A vállalatok digitális átalakulása, a BYOD gyakorlata, a dolgok mindinkább kiszélesedő internete és a negyedik ipari forradalom megszünteti a hálózatok közötti határokat. Alaposan átgondolt információbiztonsági stratégia szükséges ezért ahhoz, hogy ebben a környezetben a vállalatok a jelenlegi IT-biztonsági eszközökkel hatékonyan védekezhessenek a gyorsan fejlődő kiberfenyegetésekkel szemben. Ugyanakkor arról sem szabad megfeledkezniük, hogy hálózatba kapcsolt világunkban a biztonság nem statikus állapot, és a legfejlettebb technológia alkalmazása mellett is nagyrészt az emberen múlik - mutattak rá az előadók a Cloudsec 2016 konferenciasorozat londoni állomásán.
Öt éve, 2011-ben rendezte meg a Trend Micro az első Cloudsec konferenciát, amely azóta az ázsiai és Csendes-óceáni térségre, valamint Európára kiterjedő, gyártófüggetlen rendezvénysorozattá nőtt, és számos iparági szereplő, kormányzati intézmény, valamint szakmai szervezet támogatását élvezi. Raimund Genesszel, a Trend Micro technológiai igazgatójával és a konferencia házigazdájával Londonban beszélgettünk.
Computerworld: Mágikus négyzetében a Gartner immár 14. alkalommal sorolta a Trend Micro végpontvédő IT-biztonsági platformját a piacvezető megoldások közé, külön méltatva a jövőkép teljességét, amelyet cégük az informatikai biztonságról alkotott. Milyennek látja a kiberbiztonság jövőjét a vállalatok digitális átalakulásának és a dolgok internetének fényében? A hálózatok közötti határok eltűnésével, a mind nagyobb mennyiségű adat egyre sokrétűbb megosztásával az IT-biztonság koncepciója, jelenlegi modellje is megváltozik majd, és új eszközökre lesz szükség a hatékonyabb védekezéshez, vagy maradnak a meglévő megoldások, és a folyamatok, a stratégiák válnak szabályozottabbá és kidolgozottabbá, amelyek mentén alkalmazzuk őket?
Raimund Genes: Új IT-biztonsági eszközökre kétségtelenül szükségünk lesz a jövőben, de a vállalatok a jelenlegi megoldásokkal is sokat tehetnek adataik védelméért, ha megfelelően alkalmazzák őket. Előfeltétele ennek, hogy tudják, melyek a legértékesebb adataik, és azokat mely alkalmazásokban, milyen folyamatok mentén kezelik, illetve hol tárolják. Ennek alapján dönthetik el például, hogy az ügyfelekről gyűjtött adatok egy részét felhőbe vagy akár több felhőbe viszik, míg más részét házon belül tartják, és ezeket az adathalmazokat egy szintén helyben működő aggregációs szerverrel, igény szerint állítják össze teljes ügyfélprofillá. Megszűnnek így az adatsilók, a vállalatok abban a környezetben kezelhetik az adatokat, amelyben a legjobban hasznosíthatják őket, és hatékony védelmükhöz kiválaszthatják a megfelelő IT-biztonsági eszközöket. Ráadásul a potenciális támadók az elosztott részinformációkban kevésbé értékes célpontot látnak.
Sokakat foglalkoztató kérdés a dolgok internetének biztonsága, és itt elsősorban nem a lakossági piacra szánt okoseszközök védelmére gondolok. Egy-egy fitneszkarkötő vagy hálózatra csatlakozó termosztát feltörése, bár nem kizárt, nem jelent üzletet a kiberbűnözőknek, számukra az IoT-eszközökre épülő szolgáltatások mögött működő adatbázisok értékesek igazán, azok pedig a meglévő IT-biztonsági megoldásokkal is jól védhetők.
Más a helyzet az Ipar 4.0-val. Az ipari folyamatirányító, SCADA rendszerek sérülékenységeit kihasználó támadások nagyon súlyos károkat okozhatnak, egész gyárak, kritikus infrastruktúrák működését állíthatják le. Itt kulcsfontosságú a hálózat monitorozása, a behatolás vagy más, nem engedélyezett aktivitás azonnali észlelése és elszigetelése, megszüntetése, amire - különösen a Tipping Point felvásárlását követően - Deep Discovery IT-biztonsági platformunkkal mi is megoldást kínálunk.
Összefoglalva, új védelmi eszközökre mindenképp szükségünk lesz a továbbiakban, de sok múlik azon, hogy a meglévő megoldásokat finomhangoljuk, használatuk tükrözze a fenyegetési környezet folyamatos változását. Az IT-biztonsági megoldások jövőjében ezért nem forradalmi megújulást, hanem evolúciós fejlődést látok. A tanuló algoritmusok például, amelyeket már jelenleg is alkalmazunk háttérrendszereinkben, mind nagyobb szerephez jutnak majd az ügyféloldalon is, adott vállalatra szabottan, ilyen megoldással jövőre készülünk piacra lépni.
CW: Minthogy előbb-utóbb minden szervezet kibertámadás célpontjává válik, döntő jelentőségű a behatolások, a felbukkanó, új típusú fenyegetések lehető leggyorsabb észlelése. A Trend Micro Smart Protection Network (SPN) hálózatán keresztül monitorozza az internet adatforgalmát, amelyet technológiai igazgatóként ön vezet. Milyen kiterjedésű ez a hálózat, mekkora adatmennyiséget gyűjt be és elemez, illetve miként hasznosítják a fenyegetési környezetről nyert információt?
RG: Smart Protection Network hálózatunkat 2005-től építettük ki, amikor felvásároltuk a Kelkeát, a levélszemétszűrés úttörőjének számító MAPS (Mail Abuse Prevention System) szervezet anyavállalatát. Valós idejű email-reputációs szolgáltatással indultunk, de a monitorozást és a minősítést azóta az internetes adatforgalom valamennyi típusára kiterjesztettük. Nehéz lenne megmondani, hogy SPN hálózatunk pontosan hány végpontról gyűjt adatokat, mivel ezeket nem azonosítjuk. Némely ügyfelünknél házon belül is telepítettük reputációs keretrendszerünket, amely a vállalaton belül több százezer végpontot is menedzselhet, azonban amikor kérést küld az SPN felé, egyetlen monitorozási helyként jelenik meg. Ezzel együtt elmondhatom, hogy az SPN 130 millió szenzorával naponta 25 milliárd eseményt észlelünk. Ilyenkor a lehető leggyorsabban meg kell állapítanunk, hogy a gyanús hálózati aktivitás tényleges fenyegetésre, támadásra utal, vagy például egy videójáték újszerű, de ártalmatlan online kampánya idézte elő - ehhez mintegy 110 terabájt adatmennyiséget gyűjtünk be és vetünk össze.
Egyre több ügyfelünknél házon belül is telepítjük Connected Threat Defence megoldásunkat, az SPN alkészletét, mivel a támadások mind célzottabbá, egy-egy vállalatra szabottá válnak. A Connected Threat Defence homokozóba (sandbox) zárja a gyanús melléklettel érkező levelet, és ha megállapítja, hogy az valóban ártalmas, akkor a mellékletben található linken elérhető C&C (command and control) szervert is feketelistára teszi, amelyről kártékony program töltődne le a címzett gépére. Mindezt az információt összes termékünkkel, valamint versenytársainkkal, a Check Pointtal, a Fortinettel és más IT-biztonsági cégekkel is megosztjuk a hatékonyabb védekezés érdekében.
CW: Nagy- és középvállalatoknak szánt, hibrid környezetben működő Deep Discovery IT-biztonsági platformjuk is az SPN valós idejű fenyegetés-elemzésére támaszkodik. A támadók azonban gyakran a kisvállalatokat veszik célba, hogy a beszállítói láncon keresztül férjenek hozzá a nagy cégek értékes adataihoz. Milyen védelmet ad a Trend Micro a házon belüli IT-kompetenciával kevésbé vagy egyáltalán nem felvértezett kisvállalatoknak?
RG: Hibrid megoldást adunk számukra is, amely a helyben telepített végpontvédelemből, valamint a felhőalapú reputációs és sandboxing szolgáltatásból épül fel. Nagyon hasonlít ebben a tekintetben nagyvállalati megoldásunkhoz, ugyanakkor olyan menedzsmentrendszer tartozik hozzá, amely lényegesen egyszerűbbé teszi a telepítést és a kezelést. Sok kisvállalat használja a Microsoft Office 365-öt, amelyhez Cloud App Security néven szintén kínálunk védelmet fokozó felhőalapú szolgáltatást.
CW: Az idei év első feléről kiadott IT-biztonsági jelentésében (The Reign of Ransomware - TrendLabs 2016 1H Security Roundup) a Trend Micro a zsarolóprogramok rohamos terjedését, valamint a BEC- (business email compromise) típusú támadások hullámát jelöli meg a fenyegetéskörnyezetet jelenleg uraló trendként.
RG: Smart Protection Network hálózatunk és ráépülő Deep Discovery platformunk 2016 első hat hónapjában közel 80 millió zsarolóprogram-támadást észlelt és hiúsított meg, ami jól érzékelteti az ilyen típusú fenyegetések előretörését. Mára komoly iparág épült a kevés energiabefektetést igénylő, könnyű pénzszerzési lehetőséget kínáló zsarolóprogramok köré, amelyekhez szolgáltatásként, Ransomware-as-a-Service (RaaS) modellben minimális technológiai tudással bíró bűnözők is igen egyszerűen és olcsón hozzájuthatnak. Súlyosbítja a problémát, hogy ezek a kártékony szoftverek eredetileg nem vállalatok, hanem egyének megzsarolására készültek, így a szervezeteket felkészületlenül érte, amikor maguk is célkeresztbe kerültek. Bár a felmérések során az ellenkezőjét állítja, a zsarolóprogram-támadásnak áldozatul eső vállalatok többsége fizet, hogy visszakaphassa adatait, rendszereit, ami nagy hiba, mert ezzel csak újabb támadások könnyű célpontjává teszi magát. Ma már adottak az eszközök, amelyekkel a zsarolóprogramok titkosítása feltörhető.
A BEC-típusú támadások, az üzleti levelek meghamisításával elkövetett csalások korántsem láthatók ilyen mértékben, ugyanakkor rendkívül sikeresek lehetnek. Pár hónapja Ausztriában egy cég kénytelen volt elbocsátani pénzügyi igazgatóját, aki egy BEC-támadásnak áldozatul esve 55 millió eurót utalt át a kiberbűnözőknek, amiből utóbb a vállalat csupán 10 milliót tudott visszaszerezni. Nem a nigériai levelekkel elkövetett csalások színvonaláról beszélünk, persze. Egy BEC-támadás hosszas előkészületet, a célba vett vállalat, a kiszemelt alkalmazottak egymás közti, valamint ügyfelekkel és partnerekkel kialakított kommunikációs szokásainak alapos tanulmányozását feltételezi.
CW: Rávilágít ez a példa is ez emberi tényező jelentőségére. Hiába vezeti be a vállalat a legfejlettebb IT-biztonsági eszközöket, ha alkalmazottai pszichológiai manipuláció vagy a BEC-hez hasonló, kifinomult, technológia tekintetében mégis egyszerű csalás áldozataivá válnak. Miként erősíthető a kibervédelem gyenge láncszeme, az emberek biztonságtudatossága?
RG: A folyamatos képzés, az éberség fenntartása kulcsfontosságú. Nagyvállalatoknak azt tanácsolnám, amit mi is teszünk a Trend Micrónál - külső cégeket bízunk meg, a világ különböző régióiból, hogy vegyék célba alkalmazottainkat, próbálják megtéveszteni és érzékeny információk kiadására bírni őket. Kisebb vállalatok, amelyek legalább egy rendszergazdát foglalkoztatnak, maguk is megtehetnek valami nagyon hasonlót, például adathalász leveleket küldhetnek a kollégáknak. Hagyni kell őket, hogy ellenőrzött körülmények között, úgymond homokozóba zárva hibázzanak. Sokkal hatásosabb ez, mint egy előadáson a fejekbe sulykolni, hogy a gyanús levelekben található linkekre nem szabad kattintani. Nagyon fontos, hogy a hibázó alkalmazottakat nem szabad felelősségre vonni. Tanulni fognak elkövetett hibáikból, és legközelebb éberebbek, a támadókkal szemben ellenállóbbak lesznek.
