A legnagyobb biztonság: nem bízni semmiben
A hagyományos szemlélet, mely szerint hálózatunk biztonságát önmagukban a perimeteren elhelyezett tűzfalak garantálják, és ami belül van, az megbízható és biztonságban van, egyszerűen idejétmúlt. A fejlett fenyegetések ellen nem elégséges a megfelelő határvédelem, nem bízhatunk már az eszközökben csak az alapján, a tűzfal melyik oldalán, melyik zónában helyezkednek el. A paradigmaváltást az IT biztonsági iparág már évekkel ezelőtt elkezdte, ennek eredménye a Zero Trust modell.
A Zero Trust paradigma szerint alapértelmezésként soha semmilyen erőforrásban, eszközben nem bízunk, ezeket mindig ellenőrizzük, autentikáljuk, forgalmát folyamatosan figyeljük minden kommunikáló elemnek. A standardizált Zero Trust architektúra azonban még mindig tartamaz kockázatokat, ilyen például, hogy a forgalmat sokszor nem elég csupán a paraméterei, metainformációi alapján azonosítani (forrás, cél, protokoll stb.), hanem szükséges, hogy tudjunk tartalom szerint is szűrni, akár titkosított adatforgalom esetén is.
Egy célzott ransomware tevékenységét és külső kommunikációját láthatóvá tehetjük végpontvédelmi megoldással, tűzfallal, sok esetben DNS security megoldással. De önmagában az elkülönült elemekből álló biztonsági eszköztár szintén nem elégséges. A komponenseknek integráltnak kell lenniük a megfelelő szintű láthatóság (visibility), anomáliadetektálás és eseménykorreláció eléréséhez, mely alapvető egy ilyen célzott támadás elhárításához.
A legtöbb gyártó rendelkezik már integrált megoldással, mely on-prem, hibrid vagy tisztán cloud rendszerek kiszolgálására egyaránt képes. A fenyegetések elhárításában a nagy gyártók – újabban AI által támogatott – cloud szolgáltatásai elengedhetetlenek a megfelelő szintű védelemhez (detektálás, analízis, zero-day sérülékenységek).
A kibertámadások életciklusa
A célzott, behatolás jellegű kibertámadásoknak megvan a maga tipikus életciklusa, ennek fázisait és résztevékenységeit a Lockheed Martin Intrusion Kill Chain modellje szerint az alábbi pontokba soroljuk (sem a kill chain modell nevére, sem a részeire nincs rögzült magyar terminológia, lentebb a hazai szakirodalom fordításait közöljük):
1. Reconnaisance (felderítés – a célpont megismerése, a gyenge pontok azonosítása)
2. Weaponization (felfegyverzés, fegyverkészítés – olyan kódok és manipulációk előkészítése, amelyek lehetővé teszik a behatolást és a támadás sikerét)
3. Delivery (kézbesítés, célba juttatás – a támadó ágensek eljuttatása a célrendszerekbe)
4. Exploitation (kihasználás – sebezhető pontok kihasználása kommunikáció, kódfuttatás stb. céljából)
5. Installation (telepítés – kártékony programok telepítése a megfertőzött eszközökön)
6. Command & Control (C2; vezérlés és irányítás – a botok távvezérlése támadások összehangolása, adatszivárogtatások fogadása, kártékony kódok disztribúciója stb. céljából)
7. Actions on Objectives (feladat végrehajtása – a támadás részfeladatainak végrehajtása, pl. oldalirányú mozgás, adatlopás, fájltitkosítás, adatforgalmak eltérítése stb.)
A vállalati hálózat védelme és az adatszivárgás megakadályozása érdekében a kibertámadás minden egyes szakaszára ki kell terjednie a megelőzést szolgáló, illetve a folyamatban lévő incidensek detektálását és hatástalanítását célzó óvintézkedéseknek. Ezek közül itt csak azt emeljük ki, hogyan észlelhetjük a már bejutott malware-ek által generált forgalmat.
Miután a kiberbűnözők telepítették a rosszindulatú programjaikat, ezek a programok megpróbálnak létrehozni egy Command & Control (C2) csatornát, hogy kommunikáljanak és adatokat továbbítsanak oda-vissza a fertőzött eszközök és a saját infrastruktúrájuk között.
Az újgenerációs tűzfalak (next-generation firewall, NGFW) és új képességeik, mint az Advanced Threat Prevention (ATP) az alábbi módokon segítenek a detektálásban és a rosszindulatú forgalom blokkolásában:
– A zónák közötti teljes forgalom felügyelete és vizsgálata, valamint a biztonságos zónák felhasználói hozzáférésének és alkalmazás-ellenőrzésének kikényszerítése. A forgalomnak mindig személyhez, illetve eszközhöz köthetőnek kell lenni, és a tűzfal nemcsak L3/L4 header, hanem akár csomag payload alapján is tud vizsgálni.
– Blokkolja a kifelé irányuló C2 kommunikációt, valamint a fájl- és adatminták (pl. bankszámlaszám) feltöltését, így megakadályozza az adatszivárgást.
– A káros kimenő forgalom átirányítása a belső sinkhole-ba a fertőzött munkaállomás azonosítása és elszigetelése érdekében.
– Az ismert rosszindulatú tartományok felé irányuló kimenő kommunikáció blokkolása URL-szűrés révén.