A lakat kevés a hackerek ellen

A védelemnek széleskörűnek kell lennie, nem korlátozódhat szoftverekre és hardverekre. A tudatosság és a szaktudás is fontos.

Az Informatikai Biztonság Napja

A Informatikai Biztonság Napján volt lehetőségünk beszélgetni a Cisco egyik rendszermérnök tanácsadójával aki arról a bizonyos néhány százaléknyi támadásról tartott előadást, amit nem sikerül azelőtt elcsípniük a cégeknek, hogy az bekerüljön a rendszerbe. Csordás Szilárdot az aktuális trendekről, megoldásokról és a biztonsági piac sajátosságairól kérdeztük.

IT café: Az eseményt az FBI Kiber divíziójának igazgatója, Donald J. Good nyitotta meg. Előadásában beszélt a kormány és a hírszerzés, illetve a privát szektor közötti információcseréről, a kritikus infrastruktúrákról, kategorizálta a támadókat és felállított egy rangsort. Mi a véleménye a megnyitóról?

Csordás Szilárd: Érdekes volt abból a szempontból, ahogy együttműködnek az állami szervezetek legalább amerikai szinten, illetve érdekes volt a threat intel, azaz a hírszerzési információk megosztása olyan szervezetekkel, amelyek kritikus infrastrukturákat üzemeltetnek (pl. elektromos- és vízművek). Ez a modell szerintem nagyon hasznos, az infrastruktúra üzemeltetőinek ugyanis sok esetben nem áll rendelkezésre a megfelelő információ, illetve bizonyos esetekben a kibervédelmi szaktudás sem elegendő, be kell vonni az állami szerveket is.

Csordás Szilárd
Csordás Szilárd [+]

IT café: Mi a véleménye a sérülékenységről és érintettségről? Az FBI előadásában a kormányok és állami szervek csak a második csoportba kerültek.

Csordás Szilárd: Vannak azok a bűnözők, akiket egyértelműen a pénz motivál, a megszerzett bizalmas adatokat valamilyen módon pénzre váltják. A másik kategória az állami hátszéllel rendelkező kémek csoportja, akik gazdasági vagy politikai célokért próbálnak betörni rendszerekbe. Nyilván az előbbi kategória érint több célpontot. Ők egyre ügyesebbek, egyre szervezettebbek, és egyre több pénzük van.

Csak hogy egy példát említsek: eddig csak közvetve jutottak forráshoz, hiszen a megszerzett információkat valamilyen úton értékesíteni kellett, azonban a mostanában divatos zsarolóprogramok révén közvetlenül (vagy minimális áttétellel) a bűnöző jut finanszírozáshoz. A másik csoport létszámban bár elmarad az előbbitől, viszont kifinomultságban és lehetőségben mindenképp előrébb járnak, pontosan azért, mert kormányok állnak mögöttük, így a pénz nem akadály. Itt is mondok példát: a feketepiacon a zero-day sérülékenységek 100-200 ezer dollárt is érnek, ekkora összeget egy mezei hacker nem tud előteremteni olyan könnyen.

IT café: Van hazai statisztika az arányokról? A Cisco rendelkezik adatokkal ezen a téren?

Csordás Szilárd: Ez egy nagyon aktuális probléma, ugyanis nincs rá olyan törvény vagy kötelezettség, ami a bejelentést előírná, bár EU-s szinten vannak erre törekvések. Csak tippelni tudok, de azt gondolom, hogy Magyarországon is a pénzorientált támadások a jellemzőbbek.

IT café: Iparági kezdeményezés sincs ebbe az irányba?

Csordás Szilárd: Van a Ciscónak egy saját rendszere, ami a meglévő telepített eszközeinkből (telemetriás adatok) dolgozik, illetve - bár a piacon versenytársak vagyunk -, vannak olyan cégek, akikkel megosztjuk a tudást az új fertőzésekről. A Cisco Talos nevű elemző csoportja napi szinten 1,1 millió malware mintát vizsgál (deduplikáció után). Ezekből olyan adatbázisok készülnek, amiket a biztonsági termékeink hasznosítani tudnak. Nem csak a Cisco profitál ebből, ezt a Threat Intelligence adatbázist meg lehet vásárolni, pontosabban előfizetni lehet rá.

Hármas védelem
Hármas védelem (forrás: Cisco) [+]

IT café: Hogyan lehet védekezni a fent említett zsarolóprogramok ellen? Van biztonságos megoldás a sandboxingon túl?

Csordás Szilárd: Ahhoz, hogy hatékonyan tudjunk védekezni a támadások ellen, három fő komponensre van szükség. Ezek egyike a technológia (tűzfalak, IPS-ek, antivírusok, stb.), továbbá kellenek jól definiált folyamatok (vészforgatókönyvek: legyen leírva, hogy ha történik egy incidens, kit és hogyan, mikor kell bevonni ennek a kezelésébe). Harmadrészt legyen meg a knowhow, azaz a tudás (legyenek olyan szakemberek házon belül, akik értik és tudják kezelni a támadásokat). Van még egy nagyon fontos dolog, a szemléletváltás. Amire az elmúlt 10-20 évben építettük a védelmet, a preventív megelőző módszerek, már évek óta nem működnek kellő hatékonysággal. Ha valaki nagyon akar, úgyis bejön. A feladat inkább az, hogy felderítsük, megfigyeljük, leállítsuk, mielőtt komolyabb károkat tudna okozni egy-egy ilyen támadás.

Tényleg a felhasználó a legnagyobb veszélyforrás?

IT café: Hogyan lehet megvédeni a felhasználót saját magától? Van erre kialakult módszertan, vagy az egyetlen megoldás a tiltás?

Csordás Szilárd: A felhasználókat lehet, sőt kell is oktatni. Viszont nem szabad túl sok elvárást támasztani, illúziókat kergetni azzal kapcsolatban, hogy egy pár napos oktatás után az átlagfelhasználóból biztonsági szakértő lesz. Sajnos ezek ellenére is előfordulhat, hogy nem tudnak ellenállni a kattintásnak és olyan helyeken kezdenek böngészni, ahol nem szabadna.  A legtöbb támadás valóban az emberi kíváncsiságra épít, illetve a kapzsiság, a félelem, illetve a sürgetés éri el legtöbbször a célját. Fontos, hogy a védelmünk részét képezze az emberek oktatása, de még egyszer: ne legyenek illúzióink, ezzel még nem oldódik meg minden probléma.

IT café: Mindezek fényében mit gondol arról az egyre gyakrabban hallott állításról, hogy az antivírus halott?

Csordás Szilárd: Önállóan valóban kevés, amit ezek a szoftverek nyújtani tudnak. Mérföldkövekről beszélhetünk, volt az antivírus, aztán a hálózat alapú IDS, IPS, aztán két éve vált slágerré a sandboxing, a trendek folyamatosan változnak, mindig van egy-egy top termékkategória, ami nagyon jó bizonyos szempontból, pl. segít a nem túlságosan kifinomult támadásokat elcsípni, növeli a védelmi rendszer hatásfokát, de ezek nyilván nem tudnak teljes körű megoldást nyújtani. Igen, jó az antivírus, sandboxinggal párosítva még jobb, de nem elégséges. Olyan malware mintákat látunk nap mint nap, amelyek különböző innovatív trükkökkel kikerülik a sandbox rendszereket.

IT café: A Cisconak milyen eszközei vannak a védelem fokozására?

Csordás Szilárd: Két részre bontanám a kérdést. Vannak hálózat és kliens alapú termékeink, illetve jelen vagyunk a biztonsági szolgáltatások piacán is. A hálózat alapú eszközökhöz tartoznak a next generation tűzfalak, illetve ami most elég hatékony, az Advance Malware Protection, ami gyakorlatilag pont azt a felső 10-20 százalékos réteget figyeli, amit a klasszikus szignatúra alapú, adatbázisból dolgozó szoftverek nem látnak át. Ha pedig az ügyfélnél nincs meg a korábban említett szaktudás, azt részben vagy egészben tőlünk is meg tudja vásárolni szolgáltatások formájában (mi elemezzük ki a logokat, incidenseket, stb.).

IT café: Az AMP milyen platformokra érhető el?

Csordás Szilárd: A kliens oldali AMP Windows, OS X, Linux, Android rendszereken fut. Az IOS egy zárt rendszer, nem férünk hozzá azokhoz az komponensekhez, amik kellenének a tökéletes működéshez. A hálózat alapú AMP szolgáltatás kiegészítő modulként elérhető a tűzfalakon, IPS, email és a web biztonsági rendszereken.

Megoldás minden bajra?
Megoldás minden bajra? (forrás: Cisco) [+]

IT café: Nemrégiben derült ki, hogy a kínai fejlesztők által használt, harmadik féltől származó Xcode káros kódot tartalmazott, és rengeteg alkalmazásba került bele így a fertőzés.

Csordás Szilárd: Network oldalon ezzel nem sok mindent tudunk kezdeni a megelőzés szemszögéből nézve, viszont miután rákerültek a telefonokra, nyilván forgalmat fognak generálni. Ha van a rendszerünkben egy úgynevezett baseline (átlagos forgalmi és alkalmazás statisztika), ahhoz képest az eltérőséget már ki tudjuk mutatni. Ehhez persze monitorozni kell a forgalmakat.

IT café: Ezek a megoldások össze vannak már hangolva a Business Intelligence rendszerekkel?

Csordás Szilárd: Szerintem ettől még messze vagyunk. Lehet, hogy ez lesz a következő trend, egyelőre már az is eredmény, hogy a biztonság kérdéskörét már nemcsak az informatikusok és biztonsági szakemberek vizsgálják, tehát eljutottunk odáig, hogy sok cégnél a vezetőség felismerte, a márkának nem tesz jót, ha feltörik a rendszereiket. De attól, hogy üzleti lehetőségként tekintsenek egy biztonsági beruházásra, sajnos még nagyon messze vagyunk. Legalábbis Magyarországon és a régióban.

Természetesen egy olyan vállalat, ami száz százalékig a hálózatától függ, sokkal komolyabban veszi ezeket a kérdéseket és szívesebben áldoz a biztonságra is, hiszen az üzleti modellje épül arra, hogy az adatok védve legyenek.

IT café: Mit gondol arról, hogy bizonyos ingyenes védelmi szoftvereket gyártó cégek nyíltan vagy burkoltan, de értékesítik a felhasználók adatait, böngészési és keresési előzményeit?

Csordás Szilárd: Ez nagyon nincs így jól. Megértem őket az üzleti modelljük szempontjából (és nem csak biztonsági cégekről, a Google-ről és a Facebookról is beszélek): ha nem fizetsz a szolgáltatásért, akkor te magad vagy a termék, vagy az adataid. Az F-Secure vezető kutatója, Mikko H. Hypponen hangoztatja mindenhol, hogy „bárcsak tudnék fizetni ezekért a szolgáltatásokért”, csak ne az adataimmal kelljen kiegyenlítenem a számlát. Ennek azonban van egy másik olvasata is, az X és Y generáció, amelyik most nő fel, most kezd vezető pozíciókba kerülni, ők egész másként vélekednek ezekről a dolgokról, őket nem különösebben érdekli a magánélet védelme.

A baj az, hogy nem nagyon van alternatíva. Vegyük például az e-mail szolgáltatókat! Van három-négy cég, amelyik zseniális, ingyenes szolgáltatást nyújt, mindig elérhetőek, óriási tárhelyet kapnak a felhasználók, bárhonnan elérhetőek, könnyű őket kezelni, minden platformon ott vannak. A fejlesztéseket valahonnan finanszírozni kell, ingyen ebéd mint olyan, nem létezik. A felhasználó a termék, nem örülök neki, de sajnos el kell fogadni.

Kormányközeli hackerek

IT café: Térjünk vissza egy kicsit a beszélgetésünk elejére, a kormányok által pénzelt támadások kérdéskörére. Mennyit számít, hogy egy káros kódot amerikaiak, kínaiak, vagy éppen az oroszok írtak?

Csordás Szilárd: Egy amerikainak nyilván számít, hogy éppen Kína, vagy Oroszország támadja. Mi ebből a szempontból kishalak vagyunk. Nem mondom azt, hogy minket nem támadnak, de jellemzően nem önmagunk miatt, hanem mondjuk a NATO tagság miatt rajtunk keresztül juthatnak be a számukra izgalmas rendszerbe. Egyébként nehéz kideríteni, egészen pontosan honnan is jött a támadás, mert vannak ugyan utalások a kódban, de lehet, hogy ezeket szándékosan tették bele. Láttunk már olyat, hogy megpróbálták a harmincezer kínai kiberkatonára rátolni a felelősséget.

IT café: Magyarországot milyen irányból támadják leggyakrabban?

Csordás Szilárd: Magyarországra vonatkozólag nincs konkrét információm, de elmondható, hogy globális szinten a Kelet-európai országokból elég erős az aktivitás, illetve a Közel- és Távol-Keletről is sokan próbálkoznak. A Szíriai Elektronikus Hadsereg (SEA) például büszke is ezekre a támadásokra, saját magukat fedik fel igen gyakran. Ezzel párhuzamba állítható, hogy a rendészeti szervek ezekben a támadólag fellépő országokban kicsit lazábbak.

IT café: Amerika sem kispályás ezen a téren.

Csordás Szilárd: Jelentős a költségvetésük ilyen célokra, ami hatalmas lehetőségeket nyit meg előttük.

IT café: A Snowden-ügy fellendítette a biztonsági piacot, vagy elbizonytalanította az embereket?

Csordás Szilárd: Szignifikánsan nem esett, de nem is duplázódott meg az értékesítés. Az emberek beszélgetni kezdtek a biztonság kérdéséről, Snowden jól tematizált. Mi is több tanácsadást tartottunk, előtérbe kerültek a zero-day sebezhetőségek, a kifinomultabb védelmi mechanizmusok, és egyre több APT (advanced persistent threat) projekt indul már Magyarországon is. Összességében mégis azt mondom, hogy megbolygatta a piacot, de nem állította fejre.

Hiába javítják a hibát, ha a felhasználó nem frissíti a szoftvert
Hiába javítják a hibát, ha a felhasználó nem frissíti a szoftvert (forrás: Cisco) [+]

IT café: A Cisco az utóbbi időben is vásárolt fel érdekes cégeket. Mesélne ezekről? Például mire kell az OpenDNS?

Csordás Szilárd: Mivel a biztonság a Cisco-nál kiemelt stratégiai terület, ezért a vállalat átvilágította a portfóliót, hogy megnézzük, hol vannak hiányzó elemek. Ezeket ugye vagy lefejlesztjük magunknak, vagy megnézzük ki a piacon a legjobb, vagy kik vannak jelen, és azok közül vásárolunk. Lényeg az, hogy a felvásárlást követően minél gyorsabban integráljuk ezeket a saját rendszereinkbe. Az OpenDNS pl. egy fontos akvizíció, nagyon sok információt hordoz arról, hogy a cégek és az internetezők mit és hogyan csinálnak. A távolról vezérelt kártevők esetében például már DNS szinten tudjuk detektálni a területeket, fertőzéseket. Van benne ráadásul egy olyan kontroll lehetőség, hogy akkor is tudunk nyújtani egyfajta biztonságot a felhasználóknak, ha az irodán kívül interneteznek a laptopjukkal vagy a mobiltelefonjukkal.

IT café: Akkor ez a felvásárlás nem csak azért történt, hogy csökkenjen a konkurencia?

Csordás Szilárd: Abszolút nem. Szükségünk van a megújulásra és az innovációra. Természetesen piacot is vásárolunk ezekkel az üzletekkel, ami fontos, ám legalább ilyen fontos a technológia, és a tudás, amit az emberek révén szerzünk meg.

IT café: Hogy illik a képbe a Cognitive felvásárlás?

Csordás Szilárd: A Cognitive egy kis cseh cég volt, rendkívül okos kollégákkal, PHD-s matematikusokkal, akik algoritmusokat írnak. A biztonsági eszközeink generálnak egy csomó logot, ezeken az adatmennyiségeken a Cognitive által írt analitikával megpróbáljuk feltérképezni az összefüggéseket. Lehet, hogy találunk olyan web- vagy e-mail forgalmat, esetleg a telemetriában olyan adatot, ami gyanús. Tehát az analitikát hozták, és ezt építettük rá a meglévő Cisco termékekre. Mára ott tartunk, hogy ezt az elemzőszoftvert más gyártók termékeire is rá tudjuk engedni, így kiszélesítettük a potenciális ügyfélkört.

Azóta történt

Előzmények