Több pénz, új eszközök: változó ipar
Az IT biztonsági szakértő vállalat, a FireEye is felismerte, hogy a legújabb támadások ellen újfajta védelmi rétegekre van szükség. Az Informatikai Biztonság Napján az előadások jelentős hányada fókuszált az ismeretlen elleni védekezésre, ennek lehetőségeire. Sikerült interjút készítenünk az eseményen előadást is tartó Yogi Chandiramanival, akivel a fertőzések gócpontjairól, irányairól és a szoftverek sebezhetőségeiről is beszélgettünk.
IT café: Szeptemberi előadásában hangsúlyozta, hogy az IT biztonsági piac új kihívásokkal néz szembe. Azon olvasóink kedvéért, akik nem tudtak részt venni az eseményen, elmesélné röviden, milyen változások mentek végbe az utóbbi időben?
Yogi Chandiramani: A legtöbb IT biztonsági megoldás alapvetően arra épül, hogy a különféle támadási formáknak és kódoknak van egy felismerhető mintázata és lenyomata, azaz szignatúrája. Ez a módszer a hagyma modelljére emlékeztethet, hiszen minden újabb rétegnek rendelkeznie olyan szignatúra adatbázissal, amely alapján az adott réteg képes felismerni az adott támadást vagy rosszindulatú kódot. A valóság manapság azonban az, hogy a támadók viszonylag egyszerűen át tudnak jutni ezeken a védelmeken, hiszen elegendő olyan támadást vagy rosszindulatú kódot használni, amelynek szignatúráját még nem ismerik fel a védelmi rendszerek. A támadók pedig egyre többen vannak, egyre jobban szervezettek, illetve okosabbak.
A jól szervezett támadók képesek arra, hogy a gyenge pontokat megtalálva, rétegről rétegre fejtsék le a szignatúrák felismerésére épülő védelmet. Az ilyen fejlett támadások általános célja, hogy adatokat lopjanak a cégektől. Sokszor előfordul az is, hogy a támadók anélkül jutnak be egy rendszerbe, hogy komolyabb erőfeszítéseket kellene tenniük: a leggyengébb láncszemet, azaz az embert elérve belülről már jóval könnyebb dolguk van. Az adathalász e-mailek, vagy a megtévesztésen alapuló, belső kommunikációs elemnek tűnő, de valójában kívülről érkező levelekre a mai napig rákattint a felhasználók jelentős része, ezzel nyitva utat a támadóknak. Az ilyen támadási formák jelentősen megkönnyítik és felgyorsítják a védelmi rétegek lehántását.
Hirdetés
El kell keserítenem mindenkit, bármennyit is költünk a védelemre, a veszély fennáll, de egy új védelmi vonal bevezetésével csillapítható a kockázat. Egy friss kutatási eredményünk legfontosabb eredményét említeném még meg, kifejezetten erre a régióra fókuszáltunk, tehát sem Amerika, sem Afrika, sem a Közel-Kelet nincs benne: januártól júniusig a fertőzések száma megduplázódott. Az a helyzet, hogy az ügyfeleink egyre többet költenek, de a fertőzések száma is növekszik, utóbbi jóval nagyobb mértékben. Éppen ezért mondom azt, hogy az szignatúra védelem ma már nem elegendő. Nem kidobandó, nem megszüntetendő: de az elmúlt időszak eseményei alapján kijelenthető, hogy olyan rés támadt a hagyományos védelmi rendszerekben, amely ellen csak újfajta védelemmel lehet hatékonyan felvenni a harcot.
A kockázatokat is csökkenteni kell [+]
A FireEye három pilléres megoldással szolgál: a technológia (saját malware-vizsgáló hipervízort és mikrotaszk virtualizációs architektúrát fejlesztettünk), ami a korábban nem ismert támadásokat is kiszűri azáltal, hogy figyeli és visszajátssza a forgalmat, elemzi a kódok viselkedését és a bekövetkező változásokat. Mondok egy példát: e-mailen érkezik egy sajtóközlemény, amiben melléklet van. A vírusirtó nem veszi észre, hogy baj van, mert a támadó elég motivált ahhoz, hogy kifejezetten számodra (vagy egy csoport számára) írja meg a káros kódot (azaz a kód szignatúrája ismeretlen lesz az antivírus megoldásod számára), te pedig megnyitod, hiszen érdekesnek tartod. Amikor a malware-védelmi hipervízorban futó virtuális gép érzékeli, hogy a PDF ajtót nyitna a világhálóra és kommunikálni próbál a külvilággal, azaz olyan működést mutat, amely káros eredményhez vezethet, egyszerűen leállítja a folyamatot, illetve jelzi, hogy itt valami szokatlan történik.
IT café: Van arról statisztika, hogy a támadások mekkora része számít egyedinek?
Yogi Chandiramani: A támadók is tudják, hogy az IT biztonsági ipar egy gyorsan reagáló iparág. Megdöbbentő adatot fogok mondani. Az intelligens felismerő rendszereink (ez egyébként a harmadik pillér) által feltárt vírusok és egyéb kártevők nyolcvan százaléka korábban még nem látott kódot rejt, tehát mondhatjuk, hogy elég jelentős ez a fajta támadás. Globális adatokról beszélek.
Ha már szóba került, folytassuk is a harmadik pillérrel. Az analitikai megoldásaink nagyon hatékonyak, hiszen a legtöbb ilyen típusú támadás nem csak egy-egy célpont ellen irányul, hanem jellemzően szektorok, vagy adott típusú vállalatok ellen. Ilyenkor az első felbukkanást követően már a többi ügyfelet is tudjuk védeni az újfajta támadástól. Fontos, hogy ilyenkor már nem számít, ha változtatnak a kódon, a mintázatok (működés és viselkedés) alapján az intelligens védelem képes szűrni.
A technológia (az első pillér) a legtöbb fertőzést gyorsan felismeri és semlegesíti. Az a helyzet, hogy nemzetközi felmérésünk alapján, miután egy malware bekerül a rendszerbe, 205 nap kell, mire azt valaki észreveszi. Ez az átlagos átfutási idő, míg a támadók boldogan és észrevétlenül használhatják ki az általuk bejuttatott kódot. Hét hónap túl sok idő. A három pillérünk használatával ez a 205 nap csökkenthető 10 percre. Nagyon nem mindegy, ha engem kérdez.
Összehangolt megoldásra van szükség
IT café: Készítettem egy interjút a Ciscóval nemrégiben, ők 200 napról beszéltek, amit 36 órára képesek leszorítani a megoldásukkal. Ez még ahhoz képest is nagyon merészen hangzik.
Yogi Chandiramani: Persze hogy merészen hangzik, de ezzel nincs vége. Mindezt úgy tudjuk elérni, hogy a felhasználói adatoknak nem kell a felhőben lenniük. Az ellenőrzésnek egy gyors elérésű felhőmegoldásban sokkal kevesebb időre van szüksége, de nálunk erre sincs szükség. Ez pedig azért fontos, mert rengeteg állami ügyfelünk van, akik irtóznak a felhőtől. És ezt személy szerint teljesen meg tudom érteni. Mint EU lakos, szintén nem örülnék, ha az érzékeny adataim a felhőben lennének tárolva. Szóval a lényeg, hogy mindez amiről eddig beszéltem, helyben, a felhasználó vállalatnál telepítve működik.
IT café: Ha jól értem, személy szerint sem kedveli a felhőt. Egyáltalán nem használ ilyen szolgáltatásokat a magánéletében?
Yogi Chandiramani: Néhány dolgot így oldok meg, persze. De semmi szenzitív adatot nem tárolok távoli szervereken. Van Google fiókom, ott a LinkedIn, sőt Facebook hozzáférésem is van, de igyekszem nem kiadni magam. Ezek közül, amit aktívan használok is, az a LinkedIn, Facebookom is csak azért lett, mert a feleségem már nagyon rágta a fülem, hogy hozzak létre egy profilt, így tavaly csináltam magamnak.
Az állami szervek kerülik a felhőt [+]
Azt hiszem eleget beszéltünk a személyes aggályaimról, térjünk vissza a FireEye stratégiájához. A támadások mögött emberek állnak. Emberek írják a programokat, ők ülnek a gépek mögött. Éppen ezért szükség van az emberi intelligenciára a védelemhez. Ezért hoztuk létre rengeteg szakértővel a Mandiant nevű céget, ami nem része a FireEye-nak, hanem egy különálló vállalat. Őket olyankor hívják az ügyfelek, ha már betörtek hozzájuk. Amikor a Sony rájött, hogy a hackerek már a házban vannak, akkor is minket hívtak.
IT café: Ez a három pillér, ami megvédi az ügyfeleket?
Yogi Chandiramani: Pontosan. Önmagában egyik sem elég, a technológia, a szakértők és a gépi intelligencia együtt képes arra, hogy a lehető legjobb védelmet nyújtsa. Így kerülhetünk a támadók elé a védelmi megoldásokkal. Biztos hallotta már azt a mondást, hogy az antivírus halott. Szerintem felelősségteljes biztonsági cég ilyet nem mondhat, mert az utóbbi időben ezek a megoldások is sokat változtak. Azt igen, hogy önmagában már kevés, de bizonyos támadások ellen a mai napig használhatóak. Ahogy erről már beszéltem, a szignatúra-alapú megoldások segíthetnek a már ismert támadásokat szűrni, de ahogy az eddigi beszélgetésünkből szerintem már világossá tettem, a legnagyobb baj nem ezekkel van.
IT café: Hozzuk közelebb ezt az egészet egy példával. Tudna mesélni a TV5 Monde esetéről?
Yogi Chandiramani: Egy orosz hackercsapat támadta meg őket. Próbáltak úgy tenni, mintha az ISIS lenne, de nem az volt. Ami azonban még ennél is érdekesebb, hogy betörtek, és romboltak. Egy video encodert tettek használhatatlanná, illetve persze adatokat is loptak. Ez egy viszonylag új formája a támadásoknak, amikor a hacker nem csak (vagy egyáltalán nem) lopni akar, hanem fizikai kárt okozni. Az adatlopás és szivárogtatás az adat bizalmasságát, az ilyen rombolás-jellegű támadás pedig az adat sértetlenségét és rendelkezésre állását veszélyezteti.
A második csapást emberi mulasztás okozta (TV5 Monde) [+]
IT café: Hogy derült ki, hogy oroszok voltak?
Yogi Chandiramani: Mint minden bűntény helyszínén, itt is voltak „ujjlenyomatok”, vagy nevezzük őket bizonyítéknak. Reverse Engineering módszerekkel dolgozva a francia hatóságok a megfertőzött munkaállomáson olyan kommunikáció nyomait találták, amik nem a Közel-Keletre, hanem egyértelműen Oroszországra utalnak.
IT café: Mik a legveszélyeztetettebb területek?
Yogi Chandiramani: Sose találná ki. A támadások 18 százaléka e-maillel kezdődik, és leggyakrabban a HR osztályok ellen irányul. Végtére is ők kapják a legtöbb csatolmányt ismeretlenektől az önéletrajzok és motivációs levelek révén. Ők pedig ugye nem tehetik meg, hogy nem nyitják ki a mellékletet, hiszen az a dolguk, hogy új alkalmazottakat vegyenek fel. Rendelkezünk olyan végponti megoldásokkal, amik azonnal képesek izolálni a fertőzött gépet a hálózatról, hogy aztán ezeket kielemezhessük és összegyűjtsük a szükséges információkat, de Android és iOS védelemmel is rendelkezünk. A Blackberry elindult az androidos operációs rendszerek felé, a Windows Mobile pedig annyira kicsi penetrációval bír, hogy egyelőre nem tartjuk szükségesnek a védelem kiterjesztését ezekre az eszközökre.
Ne csak a gép, a szakértő is legyen okos!
IT café: A közelmúltban több ezer fertőzött alkalmazás került a biztonságosnak mondott App Store kínálatába, főleg kínai fejlesztőknek köszönhetően. Ezek ellen is jó a védelem, vagy hogyan kell elképzelni a mobilos megoldásokat?
Yogi Chandiramani: Pontosan, az ilyen nem várt, nem ismert esetekben is jön jól a FireEye megoldása. Azoknak az ügyfeleinknél, ahol felkerültek az adathalász programok az eszközökre, jelzett is a rendszer.
IT café: Mi a helyzet az IoT eszközökkel?
Yogi Chandiramani: Szoktunk róla beszélgetni, mi is látjuk-halljuk, hogy ez egyre melegebb téma, de egyelőre nem rendelkezünk ilyen irányú, rövidtávú fejlesztési tervekkel. A kormányokat, nagyvállalatokat és az ipari felhasználókat védjük, nem a végfelhasználót. Hosszabb távon persze lesz erre is megoldás, de ez a téma még kicsit korai szerintem.
A dolgok internete (IoT) még várhat [+]
IT café: Térjünk kicsit vissza a fenyegetettséghez, illetve az intelligens felismeréshez.
Yogi Chandiramani: Reagálni egy támadásra, letiltani adott IP címeket, stb. félmegoldás. A fenyegetettség ettől még megmarad. A legfrissebb adatokból jól látszik, hogy az utóbbi időben megnőttek az energiacégek felé irányuló támadások, melyek Szaúd-Arábiában már 15 százalékot is kitesznek. Ennek egyértelműen az olajárral van összefüggése. Gondoljunk csak bele, milyen értékes információkhoz lehet jutni egy sikeres támadással. Ebben az iparágban tehát kiemelten fontos lett a védelem. A Business Intelligence rendszerekkel összekapcsolva a védelmet még sikeresebbek lehetünk a támadók ellen. Az egyik legfontosabb, hogy az ügyfeleink fel legyenek készülve a támadásokra.
IT café: A cégvezetők összeeresztik ezt a két ágat?
Yogi Chandiramani: Egyre többen kérik tőlünk ezt a fajta segítséget. Pontos számokat nem tudok mondani, de érezhetően nő az igény. Elértük azt a pontot, hogy hajlandóak pénzt és erőforrást biztosítani, a stratégiát a védelemmel egyeztetve felépíteni a biztonságuk érdekében. Ez nagyon nagy lépés a korábbiakhoz képest. Legtöbbször úgy jönnek hozzánk, hogy szeretnék magukat megvédeni, de nem tudják hogyan, és inkább szolgáltatást vásárolnak, mint készterméket. Változik az ipar.
Nincs tökéletes szoftver, Snowden hibázott
IT café: Kristian Erik Hermansen neve minden bizonnyal ismerősen cseng. Ő volt az a kutató, aki bejelentette (és nyilvánosságra is hozta az exploitot), hogy hibát talált a FireEye rendszerében. Azt állította, a probléma csak egy a sok közül, és már másfél éve nem született rá megoldás. Elég indulatos volt.
Yogi Chandiramani: Ez egy nagyon érdekes történet. Hermansen úgy időzítette a publikációját, hogy az pont egy hosszúhétvégére esett. Ez finoman fogalmazva is szokatlan. Mindenesetre a hibát javítottuk. Anélkül hogy bagatellizálni szeretném a problémát, tegyük gyorsan hozzá, hogy a kiaknázásához be kellett valahogy jutni először a menedzsment felületre, ami azt jelenti, hogy kívülről nagyon nehezen volt hozzáférhető. Teoretikusan persze igen, ez is egy sebezhetőség, de a gyakorlatban nem látok rá esélyt, hogy bárki is élni tudott volna vele, még az exploit megléte ellenére sem.
Ami az ügy pikantériáját adja nem más, mint hogy felvettük vele a kapcsolatot, kíváncsiak voltunk rá, milyen sebezhetőségekről tud még. Erről azonban nem volt hajlandó beszélni, ameddig nem fizetünk neki előre.
IT café: Elég sok cég tart versenyeket, illetve ígér jutalmat, ha valaki hibát talál és jelenti.
Yogi Chandiramani: Ez igaz, viszont az egyáltalán nem szokványos, hogy valaki odaáll eléd, és azt mondja, hogy fizess, aztán majd elmondom, mire adtál pénzt. Ez nem egészen így működik az iparágban. Nevezhetnénk zsarolásnak is. A FireEye csak idén több mint 20 zero day sebezhetőséget tárt fel, és együtt is működött azok megoldásában. Ha a cél az, hogy ne tudjanak behatolni a támadók, akkor nem az a megoldás, hogy pénzt kérünk, aztán elmondjuk mit találtunk. Ezért mondom, hogy nagyon szokatlan hozzáállás volt ez a kutatótól. Ha olvasta a közleményünket a témában, megköszöntük a segítséget, de visszautasítjuk ezt a fajta hozzáállást. Főleg a hiba nyilvánosságra hozatalával kapcsolatban. Elvileg egy oldalon állunk, segítenünk kellene egymást, nem hátráltatni a munkát.
Nem szokványos, hogy valaki azelőtt kéri a pénzt, mielőtt elmondaná, mire adják
IT café: Mindig érdekes megkérdezni a biztonsági szakértőktől, hogy mit gondolnak Edward Snowden szivárogtatásáról. Önnek mi a véleménye?
Yogi Chandiramani: Tisztázni kell, hogy ki ellen védekezünk, kitől félünk igazán. A kormánytól, vagy a bűnözőktől. Biztos vagyok benne, hogy az NSA célja nem az, hogy az ártatlanokat vegzálja vagy megfélemlítse. Amit Snowden tett, az bűncselekménynek számít az USA területén. Nem tudom, én mit csináltam volna, de a módszerei nem biztos, hogy jók voltak. Arra gondolok, hogy az átlagember felháborodott és bizalmát veszthette az igazságszolgáltatás irányában, miközben azok, akiknek tényleg vaj van a füle mögött, sokat tanultak az esetből. Így őket most nehezebb elkapni. Ezzel nem azt mondom, hogy az NSA csinálja jól. Ha valamire nincs felhatalmazásuk, akkor azt ne tegyék. Nem helyes visszaélni az emberek bizalmával. Szóval nagyon nehéz téma ez, nem minden fekete és fehér.
Én francia vagyok, így a Charlie Hebdo elleni merényletről elég sokat tudok. Ha a hatóságok minden beszélgetést lehallgattak volna, lehet, hogy hamarabb tudnak lépni, esetleg meg is tudják előzni a vérengzést. De ez csak akkor lehetséges, ha feláldozunk egy újabb darabot a magánéletünkből és elfogadjuk, hogy mindez a mi érdekünkben történik. Semmi sincs ingyen.
A felkészültség fél siker
IT café: Mire számít a jövőben?
Yogi Chandiramani: Azt hiszem, az IoT terjedésével újabb világ kezdődik, ahol újfajta támadásokra kell felkészülnünk. Egyúttal az antivírus egyre kevésbé lesz hatékony önmagában, az intelligens rendszerek szerepe pedig felértékelődik. Létezik egy fogalom, a tökéletes szoftveré, amit azt hiszem a matematikai modelljeinkkel és tudásunkkal el fogunk tudni érni, de erre egy másik alkalmat is rá kellene szánni, annyira érdekes téma.
IT café: Milyen erőforrásokkal dolgoznak ezen?
Yogi Chandiramani: 18 hónapja nyitottunk egy R&D központot Németországban, ahol matematikusokat is alkalmazunk, akik különböző algoritmusokon dolgoznak. 2013-ban 66 millió dollárt, 2014-ben már 203 millió dollárt költöttünk kutatás-fejlesztésre. Ez a tavalyi adat a teljes költésünk 28 százalékát teszi ki, azt hiszem, ez sokat elmond az elkötelezettségünkről az innováció terén.
IT café: Végül azt árulja el, melyik fenyegetés erősebb: a terrorizmus, vagy a pénzünket kinyerni akaró hackerek?
Yogi Chandiramani: Mindkettő. Nyilván nem azért dolgozom sem én, sem ön, hogy aztán valaki más költse el a pénzünket. Közben azt szeretném, ha lányom biztonságban nőhetne fel. Szóval erre a kérdésre nem tudok egyszerűen felelni. Néhány évvel ezelőtt kezdtek megjelenni a romboló vírusok, gondoljunk a Stuxnetre, ami egy adott időpillanatban aktiválja magát és túlpörgeti az urándúsító cetrifugák hajtómotorját és leégeti magát a centrifugát), vagy a már említett TV5 Monde esetére. Míg a klasszikus behatolások (védelem nélkül) csak akkor válnak észrevehetővé, mikor valaki költeni kezdi a pénzünket, vagy visszaél az adatokkal, ez egy egészen más jellegű világot vetít elénk. Inkább így tudnék különbséget tenni, hogy a pusztító és a tolvaj. Előbbire fel kell készülni, egyre több lesz belőlük. Ennek az előfutára a most oly divatos zsarolóprogramok (pl CryptoLocker, CryptoWall, stb).
Sokféle hacker létezik, a motivációjuk is különbözik [+]
IT café: Mit tanácsolna az olvasóinknak, mit tegyenek?
Yogi Chandiramani: Legyenek felkészülve! A sandboxing (a virtuális gépek), az intelligens figyelőrendszerek és a szakmai segítség is bevethető, ne legyenek restek használni ezeket. Azt hiszem, a felkészültség fél siker. És ne essenek pánikba, tanuljanak a hibákból, lehetőleg már másokéból.
