Összetett veszélyekre hívja fel a figyelmet a Cisco

Informatikai biztonsági trendek: a Cisco és az IronPort kutatásai az újfajta, összetett veszélyekre hívják fel a figyelmet.

A legjellemzőbb informatikai biztonsági trendek és kockázati tényezők bemutatására a Cisco nyilvánosságra hozta a most első alkalommal elkészített éves biztonsági jelentését (Annual Security Riport). A kutatás, amely a biztonság kérdését tágan értelmezve kitér többek között a fizikai, a jogi és a humán tényezőkre is, bemutatja az elmúlt időszak trendjeit, illetve rávilágít arra, hogy - hét különböző kockázati kategóriában - milyen fenyegetések várhatóak 2008-ban. Emellett ismerteti az üzleti és kormányzati szervezetekre illetve a magánfelhasználókra leselkedő veszélyeket és kihívásokat, és javaslatot ad az ezekre való felkészülés mikéntjére is. Ezzel párhuzamosan a 2007 nyara óta a Cisco részeként működő IronPort nyilvánosságra hozta Internetbiztonsági trendek 2008-ban (2008 Internet Security Trends Report) című jelentését, amely kimondottan technológia megközelítésben tárja fel napjaink biztonsági trendjeit és új generációs veszélyforrásait, és ad javaslatot az ezekkel szembeni védekezésre.

Miközben az iparágban megszokott év végi jelentések gyakran a tartalombiztonságot veszélyeztető kockázatokra összpontosítanak (vírusok, férgek, trójaik, spam, adathalászat), a Cisco összeállítása túlmutat ezeken, és összesen hét kockázatkezelési kategóriát vizsgál. E hét kategória a következő: sebezhetőség, fizikai biztonság, jogi biztonság, bizalom, azonosítás, humán tényezők és geopolitikai biztonság. A jelentés megállapításai is alátámasztják azt a tényt, hogy a biztonsági veszélyek egyre globálisabbá és kifinomultabbá válnak. Ahogy terjednek az IP-kapcsolattal rendelkező készülékek, alkalmazások és kommunikációs lehetőségek, a támadások lehetősége is kibővül. Ezek a trendek új fejezetet nyitnak a biztonsági kockázatok és támadási taktikák történetében.

Régebben a vírusok és férgek (Code Red, Nimda stb.) azért támadták meg a számítógépeket, hogy pusztán kárt okozzanak és nevüket világszerte megismerjék. Az internethasználat és az elektronikus kereskedelem terjedésével kialakultak az összetett technikát alkalmazó fenyegetések (spamhez kapcsolódó adathalászat, botnetek stb.), amelyek célja már az anyagi haszonszerzés és a személyes adatok begyűjtése. Ez a fajta "álruhás rablás" fokozatosan nemzetközi jelenséggé vált.

John Stewart, a Cisco biztonsági területért felelős vezetője szerint az információbiztonság ma már nemcsak egy-egy csatát jelent egy vírus vagy spamtámadás ellen. Gyakran merülnek fel jogi, azonosítási vagy geopolitikai kérdések is. Példaként a nagy kereskedőláncoknál bekövetkezett azonosító lopást emelte ki, valamint az Észtország ellen a múlt tavasszal, állítólag orosz hackerek által, politikai motivációból elkövetett szolgáltatás-túlterheléses támadásokat. Ez utóbbi számos észt kormányzati weblapot tett működésképtelenné; a hírek szerint a támadást az észt kormány egy szovjet emlékmű áthelyezését elrendelő döntése váltotta ki.

"A kiberbűnözés a szemünk láttára alakul át; gyakran olyan - egyébként jól ismert - technikák segítségével, amelyekkel korábban csak elektronikus formában találkoztunk" - mondta Stewart. "Nem szabad az információbiztonságot kockáztató veszélyeket egy-egy izolált adathalászati vagy vírustámadásként felfogni - a mai veszélyek ennél komolyabbak, és többek között a felhasználók bizalmára is építenek a »social engineering» (a felhasználók gyengeségeit kihasználó támadás) eszközeivel. Ahhoz, hogy napjainkban gondoskodjunk egy vállalkozás, a személyes adatok vagy egy ország biztonságáról, szorosabb összefogásra van szükség olyan felek között is, amelyek korábban nem feltétlenül működtek együtt. Informatikai biztonsági csapatok, vállalatok, kormányzatok, rendfenntartó szervek, fogyasztók, állampolgárok: valamennyien célpontok és egyben szövetségesek. Egy ország, vállalkozás vagy egyén biztonsága azon fog múlni, hogy ezek a csoportok képesek-e együttműködni és kommunikálni."

"2007 fordulópont volt. Már éppen úgy tűnt, hogy a rosszindulatú programok megjelenési formái végre konszolidálódnak, amikor olyan új, bonyolult támadási technikák jelentek meg, amelyek egyértelműen professzionális programozók munkájára vallottak - a kifejlesztésük ugyanis hosszú kutatást és fejlesztési folyamatot igényelhetett" - mondta Tom Gillis, az IronPort alelnöke. "Sokáig úgy tűnt, a kártevők kezelésére kidolgozott biztonsági megoldások jól működnek. Azonban éppen a hatékony védekezési formákra adott válaszként kezdtek ismét erőre kapni a fenyegetések. A 2007-es évben az addig ismert fenyegetések jelentős változásokon mentek keresztül. A rosszindulatú programok lopakodó üzemmódra kapcsoltak, és a korábbinál kifinomultabbá váltak."

Az információ a világ új fizetőeszköze

A kéretlen levelek, a vírusok és a rosszindulatú programok támadásai jelentős költségekkel járnak. Egy átlagos felhasználónak napi öt-tíz percet kell a spam-áradat kezelésére szánnia. Komolyabb esetben egy személyi számítógép rendbetétele 500 dollárra is rúghat. Az adatvesztés azonban ennél jóval nagyobb kárt is okozhat. Legyen szó akár rosszindulatú támadásról, akár véletlen hibáról, az adatvesztés egy vállalat számára presztízsveszteséget jelent. Ma az üzleti világban az elektronikus kommunikáció és az adatmozgások adják a legfőbb támadási felületet.

A jelenleg használt tűzfal-, illetve egyéb hálózati biztonsági megoldások nem terjednek ki a mozgásban lévő adatok biztonságának megóvására. Hiányoznak az olyan kritikus kontrollok, mint amilyen a tartalomszűrés és az érzékeny adatokat tartalmazó üzenetek blokkolása, titkosítása. Becslések szerint mintegy 60 millió ember személyes adatait hozták nyilvánosságra az elmúlt 13 hónap során; a kármentés, valamint a kiesett munkaórák összértéke körülbelül 20 milliárd USA-dollár. A vállalati adatok akár 60%-át védelem nélküli személyi számítógépeken és hordozható számítógépeken tárolják. Továbbá a vállalatok 48%-a nem dolgozott ki eljárást arra az esetre, ha az ügyfelek adatai valami miatt kompromittálódnak.

Merre tovább? Jön a szociális kártevő

A rosszindulatú programok modern változata a különböző web 2.0-ás közösségi oldalak mintájára épül. Napjaink kártevői (mint például a "Storm" elnevezésű trójai) kollaboratív, adaptív, peer-to-peer (p2p) technikára építenek, és ráadásul intelligensek. A szenzorok számára nem észlelhető módon közlekednek - vállalatok vagy magánszemélyek számítógépein élnek észrevétlenül hónapokig vagy akár évekig. A trójaiak és egyéb kártevők új változatai egyre célratörőbbek és egyre rövidebb élettartamúak lesznek. Ezért észlelésük is nehezebb. Már nem érvényes a régi hozzáállás, amely szerint "amit nem látok, az nem is árthat".

A nagyvállalatokra mind nagyobb nyomás nehezedik, hogy megfelelően gondoskodjanak érzékeny adataik biztonságáról - akár hitelkártyaszámokról, vállalati bevételekről vagy éppen új termékek terveiről legyen szó. A kártevők programozói kifinomult p2p-hálózatokat alakítanak ki éppen az ilyen adatok begyűjtésére; utolérni és megakadályozni őket pedig egyre nehezebb. Az informatikusoknak gondoskodniuk kell a rosszindulatú forgalom méréséről saját hálózatukon, és olyan komplex biztonsági rendszert kell felépíteniük, amely például hálózatalapú kockázatészlelési és hálózati hozzáférést szabályozó elemeket is tartalmaz.

A kéretlen levelek és a rosszindulatú programok fejlődésének általános trendjei egyre nagyobb és egyre pontosabban célzott, álcázott és összetett támadások irányába mutatnak. A jelentés többek között a következő konkrét megállapításokkal szolgál:

A spamek mennyisége 100%-kal nőtt, ma már naponta több mint 120 milliárd spamjellegű üzenetet küldenek el. Ez naponta körülbelül 20 kéretlen levelet jelent a bolygó valamennyi lakosa számára. Az IronPort felmérései szerint a vállalati felhasználók 100-1000 darab spamüzenetet kapnak naponta.

Napjainkban a kéretlen levelek kisebb hányada tartalmaz csak konkrét reklámot, és inkább a spamhálózat növelését szolgálják. A spamtámadások korábban leginkább egy-egy termék reklámozására szorítkoztak (pl. gyógyszerek, alacsony kamatozású jelzáloghitelek stb.). Ma már a kéretlen levelek egyre nagyobb számban tartalmaznak kártevőt terjesztő oldalakra mutató hiperhivatkozásokat. E rosszindulatú programoknak gyakran az a céljuk, hogy tovább növeljék a spamet eredetező botnet méretét és kiterjedését. 2007-ben az IronPort operációs központja 253%-os emelkedést tapasztalt a "dirty spam" üzenetek számában, ennyivel nőtt tehát a rosszindulatú oldalakra mutató linkeket tartalmazó üzenetek mennyisége. Ez további bizonyíték arra nézve, hogy e programok készítői e-mailes és webes technikák összekapcsolásával próbálják terjesztetni a veszélyeket.

A vírusok ma kevésbé láthatóak, számuk azonban növekszik. A vírusok programozói eltávolodtak a korábbi tömeges disztribúcióra építő támadásoktól, mint amilyet pl. a Netsky vagy a Bagel vírus esetében tapasztaltunk. 2007-ben a vírusok számos formát öltöttek, és gyakran nagyon összetett botnetek elterjedéséhez társultak, mint amilyen pl. a Feebs vagy a Storm volt. Az IronPort operációs központja egyetlen hét leforgása alatt a Feebs nevű vírus több mint hat variánsát észlelte - valamennyi változat hatványozott terjeszkedésbe kezdett, még mielőtt a központ leképezhette volna.

Egy-egy támadási technika élettartama látványosan csökkent. Korábban a spam terjesztői hónapokon át alkalmaztak egy-egy technikát (például a beágyazott kép használatát). Az újabb módszerek, mint például az MP3-spam, csupán napokig élnek. Számuk azonban növekszik. Míg 2006-ban a képek alkalmazása jelentette a legnagyobb újítást a kéretlen levelek terén, 2007-ben több mint 20 fájlfajtával találkozhattunk a mellékletekben, rövidebb támadások keretében.

Kapcsolódó cikkek

• Cisco TelePresence már cégek között is (2007. december 17.)
• Elindult a Cisco Vállalkozói Akadémia (2007. november 28.)
• Jubileumi Cisco Expo a Web 2.0 jegyében (2007. november 22.)
• Cisco díj az új technológiai ötletekért (2007. november 21.)
• Kelet-Európai pénzalapot hoz létre a Cisco (2007. november 12.)

Kapcsolódó linkek

• Cisco