3 módja annak, hogy válaszoljon az adathackerre

Fancy Bear. Cozy Bear. The Dukes. The Guardians of Peace. Ha ezek a nevek számodra úgy hangzanak, mintha valamiféle kitalált kémsztori adatlopással foglalkozó bűnszervezeteinek nevei lennének, akkor jobban teszed, ha még egyszer átgondolod. Persze az említett nevekhez kapcsolódó események kétségtelenül elférnének egy best-seller kémsztoriban is, valójában egyáltalán nem kitalációk.

Az első három becenevet adattolvaj-csoportok viselik, amelyeket feltételezhetően külföldi kormányok szponzorálnak és többek között politikai kampányokkal kapcsolatos e-mailek küldéséért is felelősek.

Állítólag a Guardians of Peace nevű csapat állt egy világhírű filmstúdiónak hatalmas kárt okozó kibertámadás mögött 2014-ben. A Time magazin jelentése szerint számos amerikai tisztviselő a nagy felháborodást keltő Kim Jong Unról készült film miatt úgy véli, hogy a támadást Észak-Korea kormánya támogatta.

Miben különböznek a potenciálisan állam által finanszírozott kibertámadások a független külföldi vagy belföldi hekkerek támadásaitól? És ami még ennél is fontosabb, mit tanulhatunk az ilyen esetekből egy jövőbeli nagy kibertámadás elhárítása érdekében?

Tudtad?

Tudtad, hogy a hálózati védelem több szintjére is fókuszálva hatékonyabban előzheted meg az adatlopásokat?

Kutatás:

A Ponemon Institute 2015-ös tanulmánya szerint a megkérdezett üzleti szereplők és egészségügyi szervezetek 70%-a az alkalmazotti mulasztást tartja a legnagyobb információbiztonsági kockázatnak.

Külföldi vagy belföldi: Van-e különbség?

Az államilag szponzorált hekkerek számára jelentősebb mértékű források állnak rendelkezésre az ilyen jellegű akciókhoz. Ennek eredményeként az ilyen támadásokkal sok esetben megfertőzhetik a vállalatok sebezhető informatikai rendszereit, és hosszú időn át problémákat okozhatnak. Ez idő alatt a támadók különféle „kiskapukat” építhetnek ki a rendszerben, és sokáig észrevétlenül tevékenykedhetnek a hálózaton.

Az államilag finanszírozott kiberbűnözés a digitális hadviselésnek egy olyan formája, amely nem fog egyhamar kimenni a divatból. Az F-Secure 2015-ös előadásán Mikko Hypponen, a finnországi székhelyű F-Secure vállalat vezető kutatója „online fegyverkezési versenyként” utalt a helyzetre.

Az indítékoktól eltekintve a külföldi és belföldi támadók egészen hasonló módszerekkel jutnak be a célba vett informatikai rendszerekbe. Az adathalász támadások jelentős szerepet töltenek be napjaink politikai célú informatikai támadásaiban. A támadók különféle módszerekkel csalják ki azon felhasználók bejelentkezési adatait, akik válaszolnak a Google hivatalos e-mailjeinek álcázott üzenetekre.

Az IBM jelentése szerint a korábban említett filmstúdió esetében egyfajta adattörlő malware-t használtak. Az ilyen típusú malware-ek lemásolják a hálózaton található adatokat, majd „törlik” az adatokat a célba vett adattárolókról.

Az adatok lemásolása és „túszul ejtése” nem egyedi jelenség. A zsarolóprogramokkal támadó kiberbűnözők pénzbeli váltságdíjat követelnek az ellopott adatokért cserébe. Az efféle káros malware-támadások miatt kétség sem fér hozzá, hogy a vállalatoknak elsősorban két fontos területre kell összpontosítaniuk az adatok biztonságát illetően: a támadások megfékezésére és az adatok védelmére.

Elszigetelés: A támadást a kapuknál kell megfékezni

Korábban, amikor az internet még nem kötött össze mindent mindenkivel, a vállalatok számára elegendő volt egy erős tűzfallal biztosítani a határpontok védelmét. Napjainkban azonban az informatikai biztonsági szakemberek tisztában vannak azzal, hogy a tűzfalak használata önmagában már nem elegendő. Az alkalmazottak oktatása hosszú távon nagyon hasznos abból a szempontból, hogy többek között elkerülhető legyen a gyanús e-mailek megnyitása, a betörések azonban nem előzhetők meg pusztán ennyivel. Hypponen az előadásában az alábbi módon összegzi a jelenlegi helyzetet: „Ha egy vállalat elegendő munkaállomással és szerverrel rendelkezik, akkor bizonyosan nem tudja minden időben, hiánytalanul biztosítani az összes eszköz és rendszer védelmét. Fortune 500 listáján szereplő vállalatok közül egy sincsen, amelynél ne lenne jelen pillanatban is legalább egy biztonsági incidens.”

A vállalatok ugyan nem tudnak megelőzni minden egyes lehetséges betörést, de számos lépést tehetnek az adatvédelmi incidensek elhatárolásáért, illetve a támadások lelassításáért, hogy azok ne okozzanak további kárt a hálózaton. Az egyik módszer: a hálózat védelmét több szinten is biztosítani kell, különös tekintettel az alkalmazási rétegre, amelyre G. Mark Hardy is felhívja a figyelmet a SANS Institute egyik tanulmányában. Hardy szerint a legtöbb támadás az alkalmazási réteget (7. szint) éri. Ezért szükséges extra erőfeszítéseket tenni az alkalmazás szintű védelem érdekében, és megszüntetni annak biztonsági réseit.

Elszigetelés: második rész

David McMillen, az IBM vezető fenyegetéskutatója az adattörléses támadások megelőzése érdekében azt javasolja, hogy a kritikus szellemi tulajdont elkülönítve, kizárólag kiemelt jogosultságú kapcsolattal elérhető, korlátozott hálózatokon tároljuk. A javaslatok második felvonásában a számos hekker által használt leggyakoribb útvonalról is szó esik, amely nem más, mint a rendszergazdai jogosultságok „eltulajdonítása”.

Gabriel Sanchez a SANS Institute esettanulmányában hangsúlyozza, hogy véleménye szerint a rendszergazdai jogosultságok használatának részletesebb szabályozása csupán egy azon kritikus biztonsági kontrollok közül, amelyekkel a filmstúdiót ért károk minimalizálhatóak lettek volna.

Elszigetelés az adatok védelmével és a vészhelyreállítással kiegészítve

Sanchez egy listát is összeállított a 20 legfontosabb kritikus kontrollról, amelyek között a hatékony adathelyreállítás is szerepel. Ehhez hozzátartozik az adatok rendszeres, automatikus biztonsági mentése, valamint a gyors rendszerhelyreállítási folyamatok, amelyek lehetővé teszik az érintett adatok, valamint az azokhoz tartozó alkalmazásszoftver és az alapul szolgáló operációs rendszer tiszta verziójának helyreállítását. Az is nagyon fontos, hogy lehetőség legyen az adatok támadás előtti, korábbi verziókra történő visszaállítására.

A tanácsok között a tárolt biztonsági másolatok fizikai védelmére és titkosítására tett javaslatok is szerepelnek, különösen a távoli vagy felhőalapú biztonsági másolatok esetében, illetve a hálózati átvitel során. Ez pedig összhangban áll McMillen véleményével, aki a „kritikus fontosságú információk telephelyen kívüli biztonsági másolatainak” fontosságát hangsúlyozza. Az adattörlő malware-ek által okozott potenciális károk fényében McMillen továbbá javasolja, hogy a vállalatok „dolgozzanak ki vészhelyzeti üzletmenet-folytonosságot biztosító és vészhelyreállítási tervet, és rendszeres időközönként teszteljék is azokat”.

Egy biztos: a külföldi és belföldi hekkertámadások továbbra is kiszámíthatatlanok. Te készen állsz rá, hogy szembe szállj a vállalkozásodat kiszemelő adattolvajokkal?