Jelenleg 22 százalék körül van annak az esélye, hogy egy átlagos nagyvállalat egy kétéves periódus során 10 ezer vagy még ennél is több adatrekordot érintő kibertámadást szenved el, állítja a biztonsági kutatásokkal foglalkozó Ponemon Institute. Az ilyen incidens hatalmas és évről évre nagyobb károkat okoz: míg egy adatvesztéssel járó behatolás a céges hálózatba 2014-ben átlagosan 3,52 millió dollárral terhelte meg az áldozatul esett nagyvállalat költségvetését, addig 2015-ben ez az összeg már 3,79 millió dollárt tett ki. Más megközelítésben ez azt jelenti, hogy tavaly minden egyes adatrekord ellopása 154 dollárral növelte az érintett vállalatok kiadásait (egy évvel korábban ez a kár még 145 dollár volt).
Súlyosbítja a helyzetet, hogy az IDG Research friss kutatása szerint a legtöbb vállalat a biztonság hamis látszatával ámítva önmagát kizárólag régi és egyre hatástalanabb módszerekkel - hálózati tűzfalakkal, antivírus-szoftverekkel, a biztonsági személyzet létszámának növelésével - igyekszik megvédeni informatikai infrastruktúráját és értékes adatait az új típusú fenyegetésekkel szemben. Ráadásul ezen cégek informatikai vezetői nagyon is jól tudják, hogy ezek az eszközök nem hatékonyak, mégis használják őket.
Az alábbiakban a Tempered Networks és az IDG tanulmánya alapján áttekintjük azokat az újgenerációs biztonsági technológiákat, amelyekkel hatékonyan vehető fel a harc az egyre fejlettebb támadásokkal szemben. Ezek között megtalálhatók a kriptográfiai azonosítókat és a hálózati mikroszegmentálást használó védelmi megoldások, amelyek egy zéró bizalmon alapuló IP-kommunikációs modellt valósítanak meg.
Elrejtett hálózati erőforrások
Egyes újgenerációs biztonsági megoldások nem csupán erőteljesebbek, hanem költséghatékonyabbak is, mint a sok vállalatnál alkalmazott korábbi technológiák. Ezen eszközök csodafegyvere egy kevéssé ismert, de egyre inkább előtérbe kerülő technológia, a Host Identity Protocol (HIP). Ezt az elmúlt több mint tíz év során sikeresen telepítették egyes leginkább támadott nagy informatikai környezetekbe. Az Internet Engineering Task Force által nemrégiben globális szabvánnyá minősített HIP egyedi kriptográfiai azonosítót használó fejlett titkosítást és egy fehérlistán alapuló bizalmi modellt kínál, vagyis nem hamisítható IP-címeket használ a végpontok azonosításához.
Marc Kaplan, a Tempered Networks biztonsági architektúrákért felelős alelnöke szerint a módszer ahhoz hasonlítható, mint amikor egy személyt nem a neve, hanem a DNS-e alapján azonosítunk. Az újgenerációs biztonsági megoldások a hálózati erőforrásokat HIP-alapú berendezések mögé rejtik el: ezek kizárólag jóváhagyott fehérlistán lévő más HIP-berendezésekkel kommunikálnak, amelyek ugyancsak ismert és ellenőrzött azonosítókulcsokkal és biztonsági tanúsítványokkal rendelkeznek, így az adatátviteli csatorna végponttól végpontig titkosított. A tanúsítvány az emberi ujjlenyomathoz hasonlítható, vagyis a gazdagép DNS-e mellett annak ujjlenyomatát is ellenőrzi a rendszer.
Ez a megoldás lényegesen fejlettebb a korábbi biztonsági módszereknél. Mindenekelőtt megakadályozza, hogy a potenciális támadók lássák a célba venni kívánt vállalat szervereit. Kaplan szerint ha sikerülne is feltörniük a hackereknek az alapvető útirányító infrastruktúrát, nem észlelnének mást, mint titkosított forgalmat a HIP-alapú berendezések között, arról nem szereznének tudomást, hogy kettő vagy kétezer eszköz található-e a berendezések mögött. Nem tudnák olvasni a HIP-forgalmat sem, mivel a biztonsági megoldások AES-256-os titkosítást és SHA-2 üzenethitelesítést használnak a hálózati kommunikáció illetéktelenektől való megvédésére.
A HIP-alapú berendezések alkalmazásának másik nagy előnye, hogy lehetővé teszi a hálózati erőforrások egyszerű reallokációját anélkül, hogy meg kellene változtatni a bizalmi kapcsolatokat, ugyanis a HIP-alapú berendezések DNS-e és ujjlenyomata mindig ugyanaz marad. A HIP-berendezések a szolgáltatásbénító (DoS) támadások ellen szintén védelmet nyújtanak, mivel a HIP protokoll megköveteli a gazdagépektől, hogy megoldjanak egy erőforrás-igényes kriptográfiai rejtvényt, mielőtt elindítanák a forgalmazást. Így a támadó szerverei komoly terhelésnek lesznek kitéve, még mielőtt leterhelhetnék a célba vett vállalat kiszolgálógépeit. Vagyis jelentősen megnőnek a sikeres DoS-támadáshoz szükséges infrastruktúrával szembeni igények, s ezáltal a támadás költségei is elfogadhatatlan magasságba emelkednek a kiberbűnözők számára. Ráadásul a HIP-berendezések elrejtik a hálózati erőforrásokat a DoS-támadásokhoz használt gépek elől: ha tehát nem láthatók, nem is lehet célba venni őket.
Hálózati szegmentálás felsőfokon
A HIP-alapú berendezések a Tempered Networks tanulmánya szerint kulcsszerepet játszanak a következő generációs biztonsági megoldások egy további fontos funkciójában, az identitásalapú overlay hálózatokban is. A nagyméretű fizikai infrastruktúrák szoftveresen definiált alegységei alapvetően hálózatok a hálózaton belül, amelyeket áthatolhatatlan virtuális falak választanak el egymástól. A HIP-berendezések IP- és MAC-címeken alapuló fehérlistákat használnak annak eldöntésére, melyik eszköz melyik overlay hálózathoz tartozik, és ennek megfelelően irányítják a forgalmat. Az egyik overlay hálózatba beengedett adatcsomagok nem láthatják a többi hálózatot és nem is férhetnek hozzájuk. Kaplan úgy véli, az overlay hálózatok jelentős mértékben segíthetnek mérsékelni a sikeres kibertámadások utóhatásait. Ha bekövetkezik egy incidens - aminek egyre nagyobb a valószínűsége a jelenlegi kiberbiztonsági helyzetben -, a vállalatok a lehető legkisebbre kívánják mérsékelni annak káros hatását, amit a leghatékonyabban a céges hálózat megfelelő szegmentálásával tudnak elérni.
A korszerű biztonsági megoldások legjobbjai még tovább mennek a szegmentálásban: az úgynevezett mikroszegmentálás a kivételesen értékes vagy sérülékeny végpontok esetében további védelmi réteg alkalmazásával növeli a biztonságot. Kaplan a funkciót ahhoz hasonlítja, mint amikor két berendezést Ethernet-kábellel kötünk össze: senki más a hálózaton belül és kívül nem fogja látni a két gép közötti forgalmat.
Vannak biztató jelek
Az IDG Research fentebb már említett kutatása szerint a nagyvállalatok már elkezdték kiegészíteni elavult védelmi infrastruktúrájukat az újgenerációs biztonsági technológiákkal. Arra a kérdésre, hogy milyen módszereket használnak az egyre összetettebb és egyre nagyobb kihívásokat támasztó kiberbiztonsági helyzethez való alkalmazkodás érdekében, a felmérés válaszadóinak 53 százaléka a következő generációs IT-biztonsági technológiák bevezetését jelölte meg a kérdőíven. Örvendetes tény, hogy 30 százalékuk már használja a mikroszegmentálást hálózati eszközei védelmére, 22 százalékuk pedig tervezi annak megvalósítását a jövőben. Az utóbbi két csoport 77 százaléka egyetértett azzal az állítással, hogy a mikroszegmentálás segít elszigetelni az üzletileg kritikus végpontokat, 51 százalékuk pedig úgy nyilatkozott, hogy a technológia jó szolgálatot tesz a támadási felület csökkentésében.
Ugyanakkor az IDG Research kutatása rávilágított azokra az akadályokra is, amelyek meggátolják a hálózati mikroszegmentálás alkalmazását a vállalatoknál. A technológiát nem használó és bevezetni sem tervező szervezeteknek a 47 százaléka kifogásként mind a meglévő biztonsági felügyeleti eszközök más szegmensekbe való átkonfigurálásának bonyolultságát, mind a biztonsági felügyelet megnövekedő nehézségét megemlítette. Egy másik 35 százalék a bevezetés bonyolultságát nevezte meg hátráltató tényezőként.
Szakértők szerint ezek a vélemények ismerősnek hangzanak szakmai közökben. Bár a szegmentációban, a fehérlisták alkalmazásában és a következő generációs biztonsági megoldásoknál használt más módszerekben nincs semmi újdonság, azonban mind ez ideig ezek bevezetése időrabló manuális folyamat volt. A gondon egy olyan konfigurációs szoftver segít, amely leveszi az IT-részlegek válláról az új technológiák beállításának és üzemeltetésének terheit. Kaplan azt tanácsolja az IT-vezetőknek, hogy olyan biztonsági terméket válasszanak, amely automatizálja a konfigurációs folyamatokat: a mikroszegmentálást, a bizalmi kapcsolatok kialakítását, az overlay hálózatok felügyeletét és más bonyolult feladatokat.
