Ichiro Ohama, a Fujitsu nagyvállalati kiberbiztonsági alelnöke
A COVID-19 világjárvány a feje tetejére állította az általunk eddig ismert világot. Mindenütt kijárási korlátozásokat vezettek be, ami a kis- és nagyvállalatokat egyaránt új, váratlan kihívások elé állította. Most pedig, hogy végre elindultunk a visszaállás hosszú útján, teljesen mások a prioritásaink, mint néhány hónappal ezelőtt.
A világjárvány a tökéletes viharhoz hasonló hatással járt az IT-felsővezetőkre nézve. Valós időben tesztelhették a biztonság ellenállóképességét és hibatűrését. A technológiai csapatok igyekeztek fenntartani az alapvető üzleti funkciók működőképességét, támogatni a sokféle munkastílust, és kezelni a viharos időkben gyökeresen megváltozott kockázati profil jelentette kihívásokat.
Természetesen az ilyen szélsőséges körülmények minden szervezetnél próbára teszik az internetes biztonság ellenállóképességét. Fel kell állítani az eszközök, a felhasználók és a rendszerek fontossági sorrendjét attól függően, melyek jelentik közülük a legnagyobb kockázatot, és mindent meg kell tenni a védelmükért. E feladat végrehajtása közben nem könnyű megtalálni az egyensúlyt, ezért a Fujitsu kidolgozott négy irányelvet, amely hozzásegíti a szervezeteket, hogy a kritikus biztonsági kockázatokat kezelve fenn tudják tartani az eredményes üzleti működést.
- Rendkívül fontos, hogy a felhasználók tisztában legyenek a COVID-19 járványt kihasználó adathalászati támadások veszélyével
Mint minden válság idején, az internetes bűnözők most is igyekeznek kiaknázni a fennakadásokban és az emberi gyengeségben rejlő lehetőségeket. A Fujitsu biztonsági központjai világszerte észleltek COVID-19-hez kapcsolódó adathalászati próbálkozásokat. A támadók célja a hozzáférési adatok megszerzése és a vállalati rendszerekbe (köztük az azonnali üzenetküldő rendszerekbe) való behatolás, egy olyan időszakban, amikor nehezebb megkülönböztetni egymástól a valódi kérést és a „social engineering” módszereivel dolgozó körmönfont csalási kísérletet.
Az adathalászati támadások célpontjai a felsővezetés tagjai, akik értékes lehetőséget nyújtanak a támadók számára a kényes adatok elérésére. Ha sikerül megszerezniük az ellenőrzést felhasználói profiljaik felett, más felhasználókat is manipulálni tudnak, mind a szervezeten belül, mind pedig azon kívül. Az ilyen támadások sikeréért részben az emberi természet okolható, hiszen a munkatársak és az ügyfelek is nagyobb eséllyel bíznak meg a látszólag felsővezetői forrásból származó levelek hivatkozásaiban és mellékleteiben.
Miután bejutottak a rendszerbe, a támadók a saját céljaikra használhatják a meglévő, valódi üzenetváltásokat – például eltéríthetnek pénzügyi tranzakciókat, vagy a saját kéréseik sürgősségét igazoló üzeneteket küldhetnek az azonnali üzenetküldő alkalmazásokkal.
A probléma kezelésének első lépése a tudatosítás. A vállalatok nagyobb eséllyel járnak sikerrel, ha tájékoztatják felhasználóikat arról, hogyan kell kinéznie a világjárvánnyal kapcsolatos belső kommunikációnak, és kik lehetnek a feladók. Fontos az is, hogy a felhívják a felhasználók figyelmét a COVID-19-cel kapcsolatos tanácsadást, frissítéseket, védekező mechanizmusokat kínáló, kéretlen külső e-mailek veszélyére is. Viszonylag egyszerűen felkészíthetők a felhasználók arra, hogy észleljék azokat az e-maileket, amelyek látszólag kollégáktól vagy vezetőktől érkeznek, de – például a hangvételük, a nyelvtani hibák vagy a túl általános utalások (pl. „a projekt”) miatt – gyanúsak.
- Megbízható és biztonságos hálózati hozzáférés nyújtása
Minden korábbinál kritikusabb a vállalati hálózat biztonságos és megbízható elérése, hiszen a dolgozóknak hozzá kell férniük a munkájuk elvégzéséhez szükséges erőforrásokhoz. A jogosulatlan felhasználók és eszközök hálózattól való távoltartásához még az ilyen rendkívüli körülmények között is folyamatos éberségre van szükség az árnyék-IT használatával kapcsolatban.
Ha a vállalatnak van jóváhagyott alkalmazása, programja vagy eszköze, ügyelni kell rá, hogy a munkatársak ezeket használják. Előfordulhat, hogy kevésbé népszerűek, mint a megfelelési szempontból kifogásolható alternatívák – de legalább garantáltan biztonságosak. A haladó szemléletű szervezetek világos útmutatást adnak ezzel kapcsolatban felhasználóiknak, emlékeztetik őket a jóváhagyott eszközök és alkalmazások használatának fontosságára, és arra, hogy csak megfelelő jogosultsággal rendelkező eszközökkel lépjenek be a céges hálózatba.
Az IT-biztonsági felsővezetők számára fontos változást jelent, hogy felül kell vizsgálniuk a régi koncepciót, miszerint a biztonságos hálózaton belül minden eszköz megbízható, azon kívül pedig egyik sem. Mivel a céges és személyi eszközök a céges hálózaton belülről és kívülről is teljesen legitim módon próbálják elérni az adatokat és a rendszereket, az IT-biztonsági csapatoknak érdemes lehet a zéró bizalom elve alapján, egyedi felhasználói profilok szerint engedélyezni a hozzáférést.
- Változatlanul fontos a hibajavítás
Évtizedek óta zajlik a vita, hogy mikor és hogyan lehet megpatchelni egy működő szoftvert. Sok IT-vezető az erősen szabályozott szemléletet részesíti előnyben, hogy minimumra szorítsa egy esetleges rossz patch IT-működésre gyakorolt negatív hatását. Emiatt azonban a támadási felületet feleslegesen kiszélesítő patch-kezelési rutinok alakulhatnak ki. Az EternalBlue SMBv1 sérülékenységre például már két hónappal a széles körű támadások előtt volt patch, de sok vállalat azért esett áldozatul a támadásnak, mert akkorra még nem frissítette a szoftvert.
Arra számíthatunk, hogy a gátlástalan támadók agresszíven próbálják majd kihasználni a megváltozott munkagyakorlat kínálta lehetőségeket, miközben az IT-üzemeltető csapatot nagyrészt lefoglalják a COVID-19 világjárvány kezelésével járó feladatok. Javasoljuk, hogy a vállalatok gyakran telepítsék a patcheket, és mindig éljenek a legutóbb rendelkezésre bocsátott megoldásokkal ahelyett, hogy hónapokig várnának tétlenül a tökéletes patchre.
- Együttműködés egy magasabb szintű, jó cél érdekében
Az elmúlt hónapban különösen nyilvánvalóvá vált a csapatmunka fontossága. Kiderült, hogy senki sem képes minden feladatot egyedül elvégezni. Ez fokozottan releváns a biztonsági csapat esetében.
Az internetes bűnözés nem szűnt meg a világjárvány idején. Sőt, bizonyos esetekben erősödött is a bűnözői aktivitás, kihasználva az emberek rendkívüli körülmények miatti kiszolgáltatottságát. Mivel mindenki otthonról dolgozik, a kibertámadások elleni védekezésben is fontos a közös fellépés. Tekintettel arra, hogy a biztonsági csapatokat túlterheli az átmeneti új normális, az IT-biztonsági szakembereknek meg kell osztaniuk egymással az általuk elsajátított bevált gyakorlatot és a levont tanulságokat.
Nincs sok értelme például védeni a rendszereket egy új fenyegetés ellen, ha az ellátási láncban működő fontos szerepelők egyikét támadás éri. Minden folyamat kétirányú – az információmegosztáshoz hasonló módon, az értékes felismerések kölcsönös továbbadása és egymás inspirálása is segít ellenállóbbá tenni a vállalatokat a támadásokkal szemben nem csupán saját szervezetükön belül, hanem egész iparágakra és ellátási láncokra kiterjedően. Az új világban a valóban hatékony kiberbiztonság megteremtéséhez is új szemlélet elsajátítására van szükség.
