Vegyünk egy véletlenszerűen kiválasztott hírt az elmúlt két hét terméséből: példátlan támadássorozatot hajtottak végre ismeretlen hackerek norvég – főként energetikai, olajipari és hadiipari – cégek ellen. A támadók tervdokumentációkhoz, műszaki rajzokhoz és egyéb bizalmas információkhoz juthattak hozzá. A behatolást személyre szabottan hajtották végre, a kiválasztott célszemélyeknek vírusmaileket küldve, hogy megkerüljék a hagyományos védelmi mechanizmusokat.

Célkeresztben állva

Egyetlen hír, de az elmúlt évben csaknem minden hétre jutott hasonló. (És vajon mennyi lehet, amiről nem értesült a közvélemény?) Nagyot fordult a világ azóta, hogy szintén ismeretlen (de gyaníthatóan orosz) hackerek 2007-ben még masszív szolgáltatásmegtagadási támadással fejezték ki nemtetszésüket az észt kormány lépései ellen. Biztonsági szakértők szerint a jövőben egyre gyakrabban találkozhatunk a norvég esethez hasonló, magas szintű, állandó fenyegetéssel (advanced persistent threat, apt). A katonai terminológiából kölcsönzött kifejezést a civil szférának is meg kell tanulnia, ha nem akar pórul járni.

A szakirodalom több olyan jellemzőjét is számon tartja az apt-nek, ami megkülönbözteti a szimpla hackertámadásoktól, még ha azoknak politikai motivációja is van. Az első megkülönböztető jegy, hogy erősen célzott támadásokról van szó. Gondosan kiválasztják a célpontot, a megszerezni kívánt adatok körét, nem pedig vaktában vetik ki a hálót, hogy hátha fennakad benne valami – mint köztudott, a Stuxnet csak egyféle, Siemens-gyártmányú ipari berendezéshez készült. Általában hosszú távú, stratégiai célokat követnek, nem pedig gyorsan pénzzé tehető adatokra utaznak.

Eltökéltségükből fakadóan a támadás formáját és eszközeit is a célszervezetnél működő biztonsági rendszerhez igazítják. Mivel tudják, mit akarnak, rászánják az időt és a pénzt, hogy megszerezzék a kívánt információt, és ha az egyik úton nem jutnak be, próbálkoznak másképp. A támadást ténylegesen végrehajtók mögött nemegyszer nemzetállamok állnak, így az anyagaik nem korlátozzák őket új kártevők vagy nulladik napi sérülékenységek megvásárlásában, kifejlesztésében, informatikai erőforrások igénybevételében.

Átállított gondolkodásmód

Mindez nem lenne lehetséges a célpont alapos felmérése nélkül, ami az apt harmadik jellemzője. Szun-ce több ezer éves tanai az ellenség megismeréséről a cybervilágban is érvényesek: a magas szintű, állandó fenyegetést alkalmazó támadók minden részletre kiterjedő hírszerzést folytatnak, feltérképezik a szervezetet, az informatikai infrastruktúrát, az üzleti folyamatokat és nem utolsósorban az embereket. Ezt a munkát nagymértékben megkönnyíti a web, a közösségi hálózatok, és ha másképp nem megy, bevetik a social engineeringet (lásd interjúnkat a 14. oldalon). Úgy gondolják – és nem minden alap nélkül –, hogy a védelem leggyengébb láncszemét az emberek jelentik.

Minthogy a támadás elve nem a „fogd a pénzt és fuss”, igen lényeges a hackerek számára, hogy minél hosszabb ideig elkerüljék a lebukást. Ezért előszeretettel használnak még fel nem fedezett (nulladik napi) sérülékenységeket, nehezen észlelhető támadási formákat; minimálisra korlátozzák a kifelé irányuló kommunikációt; de az is megesik, hogy a kártevő hónapokig „pihen” a rendszerben, arra várva, hogy kedvezőek legyenek a körülmények a működéséhez. Ez több irányból érkező, de egy célra tartó, többféle módszert használó, hosszú időre elnyúló, de „lopakodó” támadás – nem csoda, ha a védekezés igen nehéz.

Nehéz, de nem lehetetlen. Nem kell hozzá más, mint újszerű gondolkodásmód és biztonsági megközelítések. Például (bármilyen fájdalmas is) fel kell adni azt a reményt, hogy mindent meg lehet védeni. Az információbiztonsági csapatoknak le kell ülniük az üzleti területek felelőseivel, és ki kell jelölniük a legértékesebb információk körét (a „koronaékszereket”), és azokra kell összpontosítaniuk figyelmüket. Az sem elég, ha a vállalat peremét erősítjük: a modern vállalat nem betonbunker, aminek csak egy bejárata van, hanem sokkal inkább ementáli sajt. Többet ér, ha a kiválasztott adatokat védelmezzük azok teljes életciklusa során.

Nem reménykedhetünk abban, hogy minden támadót kívül tudunk tartani. A hangsúly a behatolók minél hamarabbi felderítésén és az esetleges károk minimalizálásán legyen! Ehhez erősíteni kell a felderítő eszközöket és a naplóállományok elemzésénél is a fenyegetettségek felderítésének kell lennie az első számú szempontnak.

Mint a vezetékesen

Az újfajta fenyegetettségek mellett a cégek nem feledkezhetnek meg a régi veszélyekről sem. A mobileszközök új hulláma számos kihívás elé állítja a biztonságért felelős szakembereket – és nem maradhat ki a vezeték nélküli hálózatok védelme sem.

Ha a wifi-hálózatban ugyanazokat a biztonsági szabályokat és előírásokat alkalmazzuk, mint a vezetékes hálózatban (amely a szervezetek döntő többségénél amúgy is együtt él a wlan-nal), és ezeket kiegészítjük némi wifi-specifikus megoldással, ugyanolyan biztonsági szintet érhetünk el, mint hagyományos környezetben.

Ahogy a vezetékes, úgy a vezeték nélküli hálózatban is kulcsfontosságú a központi felügyelet. Elsősorban azt kell eldönteni, hogy kit engedünk be a hálózatba, és ők milyen erőforrásokhoz (szerverekhez, szolgáltatásokhoz) férhetnek hozzá – mondja Kiss Róbert, a HP Magyarország hálózati megoldások üzletágának vezetője. A felhasználóhitelesítés legelterjedtebb, gyakorlatilag minden gyártó által alkalmazott szabványa az IEEE 802.1x: a felhasználó megadja azonosítóját és jelszavát a bejelentkezés során, amit egy Radius szerveren keresztül a vállalati címtárban maga az infrastruktúra automatikusan ellenőriz; utóbbi kezeli a hozzáférési jogosultságokat is.

A minden gyártó által kínált alapszolgáltatásokhoz képest a HP felügyeleti megoldása további lehetőségeket kínál, folytatta Kiss Róbert, így még több jellemző alapján kontrollálhatók a jogosultságok. Beállítható paraméter lehet például a napszak: munkaidőben minden szükséges vállalati erőforrás elérhető a dolgozók számára, munkaidőn kívül viszont csak az internethez biztosítanak kijárást, a céges rendszerek zárva maradnak. De a helyszín alapján is lehet szelektálni. Kiterjeszthető a hálózat az irodaépület kávézójára, de onnan megint csak az internet lesz elérhető, hogy idegenek ne jussanak be a belső rendszerekbe. A HP optimalizált vezeték nélküli megoldásában nem a központi kontroller lát el minden feladatot, a rádiós elérési pontok rendelkeznek a szükséges intelligenciával, hogy eldöntsék, a kliens hozzáférhet-e a céges erőforrásokhoz. Így nem kell minden forgalmat átirányítani a központon, amely ezáltal kevésbé lesz leterhelve.

A biztonságról azonban nem csak a hozzáférési pontok vagy a központi kontrollerek (vagy ezek együttesei) gondoskodhatnak, mondja Kecskeméti Zsolt, az Equicom munkatársa. Sok tekintetben hatékonyabb megoldás lehet, ha a védelmi funkciókat nem az adattovábbításban amúgy is részt vevő, limitáltabb képességekkel bíró infrastruktúra eszközei (vagyis a hozzáférési pontok) és a leterhelt központi infrastruktúra látja el, hanem egy dedikált szenzorokból álló, gyártófüggetlen, a kiépített wlan fölé „ültetett” rendszer végzi azt el.

Az ilyen megoldások – mint például az AirMagnet Enterprise – ráadásul nemcsak az adatfolyamot tudják ellenőrizni, hanem magát a fizikai kapcsolatot, a rádiós spektrumot is. Számos szempont (ssid, médiatípus, ip- vagy mac-cím, gyártó, átviteli szabvány vagy akár sebesség) alapján szabályozható, hogy milyen eszköz és forgalom engedélyezett vagy tiltott a vezeték nélküli hálózaton. Ennek révén könnyen lokalizálhatók és blokkolhatók a külső támadók, és megakadályozható az is, hogy a belső munkatársak ne engedélyezett eszközöket – például wifi-képes mobiltelefonokat – kapcsoljanak a hálózatra, amivel megnyitnák az internet felé a védett belső rendszereket.

A szenzorokon alapuló megoldás arra is alkalmas lehet, hogy észlelje – és gyorsan elháríthatóvá tegye – a rádióhullámok zavarásával végrehajtott, a forgalom megzavarását célzó támadásokat. Ezért a biztonsági tényezőn túl teljesítményoptimalizáló képessége is kiemelkedő.

Mobilvédelem

A vállalati mobil munkavégzés a táblagépek megjelenésével forradalmi változás előtt áll, ugyanis a technológia „gyorsítósávot” nyithat meg az üzleti folyamatok előtt. Mindebből csak az a vállalat profitálhat, amelyik megérti, hogy a táblagépek használatában nem a trendiség a lényeg. A mobilvédelem átfogó megközelítésben a mobile device management, vagyis a mobileszközök központi menedzsmentje, amely többek között a mobileszközökön tárolt adatok titkosításától, portvédelmétől, a mobileszközök vírus- és kártékony programok elleni védelmén át egészen az eszközökön futó alkalmazások kontrollált központi menedzsmentjéig terjedhet.

A tablet alapú világ funkcionális és biztonsági követelményeire ad megoldást a NETI Kft. megoldása, a NETIphone. Az új technológiával nem állományokat mozgatunk, nem lépünk ki és be távolról a vállalati rendszerbe, hanem a mobilinternet virtuális vezetékén magunkkal visszük azt. Mivel a cégek nemcsak üzleti terveket akarnak megóvni a hackerektől, hanem érzékeny adatokat más országok hírszerzőitől, így védelmi rendszereiket is ennek megfelelően dolgozzák ki. A rendszer lényege a vékonykliens-technológia. A táblagépen egy kommunikációs szoftver, amolyan virtuális számítógép fut, amely voltaképpen semmilyen adatcserét nem végez a készülékkel, annak csak a hardveres erőforrásait használja. Az egyes alkalmazások nem a mobileszközön futnak, csak megjelennek azon: a kliensszoftver titkosított kapcsolaton keresztül kommunikál a központban működő szerverrel, amely kapcsolatban áll a vállalati informatikai rendszerrel, és biztosítja az alkalmazások végkészüléken való megjelenését.

Az új felhasználási paradigmának éppen az a lényege, hogy nem kell letölteni az eszközre a vállalati adatokat, hogy aztán feldolgozva visszaküldjük őket – a táblagép voltaképpen csak egy ablak lesz, amelyen keresztül bepillantunk a központi rendszerekbe, dolgozhatunk az ott lévő adatokkal anélkül, hogy magukat az adatokat mozgatnánk a központ és a készülék között. A mobil munkavégzés e formáját sokkal egyszerűbb biztonságossá tenni. A rejtett csapda itt az információ utaztatásában, a virtuális fonálban és az új világ architekturális kialakításában rejlik.

Maradjon titokban!

A mobilvédelemnek egy másik aspektusa a lehallgathatóság elleni védelem. Manapság ez a vetület is egyre inkább aktuálissá válik, amikor virágzik az üzleti hírszerzés, az információnak nagyobb az értéke, mint valaha, és egy információmorzsa is elég ahhoz, hogy például egy tőzsdei ügyleten komoly profitra lehessen szert tenni. Már elérhetővé váltak azok az eszközök, melyekkel lehallgató egy átlagos mobilkommunikáció, így mobiltelefonunk az egyik legkönnyebb célpont, az üzleti titkok fültanúja.

A mobiltelefonok térhódításával parallel módon a beszélgetések lehallgatásának technikája is egyre fejlettebb. Egyre intenzívebben terjednek a mobiltelefonokra és a pda-kra írt vírusok, spywarek, keyloggerek és egyéb kártékony programok.

A piacon jelenleg számos megoldás létezik a mobilkommunikáció titkosítására, ezek között adott esetben nehéz lehet eligazodni. A Nádor Rendszerház megoldása normál mobiltelefonhoz hasonlít, de elliptikus görbéket használó, nyilvános kulcsú kriptográfiai algoritmust alkalmaz. Az End-to-end 128 bites aes-titkosítás szerint a kódolás és a dekódolás a végpontokon történik. A beszélgetés előtt a kriptokomponensek segítségével megtörténik a közös kulcsegyeztetés. Amennyiben a titkosító kártyát eltávolítjuk a készülékből, nem lehet megállapítani, hogy abban ilyen kártya volt és a készülékről rejtjelezett hívások történtek.