Előfordul, hogy még a szakemberek számára is csak nehezen átlátható egy szervezet IT-biztonsági rendszere – az elmúlt egy évtized annyira átírta a védendő hálózatok jellemzőit, hogy az azok integritását biztosító megoldások túlságosan összetettek lettek. A felhasználók mobillá váltak, a munkájukhoz szükséges információt sokan helyfüggetlenül akarják elérni, ezért már nem csak egy egyértelműen meghúzható határ mögött ülve kell őket védeni.

A válasz nem a produktivitást növelő lehetőségek korlátozásában rejlik; a kulcs az, hogy használhatóbbá kell tenni a biztonsági rendszereket. Ez azonban nagy kihívás a már évtizedek óta rögzült, preventív védelmi megoldások esetében. Az első lépés a változás irányába, hogy el kell fogadni: előbb-utóbb egy támadási kísérlet sikerrel fog járni, és a hálózat kompromittálódik.

A nagy kérdés inkább az, hogy mikor veszi észre ennek megtörténtét az áldozattá vált szervezet, és, hogy milyen eszközökkel tudja kezelni az eseményt. Ismerni kell az érintett gépek számát, a kiszivárgott adatot mennyiségét és minőségét. El kell tudni dönteni, hogy a behatolás jelentéktelen incidens volt-e vagy kritikus információk estek-e áldozatul a hackereknek, és így tovább.

Észlelési idő

Az idén évtizedes hagyományt ünneplő Verizon Data Breach Investigations Report már évek óta arról számol be, hogy csökken a hackertámadások észlelési ideje. Ez azonban minden erőfeszítés ellenére átlagosan még mindig hónapokban mérhető. Ennyi idő alatt pedig rengeteg információ juthat észrevétlenül a támadók kezébe.

A legtöbb tűzfal, behatolásvédelmi és egyéb, hasonló célokat szolgáló biztonsági eszköz point-in-time módon működik, vagyis az események bekövetkeztekor az adott eszközöknek a rendelkezésre álló információk alapján kell döntést hozniuk. Nem okoz problémát az ismerten megbízható vagy kártékony állományok kezelése, azonban a szürke zónába tartozó, azonosítatlan file-ok átengedése üzletfolytonossági okokból elkerülhetetlen. Ezek sorsa a továbbiakban ismeretlenné válik, még akkor is, ha időközben biztonsági szempontból bekategorizálódik, és erről a védelmi rendszer tudomást szerez.
 

Ezzel szemben az úgynevezett retrospektív védelem nyomon követi az átengedett, szürke zónába tartozó állományokat. Amint kiderül egy eddig ismeretlen file-ról az elemzése során, hogy kártékony, az érintett biztonsági eszközök frissítést kapnak – ezzel elérve, hogy több hasonló állomány már ne juthasson be – és a kiszolgáltatottá vált gépek izolálásra kerülnek biztonsági átvizsgálásuk idejére. Az e-mailes kommunikációba ágyazott fenyegetések esetén ráadásul kevésbé játszanak szerepet az üzletfolytonossági szempontok. Az sem jelent gondot, ha a vizsgálat több percig tart, az e-mailes rendszer akár meg is várhatja az elemzés eredményét.

Vegyük észre minél hamarabb!

Több módszer is kínálkozik arra, hogy az észlelési időt szignifikánsan csökkenteni lehessen. Az egyik megoldás etikus hackerek alkalmazása; a rosszindulatú támadók arzenáljának többségével rendelkező, de kárt nem okozó, adatokat el nem tulajdonító szakértők előre megbeszéltek alapján megpróbálnak fogást találni a célpont rendszeren.

Amint azt korábban említettük, előbb-utóbb szinte biztosan bejutnak, a védekezők feladata tehát nem csak ennek megnehezítése, hanem a sikeres kísérlet minél hamarabbi felfedezése is. Ennek megtörténte után a lezajlott folyamat kitárgyalása segít abban, hogy a szervezet ráébredjen, mely pontokon és mit kell változtatnia ahhoz, hogy következő alkalommal sokkal gyorsabban felfedje a hackertámadás sikerét.

Az egyre inkább fenyegető szakemberhiány és az informatikai rendszerek már említett komplexitása egyaránt az automatizált működés irányába tereli a fejlődést. Az önműködő rendszerek alkalmazása szintén segíthet a sikeres támadások hamarabb történő felismerésében. Természetesen ennek is vannak korlátjai, még ha öntanuló is a rendszer, számos olyan rossz döntést hozhat, amik humán erőforrás alkalmazásával elkerülhetők lennének.

Segít a mesterséges intelligencia

Az automatizált, egymással összekötött rendszerek egyik kulcsfontosságú tényezője a mesterséges intelligencia alkalmazása. Noha a trend ezen a téren még éppen csak, hogy szárnyait bontogatja – például meglehetősen nehéz a különböző változatok hatékonyságának mérése -, a benne rejlő potenciál óriási.

A mesterséges intelligencia a begyűjtött adatokon dolgozik, és jellemzően akkor igazán hatékony, ha ebből nagy mennyiség (big data) áll rendelkezésére. Gépi tanulással képes felfedni a kifinomultabb, célzott támadásokat, vagyis azokat a kísérleteket, melyeket a hagyományos védelmi rendszerek jellemzően nem, vagy csak rossz hatékonysággal képesek kiszűrni. Egészen egyszerű elméleti hátterük: technikai paraméterek és megfelelő algoritmusok segítségével megtanulják, hogy milyen tevékenység számít kártékonynak és mi biztonságosnak, amely tudást aztán az újonnan beérkező adatok esetében – például viselkedéselemzéssel - alkalmazzák.
 

Folyamatos finomhangolást igényel a mesterséges intelligencia alkalmazása, cserébe viszont nagy eséllyel találja meg a rejtőzködő támadásokat, azokat, amiket a klasszikus, tűzfal/antivírus megoldások nem érzékelnek.

Szinte kizárólag elosztott rendszerként, felhőben működve érhetők el a gépi tanulásra alapuló biztonsági MI megoldások. Ez megnehezíti a támadó oldal felkészülését, hiszen a mesterséges intelligenciát imitáló biztonsági struktúrák kialakítása nagyon költséges feladat, amit a kiberbűnözők többsége nem tud finanszírozni. Így pedig már komoly kihívást jelent kívülről pontos működési módszertanuk meghatározása, és annak felmérése sem egyszerű feladat, hogy milyen forrásokból dolgoznak az MI-k.

Hatékony működésük azonban nagy számítási kapacitást és sok információt igényel, ezért költség és hatékonysági szempontok miatt nem jellemző on-premise használatuk. A biztonság mint szolgáltatás (felhőalapú védelem) igénybevétele azonban jelenleg még nem általánosan elfogadott az érintettek körében, ami egyelőre a hackerek malmára hajtja a vizet. Nem marad azonban ez így, mivel a szolgáltatók folyamatosan dolgoznak a felmerülő adatvédelmi és egyéb aggályok leküzdésén.

Hiszen a fő cél a bejutás költségeinek olyan mértékű megnövelése, hogy az a támadók minél nagyobb részét tántorítsa el a próbálkozásoktól.