Szun-ce ókori kínai író, filozófus és hadvezér gondolatát mostanában a digitális világban egyre többen alkalmazzák. Ahhoz, hogy hatékony legyen a védelmünk, ismernünk kell, hogy mi ellen akarunk védekezni, illetve ismerni kell védelmi képességeinket is. A kibertámadások kivédésének egyik fő eszköze, ha megértjük a támadók gondolkodásmódját és ahhoz igazítjuk a védelmi rendszerünk kialakítását. A pandémia alatt, amikor a munkavállalók nagy része otthonról végzi a munkáját, különösen fontos a felhő-alapú rendszerek védelme, amelyek kiemelt mértékű és egyre növekvő számú támadásoknak vannak kitéve. David Wolpoff a Randori munkatársaként több száz cég számára végzett biztonsági tesztelést a csapatával, jól ismeri mindkét oldalt. Ő állította össze azt a 6 lépésből álló támadó-oldali kérdéssort, melynek figyelembe vételével az IT-biztonsági csapat hatékonyabbá tudja tenni a védelmi rendszerét.
1. Milyen hasznos információt találunk külső szemlélőként a kiszemelt cégről? (Kiszámíthatóság)
Az online térben való jelenlét minden cég esetében rejthet veszélyeket. Egy támadó számára hasznos, ha a kiszemelt célpont technológiai felkészültségéről, vagy az ott dolgozókról sok adatot talál. Ha például elérhető az adott cég webszerverének neve és verziószáma, akkor pontosan tervezhetővé válik a támadás, amely a maximális eredményt éri el a hibázás minimális esélyével.
2. Mennyire értékes tartalmakhoz vezet el a támadás? (Kritikusság)
A támadás minden egyes lépése időt, pénzt, energiát emészt el és kockázatokat hordoz. A támadók olyan ajtókat keresnek, melyeken könnyen be tudnak jutni a szervezet rendszereibe. A biztonsági rendszerek, mint a tűzfal, a VPN, a távoli elérést támogató megoldások, gyakorlatilag a kulcsot jelentik a rendszerekhez. Ha a támadó bele tud nyúlni ezek rendszereibe, a legfontosabb adatokhoz férhet hozzá.
3. Könnyű célpont? (Gyengeség)
A közvélekedéssel ellentétben a CVE https://cve.mitre.org/ listán szereplő magas kockázati megjelölés még nem jelenti automatikusan, hogy az adott cég izgalmas célpontot jelent a támadóknak. Számos technikai hiba és sérülékenység ugyanis kihasználatlan marad. Egyes szervezetek megtámadása speciális körülményeket kíván, mások túlságosan pénz- vagy időigényesek. Sokkal egyszerűbb már elemzett és alaposan kitanulmányozott, azaz bevált támadásokat alkalmazni, mint egy újat létrehozni az alapoktól.
4. Mennyire otthonos a környezet? (Támadás utáni veszélyek)
A támadók szótárában az „otthonos környezet” kifejezés jelöli, ha a támadás észrevétlenül történhet a rendszerben. Vagyis kevés a védekező eszköz, és a támadóknak nem kell tartani attól, hogy hamar felfedezik őket. A hatékonyan működő védelmi és monitorozó rendszerek nem számítanak „otthonos környezetnek”, míg az okostelefonok és a nyílt forráskódú eszközök nagyon is azok.
5. Mennyi ideig tart a támadás kivitelezése? (Hatékonyság)
Amikor egy támadó kiszemel egy célpontot, fel kell mérnie, hogy mekkora esélye van a sikernek és az milyen költségekkel jár. A hackerek, a biztonságvédelmi szakemberekhez hasonlóan, végeznek sérülékenység elemzést a hatékonyságuk növelése érdekében. Az elemzés, a tesztelés és a támadó eszköz fejlesztésének együttes költségei miatt a támadók alaposan mérlegelik a várható nyereséget. A VoIP-rendszerek például nemcsak kiemelkedő technikai felkészültséget, de nagy anyagi befektetést is megkívánnak a támadói oldaltól, így miközben sok támadó számára szóba sem jönnek, másokat nagyon is vonzanak a megszerezhető adatok értékessége miatt.
6. Többször is alkalmazható a támadási modell? (Ismételhetőség)
Mint láttuk, egy támadás kifejlesztése költséges és időigényes. A hackerek ezért olyan üzleti modellt szeretnek alkalmazni, melynek során a költségeket minél több célpont között tudják szétosztani, azaz egy csapással minél több áldozatot tudnak elérni.
A támadók tehát nem pusztán azt nézik, hogy itt vagy ott felbukkant egy sérülékenység. A támadások összetettebbek, hiszen a legtöbb esetben üzleti alapúak. Ha megtanulunk a támadók fejével gondolkodni, sikeresebbek leszünk a védelmi rendszereink kialakításában is.
Az egyre szofisztikáltabb támadások megelőzése nem ritkán túl nagy feladatot jelent a belső IT-kapacitás számára. Ezért sok vállalatnak megéri az IT-rendszer biztonságának fokozását erre specializált szolgáltatóra bízni, amely rendelkezik az ehhez szükséges szaktudással és technológiai háttérrel. Ilyen az Antenna Hungária, melynek üzletmenet folytonosságot támogató kiberbiztonsági megoldásai, mint például a SOC és DDoS-védelmi szolgáltatások, a vállalati igényektől függően választhatók többféle csomagban.
Források:
- 6 Questions Attackers Ask Before Choosing an Asset to Exploit (29-12-2020)
- Hackerlogika – 6 kérdés a támadás megkezdése előtt
- David Wolpoff, Chief Technology Officer and Co-Founder at Randori
- Kétszer annyi kibertámadás éri a COVID-19 elleni küzdelmet támogató iparágakat