A technika nem elég a számítógépes betörések elkerülésére

Hiába a tűzfalak és biztonsági szoftverek rengetege, ha azok adatait nem elemzi senki. Erre nyújtana most megoldást egy magyar cég.

"Az elmúlt 20 évben hihetetlen mértékben nőtt meg a digitális eszközök használata. Visszatekintve korábbra, a támadások meglehetősen primitívek voltak, melyekkel szemben nagyon egyszerű volt védekezni. Egy profi tűzfal és egy vírusvédelmi rendszer minimálisra tudta csökkenteni a kockázatok szintjét, ezekkel szemben a ma zajló akciók hatóerőben egy atombombához hasonlítanak. Pusztán bosszúságokat okozott egy akár tízmillió gépet megfertőző támadás is, melyet végső esetben egy mentéssel jól lehetett kezelni. Ma azon túl, hogy a rendszereink leállhatnak, az adatainkat is ellophatják vagy manipulálhatják" - ismertette a Quadron Kft-t vezető Harold Teasdale, aki korábban sok éven át a Symantec hazai részlegét igazgatta.

Véleménye szerint a védekező oldal komoly lemaradásban van, mert mára még a legegyszerűbb felhasználóknak is komplex védelmi archiktektúrákat kell(ene) üzemeltetnie. "Védekezünk a hálózaton, a klienseken, az adatbázisokon és az alkalmazásoknál, és a biztosan még kifinomultabbá váló támadások ellen ezt a felhasználók szintjén nem lehet fokozni. Merem mondani, hogy már ma sem képesek a felhasználók kontroll alatt tartani azokat a védelmi technológiákat, amikkel rendelkeznek. Ma, amikor már nem tinédzserek készítik a vírusokat, hanem szervezett bűnözők és nemzetállamok, pénzt és energiát, hónapokat vagy éveket beleölve készítik elő a támadásaikat naivitás azt gondolni, hogy egy tűzfallal, egy IDS-sel, egy SIEM-mel meg titkosítással meg tudom védeni magamat."


Példája szerint egy nagyobb ügyvédi vagy utazási irodánál nem megengedhető az, ha a rendszergazda hetente egyszer átnézi a logfájlokat behatolás után kutatva, viszont foglalkoztatni sem tudnak külön szakembert erre a feladatra. Míg régen egyszerű eszközmenedzsment elég volt a védekezéshez, ma hozzáértő humán erőforrás nélkül reménytelen ez a feladat.

A Quadron a feladatra egy elemzőközpontot létesített, ahol sok éves biztonságtechnikai tapasztalattal rendelkező szakembereket foglalkoztatnak, akik az esetleges behatolások megelőzése érdekében igénybe tudják venni a Symantec információs hálózatát és elemzőit is. A cég havidíjas szolgáltatás keretében 15 perces határidővel vállalja a végpontokat érő támadások vagy anomáliák jelzését, a nap 24 órájában, a hét bármely napján. "Nem célunk lecserélni az ügyfeleiknél semmilyen technológiát, nem akarunk rájuk tukmálni új eszközöket, hanem a meglévő rendszereikből szeretnénk kihozni a legtöbbet." - világította meg az üzleti tervet Harold Teasdale.

Elemzőközpontjukban összegyűjtik a felhasználóiktól érkező információkat, és ezeket először automatizálva átfuttatják a Symantec adatbázisán, összevetik azzal, ami a világban történik, majd 22 saját szakemberük kiválasztja azokat a fontos incidenseket, amelyek kimondottan beavatkozást igényelnek, akár a helyszínre is kiszállva a megoldáshoz. Persze ehhez szükséges egy előzetes felmérés is az adott cégnél, feltérképezve a kockázatokat, tanácsot adva az infrastruktúra esetleges optimalizálására, mert enélkül kezelhetetlenül sok cselekvést szükségessé tévő jelzésük lenne.

"Még ha egy cégnél van is incidensmenedzsment rendszer, akkor is csak a saját hálózatán belül történő dolgokat tudja elemezni. Az az igazi proaktív védelem, ha előre tudjuk jelezni, hogy egy adott térségből milyen támadások fenyegetnek, akár specifikusan egy adott ágazatot vagy egy hozzád hasonló infrastruktúrájú szervezetet." - mondta Teasdale.


Harold Teasdale kifejtette, hogy az IVSZ szerint több tízezer informatikus hiányzik, de itt ráadásul speciális szaktudású emberekről van szó, akiknek képzése nem oldható meg egy néhány hónapos tanfolyammal, hanem sok évig kell tanulni és a területen dolgozni. Értenie kell sokféle operációs rendszerhez (hálózati, szerver, kliens vagy akár mobil), protokollokhoz, biztonsági eszközökhöz és az alkalmazásokhoz is. "Nagyon kevés a jó elemző Magyarországon, és a meglévőkhöz két kézzel ragaszkodnak a legnagyobb pénzintézetek és SSC-k. Brutális pénzeket fizetnek nekik, a több milliós havi fizetés teljesen standard." Persze azt is hozzá kell tenni, hogy nagyon embert próbáló, megterhelő munka egész nap kódsorokat böngészni, és a monotonitás miatt két-három év alatt ki is lehet ebben égni - a legnagyobb biztonsági cégek előnye, hogy ők tudják rotálni a munkatársaikat, megelőzve a kifáradást és tovább fejlesztve őket.

Mivel tehát az elemzés a kisebb cégeknél házon belül megoldhatatlan, reményeik szerint megfelelő alternatívát nyújtva központjukkal komoly bevételeket tudnak majd elkönyvelni, később régiós szinten is terjeszkedve. Meglévő ügyfélkörük megszondáztatása, azaz első tapasztalataik szerint leginkább a közepes cégeknél van igény a szeptemberben induló szolgáltatásra - a legnagyobbak már meg tudnak engedni maguknak saját elemzőt, míg a kisebbeknek nincs erre elegendő keretük.