Egyre kifinomultabb támadásaik során a kiberbűnözők már a felhőalapú szolgáltatásokat is felhasználják - állapítja meg a Cisco legfrissebb éves kiberbiztonsági jelentése. A veszélyek sokrétűek lehetnek. Itt van például az adatszivárgás, ami minden céget érint. A védekezés első lépéseként pontosan meg kell határozni a céges biztonságpolitikában, hogy a szervezet milyen adatokat oszthat meg a felhőben. A vállalat felelőssége az is, miként monitorozza a felhőalapú szolgáltatásokat, így például azt, hogy milyen adatokat osztott meg egy adott munkatárs, azokat hogyan kontrollálják, azokhoz ki, milyen módon férhet hozzá. Ha például egy felhasználó adott pillanatban Budapestről jelentkezik be a rendszerbe, majd két perc múlva Kínából, az fel kell, hogy tűnjön a biztonsági rendszereknek, és ki kell váltania a riasztást.
- Minden veszély ellenére a kis- és középvállalatok számára a felhő még mindig biztonságosabb, mint a saját infrastruktúra. Tekintve, hogy a felhőszolgáltatóknak sok ügyfelük van, ezeknél a szolgáltatásoknál a rendelkezésre állás és az IT-biztonság kulcsfontosságú. Éppen ezért a felhőszolgáltatók olyan szintű biztonságot nyújtanak, amelyet egy kisebb vagy közepes méretű cég nem mindig tud elérni - mutat rá Ács György, a Cisco regionális biztonsági szakértője.
Ami a nagyvállalatokat illeti, már külön iparág foglalkozik azzal, miként tudja egy szervezet a felhőben lévő adatait valamilyen mértékben kontrollálni. Az úgynevezett Cloud Access Security Broker (CASB) rendszerek olyan technológiákat, eljárásokat tartalmaznak, amelyek lényegében belelátnak a felhőalapú szolgáltatásba. Így kontrollálható, hogy a felhőben is teljesüljenek a vállalati biztonságpolitika előírásai.
Ács György regionális biztonsági szakértő, Cisco
Mesterséges intelligencia
A támadások minél gyorsabb felfedése terén jelentős előrelépést hozhatnak a mesterséges intelligencián vagy gépi tanuláson alapuló technológiák. A gépi tanulás egyik felhasználási területe, amikor a rendszer idővel megtanulja, hogyan tudja automatikusan észlelni a szokatlan mintákat a titkosított webes forgalomban, a felhőben és a különféle IoT-környezetekben. A Cisco által megkérdezett biztonsági szakértők (1200 fő, 26 különböző országból) harmada már ma is megpróbálja kihasználni a gépi tanulás és a mesterséges intelligencia által kínált lehetőségeket, ám zavaró számukra az eszközök által generált nagyszámú hamis pozitív jelzés. Eszerint ezen megoldásoknak még időre van szükségük ahhoz, hogy teljes biztonsággal bevethetőek legyenek a kiberbiztonsági támadások felfedésére.
A nemzetközi trendekkel összhangban Magyarországon is elindultak a mesterséges intelligencián és gépi tanuláson alapuló védelmi technológiák első tesztjei, illetve az első telepítések is.
- Hazai projektjeink jó eredményeket hoztak. Mi nem tapasztaltuk, hogy a mesterséges intelligencia alkalmazása hamis pozitív válaszokat adott volna. Magyarországon egyébként már többen használják a Cisco Umbrella elnevezésű, az OpenDNS akvizícióra épülő megoldását, amely több statisztikai modellt alkalmaz, és kifejezetten azzal foglalkozik, hogy milyen módon lehet a doméneket különböző osztályokba sorolni. Tapasztalataink szerint a rendszer jó pontossággal határozza meg a domén kategóriáját, illetve egy újként felismert domén esetében az első napi forgalom elemzése után a helyes kategóriába sorolja azt. Természetesen ezek csak az első lépései a mesterséges intelligencia alkalmazásának. Már vannak olyan technológiák is, amelyek például a titkosított forgalomban is képesek a malware-kommunikációt detektálni anélkül, hogy feloldanák a forgalom titkosítását. Egy ilyen, a forgalmi viszonyokat elemző, illetve helyesen értelmező eljárás mögött óriási munka áll: az említett okos rendszer megtanítása majdnem két évig tartott - mondja Ács György.
A tanulmány felveti, hogy a felhőalapú környezetek védelmét hatékonyabbá teheti, ha a felhőt védő biztonsági platformokat kombinálják a gépi a tanulással.
Túl sok a beszállító
Általános probléma, hogy a vállalatok jellemzően több biztonsági terméket alkalmaznak egyszerre, különböző beszállítóktól. Ez a komplexitás jelentősen csökkentheti a vállalat védelmi képességeit. A tanulmányban megkérdezett biztonsági szakemberek 25 százaléka nyilatkozta, hogy 11-20 különböző szolgáltató biztonsági termékeit használja.
- Vannak olyan ügyfelek, akiknek több mint 50 beszállítójuk van. Ez gyakorlatilag már kezelhetetlen. Az üzemeltetők 55 százaléka is arra panaszkodik, hogy ennyi különböző beszállító termékét nagyon nehéz összehangolni. Célszerű tehát csökkenteni a beszállítók körét. Az nem várható el, és nem is cél, hogy teljesen homogén legyen a vállalat IT-biztonsági rendszere. Sokkal inkább az integrálásra kell fókuszálni. Ha valamelyik (például a végponti) rendszer fenyegetést észlel, akkor az információt ossza meg a többi rendszerrel, így például a levelező- vagy a webes rendszerrel - tanácsolja Ács György.
Gyors felderítés
Felvetődik a kérdés, hogy a GDPR kötelező alkalmazásával több biztonsági incidensre derül-e majd fény, és ez jobban ráirányítja-e a figyelmet a védekezés fontosságára. Ács György szerint erre lehet számítani. A szakértő azt várja, hogy kezdetben lesznek nagy, reprezentatív ügyek, kiszabnak majd komolyabb büntetéseket, amelyek rávilágítanak a kérdés fontosságára. Jó, ha mindenki észben tartja, hogy az incidenseket a felfedezés idejétől számított 72 órán belül be kell jelenteni.
Mindemellett ma már iparági követelmény, hogy minden incidenst próbáljunk meg a lehető leghamarabb detektálni. Ez a cégeknek is elemi érdekük. A Cisco a 2017 elején mért átlagos 14 óráról tavaly év végére 4,6 órára csökkentette a felderítési időt. Ebben jelentős szerepe volt a felhőalapú biztonsági technológiának.
Közös probléma
A riportból nem derül ki, vannak-e olyan szektorok, amelyeket fokozottan veszélyeztetnek a kibertámadások. Ács György szerint ez nem véletlen, ugyanis ebből a szempontból lényegében nincs különbség a gazdaság különböző területei között.
- Azt tapasztalom, hogy bár előfordulnak ágazatspecifikus támadások, a kitettség minden szektorra érvényes, az IT-biztonság mindenütt kritikus. A riport megállapítja, hogy az incidensek nem ismernek államhatárokat. Ehhez nyugodtan hozzátehetjük, hogy szektorhatárokat sem. A hálózatbiztonsági szakértő hozzátette: - Az elmúlt év nagy támadási hullámai a hazai cégeket sem kímélték. Alapvetően itthon is azokat a fenyegetéseket látjuk, amelyekről a jelentés beszámol. A védelmi oldalon viszont elmozdulást tapasztalunk: a korábbi, tűzfalközpontú szemléleten túllépve a piac lényegesen nyitottabb a felhőalapú biztonsági megoldások, valamint az olyan technológiák iránt, mint a hálózati szegmentálás és az anomáliadetektálás.
HAMIS JELZÉSEK KOCKÁZATA
Bizonyos biztonsági alkalmazásoknál a hamis negatív jelzés nagyobb problémát okozhat, mint a hamis pozitív. Ilyen például a kártékony programok (például a vírusok) felderítése vagy az anomáliadetekció (például a behatolásdetekció). Természetesen a sok hamis pozitív, vagyis téves riasztás szintén költséges lehet, hiszen minden ilyen esetet manuálisan kell ellenőrizni.
- Az, hogy egy adott modell mikor és hol terjed el, nagyon alkalmazásfüggő. Ennek egyik oka, hogy a hamis pozitív jelzések alacsony rátája nem feltétlenül oldja meg a problémát. Ha például tízmillió ember között csak két terrorista van, akkor egy nagyon alacsony hibázású modell sem fog jól működni. Tegyük fel, hogy a "terroristadetektáló" 1:10 000-hez hibázik, vagyis tízezer ártatlan emberből átlagban egyet hibásan terroristának vél, és nincs hamis negatív jelzése. Noha ez látszólag nagyon pontos, egy tízmilliós populációban ezer embert fog tévesen terroristának vélni. Vagyis annak esélye, hogy valaki valóban terrorista egy pozitív riasztás esetén, mindössze 2/(1000+2), ami 0,2 százaléknál kisebb. Ez is jól mutatja, hogy egy modell alkalmazhatósága erősen függ az adott populációtól - fejtegeti Ács Gergely, a BME adjunktusa, a CrySyS Lab munkatársa.
Jelenleg a CrySyS Lab autóvezetők azonosításával foglalkozik. Az autóban található szenzorok mérési eredményei alapján (sebesség, fék- vagy gázpedál pozíciója, kormánypozíció stb.) próbálják megmondani, ki vezette az autót. Egyik próbálkozásuk, hogy a gyorsulás alapján állapítsák meg a vezető személyét. Elméletben ez azért működhet, mert az emberek általában egyedien gyorsítanak. Ha azonban nagyobb populációt akarnak vizsgálni, önmagában a gyorsítás elemzése valószínűleg nem elegendő. Sok vezető között ugyanis bizonyára vannak olyanok, akik hasonlóan gyorsítanak. Minél több vezetőt kell tehát megkülönböztetni, annál nagyobb a hibázás esélye. Ez azt is jelenti, hogy a hamis pozitív jelzés kevesebb ember esetén nem feltétlenül jelent problémát, szemben egy nagy populációval.
- A fenti hibákat, legyen szó akár hamis pozitív, akár hamis negatív jelzésről, manuális ellenőrzéssel is próbálják csökkenteni. Kritikus döntéshozatal során tehát nem támaszkodnak kizárólag a mesterséges intelligenciára, annak eszközeit inkább döntéstámogatásra használják. Végül megjegyzem, hogy a gépi tanuló algoritmusoknak van egy másik, talán még nagyobb biztonsági kockázata, nevezetesen a szándékos hibaokozásra tervezett támadói minták. A támadói mintákat a bemenő adatok olyan minimális, az ember számára gyakran nem észrevehető módosításaival kapjuk, amelyek eredményeképpen a modellek hibásan fognak működni az ilyen módosított adaton. Jelenleg nyitott kérdés, milyen megoldást találnak erre a problémára - mondja Ács Gergely.
