napokban ismét zsaroló vírus támadásává vált egy jelentős méretű magyar vállalkozás. Nem egészen két éve a Unix Autó Kft állt napokig (miközben újraépítették az informatikai rendszerüket). Most az egyik legnagyobb hazai informatikai disztribútor a CHS Hungary Kft működését bénították meg ismeretlen támadók.
A cég működése a cikk írásának pillanatában még nem állt helyre. Kevés publikus információ érhető el az esetről, szakmai körökben is még találgatás folyik, hogy konkrétan mi történt. Jelenleg annyi látszik, hogy nagy valószínűséggel valamilyen zsaroló vírussal operáló hacker csapat állhat a háttérben.
Az ilyen esetek kapcsán több kérdés is felmerül az emberben. Vajon a mi hálózatunk is veszélyben van? Mit lehet tenni a kockázat csökkentése érdekében?
Ezekre a nyugtalanító kérdésekre a kényelmes, és kézenfekvő a válasz:
- „Ezek nagy cégek – van mit elvinni. Mi kicsik vagyunk, nem vagyunk jó célpont.
- „Ha egy több tíz milliárdos vállalat sem tudta megvédeni magát, akkor ugyan mi esélye lenne nekünk, akik ennek a töredékéből gazdálkodunk?”
- „…. és különben is mind a tíz notebookunkon van vírusirtó.”
… és miután ilyen megnyugtatóan letudtuk az IT biztonság kérdését igyunk egy kávét, és folytassuk a valóban hasznos munkát!
A valóság egy kicsit azért ennél árnyaltabb. Minden hónapban több kisvállalkozás is áldozatul esik valamilyen internetes támadásnak. Ezeknek az eseteknek a híre még a szomszédos irodaházig sem jut el.
Aki a biztonságtechnikával, IT biztonsággal bármilyen szinten kapcsolatba került már, az jól ismeri azt a közhelyszámba menő mondást miszerint a védelemre mindig a megvédendő értékkel arányos költséget kell fordítani.
Ez az alapelv a „túloldalról” nézve is megállja a helyét. Egy adott pénzmennyiség ellopása (kizsarolása) lehetőleg kevesebb munkába és pénzbe kerüljön, mint amennyit a zsákmány ér.
Így valóban úgy tűnik, hogy a bűnözőknek nagyon nem éri meg kisebb cégeket célba venni. Ahol jó esetben is csak pár millió forint (euróban vagy dollárban számolva meg egészen vicces összeg) szerezhető.
A rossz hír az, hogy a „folyamat” egy része nagyon jól automatizálható, és nagy tételben olcsón bevethető. Így bárkinél megéri „bepróbálkozni”, akitől legalább 1-2 ezer dollárt le lehet húzni. A „zsaroló” vírusok, úgy működnek, hogy valamilyen formában (leginkább emailben, vagy feltört weboldalakon keresztül) eljuttatják a gyanútlan áldozathoz. Ezután, ha sikerül az „átverés” a vírus titkosítja az áldozat fájljait, hogy aztán némi pénzért a tulajdonos megkapja a visszafejtéshez szükséges kódot és útmutatást.
Ezeknek a vírusok komplett piaca van a webes alvilágban (dark web). Az átlagos, „jó minőségű” kártékony szoftverek telepítésenként 2 dollárért beszerezhetők, az olcsóbbak és kevésbé hatékonyak már 0,12 dollár közötti áron futnak. Hasonló árban mozognak a vírusok célba juttatására alkalmas feltört weboldalak és tömeges email küldő szoftverek. Így akár 50-100 000 Ft-ért megoldható ezer gyanútlan áldozat megzsarolása – és ha legalább egy áldozat fizet akár 1-2 ezer dollárt, akkor már nullszaldós a projekt.
A zsaroló vírusok csak egy részét teszik ki a bűnözők eszköztárának. A vállalati levelezés feltörése és lehallgatása szintén népszerű tevékenység. Az IT biztonság egyik alap sebezhetősége ez. A postafiókok feltörése automatizált eszközökkel történik, de a kényelmesebb hackerek komplett felhasználónév/jelszó listákat vásárolhatnak fillérekért a dark-weben.
Az így kompromittált fiókok tartalmát részletesen elemzik, esetleg a levelezés egy részéről folyamatosan másolatot irányítanak át a saját rendszerükbe. Ha arra a következtetésre jutnak, hogy érdemes foglalkozni az áldozattal – mert mondjuk rendszeres pénzügyi tranzakciókról szól a levelezés, akkor lépnek akcióba a hackerek személyesen. Sok esetben sikerrel tudnak eltéríteni egy-egy nagyobb átutalást. Számos olyan példa van, hogy a pénzügyes kolléga elutalt 5-10 ezer eurót a csalók bankszámlájára, mert kapott egy levelet a főnökétől (pontosabban a főnöke email címéről), hogy utaljon. A rossz hír után legyen végre valami jó is. Ezen a szinten az IT biztonság, ha nem is teljesen automatizálható, de remek eszközök vannak hozzá, illetve pár általános óvintézkedéssel jelentősen javíthatók a védelmi képességeink.
Végpontvédelem
A végpontvédelem az egyes munkaállomások, szerverek közvetlen védelmét jelenti, valamilyen szoftveres „vírusirtó” megoldással. Ezek kapcsán érdemes megemlíteni, hogy beszerzésekor ne csak a termékeknek az árát nézzük. Elég nagy a szórás az egyes gyártók árai közt, de még az azonos termékcsaládokon beül is vannak olcsóbb és drágább termékek, és ez nem is véletlen.
Persze tagadhatatlan, hogy mint bármilyen más piaci termék esetén itt is érvényesül a „márkanév” hatás. De azért nézzük meg, hogy a pénzünkért mit kapunk egy olcsóbb és mit kapunk a drágább megoldás esetén.
Bármelyik gyártó termékvonalának az alja nem sokkal tud többet, mint mondjuk a Windows beépített megoldása (Windows Defender), tehát tudása főleg az ismert és azonosított kórokozók lefülelésében ki is merül.
Árazás és minőség
A magasabb ár fekvésű termékek már képesek új, eddig még nem azonosított kártékony kódok blokkolására is. Tartalmaznak olyan kiegészítéseket, amik a különféle e-mail alapú csaló és adathalász levelek kiszűrését segítik.
Egyre elterjedtebbek például a viselkedés elemzésen alapuló végpontvédelmi megoldások. Ezek felismerik, ha a megszokotthoz képest más tevékenységeket folytat a „felhasználó”, és képesek beavatkozni. Így ezek blokkolni tudják a zsarolóvírusok futását, amikor azok elkezdik tömegével a fájlokat módosítani.
Ha limitált a költségvetésünk (kinek nem), akkor szegmentálhatunk is. A fontos pénzügyi adatokkal dolgozóknak, többhozzáférési jogosultsággal rendelkező kollégáknak lehet a fejlettebb termékeket telepíteni. A recepciós munkaállomására (ami mondjuk maximum a tárgyalófoglaló rendszert éri el) pedig akár egy másik cég kedvezőbb árú termékét telepítjük. Ez abból a szempontból sem rossz gyakorlat, hogy így nem csak egy gyártóra vagyunk utalva. Nem lehetetlen, hogy ahol az egyik megbukik, ott a másik még állja a sarat. Az IT biztonság esetében is igaz a több lábon állás hatékonysága.
Nagyobb mennyiségű munkaállomás és szerver esetén érdemes olyan végpontvédelmi megoldást választani, ami központi menedzsment és riportolási funkciókkal rendelkezik. Így könnyebben elvégezhetők rendszeres karbantartások, licensz frissítések, és emellett mindig pontos képet kaphatunk az egyes kliens számítógépek biztonsági szintjéről.
Az informatikai biztonság nem merül ki a vírusirtó telepítésében. Az csak egy része annak a védelmi láncnak, amire, csak úgy, mint bármilyen összetett rendszerre érvényes a „leggyengébb láncszem” elve.
Nézzük a többi IT biztonsági láncszemet is….
Rendszeres biztonsági frissítések telepítése
A laptop tulajdonosok népszerű időtöltése volt régen (a Windows XP és Windows 7 idejében) a frissítések letiltása, megelőzendő a tárgyalások előtti kényszerű 20-30 perces „bocs frissítéseket telepít a laptopom” nevű előjátékot. A Windows 10 óta egyrészt ezek a frissítések kevésbé bosszantóak, másrészt nem nagyon lehet őket letiltani. Annak idején ez szakmai körökben is kisebb felhördülést váltott ki. Mára viszont már mindenki hozzászokott – és valljuk be, az otthoni, és kisvállalati IT biztonság szempontjából elég jelentős előrelépés.
Az ismert, de időben ki nem javított biztonsági sérülékenységek jelentik egy informatikai infrastruktúrában a legnagyobb kockázatot. A kliens számítógépek automatikus biztonsági javításai ezt a kockázatot jelentősen csökkentik.
Kövessünk szervereink és egyéb hálózati eszközeink esetén is hasonló gyakorlatot. Ahol van rá lehetőség, ott állítsuk be a frissítések automatikus telepítését. Ahol ez nem lehetséges, vagy bármilyen okból nem szeretnénk, ott legalább havonta legyen telepítve az összes aktuális biztonsági frissítés. Rendszeresen ellenőrizzük a routerek, wifi hozzáférési pontok (AP), hálózati nyomtatók, multifunkciós eszközök szoftvereit, és frissítsük őket amennyiben van újabb verzió.
Igen, a nyomtatókat is. Elsőre talán viccesnek hangzik, de tulajdonképpen a hálózati nyomtató is egy szerver. Pontosan ugyanaz az operációs rendszer fut benne, mint a routereink vagy szervereink egy részében – ennél fogva pontosan ugyanannyira sérülékeny. De mégis mit lehet kezdeni egy feltört nyomtatóval, talán kifogyasztják belőle a festéket és a lapokat?
Nem teljesen – némileg megbuherálva kiválóan lehet jelszavak lopására, a hálózat feltérképezésére, vagy csak úgy simán kiskapuként használni a belső hálózatunkhoz. Egyszóval, frissítsük őket is rendszeresen. Erre az IT biztonsági résekre sokan nem figyelnek oda.
Jogosultság és jelszó kezelés
Erről a témáról külön könyveket szoktak írni az IT biztonsági szakértők. Mi most csak pár alapvető elvet ismertetünk, ömlesztve, felsorolás jelleggel:
Az egyes eszközök gyári jelszavát mindig változtassuk meg, jelszó nélkül ne hagyjunk semmilyen irodai eszközt, routert. (Az „123456” sem számít jó jelszónak.)
Irodai dolgozóknak semmi szüksége rendszergazdai jogosultság a saját gépükre sem. Hogy akkor nem tud feltelepíteni magának semmit? De hát miért is akarna?
A fájlszerveren megosztott mappák esetén mindenkinek csak azokhoz legyen jogosultsága, ami a munkájához kell. Ha például a mérnökök nem számláznak, akkor miért kellene hozzáférniük a számlázási dokumentumokhoz?
Soha ne használjuk ugyanazt a jelszót mindenhová – főleg ne internetes szolgáltatásokhoz. A rengeteg jelszót természetesen nem lehet ép ésszel megjegyezni – használjunk jelszó kezelő programokat.
Közösen használt jelszavak esetén felejtsük el a szöveges és excel fájlokat. A jelszókezelők titkosítva tárolják a jelszavakat, így azok akkor sincsenek veszélyben, ha véletlenül hozzájuk fér valamilyen kártékony program. Léteznek több felhasználó által használható online jelszókezelő szolgáltatások (Lastpass, 1Password, stb.), vagy helyi szerverre telepíthetők (pl. TeamPasswordManager). A szöveges fájloknál még az a módszer is jobb, hogy ha a megosztott mappában tárolunk egy KeePass-t aminek mindenki ismeri a jelszavát.
Megkövetelhetünk hosszú, és bonyolult jelszavakat. Kicsi és nagy betűk kombinációját, mindenféle kimondhatatlan krikszkraksz karakterekkel (pl.: „Amk8%grB!2$s”). Mindezt megbolondíthatjuk 30 naponkénti kötelező jelszócserével – de ettől a kollégák is megbolondulnak, ami már középtávon is kontraproduktív.
Újabb kutatások (https://www.sans.org/blog/time-for-password-expiration-to-die/) szerint sokkal biztonságosabb, ha nincs folyamatos jelszóváltoztatási kényszer. Hosszú, ám viszonylag könnyen megjegyezhető jelszavakat használunk (pl: „LilaBetonPolip!”)
Ahol csak lehet használjunk kétfaktoros hitelesítés. Fokozottan igaz ez olyan hozzáférések esetén, ahol valamilyen emelt szintű jogosultsága van az adott fióknak. Ma már gyakorlatilag bármilyen alkalmazást el lehet látni több faktoros hitelesítéssel – akár még saját házon belüli fejlesztést is.
Oktatás
A technikai védelmi megoldások nem jelentenek 100%-os védelmet, ezért fontos az alkalmazottak IT biztonsági tudatosságának fejlesztése. Ez nem olyan dolog, hogy elküldjük a kollégákat egy tanfolyamra, ahonnan kikerülve 2 hét alatt kibervédelmi szakemberekké válnak. Ez egy folyamat, ami során a kollégák megismerik, hogy milyen valós veszélyekkel találkozhatnak munkájuk során, és hogyan kell kezelni az IT biztonsági kérdéseket.
Vannak ugyan vállalkozások, akik tartanak biztonság tudatossági felméréseket és testre szabott képzéseket. Az interneten is rengeteg ingyenes anyag áll rendelkezésre, ami alapján összeállíthatunk saját környezetünkre szabott oktatóanyagokat. Vannak különféle tesztek, amivel felmérhető az egyének felkészültségi szintje.
A biztonság tudatosság fejlesztése olyan dolog, amit kicsiben is el lehet kezdeni, akár csak annyival is, hogy mondjuk kötelezővé tesszük a pénzügyes kollégának, ha egy partnertől megváltozott bankszámlaszámról kap e-mailben értesítést, akkor hívja fel az általa ismert (és nem az emailben levő) telefonszámon ellenőrzésképpen.
Ez egy folyamat, ami eredményes akkor lehet, ha rendszeres időnként (fél évente, negyed évente) tartunk valamilyen formában oktatást, tájékoztatást.
Hardening
Hardeningnek hívják azt az eljárást, amikor valamilyen informatikai biztonsági szabvány, vagy ajánlás alapján az eszközök, számítógépek, szerverek alapértelmezett beállításait módosítják, úgy, hogy azok biztonságosabbak legyenek.
Vannak olyan gazdasági területek, ahol kötelező jelleggel előírják az alkalmazandó biztonsági szabványokat. Ilyen pl. bankkártyákkal kapcsolatos szolgáltatás esetén a PCI DSS.
Akik IT biztonság területen tevékenykednek vélhetően ismerik ezeket a szabványokat – ez az írás nem nekik szól.
Ha ránk nem is vonatkozik kötelező jelleggel egy informatikai biztonsági szabvány sem, azért önként még használhatjuk őket.
Igen népszerű a CIS (Center for Internet Security) nevű szervezet által kidolgozott ajánlások (úgynevezett benchmarkok) gyűjteménye. Ezek olyan dokumentumok, amik a legelterjedtebb operációs rendszerek, tűzfalak, hálózati eszközök stb. IT biztonság szempontból javasolt beállításait tartalmazzák. Ami a legjobb, hogy ezek ingyenesen letölthetők a https://learn.cisecurity.org/benchmarks oldalon. Eredményes és hatékony használatuk komolyabb informatikai felkészültséget igényel, ezért használatát célszerű a vállalkozás IT támogató csapatával közösen kidolgozni és implementálni.
Hálózat és tűzfal
Már egy 30-40 fős irodai hálózatra is számos szerver, hálózati eszköz, vendég wifi, esetleg beléptető rendszer vagy biztonsági kamera csatlakozik. A biztonságos hálózat alapja, hogy a logikailag szétválasztható funkciókat fizikailag is válasszuk szét.
Az irodai dolgozók fájlszerver elérésre használt hálózatát lehetőleg különítsük el a szerverek üzemeltetéséhez használt adminisztratív hálózattól. A biztonsági kamerák rögzítője se legyen a vendég wifi hálózatra, vagy az irodai hálózatra csatlakoztatva. Az egyes hálózatok között minimum csomagszűrő tűzfal szabályozza, hogy ki mit érhet el az egyik hálózatból a másikban. Egy IT biztonsági esemény (mondjuk egy elszabadult vírus) során fontos, hogy minél kisebb területre terjedjen ki a károkozás. Egy hatékony hálózati felosztás segít lassítani egy vírus terjedését – adott esetben meg is tudja akadályozni a teljes hálózatra kiterjedő pusztítást.
Biztonsági mentések
Biztonsági mentést évek óta már a telefonunk tartalmáról is készítünk, nem kérdés hát, hogy az üzleti adatainkat menteni kell -e vagy sem. Az már annál inkább kérdés, hogy hogyan.
Ha csak arra gondolunk, hogy a biztonsági mentés megvéd a véletlenül letörölt fájlok, vagy tönkrement merevlemez okozta adatvesztéstől, akkor arra gondolhatunk, hogy elég egy USB adathordozót csatlakoztatni a szerverre, és arra is készítünk egy másolatot. Ez IT biztonság szempontjából azonban nem elegendő.
Ha arra is gondolunk, hogy adott esetben egy rosszindulatú vírus direkt törli vagy titkosítja az adatainkat, akkor már azon is elgondolkozhatunk, hogy vajon megelégszik -e az a vírus a szerver diszkjén tárolt fájlok törlésével, vagy ne adj isten az USB-re mentett adatokat is törölni fogja? Azt hiszem nem árulunk el nagy titkot, ha kijelentjük, azt is törölni fogja. Hasonló a helyzet, ha betörés, vagy irodai tűz áldozatává válik a szerverünk – bár a szomorú helyzet az, egy zsaroló vírus okozta adatvesztésnek nagyobb az esélye, mint az utóbbiak bármelyikének. A biztonsági mentési megoldások hatékonyságát aszerint mérik, hogy visszaállítható -e belőle a mentett adat, vagy sem.
A hatékony biztonsági mentés stratégia a 3-2-1 szabály szerint
3: Legalább 3 példány legyen az adatokból: az eredeti, és két mentés
2: legalább 2 különféle adathordozó típuson legyen a mentés. Pl. egy lokális diszken, egy pedig szalagon, vagy egy felhős tárhelyen.
1: legalább 1 mentés a mentett adattól eltérő fizikai helyen legyen, például másik telephelyen, vagy felhős tárhelyen.
Nagyon fontos, hogy rendszeresen teszteljük a biztonsági mentések visszaállíthatóságát. Az optimális az lenne, ha havonta mentésből visszaállítjuk a legfontosabb adatainkat, és ellenőrizzük, hogy valóban használhatók -e. De már azzal is beljebb vagyunk, ha fél évente, vagy évente megtesszük. Egy ilyen visszaállítási teszt már csak azért is hasznos, mert tudni fogjuk, hogy ha adatvesztés van, és mentésből kell helyreállni, akkor minimum mennyi ideig fog kiesni az az üzleti folyamat, aminek szüksége lenne az érintett adatokra.
Menedzselhető hálózati eszközök esetén, amik erre lehetőséget adnak, az eszközök konfigurációs állománya rendszeresen legyen letöltve, és a többi adattal együtt mentve.
Dokumentáció
A naprakész dokumentáció a legkisebb hálózatok esetén is nagyon fontos. Egy-egy meghibásodás vagy IT biztonsági incidens esetén akár órákat lehet spórolni a helyreállításhoz szükséges időn, ha rendben van tartva a papírmunka. Egy-egy hálózati fejlesztéskor, módosításkor is jóval kisebb a hibalehetőség ha a hálózat minden eleme rendesen dokumentálva van.
A dokumentáció nem egyenlő a leltárral, hanem kiegészíti azt.
Egy jó dokumentációnak minimum a következőket kell tartalmaznia:
- Hálózati adatok: IP címtartományok, DNS szererek, DHCP szerverek, routerek címe
- Hálózati eszközök típusa, IP címe
- Szerverek típusa, neve, IP címe, funkciója
- Mentések helye, és elérhetősége, valamint a mentések visszaállításához szükséges lépések.
- A vállalkozás által használt szoftverek listája, és azok működéséhez szükséges hálózati és szerver elemek. (pl. melyiknek hol van az adatbázisa stb.)
- Opcionálisan hálózati topológia rajza – amennyiben egynél több hálózat van.
A dokumentációt érdemes évente legalább egyszer tételesen felülvizsgálni, és az esetleges eltéréseket kijavítani. IT biztonság szempontjából ez alapkövetelmény sok helyen.
IT felügyeleti rendszer
Nagyon fontos, hogy hálózatunk állapotáról naprakész (vagy inkább „percre kész”) információkkal rendelkezzünk. Sok eszköz képes probléma esetén email küldésére, de mi van akkor, hogy ha a meghibásodás miatt már az emailt sem tudja kiküldeni?
A hálózat aktív monitorozása arra dedikált felügyeleti eszközzel elengedhetetlen része egy modern és biztonságos IT rendszernek. Kis hálózatok esetén, ahol csak 1-2 aktív eszköz van, ott külső monitoring szolgáltatásra érdemes előfizetni. Ez amellett, hogy bizonyos meghibásodásokat előre is jelezhet, megfelelően alkalmazva képes lehet a nem kívánt tevékenységeket is jelezni.
A legtöbb IT támogatással foglalkozó vállalkozás használ saját monitoring eszközt, érdemes ilyenekkel leszerződni rendszergazdai feladatok ellátására.
Ha vállalkozásunkban legalább 15-20 menedzselhető eszköz (szerverek, switchek, multifunkciós eszközök, routerek stb) van akkor megfontolhatjuk a saját menedzsment szerver üzemeltetését. Ez rugalmasabb és jobban testre szabható megoldást kínál, és a költségei sem feltétlenül eget verőek. Az IT biztonság dinamikusabban változik, mint a legtöbb ágazati fejlesztés. Erre mindig nagy figyelmet kell szentelni, mert mindenki a megelőzéssel jár a legjobban.