Megregulázott incidenskezelés

Written by: Romics Attila, Head of Service Delivery

Created: 2022-04-14

A biztonsági incidensek által okozott károkat sok szervezet lebecsüli, ami gyakran negatívan hat a megelőző és a reagáló védelmi intézkedések hatékonyságára.

Az elmúlt években az informatikai infrastruktúrákat ért incidensek száma folyamatosan emelkedett, miközben a kibertámadások egyre szofisztikáltabb módszerekkel érték el a céljaikat. Idén az amúgy is kedvezőtlen trend még tovább romlott az utóbbi hónapok geopolitikai történései, az orosz-ukrán háború, valamint a világszerte megfigyelhető, növekvő feszültség következtében. A támadások szektortól függetlenül szedik áldozataikat, melyek listáján jelentős szervezetek, vállalatok is szerepelnek. Elég, ha csak a Lapsus$ hackercsoport elmúlt hónapokban végrehajtott támadásaira gondolunk, amelyek során olyan neves vállalatokat értek komoly csapások, mint például az NVIDIA, a Samsung, a Vodafone, az Ubisoft vagy a Microsoft.

Ahhoz, hogy az incidensek hatékony megelőzéséről és a védelmi erőforrások optimális allokálásáról beszélhessünk, először célszerű röviden áttekinteni, hogy miként épül fel egy incidensreagálási folyamat.

Az incidensek életciklusa

Amikor egy nemkívánatos biztonsági esemény bekövetkezik, és sikerül azt detektálni, akkor veszi kezdetét az incidensreagálási folyamat első fázisa. Ez egy nagyon intenzív időszak az IT és a biztonsági csoportok számára, de nem kis terhet ró például a menedzsmentre és a kommunikációs szakemberekre is (az incidens nagyságától, kiterjedtségétől és az adatbiztonságra, illetve az üzleti folyamatokra gyakorolt hatásától függően). Az első napokban, esetleg hetekben a „tűzoltásé” a főszerep, amelynek során gyors (rövid távú) döntésekkel kell meggátolni a további károk bekövetkezését, és olyan intézkedéseket kell hozni, amelyek az üzletileg kritikus folyamatok mielőbbi helyreállítását elősegítik. Ügyelni kell arra is, hogy eközben a computer forensic elvei ne sérüljenek, és a digitális bizonyítékok (például a naplóállományok) biztonságba kerüljenek.

Az incidensreagálás második szakasza hetekig is elhúzódhat, amelynek során már nem kizárólag az informatikai és üzleti folyamatok helyreállítása a cél, hanem azok átalakítása is szóba kerülhet a történtek figyelembevételével. Eközben gondoskodni kell a védelmi rendszerek megerősítéséről, és nem utolsósorban fontos szerep hárul a hatóságokkal, forensic szakértőkkel történő együttműködésre is.

Végül az incidensreagálásnak egy hosszabb időszakot átölelő fázisa is van, amely legalább olyan fontos és erőforrásigényes, mint az előző szakaszok voltak. Ekkor kell ugyanis kezelni a támadás következtében bekövetkező, hosszú távon jelentkező negatív hatásokat. Ezek közül az egyik legfontosabb és legnehezebb a hírnéven esett csorba kiküszöbölése, de ugyancsak ekkor kell megvalósítani a megreformált védelmi stratégiát technológiai, szervezeti és humán szinten is.

Vélt károk - valós károk

A Deloitte által készített, „Beneath the surface of a cyberattack” című tanulmány abból az aspektusból vizsgálta a biztonsági incidenseket, hogy azok milyen mértékű károkat eredményeznek. Arra is rávilágított, hogy a kibertámadások gyakorta jóval nagyobb összegű kiadásokkal járnak, mint azt a szervezetek gondolják. Ennek oka, hogy a vállalatok, intézmények sokszor csak a közvetlen károkkal számolnak, holott ezek csak a jéghegy csúcsát jelentik. Általában azon kiadások kerülnek előtérbe, amelyek egy biztonsági incidens után fedezik az adathelyreállítást, az ügyfélértesítéseket, a kártalanításokat, a compliance feladatokat, az esetleges büntetéseket és nem mellékesen a védelmi rendszer megerősítésének költségeit.

A felszín alatt azonban további pénzügyi erőforrásokat felemésztő károk is felmerülnek. Ilyenek például a vevők bizalmának elvesztése, a szerződéses kötelezettségek nem megfelelő teljesítése (támadás miatti késések, kötbérek), az üzleti folyamatokra gyakorolt negatív hatások, a kiberbiztosítási díjak emelkedése és nem utolsósorban a szellemi tulajdont képző javak esetleges elvesztéséből származó, hosszú távú hátrányok.

Egy-egy biztonsági incidens pénzügyi hatásának pontos felmérése tehát korántsem egyszerű feladat, már csak azért sem, mert vannak olyan összetevői a „képletnek”, amelyek nehezen számszerűsíthetők. Tipikusan ilyen a hírnéven esett csorba, amelyet gyakorta csak közvetett módon (például az értékesítés visszaeséséből) lehet megbecsülni.

Zero trust, avagy elfogyott a bizalom

A napjainkban végrehajtott kibertámadások során alkalmazott módszerek és a célkeresztbe állított támadási felületek figyelembevételével már nem lehet hatékony védelmet kiépíteni a hagyományos biztonsági megközelítésekkel. Ennél ma már jóval több mindenről kell gondoskodni. Fel kell mérni, hogy milyen fenyegetettségekkel szemben kell védekezni, és azt, hogy pontosan mit is kell megóvni (eszközök, adatok, üzleti folyamatok stb.). Kockázatfelmérést követően lehet kijelölni a védelmi feladatokat, meghozni a szükséges intézkedéseket és nem utolsósorban allokálni az erőforrásokat.

Mára eljutottunk odáig, hogy abból az igencsak aggasztó helyzetből célszerű kiindulni, hogy a támadók, kártékony programok már bejutottak a hálózatunkba. Vagyis, hogy a határvédelem elesett, és további kontrollokkal kell megakadályozni a károkozásokat. Ennek alapjául a zero trust szolgál.

A zero trust egy olyan kiberbiztonsági paradigma, amely a védelem fókuszát a statikus hálózati határvédelemről a felhasználókra és az IT-erőforrásokra helyezi át. Arra az alapelvre épül, hogy a bizalmat sohasem implicit módon adjuk meg, hanem folyamatos ellenőrzésekre van szükség. A nulla bizalom elvére épülő megközelítés szükségessé teszi a rendszerszintű tervezést, fejlesztést, implementálást. Kiemelt jelentőséggel bír az azonosságkezelés (Identity Management), ami a teljes szervezetet lefedi kezdve az Active Directory integrációtól, a kiterjesztett szerepkör- és hozzáféréskezelésen át, egészen a harmadik felektől származó alkalmazások és szolgáltatások támogatásáig bezárólag. Nemzetközi tapasztalatok és ajánlások szerint nem lehet figyelmen kívül hagyni a mikroszegmentálásra épülő megközelítéseket sem, amikhez központi menedzsment és házirendkezelés társul. Amennyiben ugyanis sikerül jól felügyelhető, kontrollálható szegmensekre osztani a hálózatot, akkor a támadók hálózaton belüli (laterális) mozgásának sokkal hatékonyabban lehet gátat szabni.

Természetesen a kellő szintű biztonság kialakításához és fenntartásához a technológiai védelem sem szorulhat háttérbe, így például a vírusvédelem, a tartalomszűrés, a hálózati szintű autorizáció, az adattitkosítás, illetve a VPN-támogatás sem. Mindezek mellett elengedhetetlen a folyamatos naplózás és monitorozás annak érdekében, hogy a nemkívánatos hálózati események, valamint anomáliák minél előbb kiszűrhetővé váljanak akár automatizált, gépi tanulásra épülő eljárásokkal.

Amennyiben egy jól kialakított zero trust stratégia mentén sikerül megvalósítani az informatikai infrastruktúra átfogó védelmét, akkor az minden másnál jelentősebb kockázatcsökkentést eredményez a teljes szervezet számára. Nem kizárólag a jelen fenyegetettségeivel szembeni ellenállóképességet növeli meg, hanem kiváló alapot teremt a jövőben felmerülő kockázati tényezők kezeléséhez, valamint az újabb és újabb támadási felületek számának csökkentéséhez. Ennek köszönhetően jelentősen hozzájárul az előzőekben ismertetett, közvetett és közvetlen károk bekövetkezésének megelőzéséhez.