Forrás: Prim Hírek | 2014.08.05.

Idén már az egyik legnagyobb online piactér, az eBay is elszenvedett kibertámadást, néhány hónapja pedig a Feedly RSS-olvasó szolgáltatásai váltak napokig elérhetetlenné a zsaroló hackerek tevékenysége miatt. A tapasztalatok ráadásul azt mutatják, hogy már a kis- és középvállalatok sincsenek biztonságban, ezért minden olyan szervezetnek érdemes elgondolkodnia a kibertámadások elleni védelmen, amely bizalmas adatokkal dolgozik vagy kulcsfontosságú tevékenységet végez, tehát potenciális célpont a hackerek számára.

Ami néhány éve még hatékony eszköznek és stratégiának számított a hackerekkel szemben, az mára már sokszor elavult, hiszen a másik oldal módszerei is gyorsan változnak. A NetIQ Novell SUSE Magyarországi Képviselet, a téma egyik hazai szakértője a következőket javasolja a megfelelő, naprakész védekezéshez:

1. Ne csak kifelé figyeljünk!

A kifinomult módszerek miatt ma már nagyon sok esetben rendkívül nehéz megkülönböztetni a kiberbűnözők tevékenységét a céges alkalmazottakétól a vállalati infrastruktúra határain belül. A rendszerbe bejutva a hacker arra törekszik, hogy a rendszergazdák vagy más privilegizált felhasználók szintjére emelje saját jogosultságait, és ezt a hatáskört használja ki az adatok ellopására vagy a károkozásra.

Éppen ezért elavult dolognak számít külön külső és belső fenyegetésekről beszélni. Ehelyett érdemes abból a feltételezésből kiindulni, hogy a bűnöző már bent is lehet a rendszerben, és ennek megfelelően kell cselekedni.

Segít elkerülni az ilyen visszaéléseket, ha a kiemelt felhasználók tevékenységét folyamatosan monitorozzuk egy kifejezetten erre a célra létrehozott eszközzel. Ilyen eszköz például a NetIQ Privileged User Manager, amely azonnal riasztást küld a cég és az IT részleg vezetőinek, ha valamilyen gyanús lépést észlel a kiemelt jogosultsággal rendelkező személyek aktivitásában.

2. Az eszközök helyett a viselkedésre figyeljünk!

Korábban sok szervezetnél az eszközeik alapján próbálták azonosítani a hackereket. A mai kiberbűnözők azonban már egyszerűen fejlesztenek olyan szoftvereket, amelyeket szinte lehetetlen észlelni. Ezért érdemes a hagyományos védelmi módszerek mellett azokra a jelekre is figyelni, amelyeket a „betörők" okoznak: szokatlan tevékenységek a hálózaton, furcsa felhasználói viselkedés, előzmények nélküli események, indokolatlanul megugró adatforgalom.

Erre a feladatra alkalmas lehet egy biztonsági eseménykezelő rendszer (SIEM), mint például a NetIQ Sentinel, amely képes akár több ezer szerver, hálózati eszköz vagy szoftver megfigyelésére, és gyanús incidensek esetén automatikus válaszlépésekkel akadályozza meg a lopást vagy károkozást.

3. Korlátozzuk a jogosultságokat!

A gyanús tevékenységek figyelése mellett célszerű olyan környezetet teremteni, ahova csak nagyon nehezen tud beépülni egy hacker. Ezt úgy tehetjük meg, ha szigorú szabályokat állítunk fel a hozzáférésekkel kapcsolatban, és gondoskodunk arról, hogy minden alkalmazott csak azokat az adatokat érje el, amelyekre valóban szüksége van. Ilyen szabályozott feltételek mellett sokkal könnyebb azonosítani egy olyan hackert, aki egy alkalmazott álcája mögé bújva próbál adatokat lopni.

A személyazonosságok átláthatóan kezelhetők és felügyelhetők például a NetIQ Identity Manager megoldással, amely bármikor képes aktuális és hiteles képet nyújtani a cég IT erőforrásaihoz kapcsolódó felhasználókról és azok jogosultságairól.

További hatékony támogatást nyújthat ebben a feladatban a NetIQ nemrégiben megjelent Access Review terméke, amelynek segítségével az informatikai szakemberek rendszeresen és soron kívül is megvizsgálhatják a jogosultságokat, valamint ellenőrizhetik, hogy a jóváhagyott és a ténylegesen érvényben lévő hozzáférések megegyeznek-e.

4. Készítsünk terveket!

Ha időben azonosítottunk és elhárítottunk egy támadást, azzal még nincs vége a történetnek. Sok szervezetnél nem tudják, mi ilyenkor a teendő, kihez kell fordulni a következő lépésben.

Ezért érdemes előre kideríteni, hogy a mi szervezetünk esetében ilyen jellegű támadás észlelésekor hol lehet bejelentést tenni, milyen hatóságot kell értesíteni, és milyen adatokat, illetve információkat kell majd átadni. Így éles helyzetben is azonnal tudni fogjuk, mi a teendő.