Megkértük a hazai piac néhány meghatározó személyiségét, foglalja össze röviden, milyennek látja az elmúlt egy évet, és mit vár 2019-től. A sort Makay Kálmán kiberbiztonsági szakértő, a Symantec Magyarországi Képviseletének munkatársa, folytatja. (A korábban megjelent évértékelő írásokból itt szemezgethet.)

Bár a Symantec évben értékelése csak márciusban jelenik meg, már most is láthatók bizonyos tendenciák a kiberbiztonság terén. Magyarországon a tavalyi év az internethasználat szabályozásáról és a felhő körüli problémák lehetséges megoldásairól szólt.

2018-ban sok cég fektetett proxy megoldásokba, hogy nagyobb ellenőrzést és védelmet biztosítson a céges infrastruktúráknak. Itt kulcskérdéssé vált az eszközök megfelelő méretezése, mivel ma már a titkosított csatornákba is bele kell látnunk. Ezért a cégek már nem a „legolcsóbb, elégséges” megoldásokat keresték, hanem a „megfelelő teljesítmény” volt a fő jelmondat.

Összetett problémákra komplex válasz kell

A felhő egyre inkább érinti a cégeket: hordozható eszközök, idegen wifi hálózatok, tartalmak manipulációja, bitcoinbányászat és adathalászat. A biztonságtechnika minden esetben ok-okozatra, vagy akcióra és reakcióra épül. A bűnözői körök pénzt akarnak szerezni más kárára, és ezért mindent meg is tesznek. A "házon kívül" mozgó eszközeinket és a felhőben tárolt adatainkat ennek megfelelően kell védeni, és mindent meg kell tenni az átlátható és biztonságos üzemeltetésért. Ez a törekvés cégmérettől függetlenül megjelent a 2018-as projektek kapcsán is, de még sok cégnek kell erősítenie ezen a téren, ezért szerintem 2019-ben nőni fog a felhős rendszerekben tárolt adatok védelmére szánt beruházások mértéke.

A biztonsági beruházásoknál már nem csak az beszerzési ár számít, hanem a védelem minősége, valamint az a jól felépített roadmap is, melynek mentén fejlesztik a rendszerüket. A cégek megtanulták: nem elszigetelt dobozokban – például DLP (Data Loss Prevention) vagy email projektben – kell gondolkozni. Az egyes rendszereknek együtt kell működniük: adatot kell tudniuk cserélni, képesnek kell lenniük korrelációra. A projekteknek szinkronban kell lenniük, és már jó előre ki kell gondolni a dobozok közötti kapcsolódási pontokat is, hiszen enélkül nehezebbé válik a felderítés és a hatékony incidenskezelés is.

A loggyűjtés területén is erősödés várható. Fontos ugyanis, hogy a naplóeseményeket ne csak tároljuk valahol, hanem ki is tudjuk értékelni. Egyre gyakoribbak az olyan tenderek, melyekben meghatározzák, hogy a bevezetni kívánt eszköznek mely SIEM (Security Information and Event Management) rendszerrel kell tudnia együttműködni, hiszen – ahogy fentebb említettem – a "dobozok" közötti együttműködés ma már alapfeltétel. Egy cég biztonságára érdemes úgy tekinteni, mint egy élőlényre: az egyes komponensek a test egy-egy szerve, melyek együtt "lélegzése" a feltétele a biztonságos környezet kialakításának. 2019-ben már sokan fogják ennek az elvnek megfelelően tervezni a rendszerüket.

Makay Kálmán
kiberbiztonsági szakértő, Symantec Magyarországi Képviselete

Ami az új technológiákat illeti, a blockchain területen láthatunk olyan fejlesztéseket, melyek magukkal hozhatják a titkosítás, a titkosító algoritmusok és a precíz fejlesztések fejlődését is. Itt azonban a megfelelő védelemről is folyamatosan gondoskodni kell majd.

További változást jelent a szignatúraalapú védelemtől való elmozdulás a reputáció és a lemodellezhető algoritmusok irányába. Bár ezt sokan a mesterséges intelligenciával (AI – Artifical Intelligence) azonosítják, az IT-biztonsági világ régóta ismeri ezt, csak korábban "heurisztikus keresés"-nek hívtuk – ami ugyanúgy hibázhat, mint az ember. A modellezés ennél jóval több: tudjuk, mi történik, és hogyan történik. A kártevőket nem "detektáljuk", hanem "megállítjuk". A két fogalom között nagy a különbség. Végeredményként a reputáció és a megfelelő modellekkel feltanított AI kombinációja az, amely megfelelő védelmet ad a szervezetek számára.

Fontos változás az is, hogy a cégek már nem a logok hatalmas halmazát szeretnék vizsgálni, nem mutatós felületeket akarnak bámulni, hanem bízni akarnak abban a rendszerben, amely védi őket. Az ellenőrzési folyamatok végén pedig csak azzal akarnak foglalkozni, ami valóban támadásnak minősül.

Az idő ma már kulcstényező

Itt van még egy fontos tényező: az időhiány. A munkaerőpiacon kevés a szakember, emiatt sokkal fontosabb lesz a csendes és megbízható rendszerek bevezetése, mint a diagramokat, logsorokat és sandbox eredményeket utólag kiértékelhetővé tevő rendszerek.

Komoly változásokat várok a SOC (Security Operations Center) területén. A cégek most még saját rendszerekben tárolják a logjaikat, de a tárolás és kiértékelés egyre nagyobb nehézséget fog okozni a cégeknek. Fenntarthatatlan lesz egy 7×24 órában dolgozó csapat, ezért sokan el fognak mozdulni a kiszervezés irányába, ami kedvez a SOC szolgáltatást nyújtó cégeknek. Azonban, mint mindenütt, itt is fontos tényező lesz a minőség – egy SOC csapat ugyanis csak egyszer hibázhat egy komolyabb incidens kapcsán.