Sok vállalat úgy próbál védekezni a kibertérben, hogy nem is tudja pontosan, mi fölött kellene őrködnie, emiatt a vállalati kiberbiztonság gyakran tűzoltásként működik. A védelem sokszor arra a rendszerre terjed ki, amit éppen aktívan használnak, vagy amiről tudnak.

Csakhogy a támadók nem így gondolkodnak. Nem kérdezik meg, hogy mi szerepel az IT-infrastruktúrában. Ehelyett keresnek egy be nem zárt portot, egy elfelejtett aldomaint, egy néhány éve már nem használt, de még működő alkalmazást – és már bent is vannak.

Ezért is válik kulcskérdéssé a digitális lábnyom és a támadási felület (attack surface) feltérképezése, kezelése és folyamatos monitorozása. 

Digitális lábnyom: több, mint gondolnánk

Minden vállalat hagy maga után digitális nyomokat. Weboldalak, aloldalak, nyilvános IP-címek, e-mail szerverek, DNS-rekordok, mobilalkalmazások, sőt: a különböző beszállítók, partnerek révén megosztott felületek is idetartoznak. Ezek összességét nevezzük digitális lábnyomnak.

Ez a lábnyom gyakran a kelleténél nagyobb – és ami még rosszabb: sok esetben nem is teljesen ismert. Előfordul, hogy egy fejlesztési célból létrehozott aldomain marad nyitva évekig, vagy egy nyilvános cloudszolgáltatásban tárolt fájlhoz bárki hozzáférhet, aki ismeri az URL-t. Az ilyen ismeretlen vagy elfeledett elemek jelentik a valódi biztonsági réseket. A támadók első lépésben feltérképezik ezeket az információkat, és csak utána döntik el, melyik ponton érdemes támadást indítani. Aki nem ismeri a saját kitettségét, az esélyt sem ad magának a védekezésre.

Behatolási pontok

A támadási felület alatt azt értjük, hogy egy adott szervezet milyen csatornákon keresztül válhat elérhetővé egy támadó számára. Ez nemcsak technikai eszközök halmaza, hanem egyben kockázati térkép is.

Egy jól strukturált Cyber Threat Intelligence (CTI) rendszer képes azonosítani ezeket a csatornákat, priorizálni a kockázatokat, és időben figyelmeztetni azokra, amelyek valós veszélyt jelenthetnek. A fejlett megoldások automatikusan szkennelik a vállalat nyilvánosan elérhető digitális elemeit, észlelik a változásokat, és azonnal jeleznek, ha valami gyanús – felbukkan például egy új, nem regisztrált domain, ami a vállalat nevére hasonlít, vagy egy olyan szolgáltatás, amelyet eddig nem tartottak számon.

A digitális lábnyom és a támadási felület folyamatos változásban van. Új rendszerek kerülnek be, régiek maradnak hátra – gyakran anélkül, hogy a teljes IT-csapat tudna róluk. Ezért van szükség folyamatos, automatizált megfigyelésre.

Láthatatlanná válni: egy újfajta védekezési logika

A támadási felület csökkentésének egyik modern megközelítése az úgynevezett elsötétítés vagy dark network koncepció. Ennek lényege, hogy a vállalati hálózat elemei – például szerverek, szolgáltatások vagy portok – egyszerűen "láthatatlanná" válnak az internet többi része számára. Így egy rosszindulatú szereplő nem talál fogást a rendszeren, mert nem látja, hogy egyáltalán létezik.

Gondoljunk csak bele egy fizikai példán keresztül: egy ház biztonsága szempontjából a bejárati ajtók és ablakok jelentik a támadási felületet. Mindegyik nyílászáró egy potenciális belépési pont, hasonlóan ahhoz, ahogyan egy nyitott TCP-port várja a kapcsolatot az informatikai rendszeren.

Ha azonban elsötétítjük a rendszert, az olyan, mintha ezeket az ajtókat és ablakokat teljesen elrejtenénk a külvilág elől. Ahelyett, hogy látható bejáratok lennének, minden értékes eszközhöz egy biztonságos, föld alatti alagút vezet – amelybe csak akkor lehet belépni, ha az illető személyazonossága előzetesen hitelesített.

A hálózati kapcsolatfelvétel csak akkor jöhet létre, ha az adott felhasználót és az eszközt is egyértelműen azonosítottuk. Ez olyan, mint amikor egy kémlelőnyíláson keresztül nézünk ki, hogy ki kopogtat – és csak akkor nyitunk ajtót, ha valóban tudjuk, ki az. Minden egyes alkalommal. Ez a filozófia az alapja a Zero Trust hálózatbiztonságnak is, amely egyre elterjedtebb a magas biztonsági követelményeket támasztó szektorokban.

Üzleti következmények: nemcsak hiba, hanem költség is

Egy feltört rendszer nemcsak működésbeli fennakadást, hanem súlyos reputációs és pénzügyi károkat is okozhat. A NIS2 irányelv és a kapcsolódó hazai rendeletek újabb megfelelési kényszert hoznak, amelyben a vállalatoknak bizonyítaniuk kell: ismerik és kezelik a kiberbiztonsági kockázataikat.

A CTI-alapú támadási felület- és lábnyommenedzsment közvetlenül segíti a megfelelést, és dokumentálható módon csökkenti a kitettséget. Ez nemcsak a biztonsági vezetők számára hasznos, hanem a compliance, a jogi osztály és a felsővezetés számára is jól értelmezhető értéket jelent.

Nem szabad ugyanis elfelejteni, hogy a hatékony védekezés nem akkor kezdődik, amikor már ott a baj. Hanem azzal, hogy pontosan feltérképezzük, hol és miben vagyunk kiszolgáltatottak. A digitális lábnyom és a támadási felület elemzése ma már nem extra biztonsági szolgáltatás, hanem üzleti alapfeltétel. A kibertérben ugyanis nem a legerősebb marad talpon, hanem az, aki előbb látja a veszélyt.

Ez a cikk független szerkesztőségi tartalom, mely a One Solutions támogatásával készült. Részletek »