilvánosságra kerülése.
  • Céges szinten ilyen lehet az üzleti folyamatok megakasztása, a pénzügyi kár - akár kifizetés esetén vagy épp a kivizsgálás költségessége miatt -, de sérülhet a cég jó híre is, ami a jelenlegi és a potenciális üzletfelek elvesztését okozhatja.

Ráadásul a ransomware célja nem mindig a pénzszerzés, hanem akadnak egyéb okok is egy ilyen jellegű támadás mögött: lehet a cél figyelemelterelés, álcázhat hagyományos hálózati támadást, elfedheti egy korábbi támadás nyomait, leplezhet egy éppen zajló hálózati adatlopást, vagy éppen korlátozhatja - illetve adott esetben meggátolhatja - a rendszer produktivitását, míg az IT csapat éppen a felfedezett zsarolóvírus fertőzéssel küzd.

Fizetni vagy nem fizetni, ez itt a kérdés?

Egy sikeres zsarolóvírus támadás áldozatainak kulcsfontosságú döntést kell meghozni, amikor szembesülnek azzal, hogy idegenek titkosították a számukra és ügyfeleik számára kritikus fontosságú, érzékeny információkat, sőt rosszabb esetben le is nyúlták azokat. Fizessenek váltságdíjat vagy sem?

Nos, a váltságdíj kifizetése egy olyan opció amely néha a probléma enyhítésének leggyorsabb és legegyszerűbb módjának tűnhet, különösen abban az esetben, ha nem rendelkezünk biztonsági mentéssel - vagy más helyreállítási lehetőséggel - a rendszer gyors visszaállításához. A kezdeti pánik hevében sokszor fizetnek a cégek, akik nem rendelkeznek megfelelő tudással és szakértelemmel egy ilyen jellegű incidens kezeléséhez és helyreállításához.

Minden esetre azzal érdemes számolni, hogy az esetek többségében a tolvajok között nincs becsület, tehát még ha fizetünk is, nincs rá garancia, hogy a bűnözők valóban átadják a visszafejtéshez szükséges kulcsokat és eszközöket, vagy adott esetben nem publikálják az eltulajdonított adatokat. Sőt, arra sem, hogy nem érkezik később tőlük újabb zsarolás, immár nagyobb tarifával. Továbbá - ami nagyon fontos tényező egy sikeres támadást követően -, ha fizetünk, semmi nem fogja azt garantálni, hogy a közeljövőben nem leszünk ismét támadók áldozatai között. Gyakori eset ugyanis, hogy a fekete kalapos hacker, miután felderített egy céges infrastruktúrát és sikeres támadást hajtott végre, egész egyszerűen továbbadja az információkat a dark weben, más kiberbűnözőknek.

Összegzésül

A ransomware támadások évről évre a legkedveltebb támadási eszköznek számítanak a kiberbűnözők körében. Egyes esetekben csak a gyors, egyszerű pénzszerzés, vagy épp a rombolás a cél, de egyre több esetben alkalmazzák ezeket az összetett támadások során is. Az egyik legfontosabb oka annak, hogy a bűnözők továbbra is sikeresek a ransomware támadások terén az, hogy képesek kihasználni a sebezhető pontokat, amelyek egyszerűen lefedhetők lennének megfelelő fejlesztésekkel, egy biztonságtudatos fejlesztési terv mentén felépíthető többrétegű védelmi rendszer kialakításával. Ám a szervezetek sok esetben nem hajlandók erre, csak miután már megtörtént a baj.

A zsarolóvírusok jövőjét tekintve folyamatosan növekvő trendre lehet számítani és nagy valószínűséggel a RaaS modell is egyre népszerűbb lesz, amelyben a támadók szolgáltatásként bérelhetnek támadóeszközt. Várható az is, hogy egyre több esetben érvényesül majd a kettős zsarolási stratégia, amely miatt még nagyobb károkat szenvedhetnek el az áldozatok. Egyre több teljesen új mellett a már meglévő kártékony kódok variánsai is folyamatosan látnak napvilágot, ami megnehezíti a védekezést.

A közeljövőben többször is foglalkozunk még a témával és több, zsarolóvírusokhoz köthető cikk is érkezik majd a blogra. Többek között részletesebben írnunk majd a ransomware várható jövőjéről, a mesterséges intelligencia által támogatott zsarolóvírus támadásokról, de terítékre kerül majd a szolgáltatásként elérhető zsarolóvírusok sötét világa is. S persze a legfontosabb: folyamatosan adunk majd tippeket is, hogy miként lehet hatékonyan védekezni, illetve mit tehetnek azok, akik pórul járnak és egy sikeres támadás áldozatává válnak.

Ha szeretnél tőlünk tanulni az IT biztonságról, és részt venni ingyenes eseményeken, mindenképpen iratkozz fel a listánkra. FELIRATKOZOM

Kövess minket a LinkedInen is. 

Felhasznált forrás: Trend Micro- The State of Ransomware: 2020’s Catch-22

Hatékony kockázatkezelési megoldások ICS rendszereknél

Hunyadi Péter cikke

2021. április 08. - EURO ONE

Mind az otthoni, mind a vállalati felhasználók számára az IT biztonság fogalma kimerül az asztali gépek, okoseszközök, céges hálózatok védelmében: ne vigyék a hackerek a személyes adatainkat, ne kódolja a zsarolóvírus a fontos dokumentumainkat, s ne a mi böngészőnkön keresztül gazdagodjanak az illegális kriptobányászatra szakosodott kiberbűnözők. Pedig akadnak a világban ezeknél jóval durvább támadások is, amelyek annak ellenére is érinthetik mindennapi életünket, hogy nem közvetlenül a mi eszközeink ellen irányulnak.

blogbejegyzes-ics-01.png

Még 2010-ben történt, hogy feltehetően amerikai és izraeli forrásból egy Stuxnet nevű kártékony program – féreg – fertőzte meg az iráni bushehri atomerőművet és natanzi urándúsítót, utóbbi létesítményben túlpörgette és tönkretette a használt centrifugák 20%-át. Az akció mérföldkőnek számít a kiberbiztonságban, mert a Stuxnet-támadás után jelentősen megnövekedett az ipari irányítási rendszereket (Industrial Control Systems – ICS) fenyegető incidensek száma, melyek a legtöbb esetben az államok és a lakosság ellátása szempontjából létfontosságú rendszerek, szolgáltatások működéséért felelnek, mint a víz- és áramellátás, áru- és személyforgalmi szolgáltatások vagy épp a jelentősebb élelmiszergyártó üzemek. S ez így tán ijesztőbben is hat, mint amikor az ember a számítógépén tárolt adatok miatt aggódik.

Egy hivatalos ajánlás háttere

Cikkünk alapját az Egyesült Államok Belbiztonsági Minisztériuma (DHS) által javasolt Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies című ajánlás képezi. A kiadvány 2016-ban jelent meg a DHS alá tartozó National Cybersecurity and Communications Integration Center (NCCIC) és Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) munkacsoportok, valamint más állami és versenyszférába tartozó ipari szereplők közös munkájának eredményeként. A dokumentum nem szabvány terjedelmű, ennek megfelelően nem is részletezi aprólékosan az információkat, de összhangban van a NIST (National Institute of Standards and Technology) SP 800-82 és 800-53, valamint a NIST Cybersecurity Framework sztenderdekkel.

Célunk az ebben közzétett ipari-kiberbiztonsági kockázatkezelési ajánlások rövid bemutatása, mégpedig azért, mert - a sok kihívást rejtő ipari kiberbiztonsággal kapcsolatos - munkánk során magunk is nagyon hasznosnak találtuk az oldalain javasolt megközelítést.

Változó kihívások ICS területen és megoldásuk

A már említett 2010-es Stuxnet-támadás után, az ICS rendszerek elleni incidensek számának növekedésén túl egy másik tendencia is megfigyelhető volt az elmúlt években.

Korábban az ICS rendszerek hagyományosan teljesen elszeparált hálózatokon működtek, sajátos, zárt ipari protokollokkal. Használatukhoz egy szűk, belső kör értett csupán, így nem alakult ki igény az adatforgalom logikai védelmére, elegendő volt az ipari környezetek fizikai védelme. A termelés hatékonyságának növeléséhez fűződő érdekek azonban kimozdítják ezeket a rendszereket az izoláció biztonságából, s az üzleti hálózattal való összekötést, illetve az átláthatóságot helyezik előtérbe. Éppen ezért megjelentek a klasszikusan IT környezetben elterjedt nyitott protokollok is (IP) az ipari eszközök portfóliójában. Az ipari rendszerek így egyre inkább kitetté válnak az internet felől érkező fenyegetéseknek, miközben üzletmenet szempontjából rendkívül kritikusnak számítanak. A kihívást tetézi, hogy a magas rendelkezésre állási követelmények miatt nehezebb logikai védelmet kialakítani rajtuk.

De mi lehet erre a megoldás? Nos, mivel az izolációra többé nem lehet alapozni, továbbá az újfajta nyitott modellhez biztonsági szempontból nem zárkózott fel az ICS rendszerek technikai háttere, ezért az IT világban megszokott „hagymahéj-elven” alapuló, ipari hálózatokra szabott mélységi védelem (Defense-in-Depth) alkalmazását javasolja a tárgyalt dokumentum.

Az ajánlás ezt a mélységi védelmet egy könnyen értelmezhető keretrendszer formájában ábrázolja. A mélységi védelem egy minden információs rendszerre ráhúzható rugalmas koncepció, amely holisztikusan, mind humán, mind folyamat, mind technológiai téren (People-Process-Technology) az összes lehetséges védelmi megoldást, illetve minden támadási vektort figyelembe vesz annak érdekében, hogy a védett rendszert valóban ellenállóvá tegye.

A dokumentum a mélységi védelem koncepcióját kilenc stratégiai elemre osztja. Ezek nem különböznének egy IT rendszer esetében sem, ahogy ez az első ábrán látható.

blog1.jpg1. ábra - Mélységi védelem - Stratégiai eleme

Az ajánlás ezután a felsorolt stratégiai elemeket bontja ki, elhelyezve őket az ipari környezet kihívásai, speciális igényei között. A javasolt megoldások bevezetését támpontokkal egészíti ki, a felhasználókra bízva, hogy miként alkalmazzák azokat a saját környezetükre.

OT-irányú kockázatkezelés

A stratégiai elemek tárgyalása a Kockázatkezeléssel kezdődik. Fontos kiemelni, hogy ez nem csak egy elem a kilenc közül, hanem a többi által lefedett biztonsági tevékenység alapját képezi. Éppen ezért itt is részletesebben foglalkozom vele. Az ICS-CERT kiadványa három szintű kockázatmenedzsment modell bevezetését javasolja:

  1. Szervezeti szinten határozzák meg a vállalat minden szinten követendő kockázatkezelési kereteit és minimumát, a kockázati étvágyat és toleranciát. Az újfajta, nyitott ICS rendszerek korában ezen a szinten az ipari domain sérülékenységeinek, kockázatainak a szervezet egészére, az üzletmenet folytonosságra – sőt, a külvilágra – gyakorolt hatásait is abszolút realisztikusan kell figyelembe venni. Ehhez fontos az alsóbb szintekről származó tapasztalatok és észrevételek szem előtt tartása.
  2. Üzleti folyamatok szintjén – ami alatt ez esetben az ipari termelési folyamatokat értem – történik az OT (Operational Technology) környezetek célzott kockázatkezelési folyamata. Az ajánlás itt – és később is – kiemeli az eszközök, technológiák leltárazását, kritikusságának és kockázatainak meghatározását és a fókuszpontok, kényesebb elemek azonosítását, mint a hatékony védekezés alapját.
  3. Végül az üzemeltetési/rendszer szinten valósul meg fizikailag mindaz, amit fentebb meghatároztak. A rendszer biztonságát érintő tapasztalatok, visszajelzések innen felfelé áramolva segítenek a stratégia későbbi fejlesztésében. Az alsó két szinten történő kockázatkezelési feladatokat a dokumentum folyamatként konkretizálja, részletesen kitérve ennek egyes lépéseire, amely - miként a második ábrán látható - a második szinten a sérülékenységi és kockázati profilalkotásból, majd a technikai szinten megvalósuló kontrollok bevezetéséből, monitorozásából és fejlesztéséből tevődik össze.

blog2.png

2. ábra - Kockázatkezelési ciklus

A bemutatott kockázatkezelés menete az eszközök leltárazásával kezdődik, mivel nem tudunk hatékony védelmet kialakítani, ha nem tudjuk, mit védünk. Ahhoz, hogy később fel tudjunk készülni a lehetséges támadásokra, számba kell venni minden használt hardvert, szoftvert, háttéreszközt, ismerni kell ezeknek az egymástól való függőségi viszonyait és az információáramlás csatornáit is, majd kategorizálni kell eszközeinket a kritikusságuk alapján. Több tízéves rendszerek esetében azonban korántsem könnyű feladat a leltár kivitelezése. Ha tudjuk, mit védünk, tudnunk kell, milyen kockázatok fenyegetnek bennünket. A támadás potenciális irányaival és a sérülékenységeinkkel kapcsolatban olyan forrásokra támaszkodhatunk, mint a gyártóegységek műszaki vezetői és kezelői, külső tanácsadók, vagy olyan keretrendszerek, mint amilyen a „MITRE ATT&CK for ICS”. Munkám során én több olyan termékkel találkoztam, melyek képesek feltérképezni az ipari protokollokat használó eszközöket (akár típussal, gyártóval, konfigurációval együtt) és adatbázisokból kinyerni a konkrét verzió ismert gyengeségeit. A támadások hatásvizsgálata és valószínűségének meghatározása véleményünk szerint az egyik leglényegesebb lépés, hiszen az ipari informatikai eszközöknél egy támadás nem csupán anyagi javakban okozhat kárt, hanem emberek testi épsége, akár élete is veszélybe kerül. A hatást befolyásolja a rendszer kritikussága, az hálózat és a rajta folyó kártékony aktivitás átláthatósága és a helyreállítási képességek is. A valószínűség alakulásában szerepet játszik, hogy a rendszereket biztonsági szintre soroltuk, valamint a hozzáféréskezelés mennyire kifinomult és, hogy a szoftverek frissítve vannak-e a legutóbbi verzióra. Az eszközök leltárja és kategóriákba rendezése ennek a lépésnek is megágyazott, így a támadás lehetséges vektorait, valószínűségét és súlyosságát láthatóvá tette. Az eddigi lépésekben szerzett ismeretek birtokában leszünk csak képesek meghatározni és bevezetni a megfelelő biztonsági kontrollokat. Az ipari igényekhez szabott kontrollok lefedik a humán-jellegű intézkedéseket (pl. tudatosítás), a folyamatkialakításokat és a technikai megoldásokat. Implementáláskor érdemes a legveszélyeztetettebb – vagyis a legkritikusabb és legsérülékenyebb – rendszerelemekkel kezdeni. Az ICS rendszerek speciális igényei és technikai nehézségei miatt gyakrabban fordul elő, hogy bizonyos kockázatokat el kell fogadnunk, esetleg a legjobbnak ígérkező kontroll helyett – akár az elvártnál gyengébb – alternatívát kell keresnünk kompatibilitási problémák miatt. A mélységi védelem sokfélesége viszont ezt a nehézséget is hivatott enyhíteni.

Zárásként elmondhatjuk, hogy a jelenlegi OT technológiai fejlődés iránya és a növekvő biztonsági igények egyelőre ellentmondásban vannak egymással, ráadásul nincs egy olyan kibervédelmi „csodaszer”, amely az ipari rendszerek biztonsági és rendelkezésre állási igényeit egyaránt kielégítené. Ebből kifolyólag – a kisebb számú ipari logikai védelmi termékek mellett – létező, ismert védelmi megoldásokat kell OT környezetekhez szabnunk, legyenek azok logikai, fizikai vagy folyamat jellegű módszerek, amihez hiánypótló segítséget nyújt az ICS-CERT ajánlása, mely ingyenesen elérhető az alábbi címen: https://us-cert.cisa.gov/ics/Recommended-Practices

Forrásmegjelölés

A 2. ábra forrása: ICS-CERT, 2016. Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies, p. 8.

Még több tartalomért, videókért és rendezvényekért kövess minket a LinkedInen is, kattints ide. 

Így add el az ISMS-t menedzsmentnek

Tóth Tamás cikke

2021. április 07. - EURO ONE

 

Az előző részben is igyekeztem rávilágítani arra, hogy az ISO 27001 alapú alapuló Information Security Management System (ISMS) sokkal összetettebb dolog, mint ahogy azt a szabványok elolvasása után vagy akár egy összefoglaló videó megnézése alapján ezt elsőre gondolnánk. Az ISMS összefüggéseinek megértésénél természetesen sokkal bonyolultabb az irányítási rendszer bevezetése és működtetése, ezért nem ritka, hogy néha a tapasztaltabb információbiztonsági tanácsadók bicskája is beletörik. Egy projekt sikertelensége azonban nem jelenti feltétlen a tanácsadók hibáját, ennél sokkal árnyaltabb a kép.

 

Az ISMS bevezetés kulcsfontosságú tényezői

 

Ha egy szervezetnél különböző okokból kifolyólag felmerül az ISMS bevezetésének ötlete, három kulcsfontosságú tényezőre kell kiemelt hangsúlyt fektetni:

 

1.       a menedzsment támogatásának megszerzésére,

2.       a kezdeményezés formális projektként való kezelésére és

3.       az ISMS elemeinek, elveinek és ezek összefüggéseinek megfelelő ismeretére.

 

Jelen cikkemben a menedzsment támogatásának fontosságát és megszerzésének lehetőségét fejtem ki, az ISMS bevezetés konkrét projektmenedzsmentjére és összefüggéseire a következő cikkemben fogok kitérni.

 

A menedzsment támogatásának fontossága

 

Szinte minden információbiztonsággal foglalkozó szakember előbb utóbb találkozik a terület egyik legnagyobb kihívásával: megszerezni szervezet vezetésének támogatását, információbiztonságért való elkötelezettségét, illetve a fejlesztésekhez szükséges büdzsét. Az ISMS bevezetésénél sincs ez másképp, hiszen a menedzsment támogatása kulcsfontosságú, de ez nem feltétlen az erre vonatkozó kötelező szabványpontok teljesítése miatt van így.

 

Ahogyan az a tankönyvekben is szerepel, az információbiztonságra vonatkozó igény ideális esetekben "top down" irányú, de ide sorolhatjuk a világszerte ismert vállalatirányítási (King IV Report on Corporate Governance) és belső kontrollra vonatkozó best practice-ket (COSO Internal Control Framework) , amelyek  a "setting the tone at the top" kifejezéssel kezdődnek, amit a példamutatás és az elkötelezettség kifejezéseknek lehet megfeleltetni.

A menedzsment támogatásának és elkötelezettségének birtokában lehet jelentősebb szervezeti változásokat elindítani és végrehajtani, az ISMS bevezetése pedig ilyen: érettségi szint növekedés és bizonyos szempontból kultúra váltás. Ahhoz, hogy ez megfelelően végbe tudjon menni és illeszkedjen a szervezet igényeihez, a menedzsment aktív részvételét igénylik az elvárások megfogalmazása, célok és a kapcsolódó kockázatok meghatározása, elfogadása, a szükséges erőforrások biztosítása és nehézségek esetén a problémák eszkalációja szempontjából. Fontos kiemelni, hogy ez a támogatás az irányítási rendszer fenntartásához elengedhetetlen, de a tapasztalatok szerint a sikeres tanúsítást követően meredeken zuhanni szokott, pedig nem lehet hátradőlni.

 

Támogatás megszerzése - érték

 

A menedzsment támogatását a jól ismert, mindenhol felbukkanó haszonszempontok egyszerű ismételgetésével - pl. hatékonyság növelése, károk csökkentése, kiszámíthatóság növelése, reputáció védelme - nem lehet megszerezni. Nem azért, mert nem lennének igazak, hanem azért, mert minden második terméket vagy projektet hasonló előnyökkel próbálnak nekik eladni és az ISMS elvész ezek közt. Véleményem szerint egy ISMS projektet két dolog részletes kibontásával lehet "eladni" a menedzsment felé: az ISMS bevezetése, működtetése és a tanúsítása által teremtett értékekkel, vagyis mivel lesz jobb a szervezetnek, miért éri meg. A másik dolog az, hogy hogyan térül meg ez a befektetés, hiszen mindenki profitot akar termelni és az információbiztonságnak is ezt kell támogatnia. Ezeket az üzeneteket az általános felsővezetői információs igényeket figyelembe véve, magasszinten kell kommunikálni, a "saját nyelvükön".

 

A nemrég publikált ITIL 4 szolgáltatásmenedzsment best practice fogalmazásában az érték "valaminek vélt előnyei, hasznossága és fontossága". Az ITIL érték definíciója szubjektív, de ennek a logikája mentén össze lehet gyűjteni az ISMS bevezetés által szállított értékeket. Ezeket természetesen minden esetben az adott szervezetre kell szabni. 

 

Az ISMS előnyei közé sorolhatjuk a tanúsítás által jelentett üzleti előnyöket, mivel bizalmat kelt a potenciális üzleti partnerekben és ügyfelekben. A tanúsítás megléte egy szerződéses vagy más jogi követelmény lehet bizonyos tendereken való indulás esetén, ami a compliance nyomás növekedésével egyre gyakoribb. Példaként a Magyarországon működő autóipari beszállítók számára kifejezetten előnyös lehet az ISMS tanúsítás megléte, hiszen az autógyárak ezt jellemzően más minőségirányítási tanúsítványokkal együtt megkövetelik. Másrészt a Német Gépjárműipari Szövetség. (VDA) információbiztonsági szabványa a TISAX (Trusted Information Security Assessment Exchange) szintén ISO 27001 alapokon nyugszik, így a megfelelés egy meglévő ISMS tanúsítással jóval könnyebben megszerezhető.

 

Az (igazi) ISMS hasznos, mivel a jól bevált keretrendszer bevezetésével, szabályozás, folyamatok kidolgozásával, felelősségek meghatározásával és korszerű technológiai megoldásokkal ötvözve (pl. IDM, SOC, új generációs tűzfalak, EDR) valóban hatékonyabb információbiztonsági működést lehet elérni, amelyet a KPI-k is alátámasztanak és hitelesen igazolják mindezt a menedzsment számára is. Az ISMS hasznához hozzájárul a kockázatok kezelése is, amelyek rávilágítanak azokra a sérülékenységekre és fenyegetésekre, amelyek veszélyeztetik a szervezet működését és ezáltal a szervezeti célok elérését is. A kockázatok ismeretében azokat hatékonyan lehet priorizálni és kezelni, így csökkentve a nem várt, esetleg nagy hatással járó incidensek bekövetkezését, vagyis kiszámíthatóbb működést lehet elérni. Az előző cikkemhez hasonlóan itt is kihangsúlyozom, hogy a valós előnyök csak egy jól működő, szervezetbe illesztett, tartalommal megtöltött ISMS-nél jelentkeznek, a kizárólag a falon lógó tanúsítványú ISMS kontraproduktív.

 

Az ISMS, vagyis azon keresztül az információbiztonság fontos. A jól ismert mondás szerint "a jó hírnevet igen nehéz megszerezni, de nagyon könnyű elveszíteni". Egy súlyos információbiztonsági és kapcsolódó adatvédelmi incidens jelentősen megtépázhatja egy szervezet reputációját, amit mindenki igyekszik elkerülni, de a híreket olvasva egyre gyakrabban láthatjuk, hogy ezt nem a megfelelő úton vagy módon teszik. Nem vagyok híve a szankciókkal való ijesztgetésnek, de ha objektíven nézzük, a reputáció sérülésén túl az incidensek miatt fizetendő kötbérek, bírságok, valamint hatósági eljárások tovább mélyíthetik a problémákat, elég csak a GDPR megsértése miatt kiszabott bírságok mértékére gondolni. Azt is látni kell, hogy a compliance és anyavállalati nyomáson kívül egy korábbi információbiztonsági vagy kapcsolódó adatvédelmi incidens segíthet a támogatás megszerzésében, hogy az ismét ne fordulhasson elő.

 

Támogatás megszerzése - befektetés

 

A hitelesség érdekében azt is el kell mondani, hogy a hosszan sorolható előnyöknek ára van, hiszen egy ISMS bevezetés és fenntartás alapvetően nem olcsó projekt, de könnyű ésszerű kereteken belül megmaradni.

 

Az ISMS bevezetését és fenntartását nagyban befolyásolja a szervezet kiinduló és elvárt érettségi szintje, valamint az alkalmazandó jogszabályok és szerződéses kötelezettségek. Példaként egy létfontosságú rendszerelemként kijelölt szervezet vélhetően azért vezet be ISMS-t, hogy hatékonyan tudja teljesíteni a jogi követelményeket, ami viszont olyan követelményeket támaszthat, amit bizonyos estekben csak drága technológiai megoldásokkal lehet maradéktalanul teljesíteni, ami az ISMS projekt költségtervét fogja drágítani. Az ISMS bevezetését az információbiztonsági tanácsadók igénybevétele is drágíthatja, hiszen a szervezetek információbiztonsági szakemberei jellemzően leterheltek, ezért őket korlátozottan lehet a projektre allokálni. Másrészt gyakran az ISMS bevezetéshez szükséges kompetencia is hiányzik a szervezeknél, mert ahogy a cikk elején említettem, az ISMS összetett.

 

Szimbolikusan a mérleg egyik serpenyőjében az ISMS ITIL 4 érték definíciójára felfűzött előnyei, hasznossága és fontossága van, a másik serpenyőben pedig a CAPEX, OPEX összegét adó TCO. A mérleget ideális esetben a ROI fogja értékek oldalára fogja billenteni. Mindenki által ismert az a tény, hogy a költségeket nem lehet pontosan megtervezni és a keretet általában gyakran túl kell lépni, de a ezek tervezése mégis kiemelt fontosságú egy ISMS projekt tervezésekor és jóváhagyásakor.

 

A CAPEX, vagyis a Capital expenditure tőkebefektetést jelent. Az ISMS bevezetés CAPEX költségei elsősorban az új kontrollok bevezetése miatti eszközök, biztonsági megoldások és egyszeri licenszek beszerzésében merülnek ki. Ide sorolhatjuk még a bevezetés során igénybe vett tanácsadói költségeket, valamint a tanúsító audit (magasabb) díját és a szabványok megvásárlását is.

Az OPEX, vagyis az Operational expenditure működési költséget jelent. Működési költségekről már egy bevezetett és  tanúsított ISMS esetében beszélhetünk, amit fenn kell tartani. Az OPEX költségek tehát a kontrollok üzemeltetésének, illetve különböző havidíjas biztonsági szolgáltatások és licenszek díját, kiszervezés vagy támogatás esetén a tanácsadói díjat, illetve az éves felülvizsgálati auditok díját foglalják magukban.

A TCO, vagyis a Total Cost of Ownership a tulajdonosi költséget vagy birtoklási összköltséget jelenti, ami gyakorlatilag a CAPEX és OPEX összegéből áll elő, 3-4 évre vetítve. A TCO fogja elárulni a menedzsment számára, hogy az ISMS bevezetés és fenntartás összesen mekkora költséget fog jelenteni.

A ROI, vagyis a Return on Investment a befektetés megtérülési arányát jelenti. A ROI egy ISMS projektnél nehezen megfogható, de a teljesség kedvéért célszerűnek tartom beemelni a "képletbe". Az ISMS projektnek csak kiadásai vannak, számszerűsíthető bevételt nem igazán lehet meghatározni. Bevételt azon üzleti lehetőségek kiaknázása hozhat, amelynek feltétele, vagy kifejezett előnye az ISMS tanúsítás megléte. Bevételt ugyan nem hoz, de a hatékonyabb működéssel csökkenthetők a költségek, illetve az esetleges bírságok elmaradása és a reputációveszteség elkerülése is pozitív hatással lehet a számokra.

 

Konklúzió

A menedzsment támogatás megszerzésére nincs általános recept és gyakran nem a cikk tartalmát képző üzenet összeállítása jelenti a nehézséget, hanem annak az alkalomnak a megteremtése, ahol azt át lehet adni címzettjeinek. Nagyvállalati szinten az Audit Committe vagy Risk Committee-k formájában már megvannak ezek a fórumok, de közepes méretű vállalatoknál az információbiztonsági vezető ritkán jut be a megfelelő ajtók mögé, ha van ilyen személy. Ilyen esetekben alkalmazhatók a soft skillek és a szervezeten belüli kapcsolatok.

A következő cikkben a menedzsment támogatás megszerzését követő lépésekről, vagyis az ISMS projekt tervezéséről és annak konkrét lépéseiről fogok írni.

Három kulcspont, amelyek megalapozzák a hatékony IT üzemeltetést

Becker Zoltán cikke #adatközpont

2021. április 01. - EURO ONE

Manapság számtalan terület van, amelyek erős kihívásokkal küszködnek. Ezek egyike az IT üzemeltetés, ahol normális körülmények között is mindig akadnak idő előtti megőszülést előidéző problémák, de a COVID-19 járvány okozta bizonytalanság csak tovább fokozta ezek súlyosságát. A terjedő távmunka, az ingatag gazdasági környezet, a növekvő szakemberhiány nem egyszerűsíti az IT üzemeltetésben dolgozók életét.

adatkozpont-blog-cikk_vegleges.png

Kihívások minden szinten

A hazai helyzet sem éppen rózsás, a hozzánk forduló cégek szinte mindegyikének komoly fejtörést okoz az erőforrás- és tudáshiány. A temérdek elvégzendő feladat mellett nincs idő képzésekre, ráadásul a munkavállalók sem feltétlenül motiváltak abban, hogy ha a cég nem segít ezen a téren - nem adnak rá se pénzt, se időt -, akkor legalább önképzésbe kezdjenek. Új, modern termékekkel megismerkedni pedig nem mindig egyszerű dolog, nem mindenki születik úgy, hogy zsigerből kiigazodjon egy komplex rendszeren és azt szakértő segítség nélkül, a kisujjából kirázva legyen képes megfelelően használni. Kevés az a szerencsés, aki önerőből tud haladni a korral, ráadásul nem is feltétlenül elég, ha csak a munkaerő fejlődik, a környezetet, az eszközöket, minden hátteret naprakészen kell tartani.

Sokszor előfordul az is, hogy amikor a cégvezetés végre elhatározásra jut egy oktatási terv mellett, a bevezetést felülírják a csúfos anyagiak, vagy épp azoknak az idejével nem sikerül összhangba hozni a dolgokat, akiknek az egész képzés szólna.

Emellett a legtöbbször csak azon projektek váltanak ki reakciókat, amelyek éppen napirenden vannak. A legtöbb helyen nincs előre tervezés. Pedig egy versenyszektorban található cég üzemeltetése alapvetően nem csak a napi problémákkal, konkrét üzemeltetési feladatokkal foglalkozik. Ez egy szerteágazó, több szintes feladatkör, amelybe éppúgy beletartozik a szerverek és a hálózatok üzemeltetése, mint a helpdesk. Ha viszont ennyire sokrétű ez a terület, még fontosabbnak tűnik, hogy a munkatársak lehetőleg önképzők legyenek. Egy ilyen szakmában mindig van olyan tudás, amit újonnan kell elsajátítani. Ehhez adhat lökést a cég is, ha egy konkrét új termék használata miatt van szükség képzésre, de késztethet rá belső indíttatás is, ha például valaki úgy érzi, hogy egy monitoring rendszer sokat egyszerűsítene a napi munkán, s ezért hajlandó időt szakítani a tanulásra.

Ugyanígy felmerülhet valakiben az ötlet, hogy ideje lenne kiépíteni egy belső tudásbázist, amelyre bárki, bármikor támaszkodhat, ha visszatérő problémákat kell megoldani. Kézenfekvő egy ilyet felépíteni, hiszen a kollégák napi szinten akadnak el azonos gondokkal, például az Outlook használatával. Olykor ehhez elég egyszerűbb alapokat választani, nem kell feltétlenül a legösszetettebb rendszerben gondolkodni. A lényeg, hogy megszülessen a gondolat és aztán materializálódjon is a megoldás, esetünkben egy céges tudásbázis létrehozása.

A leghatékonyabb egyébként a proaktív üzemeltetés kiépítése. Ez nem ördögtől való dolog, egyszerűen csak arról van szó, hogy előbb kiderül egy probléma és elindul annak megoldása, mint ahogy azt a felhasználók jelzik. Ha például - maradva a példánál - az Outlookban folyamatosan visszatérő gondok adódnak több felhasználónál, akkor nem egyenként próbáljuk megoldani azt, hanem felkutatjuk a probléma gyökerét és arra keresünk gyógyírt. Egy ilyen megoldás implementálásával proaktívan előzhetjük meg az adott problémák tömegessé válását.

Három kulcspont a hatékony IT üzemeltetéshez

A fentiek alapján tehát akkor járunk jól, ha elkezdünk olyan termékeket használni, amelyek hatékonyan segíthetik a munkánkat. Ez lehet egy tudásbázis, egy monitoring eszköz, vagy mondjuk egy SCCM típusú termék, amely a távoli telepítést és menedzselést segíti. Utóbbival például rengeteg pénz, idő és energia spórolható meg, hiszen nem kell minden egyes alkalommal kicaplatni az ügyfélhez, hanem távolról intézhetők a frissítések.

Foglaljuk össze röviden, melyek azok a pontok, amelyekre odafigyelve megoldható a proaktív IT üzemeltetés bevezetése és hatékony használata.

Tudásbázis

A tudásbázis kiépítésének első lépése minden bizonnyal a dokumentáció iránti igény kialakítása. Ezután vehetünk bele olyan dolgokat a tudásbázisba, amelyek nem szerves részei egy dokumentációnak, leírásnak. Ezeket is elkezdhetjük a közös felületen összegyűjteni, rendszerezni, kategorizálni. Ehhez akad számtalan remek céleszköz, de akár egy helpdesk rendszerre is építhetünk.

Emellett szükséges, hogy felismerjék, hogy akadnak visszatérő dolgok, amelyeknek hosszútávú hatása lehet. Ezeket már alacsony szinten fel kell tudni ismerni, kigyűjteni őket, s közzétenni a tudásbázisban. Ha ez így történik, akkor nem stresszhelyzetben szembesülnek először a problémával, emellett pedig az adott hiba megoldására így több idő jut, nyugodtabban lehet átgondolni, s jobb megoldásokat lehet találni, mintha élesben kell rögtönözni, kapkodni. Még az is előfordul ilyen esetekben, hogy a körültekintőbben végiggondolt megoldások akár egyéb hibák esetében is alkalmazhatók lesznek, így egy csapásra több szinten is megkönnyíthetjük a saját dolgunkat. Ráadásul ez olyasféle önfejlesztő folyamat is egyben, amely nem csak az analitikus gondolkodást segíti, hanem a képes felhozni a szakmaiságot is, hiszen új dolgokra is fény derülhet. Kiváló tanulási alap.

Monitoring

Ez az abszolút klasszikus kulcspont. Egy jól konfigurált, megfelelően paraméterezett monitoring még azelőtt jelez nekünk, hogy a felhasználó szembesülne a hibával. Egyszerű példával élve: nem azt jelzi, hogy betelt a merevlemez, hanem már azt is, ha túlságosan lecsökkent rajta a szabad hely. Így még a háttértár teljes telítődése előtt megtehetjük a szükséges lépéseket, a felhasználó pedig ebből mit sem érzékel, ugyanúgy végezheti a dolgát, mint azelőtt.

Emellett a monitoring rendszer kiváló forrás elemzésekhez is. A visszanyerhető adatok vizsgálatával számtalan megbújó hibára, fejlesztendő területre, leendő beruházási pontokra bukkanhatunk rá, amelyek amúgy észrevétlenül megbújnának az infrastruktúra egészében, s csak későn szembesülnénk velük.

Távoli üzemeltetés

Végül szintén sokat segíthetnek a hatékony IT üzemeltetési rendszer kiépítésében a különféle távoli üzemeltetést lehetővé tévő megoldások. Ilyen például a Microsoft SCCM, de természetesen a redmondi megoldáson kívül is akad még seregnyi remek eszköz ezen a területen.

Ezek segítségével megoldható a távoli telepítés, frissítés, szoftvermenedzselés. Nem vagyunk sem helyhez, sem az adott felhasználóhoz kötve. Még csak fárasztanunk sem kell azzal, hogy az apróbb frissítésekről értesítsük, adott esetben a háttérben, észrevétlenül megoldható minden.

Mivel a kiberbűnözők a COVID-19 miatt (is) aktívabbak mint azelőtt, már nincs idő a felhasználó kénye-kedve szerint időzítgetni egy fontos biztonsági frissítés telepítését. Hosszú távon ezzel anyagi és erkölcsi szempontból is jót teszünk a céggel, hiszen manapság egy adatvesztés - s pláne egy adatlopásos esemény - mindkét szempontból képes a vállalatokat megtépázni.

Összegzésül

Az üzemeltetés tulajdonképpen egy szervezet, s ha innen nézzük, számos rétegből áll össze. Amennyiben ezek a rétegek megfelelően épülnek fel - klasszikus példa erre egy call center, egy helpdesk, a felhasználókkal foglalkozó üzemeltetők, a user adminisztrátorok, és az üzemeltető mérnökök -, akkor kialakul egyfajta összhang. Így amellett, hogy jól tudnak egymással dolgozni, tanulhatnak is egymástól, minden irányban. Ráadásul ez egyfajta karrierépítésre, fejlődésre is lehetőséget nyújt.

Emellett mindig kell, hogy legyen valaki - csoportvezető -, aki amellett, hogy végzi a munkáját, egyben felügyeli is az egészet, hogy ha esetleg valahol elakadás van, ott is sikerüljön áthidalni a kihívásokat. A döntéshozást érdemes olyasvalakire bízni, aki átlátja az egészet és tud segíteni másoknak is a döntéseik meghozatalában. Ez is egyike a fontos kulcspontoknak, amelyekkel kiépíthető a hatékony IT üzemeltetés.

Még nincs vége: digitális veszélyek, COVID-ra kihegyezve

Krékity Gusztáv cikke

2021. március 10. - EURO ONE

Tavaly közzétettünk egy statisztikákkal megtűzdelt bejegyzést arról, milyen módon használják ki a világjárvány generálta félelmet és káoszt a kiberbűnözők, hogy sikeres támadásokat hajtsanak végre világszerte. Itt olvasható. Most megjelentek a Trend Micro elemzőcsapatának legfrissebb kutatási adatai arról, miként lovagolták meg a vírusjárvány második hullámát a rosszindulatú hackerek, milyen támadási kísérletekkel igyekeztek megtéveszteni áldozataikat.

digitalis-veszelyek.jpg

Még mindig itt van velünk

Bár 2020-at már magunk mögött hagytuk, a világjárványtól sajnos nem sikerült megszabadulnunk, továbbra is hatalmas zavart okoz a vállalkozások mindennapi életében. Az üzleti műveletek fenntarthatósága miatt - a távoli munkavégzés mellett - a felhő alapú megoldások használata átlagosan 35%-kal növekedett a céges környezetekben, 2019-hez képest. Ez a szám várhatóan tovább növekszik majd a közeljövőben, hiszen a Cloud, mint megoldás, a digitális átalakulás középpontjába került.

A támadók rutinosan alkalmazkodtak a helyzethez és egyre összetettebb, bonyolultabb támadási technikákat vetettek be, ám ezeket a jól bevált módszerekbe csomagolták. Így továbbra is vezető szerephez jutottak az e-mail üzenetekben érkező támadások: Phishing, Malspam, Social Engineering, Malware vagy BEC.

A következő kimutatásokat és adatokat a Trend Micro Cloud App Security segítségével publikálta a gyártó. Ehhez különböző üzleti területen tevékenykedő és eltérő méretű cégek adatait dolgozták fel, anonim módon.

A COVID-19, mint eszköz, minden téren

Mint azt korábban már megírtuk, 2020 január és június között közel 9 millió, a COVID-19-hez kapcsolódó fenyegetést észleltek, azonban év végére már több mint 16,7 millió magas kockázatú e-mail fenyegetést detektált és blokkolt sikeresen a Trend Micro API eszköze, amelyet a Microsoft M365 második védelmi rétegeként integráltak a céges környezetekbe. Az összegző statisztikából megállapítható, hogy a támadások intenzitása növekedett, de az összetett BEC támadások száma a teljes évet figyelembe véve valamelyest csökkent. Eközben az adathalászat mértéke is érezhetően megnőtt. Az adathalászat és a megtévesztésre épülő támadások legnépszerűbb témája pedig egyértelműen a COVID-19.

1_5.jpg

A távmunka hétköznapivá válásával 50-60%-kal nőtt meg az internetszolgáltatók leterheltsége: csak Délkelet-Ázsiában több mint 40 millió ember használta életében először otthoni munkavégzésre az internetet. A home office-ra való átállással arányosan növekedett az igény a meetingek megvalósításához szükséges alkalmazások használatára, miközben a levelezés is elengedhetetlen részét képezte a munkavégzésnek, hiszen ezzel lehetett a leghatékonyabban megoldani a kapcsolattartást munkatársakkal, ügyfelekkel. Egy felmérés szerint a pandémia alatt már átlagosan napi 306,4 milliárd e-mailt küldtek és kaptak naponta a felhasználók. Sajnos az e-mailek túlnyomó része fertőzött volt, vagy rosszindulatú tartalommal érkezett.

Annak ellenére, hogy a felhős rendszerek és szolgáltatások rendelkeznek beépített fenyegetésészleléssel és blokkolási képességekkel, a Trend Micro CAS által szolgáltatott adatok azt mutatják, hogy több millió fenyegetésnek sikerült kicseleznie ezeket az integrált szűrőket.

2_4.jpg

A példa kedvéért a fenti képen jól látszik, hogy egy 10 ezer felhasználós környezetben, ahol M365 E3 integrált védelemmel rendelkezett az ügyfél és egy Cloud App Security is rendelkezésre állt második védelmi rétegként, kicsivel több mint 755 ezer magas kockázatú kártékony tartalommal rendelkező levél került blokkolásra 2020 január és december között. Ez egyébként felhasználónként körülbelül 75 kártékony levelet jelent, amelyeket az alap szűrési csomag natív védelmi szolgáltatása tisztának jelölt. Ezek alapján bizony érdemes megfontolni a rendszerekben a többrétegű védelem kialakítását, hogy sikerrel vehessük fel a harcot a támadókkal szemben.

Az adathalász támadások számának és kifinomultságának növekedése

2019-hez képest a 2020-as évben jelentős növekedést tapasztaltak az adathalász kampányok számában, amelyek a korábbi esetekhez képest kifinomultabbak, szofisztikáltabbak lettek és egyre inkább személyre szabottá váltak. Ezek a támadások jellemzően arra építenek, hogy a gyanútlan áldozatoktól egy jól felépített hamis oldalon keresztül céges belépési hitelesítő adatokat szerezzenek meg.

3_3.jpg

Csökkenő számú BEC támadások, növekvő veszteségekkel

A BEC támadások visszaesése valószínűleg a kifinomultabb technikáknak köszönhető. Bár az elmúlt évek növekedéséhez képest a BEC alapú támadások száma mostanában inkább csökkent, mégis ez a támadási forma okozta a legnagyobb veszteséget az áldozatoknál. A támadások számának csökkenésével párhuzamosan az okozott kár mértéke ugyanis növekedett az elmúlt évekhez képest. Az APWG (Anti-Phishing Working Group) nemrég tette közzé, hogy 2020 első felében egy sikeres BEC támadás átlagos költsége 54 000 USD volt, de 2020 második felére ez az összeg átlagosan legalább 80 183 USD veszteséget okozott egy sikeres támadás során. A Trend Micro publikálta, hogy 2020 során ők 317 575 BEC támadást blokkoltak összesen.

Népszerűbbek és összetettebbek lettek a rosszindulatú programok

A levelekben detektált és letiltott kártékony fájlok száma 16%-kal nőtt 2020-ban. Több, mint 1,1 millió rosszindulatú program észlelése alapján a Trend Micro azt a következtetést vonta le, hogy az ismert kártékony programok aránya 14%-kal, az ismeretlen kártékony kódok aránya pedig 17%-kal nőtt tavaly.

4_1.jpg

Összegzésül

Összességében elmondható, hogy az elmúlt évben az egészségügyi válságot nem csak az első hónapokban igyekeztek meglovagolni a támadók, hanem egész évben - kisebb-nagyobb intenzitás csökkenéssel, de - visszatértek hozzá. A BEC támadások száma csökkent, de a veszteségek ennek ellenére növekedtek a sikeres támadások által. Az elmúlt év tapasztalatai alapján elmondható az is, hogy a világjárvány idején - és még bőven azon is túl - az információbiztonságnak minden vállalkozás számára prioritást kellene élveznie, mérettől függetlenül. A vállalatok és szervezetek minden eddiginél jobban és sokkal nagyobb mértékben támaszkodnak a felhő alapú e-mail szolgáltatásokra és alkalmazásokra. A szervezeteknek mérettől függetlenül többrétegű biztonsági megoldásokkal érdemes tervezni, s megnövelni az integrált védelmi megoldások hatékonyságát a biztonság fokozása érdekében. Mindezt nem csak a levelezésnél, de a többi együttműködési platformon - például M365 Teams, Google Workspace stb. - esetében is.

Mire figyeljünk egy többrétegű védelem kiválasztása során?

Fontos, hogy a megoldások jövőbemutató technológiákat alkalmazhassanak. Így például:

  • Gépi tanulási képességek az e-mail üzenet szövegtörzsének ellenőrzésekor vagy a mellékletben található gyanús tartalom ellenőrzésénél.
  • Érdemes figyelni arra, hogy az integrált megoldás rendelkezzen saját Sandbox funkcióval, amely képes a fejlett és ismeretlen támadások ellen hatékonyabb védelmet nyújtani.
  • A megoldásnak támogatnia kell a belső levelezés ellenőrzését, hogy a BEC támadásokat sikeresen észlelje és blokkolja.
  • Támogassa és alkalmazza az optikai karakterfelismerési technikákat (OCR).
  • Támogassa az adatszivárgás detektálást és tegye lehetővé a DLP házirendek kialakításának a lehetőségét.
  • Legyen képes védelmet nyújtani az adatvesztéssel és a kártékony kódokkal szemben a felhő alapú fájlmegosztásokban (OneDrive, SharePoint, Google Drive, Dropbox stb.).
  • Kínáljon zökkenőmentes integrációt a meglévő felhőalapú beállításokkal.
  • Minimalizálja a további erőforrások bevonásának szükségességét, a fenyegetések kockázatának automatikus felmérésével.

Tavaly szeptemberben volt egy webinárunk, ahol arról beszéltem, hogyan védjük ki a támadásokat Microsoft 365 esetén. Ide kattintva elérheted a videót. 

Palo Alto Networks jóslatok 2021-re

Krékity Gusztáv cikke

2021. február 01. - EURO ONE

Két dolog egészen biztosan nem maradhat el egy új év első hónapjában: a fogadalmak és a jóslatok. Így van ez természetesen 2021-ben is, s nem kivétel ez alól az IT biztonság területe sem. A piac vezető szereplői minden januárban elkezdik kialakítani a következő hónapokra vonatkozó elképzeléseiket azzal kapcsolatban, hogy mire is számítanak, vagy épp milyen kulcsszerepet kapó trendek várhatók az adott esztendőben. Idén sem volt másképp: ahogy annak lennie kell, megérkeztek a jóslatok arról, miként képzeli el Palo Alto az új évet. Ezeket az elképzeléseket szeretnénk most megosztani veletek.

Fokozott próbatételek utáni élet

2020 meglehetősen rendhagyóra sikerült, s ennek köszönhetően vízválasztónak tekinthető az IT biztonságban is. Rengeteg új kihívással és próbatétellel szembesültünk a pandémia időszakában. Mivel a COVID-19 hatása nagy valószínűséggel a következő években is érezhető lesz, a vállalkozásoknak tovább kell gondolniuk IT, illetve azon belül IT biztonsági stratégiájukat, hogy hosszabb távon eligazodjanak az új normák között. Mivel egyre jobban függünk a technológiától, létfontosságú kérdés, hogy mennyire lesznek képesek biztosítani a vállalkozások a 2021-es digitális jövőt. De talán még ennél is fontosabb felvetés, hogy mennyire lesznek képesek biztonságosan megoldani a felmerülő kihívásokat.

Következzenek hát a Palo Alto Networks által megfogalmazott, kiberbiztonsággal kapcsolatos előrejelzések, amelyek 2021-ben befolyásolhatják a digitális világot.

IoT eszközök számának növekedése

A legfrissebb IoT biztonsággal kapcsolatos kutatások szerint a BYOD növekvő szerepének köszönhetően egyre több nem céges, üzleti jellegű eszköz kapcsolódik a belső hálózatokhoz. Jól megfigyelhető, hogy a biztonsági irányelvek az elmúlt időszakban enyhültek, hogy lehetővé váljon a dolgozók számára a kényelmesebb munkavégzés. Ez azonban azzal jár, hogy a rendszerek a végfelhasználói eszközök számának növekedésével sokkal nehezebben felügyelhetők és kevésbé átláthatók, ráadásul jelentősen megnő a biztonsági kockázat is.

Terjednek a pandémiára építő csalások

Legyen szó nagyvállalati környezetről, kis- és középes vállalkozásokról vagy épp magánszemélyekről, a pandémia idején sajnos minden szinten jóval több sikeres támadás történt, mint az elmúlt években. Immár bárkiből, bármikor lehet áldozat, nem csak egy potenciálisan kiemelt intézményből vagy szervezetből. A támadók idén is kihasználják majd a COVID-19 által generált zavaros és félelemmel teli helyzetet: számtalan elterjedt pszichológiai manipulációval hatnak az emberek kétségbeesésére. Utóbbi ugyanis nagyszerű táptalaj az adathalászathoz és a bankkártyás csalásokhoz.

Munkavállalói kimerültség

Az elmúlt időszakban csökkent a személyes találkozások lehetőségének száma és egy digitális térben történő folyamatos, csak minimális szünetekkel megszakított kommunikációra álltunk át. A digitális munkára történő váltás magával hozta, hogy új IT biztonsági oktatási programokra is felhívjuk a figyelmet. Mit jelent ez pontosan? Nos, figyelni kell például arra, hogy az emberek képesek legyenek észrevenni a szellemi fáradtság és a koncentráció csökkenésének a jeleit, s ennek kapcsán megfelelő mennyiségű szünetet tervezzenek be a megbeszélések közé. A vállalkozásoknak számolniuk kell az emberi hibatényezőkkel is. A távoli kapcsolatokat, céges erőforrás eléréseket fokozottan kell figyelni és ellenőrizni az otthoni munkavégzés során.

Terjed az 5G

Egy ideje hatalmas beruházások zajlanak a háttérben az 5G bevezetésére, s vélhetően 2021 lesz az az év, amikor a kiberbűnözők már elkezdik kihasználni az új lehetőségeket és feltérképezni azokat a módszereket amelyekkel 2022-ben már a kiépített 5G hálózatokat támadhatják. Miért 2022-ben? Leginkább azért, mert jelenleg még túlságosan csekély az 5G kihasználtsága. Azonban 2022-re jó eséllyel a piaci szereplők közel egyharmada átáll az 5G használatára Európában. Ráadásul arra is számíthatunk, hogy egyre többen vezetnek majd be 5G alapú privát hálózatokat a közeljövőben, hiszen ez remek eszköz lehet a gyorsabb és hatékonyabb munkavégzés elősegítésére.

Irány a felhő!

A közelmúltban egyre több európai vállalat kezdte megtervezni, hogy a kulcsfontosságú üzleti folyamatait miként mozgassa át felhőbe az elkövetkező évek során. A világjárvány miatt e folyamatok sok helyen rohamtempóban zajlanak és csupán néhány hónapos migrációs tervezésre alapoznak ahelyett, hogy a jelenlegi folyamatok újradefiniálására szántak volna időt. A felhőbe költözés kritikus fontosságú lépés, amelyet jól meg kell tervezni. A megvalósíthatóságot biztonsági szempontból is át kell vizsgálni, mert bár a folyamtok ugyanazok maradhatnak, ám a környezet és az információk biztonságának védelme alaposan megváltozik. A vállalkozások többsége 2021-ben már a migrációs folyamatok második szakaszának megvalósítását tervezi, hogy mielőbb kiaknázhassa a szervezet a felhő használatából származó előnyöket. A gyors migráció azonban sok esetben vezethet - vagy adott esetben a közelmúltban vezetett is - biztonsági hiányosságokhoz, s ennek következményeként egyre több felhő alapú környezetben lehet adatlopásra számítani idén.

A SOC csapatok problémáinak növekedése

2021-ben a jelentős mértékű szakemberhiány mellett a korai kiégés lehetősége is fejfájást okozhat majd. Sok SOC csapat megszokta már munkája során, hogy több forrásból, több monitoron keresztül kell kezelni egy–egy támadást és a kivizsgálási folyamatokat. Emellett azon sem csodálkoznak, hogy a biztonsági megoldások száma évről évre növekszik. A megszokás azonban nem jelenti azt, hogy ez a jó irány. Az eszközök számának növekedése több kivizsgálandó hamis riasztást generál, amelyek elfedhetik a valós veszélyeket. Az elemzők gyorsabban kifáradnak, kiégnek. A klasszikus SOC koncepciót érdemes újragondolni és elgondolkodni az automatizációs lehetőségek bevezetésén, vagy épp az ML és AI alapú megoldások alkalmazásával segíteni a SOC-ban dolgozókat, hogy proaktívak legyenek a támadókkal szemben.

Shadow IT növekedése az ipari környezetekben

Az Shadow IT, avagy az árnyékinformatika az OT környezetekben is egyre inkább jelen van. A digitalizálási folyamatok jelentősen felgyorsulnak és többnyire az elavult OT rendszereket igyekeznek összekötni IoT megoldásokkal. Az IT és OT környezetben egyaránt nagy kihívást jelent az árnyékinformatika felderítése. Az energetikai ipar egyre jobban bővíti az IoT eszközök használatát 2021-ben, de a Zero Trust megoldások is fokozatosan népszerűbbé válnak. A SOC csapatoknál egyre inkább összevonásra kerül az IT és az OT, IIoT megoldások figyelése és monitorozása.

A kiberbűnözők és a COVID kapcsolata

A bűnözők naprakészen követik az épp aktuális trendeket, híreket, amelyek segítségével egy-egy támadást felépíthetnek és sikeresen végrehajthatnak. 2020-ban ez nagyrészt a világjárvány okozta félelemre és érdeklődésre összpontosult: számos COVID-19 tartalommal ellátott BEC támadást és kampányt hajtottak végre sikeresen a rosszfiúk. Nem lesz ez másként idén sem, az egyetlen változást valószínűleg a támadások számának további növekedése és az egyre kifinomultabb módszerek jelentik majd.

Zárszóként

Így a végére következzen egy idézet, amely szerintük remekül összefoglalja a fentieket. Heider Pasha a Palo Alto Networks MEA vezetője szerint:

„A 2020-as év a globális világjárvánnyal párosulva soha nem látott módon megváltoztatta a szervezetek és az egyének életének mindennapi aspektusát, ideértve a Közel-Keleten végzett munkákat, életvitelünket és az üzleti tevékenységeket is. A következő évben a technológiai fejlődés hatására beleértve az 5G hálózatokat, a felhő és a ZTP technológiák növekedését új kihívásokat és biztonsági réseket is fogunk tapasztalni. Megfelelő kiberbiztonsági stratégiák mellett azonban az informatikai felsővezetők jól felkészülhetnek ahhoz, hogy átláthatóvá tegyék és legyőzzék az újév kihívásait.

Kövess minket a LinkedIn-en!

Megfontolandó IT biztonsági tanácsok 2021-re

Krékity Gusztáv cikke

2021. január 13. - EURO ONE

Ha nagyon finoman akarunk fogalmazni, akkor egy igen szokatlanra sikerült éven vagyunk túl 2020 hátrahagyásával. Nem csak a valóságban tomboló COVID-19 járvány, hanem a virtuális világban megjelenő - sok esetben a járvány által generált félelemre építő - rengeteg új biztonsági kockázat és fenyegetés is próbára tett mindenkit. Reméljük, azért legalább az év vége viszonylagos nyugalomban telt a többségnek és sikerült - a lehetőségekhez mérten - méltón ünnepelni és átkelni az új évbe. Ezúton is mindenkinek BÚÉK!  

Ám az ünnepnek vége, indulnak 2021 dolgos hétköznapjai, s nem is mi lennénk, ha nem azzal kezdenénk az évet, hogy néhány hasznos biztonsági tanáccsal szolgáljunk a blog olvasóinak. Merthogy ez az év szintén nem lesz egyszerű, sem a valóságban, sem a számítógépek és okoseszközök világában. Utóbbiban már csak azért sem, mert a pandémia hatására az elmúlt hónapokban a távmunka sosem látott méreteket öltött, ami jelentősen megnövelte a biztonsági kihívásokat. S így lesz ez idén is.

A biztonságos távmunka biztosítása

Szóval a tavalyi évhez hasonlóan idén is sokan dolgoznak távmunka keretein belül otthonról, amit a támadók sajnos előszeretettel kihasználnak. Az elmúlt év tapasztalatai és visszajelzései alapján elmondható, hogy a világjárvány következtében rengeteg vállalatnál döbbentek rá: hiányoznak náluk a megfelelő irányítás és a biztonságos távkapcsolat kialakításának alapjai, mert a múltban ez nem volt kiemelt szempont. Emellett számos olyan vállalat akad, amelyek ellenálltak, sőt, még mindig ellenállnak az otthoni munkavégzés bevezetésének.

Ha viszont egy vállalatánál az elmúlt évben gyorsan kellett cselekedni és megalapozni a távoli munkavégzés lehetőségét, vagy épp most fontolgatják a hosszútávú távoli munkavégzés kialakítását, akkor nagyon fontos teendő, hogy idén mielőbb meghatározzák az irányelveket, szabályokat, végrehajtási eljárásokat. A megfelelő szabályozások és eljárások lefektetésével hozzájárulhatunk ahhoz, hogy az alkalmazottak tisztában legyenek a vállalati eszközök, hálózatok használatának elfogadható módjaival, az ezzel járó felelősséggel, illetve a szervezeti elvárásokkal és folyamatokkal. A biztonságos távmunkáról már írtunk, itt találod. 

BYOD felügyelet

Manapság egy modern hálózatban, munkakörnyezetben a BYOD kezelése kritikus és kulcsfontosságú, főként az otthoni munkavégzésnél. A távoli végpontok kezelése és megfelelő védelme nélkül hatalmas kockázatot vállalunk. Így például a céges hálózatot és vállalati környezetet kiemelten veszélyeztetheti egy hiányos védelemmel rendelkező rendszer, amely VPN-t használ a vállalti hálózatok elérésére. Éppen ezért győződjünk meg arról, hogy rendelkezünk olyan eszközzel, amellyel - megfelelő ellenőrzések mellett - biztosítani tudjuk a VPN hozzáférést a vállalati tulajdonban lévő erőforrásokhoz és adatokhoz. Fontos felügyelni, hogy melyik végpontról ki és milyen erőforrásokhoz férhet hozzá a távoli munkavégzés során, hiszen egy ismeretlen BYOD eszköz használatakor nem tudhatjuk, mi lapul egy felügyelet nélküli végponton. 

Végpontvédelem

Amennyiben az elmúlt év során nem tettük, idén érdemes megfontolni egy fejlett végpontvédelmi megoldás bevezetését , mert ezáltal a támadások jelentős része még időben megállítható. Sok vállalat küzd azzal, hogy On-prem végpontvédelmet használnak, és nem tudják frissíteni a vírusvédelmi rendszert anélkül, hogy a végpont ne csatlakozna a céges hálózathoz. E probléma elkerüléséhez előnyös lehet egy jövőbe mutató felhő menedzsmenttel rendelkező, következő generációs végpontvédelmi rendszer bevezetése, hiszen így anélkül frissíthető, menedzselhető, ellenőrizhető egy végpont, hogy csatlakoznia kellene a céges VPN-hez. Végpontvédelemről szóló korábi cikkünket itt találod. 

VPN kapcsolatok biztonságos kialakítása

A bejegyzés elején említettem, hogy sok céggel találkoztunk amelyeknél hirtelen, fejetlenül kapkodva oldották meg az otthoni munkavégzéshez szükséges biztonságos távoli kapcsolat kialakítását, valamelyik - általában átgondolatlanul kiválasztott - SSL VPN megoldással. A kialakítás során számos ügyfél választotta a „get-it-work” megközelítést, s nem volt képes megfelelően biztosítani és levédeni azokat a VPN belépési pontokat, amelyekre valóban szükség lett volna a biztonságos távoli munkavégzés során. De mire is van szükség ahhoz, hogy biztonságosan tudjunk távolról a céges erőforrásokhoz és adatokhoz hozzáférni?

   Megfelelő VPN koncentrátorra vagy olyan tűzfalra, amely támogatja a szükséges VPN koncentrátori funkciókat és ellenőrizhetővé, szabályozhatóvá varázsolja a munkavégzéshez szükséges eléréseket.

   Felhasználói szerepkörök és hozzáférések kialakítására. 

   Kizárólag megbízható és ellenőrzött végpontok beengedésére a céges hálózatra, amelyeket teljes mértékben tudnunk felügyelni.

   A biztonságos távoli eléréshez legalább kétfaktoros hitelesítés bevezetésére.

Ezt a korábbi cikkünket ajánljuk ehhez a témához. 

Védelmi intézkedések validálása

Tudatában kell lennünk, hogy a védelmi intézkedések és szabályozások validálását pandémiától függetlenül is mindig el kell végezni. Számos ügyfél, IT és IT biztonsági csapat dolgozott az elmúlt évben azon, hogy olyan rendszert és védelmi megoldásokat alakítsanak ki, amellyel kellő hatékonysággal képesek megvédeni a felhasználókat. Immár legalább 9 hónapja dolgozunk otthonról, s a legtöbb új rendszer aktív részét képezi a céges infrastruktúrának, eljárásoknak. Így idén érdemes megkezdeni a vállaltoknál az újonnan bevezetett védelmi megoldások, intézkedések biztonsági felülvizsgálatát és tesztelését. Ez megvalósítható Red Team, Blue Team vagy Purple Team bevonásával annak érdekében, hogy megtudjuk, az újonnan telepített megoldások mekkora hatékonysággal képesek megvédeni a hálózatot, a távoli végpontokat és a felhasználókat. Olvasd el a korábbi bejegyzésünket a témához kapcsolódóan itt.

Tarts idén is velünk, nézd meg a videónkat. MEGNÉZEM

Kövess minket a LinkedIn-en, hogy értesülj a rendezvényeinkről.

ISMS tévhitek, avagy lássunk az ISO 27001 tanúsítványon túl

Tóth Tamás cikke

2020. november 24. - EURO ONE

Az ember azt hihetné, a szabványok pont olyan egyértelmű dolgok, mint a napfelkelte és naplemente. Mindig pontosan tudjuk, mikor, mire számíthatunk velük kapcsolatban. Pedig a helyzet korántsem ennyire egyértelmű. Itt van például a ISO 27000 szabványcsaládba tartozó 27001 szabvány, melynek megnevezése minden információbiztonsággal foglalkozó szakember számára ismerősen cseng: az első kiadása már 15 éves, a gyökerei pedig 25 évre nyúlnak vissza. Mivel az ISO 27001 világszerte ismert és meghatározó szabvánnyá vált, sokan legyintenek a neve hallatára, de valójában a mai napig számos tévhit és rossz gyakorlat él a szabvánnyal, illetve az azon alapuló Information Security Management System-mel (ISMS) kapcsolatban.

blogbejegyzes-iso.png

Egy ISMS bevezetése a szervezetek életében mérföldkő, hiszen összetett és bonyolult feladat, de mindig akadnak általános alkalmazandó lépések és közös elvek, amelyek gyakran tankönyvszagúnak hatnak. Cikksorozatunkban ezeket a lépéseket, elveket, gyakorlati tapasztalatokat kívánunk megosztani és szeretnénk eloszlatni néhány tévhitet.

Első tévhit: az ISO 27001 az IT biztonságra vonatkozik, így csak az IT-t érinti

Van két témakör, amelyeket gyakran szeretnek összemosni: az információbiztonság és az IT biztonság. Sokan az egész kérdéskört kizárólag technológiai oldalról közelítik meg. S bár kétségtelen, hogy e nézőpont az új és egyre kifinomultabb fenyegetések miatt fontos, de hiba lenne csupán erre szorítkozni.

Az ISO 27001 szabvány kontrolljainak kb. 40%-át technológiai, a maradék 60%-át pedig nem technológiai kontrollok teszik ki: szállítói kapcsolatok, felelősségek, teljesítménymérés, kockázatkezelés, vagyonelemek kezelése vagy akár a fizikai biztonság. Az ISO 27001 szabvány egy évek óta bevált keretrendszerbe foglalja a jól ismert, biztonsággal kapcsolatos people-process-technology hármast, s ebbe a csomagba tökéletesen illeszkednek az IDM megoldások, a felhőalapú szolgáltatások vagy akár az új generációs tűzfalak és a SOC.

Részben az elterjedt technológiai megközelítés táplálja a gyakori tévhitet, mely szerint az információbiztonság kizárólag az IT feladatköre. Valójában az IT üzemeltetésen kívül a fejlesztőknek, a HR-nek, a beszerzésnek, a jognak, a belső ellenőrnek (auditornak), a GDPR óta az adatvédelmi tisztviselőnek, a fizikai biztonsági személyzetnek, a felhasználóknak és nem utolsó sorban a menedzsmentnek is vannak felelősségeik.

Második tévhit: ISO 27001 tanúsítvánnyal rendelkezünk, biztonságosak vagyunk

A legtöbb szervezet elsősorban valamilyen szerződéses kötelezettség teljesítése végett, esetleg anyavállalati nyomásra vezet be és működtet ISMS-t. Az önálló elhatározás ritka, mint a fehér holló. Emiatt az ISMS bevezetések túlnyomó többségénél a falon lógó tanúsítvány a cél, s ezt a különböző sablonokkal, toolkit csomagokkal nem különösebben nehéz elérni. A megfelelés ilyen esetekben háttérbe szorítja a hatékony irányítást és a kockázatkezelést, s ennek veszélye, hogy ezzel a megközelítéssel az ISMS folyamatai, elvei nem épülnek be a szervezet folyamataiba, így nem szállíthat hozzáadott értéket.

Részben az előbbiek miatt, a tanúsítható irányítási rendszerek és más szabványoknak való megfelelés gyakran hamis biztonságérzetet ad a szervezeteknek és partnereiknek, miközben az egyszerű megfelelés korántsem egyenlő a valós, kockázatokkal arányos biztonsággal. Erre a legjobb példái a közelmúltban, a légiközlekedési iparágban végrehajtott támadások, amelyeket olyan légitársaságok is elszenvedtek, amelyek támadásban érintett rendszerei megfeleltek a - legszigorúbb információbiztonsági szabványok közé tartozó - Payment Card Industry Data Security Standard-nak (PCI-DSS). A falon talán tényleg ott lógott a tanúsítvány, de a gyakorlatban ennek vajmi kevés hasznát vették ezzel a hozzáállással.

Harmadik tévhit: nincs szükségünk kockázatkezelésre - és paradigmaváltásra -, az csupán formalitás

A falon lógó tanúsítvány esetét szembe lehet állítani a kockázatalapú- vagy akár a Governance Risk Compliance (GRC) megközelítéssel, ahol az információbiztonság valós hozzáadott értéket ad egy szervezetnek. A szórólapok már számtalan felsorolásban összegyűjtötték az ISO 27001 jellemzőit és előnyeit, de a kockázatkezelés jellemzően kimarad a listából, vagy nem kapja meg az őt megillető hangsúlyt.

Egyértelmű, hogy az ISMS fő célja az információbiztonsági kockázatkezelés kereteinek kialakítása és működtetése, ehhez viszont a legtöbb esetben paradigmaváltásra van szükség, ugyanis sok szervezetnél nem folytatnak szervezeti szintű kockázatkezelést (Enterprise Risk Management) és az információbiztonsági kockázatokat sem kezelik formális módon. Pedig az információbiztonsági kockázatok kezelése növeli a hatékonyságot, ami a kitűzött célok elérését és költségek csökkenését is eredményezheti.

A kockázatkezelés célja a bizonytalanság orvoslása, hiszen ennek köszönhetően a szervezetek kiszámíthatóbb módon működhetnek és ellenállóbbá válhatnak. Az összetett jogszabályi és iparági követelmények és a potenciális partnerek szerződéseinek hosszú információbiztonsági mellékletei sok szervezetet kihívás elé állítanak, de ezeket is be lehet, sőt, be is kell csatornázni a keretrendszerbe.

A fentiekből következik, hogy a kockázatkezelést - és az egész ISMS bevezetést, annak fenntartását - nem pusztán egy falra akasztható tanúsítványért érdemes végigvinni. Éppen ezért kell becsatornázni az aktuális kérdéseket, elvárásokat, aggodalmakat, és tartalommal megtölteni az ISMS-t. Ellenkező esetben a tévhitek tovább gyarapodnak.

Negyedik tévhit: az ISO 27001 bevezetése és fenntartása rengeteg adminisztrációval jár

Kétségtelen, az ISMS bevezetés és fenntartás adminisztrációjával és dokumentációjával kapcsolatos fenntartások részben jogosak, hiszen a dokumentált információ elve - szigorúan a kockázatkezelés és a menedzsment elkötelezettsége után - az ISO 27001 egyik legfontosabb eleme. A dokumentált információ elve biztosítja, hogy az evidenciák alapján az auditorok meggyőződhessenek az ISMS megfelelő működéséről.

E kérdést érdemes megfordítani és az érettségi szintek felől közelíteni. Akár a COBIT, akár a CMMI szerint értékeljük egy tevékenység érettségét, a dokumentáció mindenhol szóba kerül, hiszen enélkül képtelenség érettségi szintet lépni. Sajnos a dokumentáció kialakítása mindig a legkevésbé kedvelt feladatok közé tartozott, de ettől még számos előnye van. Gondoljunk csak a fluktuáció miatti tudásdeficitre, amit nem ugyan lehet teljesen kiküszöbölni, csökkenteni azonban igen!

Közhelynek tűnhet a silószerű működés, de jelen esetben is érdemes felszámolni. Ennek érdekében minden dokumentációt a szervezet már meglévő dokumentációs struktúrájába kell illeszteni, méghozzá a szervezet méretének megfelelően. Egy multinacionális nagyvállalatnak dokumentációs struktúrája persze más felépítésű, mint amit egy kkv esetében használnak. A GRC platformok (például az RSA Archer) megjelenésével bebizonyosodott, hogy ezen a területen az Excel táblázatokon túl is van élet, ami ráadásul hatékonyabb: elég csak az előkészített use case-ekre, applikációkra, vagy a többes hozzárendelésekre gondolni. Egy bizonyos szervezeti méret fölött célszerűbb ilyen GRC megoldásokat használni.

Ötödik tévhit: a sikeres ISO 27001 tanúsítás után nincs teendőnk

Milyen szép is lenne, ha a tanúsítvány falra akasztása után tényleg nem kellene többé foglalkoznunk az ISO 27001 kérdéskörével. Úgy tűnik, a többség fejében élénken él ez a tévképzet, mert - más szabványokhoz és tanúsítványokhoz hasonlóan - az ISMS-re is igaz, hogy sokszor a sikeres tanúsítást követően elhanyagolják őket. Vagyis a menedzsment elkötelezettsége drasztikusan csökken, a felelősök pedig gyakran csak az audit előtt végzik el a fenntartáshoz szükséges - egyébként szerteágazó és fontos - tevékenységeket.

A fenti megközelítés okait elsősorban arra lehet visszavezetni, hogy berögzülnek a rossz gyakorlatok, ennek következtében az ISMS-t nem sikerült megfelelően beilleszteni a szervezetbe és a folyamatokba, valamint a dokumentáció többlet terhet ró a felelősökre, ahelyett, hogy egyszerűsítené a munkájukat. Ez pedig - érthető okokból - nem különösebben motiváló.

A tanúsítás megfelelő megünneplése után a gyakorlattal ellentétben nem lehet elégedetten hátradőlni és gyönyörködni a falon lógó cetliben, hanem a bevezetés során összegyűjtött és beütemezett rendszeres ismétlődő feladatokat kell elvégezni. Miként azt korábban már leírtam: napirenden kell tartani és be kell csatornázni az ISMS-be az információbiztonsággal kapcsolatos tartalmat és kérdéseket.

Összeállítottunk egy mini oktatási anyagot a témában. TUDJON MEG TÖBBET RÓLA!

süti beállítások módosítása