Fujitsu blog: kiberbiztonság 2018-ban

Egyre forróbb téma a kiberbiztonság: lassan már társadalmunkat, életünket veszélyeztetik a komolyodó támadások.

Donald Trump megválasztása, a Brexit vagy akár az éppen pörgő Cambridge Analytica névvel fémjelzett botrány mind azt mutatja, hogy a tágabban értelmezett kiberbiztonság már messze nem csak arról szól, hogy az ügyvezető igazgató úr számítógépéről ellopják-e az értekezlet PDF-be mentett jegyzőkönyvét. Ehelyett akár a világ, vagy legalábbis annak nagy részét komolyan befolyásoló támadások is történetnek, olyan vektorok mentén, amelyeket korábban elképzelhetetlennek tartottunk – és biztosak lehetünk abban, hogy ez még csak a kezdet, a következő években mindennél fontosabbá válik majd a megfelelő kiberbiztonsági stratégia, legyen szó otthoni felhasználóról, egy cégről vagy akár egy országról.

A Fujitsu számára nem új keletű fogalom a számítógépes biztonság; a japán cégnek kiberbiztonsági szolgáltatáscsomagja is van, amely a tűzfaltól a végpontok védelmén át a különböző intelligens megoldásokig és szakemberekkel való konzultációig mindent magában foglal. Ezen a területen dolgozik Paul McEvatt is, aki a Fujitsu UK&Ireland részlegének kiberbiztonsági stratégiájáért felelős egyik vezető, és mellékesen egyike a japán cég kiemelt mérnökeinek. A szakember nemrég külön bejegyzésben osztotta meg, hogy véleményük szerint mi lesz az az öt terület, amelyre a különböző szervezeteknek oda kell figyelnie 2018-ban.


[+]

Az első a CTI, azaz a Cyber Threat Intelligence, amit a legszebben talán kiberbiztonsági hírszerzésnek fordíthatunk. Ez nem csak nagyívű fordítás, hiszen valóban arról van szó, hogy már rég nem elég a támadások elhárításáról gondoskodni: jó előre tisztában kell lenni azzal, hogy milyen veszélyek leselkednek az infrastruktúrára. Alapesetben ez biztosítható egy folyamatosan frissülő adatbázissal is, amelyben a veszélyeket és a hozzájuk tartozó adatokat tároljuk – de a komolyabb szolgáltatók természetesen a megjelenő riasztásokkal kapcsolatos teendők elvégzésében is segítenek, sőt azt is figyelembe veszik, hogy ezek milyen IT-n kívüli (emberi, pénzügyi stb.) hatásokkal járnak. Az efféle horizontális áttekintés lehetővé teszi például azt, hogy ugyan a javítások telepítése nagyon fontos, de egy nem különösebben kritikus sérülékenységet egy nagyon ritkán előkerülő modulban ne pont a legfontosabb folyamat (például pénzügyi jelentések készítése) futtatása közben javítsunk ki.


[+]

A második a kiberbiztonság „országos” szintre emelése. Ezt a folyamat már most zajlik, a bevezetőben említett Brexit vagy a 2016-os amerikai választás (például a Demokrata Párt levelezésének feltörése stb.) csak a két legismertebb példa, hiszen azóta a francia választás során is tapasztaltak kibertámadásnak minősíthető eseteket, és az orosz-ukrán konfliktus alatt is többször előkerültek már az informatikai fegyverek. A lényeg tehát az, hogy az eddig kiberbiztonsággal nem foglalkozó szervezeteknek (lásd az említett Demokrata Párt) is alaposan át kell értékelni helyzetüket.

A harmadik terült ismerős lehet már, a nulladik napi sebezhetőség örök sláger – ezen a területen mind pozitív (például „vérdíj” a hibák felfedezőinek), mind negatív (a Shadowbroker által az NSA-tól megszerzett, majd kikerülésük után a WannaCry és az Adykluzz képében kihasznált sebezhetőségek) folyamatok észlelhetőek. Itt a lényeg a javítások megfelelő sebességű telepítésén túl az aktív védelem, amivel jelentősen csökkenthető a sikeres támadások száma.


[+]

Negyedikként az előbb említett aktív védelemhez tartozó biztonsági megfigyelés emelhető ki: az egyre nagyobb mennyiségű adatcsere, illetve az egyre kiterjedtebb hálózatok azt igénylik, hogy az eddig tipikusan emberi kontroll egyre inkább gépekkel támogatott legyen. Az ezt segítő, intelligens újdonságok, például a felhasználói viselkedést figyelő és elemző UEBA (User entity and behaviour analysis), a végponti érzékelés (EDR) és társaik segítenek a szakértői csapatnak előszűrni a rengeteg riasztást, megkönnyítve a biztonsági központ dolgát és javítva a reakciókat.

Végezetül az utolsó pont ezen reakciók értékelési szempontjainak átdolgozása lesz. Ezen a területen a külsős szolgáltatók esetén már most is nyilvánvalóan használt SLA persze megmarad, de emellé újak is társulnak. Felsorakozik például a válaszidő (MTTR – Mean Time to Respond), vagy a támadó által a hálózatban töltött idő (MTTD – Mean Time to Dwell). Az utóbbival kapcsolatos érdekesség egyébként, hogy egy, a Magyarországot is magában foglaló EMEIA régióban található cégekkel kapcsolatos tanulmány szerint ez az MTTD átlagosan 489(!) nap. Az MTTR-rel kapcsolatban pedig azt érdemes tudni, hogy az Általános Adatvédelmi Rendelet (GDPR) például 72 órán belüli incidensbejelentési kötelezettséget ír elő.

Előzmények