Azt sem tudjuk, hogy megtámadtak?

Az informatikai infrastruktúrákat érő incidensek által okozott károkat az átláthatóság hiánya jelentősen fokozza. Sok szervezet még csak azt sem ismeri fel, ha támadás történik a rendszerei ellen.
 

A Bit9 kiadta a 2013-as kiberbiztonsági jelentését, amely egyrészt számos olyan, sokszor hangoztatott trend létezését erősíti meg, amikről a biztonsági cégek gyakran tesznek említést. Másrészt viszont jó néhány meglepő kijelentés is szerepel benne, különösen, ami a kibertámadások elleni fellépést illeti.

A jelentés szerint tízből hét informatikai vezető a PC-ket tartja a leginkább sebezhetőnek. Ebben a megállapításban azonban még semmi meglepő sincs. Ennél érdekesebb, hogy a Bit9 felmérésébe bevont azon vállalatok, amelyek legalább egy kibertámadással szembesültek az elmúlt egy év során, nagyrészt képtelenek teljes bizonyossággal megállapítani, hogy mi is vezetett az incidensekhez, és valójában mi okozta a problémákat.

A megkérdezettek 40 százaléka úgy gondolta, hogy az antivírus alkalmazásokat tévesztették meg a támadók, míg 27 százalékuk inkább a hálózatszintű védelem megkerülésére gyanakszik. 25 százalékuk úgy véli, hogy a nemkívánatos eseményekben szerepet kapó kártékony programok USB-s adathordozókon keresztül jutottak be a hálózatába, míg 17 százalékuk a mobil készülékeket is okolta. A legmegdöbbentőbb azonban az, hogy a megkérdezettek 31 százalékának valójában semmilyen információja nincs arról, hogy mi is történhetett a céges hálózatában. Ez pedig nyilvánvalóan a további, megelőző intézkedések hatékonyságát is aláássa.

A Bit9 szerint a szervezeteknek körülbelül a fele rendelkezik olyan képességekkel, amelyek révén a gyanús tevékenységeket még azelőtt viszonylag nagy valószínűséggel ki lehet szűrni, mielőtt azok tényleges károkozásokhoz vezetnének. A felmérés során a válaszadók 42 százaléka jelentette ki, hogy megfelelő módon képes monitorozni a fájlokkal kapcsolatos műveleteket akár valós időben is. Nagy küzdelem folyik annak érdekében, hogy a végpontokon bekövetkező ártalmas eseményeket akár valós időben, akár utólag, forensic vizsgálatok keretében pontosan fel lehessen térképezni.

Korlátozott átláthatóság

"A 2013-as jelentésünk is alátámasztja, hogy a hagyományos, szignatúraalapú biztonsági megoldások nem képesek tartani a lépést napjaink kifinomult fenyegetettségeivel és kártékony programjaival szemben. A statisztikák összhangban állnak azokkal a tényekkel, amiket nap, mint nap hallunk az ügyfeleinktől. A biztonsági csoportok korlátozott lehetőségekkel rendelkeznek a végpontokon és a szervereken történő események átláthatósága szempontjából. Ha kártékony programot gyanítanak a háttérben, akkor nem tudják megmondani, hogy az mely számítógépeken futhat, és ha elindul, akkor pontosan mit csinál" - nyilatkozta Nick Levay, a Bit9 biztonsági igazgatója. Véleménye szerint az is problémát jelent, hogy gyakran nem állnak rendelkezésre megfelelő mélységű történeti adatok, amik révén megállapítható lenne, hogy egy számítógépes károkozó honnan érkezett, és pontosan milyen műveleteket hajtott végre.

Lemaradó védekezés

Levay a jelentés kapcsán a leglesújtóbb eredménynek azt tartotta, hogy a megkérdezett szervezetek 13 százalékának fogalma sincs arról, hogy az elmúlt időszakban egyáltalán történt-e kibertámadás vagy sem. Az igazgató úgy látja, hogy sokszor az informatikai részlegek még mindig az első generációs, antivírusokra épülő biztonsági modellekre alapozva próbálják fenntartani a védelmet. Ez pedig nem elégséges.