Interjú: fel kell gyorsítani a támadások detektálását

Átlagosan 200 napra van szükségük a vállalatoknak, intézményeknek a kibertámadások felismeréséhez. De vajon hogyan reagálhatunk hatékonyabban az incidensekre?
 

Csordás Szilárd, a Cisco biztonsági szakértője az ITBN konferencián a fejlett fenyegetettségekről tartott előadást. Ennek apropóján arról kérdeztük, hogy mit lehet tenni azokkal a kártékony programokkal, amiknek a létezésére akár hónapokig nem derül fény.
 
Biztonságportál: Az előadásában a fejlett malware-ekről beszélt. Ezek a károkozók jelentős támadásokhoz, APT-károkozásokhoz vezethetnek, és huzamos ideig képesek rejtve maradni. Mit tudnak ezek a malware-ek, ami miatt ilyen „sikeresek”? Mitől akaszthatjuk rájuk a „fejlett” jelzőt?
 
Csordás Szilárd: Azok a technológiák, trükkök teszik ezeket fejletté, amelyek révén képesek bejutni egy rendszerbe. Nyilván ebbe beleértem azt a műszaki tartalmat is, hogy miként titkosítják, hogyan csomagolják be, milyen módon darabolják fel a kártékony kódokat a készítőik. A vírusterjesztők célja, hogy kiépítsenek egy állandó kapcsolatot az áldozat és a saját rendszerük között. Ha furcsa analógiával akarok élni, akkor azt mondhatom, hogy mi felhasználók szorgalmasan, mint az olajfúró tornyok termeljük a javakat, ők pedig ezeket ellopják.
 
Sokszor látjuk azt, hogy ha egy malware megjelenik egy hálózatban, akkor utána másik 10-12 variáns követi. A céljuk, hogy befészkeljék magukat, és a teljes eszközkészletüket szétszórják a hálózatban.
 
Biztonságportál: Az ilyen típusú fenyegetettségek ellen csak komplex módszerekkel lehet felvenni a kesztyűt. Milyen szinteken kell a védelmet kialakítani, illetve fokozni?

Cs. Sz.: Nem egyszerű erre a kérdésre válaszolni, mivel a helyzet nem fekete vagy fehér. A technológia mellett fontosak azok a folyamatok, amelyek az incidenskezeléshez tartoznak. Például, hogy kiket vonunk be a reagálásba (még a jogi osztályt is beleértve). A gondolkodásunkat is át kell állítanunk: az IT biztonsági szakma évtizedekig a megelőzésre fókuszált. Látni kell azonban, hogy preventív módszerekkel nem tudjuk a támadásokat megakadályozni, ezért tudni kell, hogy mit teszünk akkor, ha támadás már elérte a hálózatot. Jelenleg az ipari átlag 200 nap a fejlett fenyegetettségek felismerésében. Cél az is, hogy ezt az időt csökkentsük, és ezáltal minél kisebb kárunk legyen. Ha megjelenik a hálózatban egy malware entitás, akkor az még nem egyenértékű azzal, hogy az összes adatunkat el is lopják. Lehet, hogy a támadók még csak most próbálják felépíteni a belső bázisukat.
 
Biztonságportál: Az ITBN-en a Cisco több előadásában is malware-ekkel foglalkozott. Ez meglehetősen szokatlan a vállalattól, hiszen az elmúlt években inkább a hálózatok és azok biztonsága került előtérbe. Mi az oka annak, hogy most a kártékony programok vannak középpontban?

Cs. Sz.: Alapvetően azt látjuk, hogy manapság a leggyakrabban alkalmazott támadási vektor a malware. A Ciscónál az utóbbi években nagy fókuszt kapott a biztonság kérdésköre. Nyilván ennek üzleti motivációs oldala is van. A Cisco vezetése lehetőséget, piacot lát ebben az iparágban és komoly összeget fordít az akvizíciókra, illetve a fejlesztésekre.
 
Emellett ezek azok a támadások, amelyek a klasszikustól eltérnek, kifinomultak és sokat fejlődtek. Például az Angler exploit kittet fejlesztő kiberbűnözői csoport öt évvel ezelőtt nem engedhette volna meg magának, hogy nulladik napi Flash sérülékenységi információkat vásároljon (akár 100-200 ezer dollárért), nem tudott volna fejlesztőmérnököket, tesztmérnököket alkalmazni vagy support teamet fenntartani, mert nem volt annyi pénze. Ez csak nagyobb APT-csoportoknak volt a kiváltsága. A mai (alvilági) üzleti modell mentén azonban – például a fájltitkosító Cryptolocker révén – a pénz közvetlenül hozzájuk kerül, és így lehetőségük van arra, hogy komoly szervezetet hozzanak létre. Ez egy nagy probléma, és ezért fókuszálunk erre.
 
Biztonságportál: A kártékony programok elleni védekezés egyik fontos eleme a patch management. Viszont idén egy komoly nehezítő körülmény állt elő: megszűnt a Windows Server 2003 támogatása. Mik a tapasztalatai a hazai vállalkozások vonatkozásában az átállással kapcsolatban, és mit javasol e tekintetben a cégeknek?

Cs. Sz.: Frissítsünk minél előbb! Persze ezt könnyebb mondani, mint megcsinálni. Aki már üzemeltetett, illetve felelt hálózatért, az tudja, hogy nem így patch-elünk rendszert, mivel az üzletmenet-folytonosság is kritikus szempont. Azon rendszereket, amelyeket nem tudjuk azonnal frissíteni, próbáljuk minél jobban izolálni. Kapcsoljunk be erősebb naplózást, rakjunk eléjük IPS-t, ha még nem volt, és az alkalmazott szabályok legyenek szigorúbbak. Kapjanak nagyobb fókuszt azok a rendszerek, amelyek sebezhetők a frissítések hiánya miatt.
 
Biztonságportál: A Cisco az elmúlt években számos felvásárlást hajtott végre a biztonság területén. Miként épültek be az így megszerzett technológiák a jelenleg piacon lévő eszközeikbe?

Cs. Sz.: A legnagyobb felvásárlás a Sourcefire volt. A beolvasztott csapat kifejezetten biztonsággal foglalkozott, míg a Cisco a hálózati világból jött, igaz 10-15 éve árulunk már klasszikus tűzfalrendszereket. Az akvirálással nemcsak technológiák kerültek be a portfóliónkba, hanem egy kiváló szakértői csapat is. Hozták magukkal a kultúrát, a fejlesztéseket és az ötleteket. A felvásárlás lezárása után kilenc hónappal a klasszikus ASA tűzfal megkapta a Sourcefire megoldásokat. Így gyakorlatilag egy licenckulcs segítségével engedélyezhetővé váltak az emelt szintű szolgáltatások. A Sourcefire utáni felvásárlások inkább már egyes biztonsági területekre koncentráltak. A legutóbbi akvirálás pedig az OpenDNS-hez kapcsolódik. Ez a cég is egy startupból indult, nagyon innovatív vállalat, magánfelhasználóknak egyébként ingyenes a szolgáltatása. Biztonsági téren fontos, hogy ha már megfertőződött egy rendszer, akkor a DNS-forgalomból, telemetriából, illetve statisztikából nagyon jó kimutatások készíthetők a malware-ekre vonatkozóan, és ezzel csökkenthető az a bizonyos 200 nap.
 
Biztonságportál: Az OpenDNS felvásárlása azt jelenti, hogy a Cisco a felhő alapú biztonság irányába is elmozdult?

Cs. Sz.: Igen, abszolút. Viszont az európai felhasználók még kevésbé nyitottak a felhő alapú megoldásokra, mint például a tengerentúli szervezetek. Félnek, tartanak tőle, de előbb-utóbb elkerülhetetlen lesz a használata.
 
Biztonságportál: Az utóbbi hetekben nagy port kavart a SYNful Knock malware, amely egyes Cisco routerek esetében jelent kockázatot. Mit lehet tudni a malware-ről és az eddigi vizsgálatokról?

Cs. Sz.: Nyilván kezelni kell a helyzetet, mert potenciális kockázatot, fenyegetést jelent.  Ugyanakkor itt arról van szó, hogy ha a támadó fizikailag hozzáfér az eszközhöz, vagy megszerez egy hozzáférést, akkor egy kompromittált szoftvert tud rátölteni az útválasztókra, amik aztán már távolról vezérelhetők. Tehát nem egy távolról kihasználható sérülékenységgel állunk szemben. A Cisco egyébként már korábban is publikált olyan ajánlásokat, amelyekben leírtuk, hogy egy routert, switch-et miként kell beállítani (device hardening) a kockázatok csökkentése érdekében.
 
Egy 15 éve vásárolt router nem ugyanazokat a biztonsági szolgáltatásokat, megoldásokat nyújtja, mint egy néhány éve beszerzett eszköz. Az utóbbi 2-5 évben legyártott termékekben már vannak olyan mechanizmusok, például code signing, amelyek megakadályozzák a kompromittálást. Vagyis csak akkor fog bebootolni a router, ha olyan szoftver van rajta, amely a Cisco digitális aláírásával rendelkezik.