A web és a közösségi oldalak felőli fenyegetés, valamint a komplex támadások erősödése jellemzi leginkább 2010-et, vélik a Ciscónál. A szakembereknek reagálniuk kell az ismert fenyegetésekre, és alkalmazkodni az új környezethez, véli a vállalat biztonsági szakértője.

Az Ironport három évvel ezelőtti felvásárlásával a Cisco egy olyan valósidejű rendszerhez jutott hozzá, amely világszerte 700 ezer eszköztől gyűjt be lényegében valós időben naplóadatokat annak érdekében, hogy a mintázatokat alapján gyorsan felismerje a hálózatokon felépülő támadásokat, és azonnal védekezni tudjon ellenük. A Cisco Security Intelligence Operationsnél összesen mintegy 500 mérnök dolgozik azon, hogy értékelje az aktuális helyzetképet, és szükséges esetén kidolgozza a szükséges elhárítási stratégiát, a pontos procedúra azonban üzleti titok, mondta el Ács György, a Cisco hálózatbiztonsági tanácsadója.

A legveszélyesebb fenyegetések

A vállalat úgy véli, hogy a technikai és felvilágosító ellenlépések ellenére a közeljövőben továbbra is a bűnözők legnagyobb bevételi forrásai maradnak az olyan klasszikus formák, mint a spamek, az ál-antivírusok, a kattintásos hirdetési csalások vagy az átverések. A Cisco most először elkészítette a netes bűnözés BCG-mátrixát, vagyis ábrázolta, hogy a legfőbb bűnözési formák mekkora bevétellel és növekedési ütemmel rendelkeznek. A cég szerint a legnagyobb bevételt a személyes adatokat gyűjtő kémprogramok és az átverésre építő álszoftverek jelentik, és nem sokkal vannak lemaradva a viagrás-pénisznövelős és más gyógyszeres spamek sem - ezek a fejőstehenek.

Rossz hír, hogy emiatt a spam összmennyisége várhatóan nem csökken 2010 során sem az interneten, csak a bűnözők kiindulási bázisa mozog az egyre erősebb védelmi intézkedéseket alkalmazó fejlett országokból az elmaradottabbak felé. Ennek köszönhető, hogy tavaly Brazília ugrott a spamelési lista első helyére, megelőzve az Egyesült Államokat.

Ez a földrajzi elkülönülés ugyanakkor a jövőben megkönnyítheti a védekezés az IP-geolokáció alapú szűrés agresszívebb használatával. A Gmail fiókokat érő spamaktivitás például egy ideje tartósan alacsony, a jelenlegi szintnél korábban 5-10-szeres áradat is tapasztalható volt.

A kihalóban lévő módszerek közé tartozik az elosztott szolgáltatásmegtagadásos (DDoS) támadás és a chaten keresztül érkező átverések. Fontos ugyanakkor leszögezni, hogy mindez nem jelenti ezen formák eltűnését, a DoS-támadások és a chaten keresztüli social engineering minden bizonnyal megmaradnak a bűnözők eszköztárában, ugyanakkor komplexebb manőverek részként.

Az elmúlt év bűnözői sztárja azonban egyértelműen a Zeus trójai család. A feketepiacon 700 dollárért megvásárolható készlettel minden bűnözői csoport egyedi trójai variánst generáltathat magának, amivel a vírusirtók többnyire képtelenek lépést tartani. A trójait tipikusan félrevezető emailekkel, átverő weboldalakkal és XSS-támadásokkal juttatják el a gépekre, ahol az rejtőzködve gyűjti össze a felhasználó online bankolási információit, és azokat megosztja a bűnözőkkel.

A Zeus mintegy 3,6-4 millió PC-t fertőzött meg eddig, és képes akár a tokenes és egyszeri azonosításhoz is alkalmazkodni, kicsalva a felhasználótól a szükséges jelszavakat. A Cisco szerint az év bűnözői innovációja az elsőként 2008-ban felbukkant Koobface, amely különféle webkettes szolgáltatásokon tömeges üzenetekkel tereli olyan weboldalakra a felhasználókat, ahol egy viccesnek ígérkező videóval kecsegtet, ehhez azonban először egy bővítményt kell letöltenünk - ez egy féreg lesz, és a Cisco szerint közel 3 millió PC-t fertőzött meg eddig. Ami a botneteket illeti, a Cisco becslése szerint az egyéni felhasználók PC-inek 5-10 százaléka fertőzött, de a kártevők általánosak a vállalatoknál is.

2010-es prioritások

A Zeus ugyanakkor leginkább a pénzintézeteknek okoz fejfájást, amelyek igyekeznek megvédeni ügyfeleiket a károktól. A biztonsági szakemberek számára a sokkal nagyobb fejtörést a web és közösségi hálózatok felőli fenyegetések fogják okozni, véli Ács. A weben továbbra is töretlen népszerű az XSS és az SQL injekció, vagyis a bűnözők az alkalmazottak gépein és a szervereken keresztül is igyekeznek belülre jutni. Ezek ellen kidolgozott gyakorlatokkal gyorsan és eredményesen lehet védekezni, állította Ács, köztük az összetettebb logikákkal felvértezett transzparens proxyk beiktatásával mind a PC-k, mint a szerverek elé.

A közösségi hálózatok kérdése nem triviális. Sok biztonsági szakember reflexszerűen kitiltja vagy kitiltaná azt a vállalattól, ez azonban valószínűleg egyre kevésbé lesz tartható a jövőben. Egyre több cégnél ismerik fel, hogy az alkalmazottak munkaidőben sem szakíthatóak ki szokásos közegükből, és a közösségi oldalaktól történő eltiltás vagy a cég teljes kivonulása onnan egyre nagyobb versenyhátrányt jelenthet a munkaerőpiacon, de a fogyasztói cégek számára imidzsük ápolásában is, véli Ács.

Ennek a problémának nincs triviális, megoldása, az alkalmazottak ezen a felületen keresztül könnyen támadhatóak például álkollégákon keresztül, de az adatszivárogtatás is kérdése is fellép. Ez utóbbi egyébként is átfogó megközelítést igényel, és Ács szerint terjedőben vannak az adatokat küldésük alatt, valós időben elemző átjárók (data in motion gateway), amelyek igyekeznek az érzékeny információkat azonosítani, és meggyőződni forrásuk és céljuk legitim voltával.

Ács szerint azonban kihagyhatatlan mozzanat továbbra is a felhasználók oktatása, ami sokszor célravezetőbbnek és olcsóbbnak bizonyul a mai napig is, mint a műszaki megközelítés. Ez különösen igaz a mobil eszközök esetében, mint az okostelefonok és a notebookok, ahol azok fizikai biztonságáról csak az alkalmazott tud valójában gondoskodni, valamint a vállalati hálózaton kívül is használja, akár teljesen idegen környezetben is. Az oktatás kiemelten fontos a social engineeringet akár csak részben felhasználó komplex támadások eseté is, aminek veszélyét növelik a már fentebb említett közösségi hálózatok, mivel a támadók számos hasznos információhoz juthatnak, feltérképezik a vállalati alkalmazottakat, kapcsolati hálójukat, szokásaikat.

Ács szerint végezetül a 2010-es biztonsági prioritások közé tartozik a hálózati hozzáférésvezérlés, vagyis a network access control alkalmazása, hogy kizárólag megbízható és a hálózatra veszélyt nem jelentő kliensek csatlakozhassanak a vállalati LAN-hoz és WLAN-hoz. Ehhez maga a Cisco is kínál megoldást Network Admission Control néven, amely telepített kliensoldali agentre, RADIUS szerverre és MAC-szűrésre alapoz.

Számos feltörekvő cég ugyanakkor alternatív megközelítést is beemelt a hálózat sokkal alacsonyabb szintű és megbízhatóbb védelme érdekében, így például a Mirage az ARP-tábla, a NetClarity pedig TCP/IP handshake manipulációval ékelődik be a hálózatba. A szakmai kihívást növeli a munkavégzés helyének mobilitása, a cégek közötti kollaboráció, valamint a céghez érkező vendégek kiszolgálása is.

A NAC alkalmazásának egyik hasznos lehetősége, hogy a CVE-adatbázis alapján ellenőrizhető a hálózaton lévő gépek sérülékenységi, avagy patcheltségi állapota, és központi eszközökkel, automatizáltan ki lehet kényszeríteni a szoftverek folyamatos biztonsági karbantartását, mint IT-higiéniai minimumot. Ezzel megakadályozhatóak, hogy a vállalat áldozatul essen a féregkitöréseknek, ahogyan például a Magyar Posta a Confickernek.

(forrás: hwsw.hu)