Zero Trust és ami mögötte van

Az elmúlt év legtöbbet hangoztatott kifejezése a „nulla bizalom” volt, az IT biztonság világában egyre többen hangoztatják és értelmezik ezt a fogalmat saját szájuk íze szerint. Ahhoz, hogy megértsük, miért ilyen fontos ez az irány, vegyük például a legtöbb vállalati rendszerünket, melyeket jelszó alapján érünk el. Jelenleg ha az ehhez tartozó jelszavunkat elveszítjük (vagy elmondjuk???), bárki tudja a rendszert a mi nevünkben használni. Üzleti rendszerek esetén ennek akár súlyos pénzügyi vagy üzletmenetbeli következményei is lehetnek.

A fenti probléma nem új, épp ezért az üzleti világban nagyon sok helyen megvalósították a több faktoros védelem valamilyen módját. Ez egy klasszikus, zárt vállalati hálózat esetében lehet a régi jól bevált határvédelem, egy nyílt felhő-alapú szolgáltatás esetében pedig egy második hitelesítési faktor – pl. token, SMS, mobiltoken. Ami azonban változott az utóbbi időszakban, hogy egyre gyorsabban derül ki egy-egy biztonsági megoldásról, hogy megkerülhető. Gondoljunk csak a több faktoros hitelesítésre, melyet pl. a banki szolgáltatásainknál használunk. Ezek sajnos egyre könnyebben megkerülhetők: például az alábbi videón bemutatott egyszerű módon az adathalászok könnyedén be tudnak lépni a két faktorral védett szolgáltatásba:

“Zero Trust és ami mögötte van” olvasásának folytatása

Ingyen iPhoneX egy Youtube-linkről? Hát persze!

Egy hete jelent meg a hír, hogy elindult egy scam-kampány, melyben a csalók ismert Youtube-erek nevében küldenek linkeket a felhasználóknak. A módszer rendkívül egyszerű, a csalók felállítottak olyan fiókokat és csatornákat, melyek neve és profilképe megegyezik valamelyik ismert Youtube-eréval. Ezt az teszi lehetővé, hogy a Youtube jelenleg nem ellenőrzi azt, hogy egy csatorna vagy annak tulajdonosa által választott név valóban az ő felhasználói fiókjához tartozik.

A küldött linkek általában egy csábító nyereményt ígértek, és egy URL-rövidítő szolgáltatás linkjét mutatták. A linkre kattintva több átirányításon keresztül eljuthattunk egy adatbekérő nyomtatványig, ahol a személyes adataink megadása után egy online kérdőívet kellett kitölteni. Akinek mindez nem szúrt szemet és boldogan megadta adatait a várt nyereményért cserébe, az a csalók számára jövedelmet adott, ugyanis a kérdőíveket létrehozó cégek a csalók számára fizetnek minden kitöltésért.

Bár a biztonságtudatos felhasználók időben megállhattak, a hírek szerint rengetegen mentek mégis végig az adataik megadásával a folyamaton. A RiskIQ kutatócsoportja egy blogbejegyzésben elmagyarázza az egész folyamatot, és segít abban, hogy hogyan lehet felismerni és elkerülni, hogy a csalók helyett dolgozzunk. Felállítottak egy adatbázist, ahol ehhez a scam-kampányhoz kötődően gyűjtik a gyanús adatokat (indikátorokat, vagy IOC-ket) – ezen sorok írásakor 384 domain nevet tartalmaz ez a lista.

Ez a jelenség újabb csapást mérhet a Youtube-erek amúgy is egyre nehezedő munkájára. Az elmúlt években egyre szigorodó Youtube reklámozási irányelveknek köszönhetően mára a legtöbb csatorna és alkotó jóval alacsonyabb bevételt tud elérni a reklámokból. A Youtube hivatalos Twitter fiókján megjelent üzenetben megköszönik Philip DeFranco videóját, mely a jelenségre figyelmet irányított, a közösség viszont rögtön kifejezte döbbenetét, hogy a reklámbevételek csökkenését okozó szűrő algoritmusok szigorúak és sok fals pozitív eredményt adnak, de közben nincs megoldása a cégnek a felhasználói fiók nevével való visszaélés ellen. Ebben azonban talán nincs is semmi meglepő – a Youtube többször is egyértelműen jelezte, hogy működési modelljét meg szeretné változtatni, és a független tartalomkészítők helyett a filmipar által generált reklámbevételre helyezni a hangsúlyt. Ennek legutóbbi lépése, hogy tavaly november óta egyes régiókban teljes filmeket tettek elérhetővé, természetesen a kötelező reklámszünetekkel. Ha ezt az irány tovább folytatják, valószínűleg nem lesz prioritás az itt leírt fióknevekkel való visszaélések visszaszorítása sem.

Egy államilag szponzorált kibertámadás – és ami mögötte van

Államilag szponzorált kibertámadások – tele van velük a média. Évek óta hangoztatott állítása az IT biztonsági szakértőknek és a védelmi megoldásokra specializálódott termékgyártóknak, hogy bár a meglévő biztonsági termékek (tűzfalak, IPS/IDS rendszerek, mail/webszűrő rendszerek, stb. ) a véletlenszerű támadások ellen megfelelő védelmet biztosítanak, a célzott támadások ellen általában kevésnek bizonyulnak. A legfejlettebb célzott támadásoknak a közös meghatározói általában, hogy hosszú távú működésre fejlesztették őket – bejutás, megfigyelés, adatszivárogtatás. Ennek megfelelően az angol persistent (tartós) szóval jellemezve ezek az Advanced Persistent Threat-ek vagy APT-k. Az APT-k fő szponzorai pedig azok az államok, vagy a megrendelésükre dolgozó bűnszövetkezetek, melyeknek elég pénzük és elég pontos célpontjuk van ahhoz, hogy egy ilyen támadás kifizetődő legyen. Ha visszaemlékezünk például a 2010-es NSA és Izrael által finanszírozott Stuxnet támadásra, vagy az azóta még nagyobb port kavart WannaCry és NotPetya támadásokra, beláthatjuk, hogy ez nem csak a szakértők által mesterségesen felfuttatott téma.

“Egy államilag szponzorált kibertámadás – és ami mögötte van” olvasásának folytatása

Hálózatbiztonság – Network Packet Broker

Ez az írás egy több részes sorozat része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész: Az átlátható hálózat előnye

Az előző részben arról írtam, hogy miért van szükség arra, hogy átlátható legyen a hálózatunk, és hogy mik a fő kihívások egy átfogó monitorozó szolgáltatás bevezetésében. A hálózati bypass switchek használata jelenti az első lépést, azonban a kihívások egy részét még nem fedtük le, azaz még nincsen megoldásunk arra, hogy: 

  • a biztonsági eszköz átviteli teljesítménye korlátozhatja a hálózati sebességet, vagy nagyon drágává teszi az eszközt a hálózati sebesség elvárása
  • többféle biztonsági eszköz beszerelése nehézkes, további késleltetést eredményezhet
  • drága és bonyolult rendszert hozunk létre, melyben egy hálózati újratervezés aránytalanul költséges és bonyolult feladat lesz
“Hálózatbiztonság – Network Packet Broker” olvasásának folytatása

Hálózatbiztonság – Az átlátható hálózat előnye

Ez az írás egy több részes sorozat része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
2. rész: Network Packet Broker

A legtöbb vállalat hálózatában rendkívül sok olyan dolog történik, amelyről nem igazán tud senki. Mi lehet az előnye annak, hogy a hálózatunk forgalmába mélyen beleláthatunk? Például elkerülhetjük a hálózatunkba kerülő kompromittált rendszerek adatszivárogtatását. Mi az oka annak, hogy egyes vállalatok rendkívüli pénzösszegeket költenek IT biztonságra, de a forgalom figyelése és elemzése még mindig sok esetben túlmutat a szervezet képességein? Ilyen és ehhez hasonló kérdésekre keresem a válaszokat a mai írásomban.

A támadások evolúciója

Amikor a rendszereink biztonságáról beszélünk, jellemzően elsőre mindenkinek vagy a végpontvédelem (anti-vírus, AV) vagy a határvédelem (tűzfal, FW) jut eszébe, pedig ugyanekkora szerepet játszanak a mai világban a behatolást érzékelő (IDS) és megakadályozó (IPS) megoldások, vagy az úgynevezett új generációs tűzfalak (NGFW) is. Ahogy a fenyegetések változtak, úgy változnak rájuk adott  válaszként a biztonsági rendszerek is. Míg a 2000-es évekig megjelent támadások esetén elég volt a végponton és az internetes kijáraton védeni magunkat, az elmúlt időszak megmutatta azt, hogy a hálózatunkon belül is szükség van erre.

“Hálózatbiztonság – Az átlátható hálózat előnye” olvasásának folytatása

Felhőbiztonság – Bróker, de nem a tőzsdén, mi az?

A felhőbiztonság sokakat foglalkoztat már évek óta, az IT üzemeltetés számára egy fontos eszköz kezdve az első felhőszolgáltatások megjelenésétől a mai mobil és felhőalapú munkavégzés támogatásáig. Ez az írás egy több részes sorozat része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész – Miért van rá szükség?
2. rész – Az azonosítás dilemmája

A felhőbiztonsággal foglalkozó sorozatom előző két részében a technológia körüli információkból azokat próbáltam összegyűjteni, melyek a témában jártasabbak számára nem nyújtottak újdonságot – ez a mai résszel már változik. Az írás témája a Cloud Access Security Broker, azaz CASB megoldások bemutatása és szükségességük tárgyalása lesz.

“Felhőbiztonság – Bróker, de nem a tőzsdén, mi az?” olvasásának folytatása

Felhőbiztonság – Az azonosítás dilemmája

A felhőbiztonság sokakat foglalkoztat már évek óta, az IT üzemeltetés számára egy fontos eszköz kezdve az első felhőszolgáltatások megjelenésétől a mai mobil és felhőalapú munkavégzés támogatásáig. Ez az írás egy több részes sorozat része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész – Miért van rá szükség?
3. rész – Bróker, de nem a tőzsdén, mi az? 

Az előző részben feldobott betűszavak egyikével kezdem a mai írásomat: IdP, Identity Provider, azaz azonosság szolgáltató. Kinek szolgáltatunk azonosságot, miért és hogyan? Bár a felhős szolgáltatások nagy része képes azonosítani a felhasználót, általában korlátos eszközökkel és a vállalati felhasználók számára nagy limitációkkal. Gondoljunk csak a privát felhős azonosságainkra: mindenhol más-más a felhasználónév és jelszó, ha betartjuk az adathalászat ellenes ajánlásokat. Céges környezetben ez még fontosabb, így annak a lehetősége, hogy egyetlen azonosságot használjunk a felhő szolgáltatásainkban, rendkívül kecsegtető. Ha ez az azonosság ráadásul megegyezik az egyébként vállalati használatra úgyis szükséges címtárban (többnyire Active Directory) használttal, az még jobb volna. Az IdP egy olyan szolgáltatás, amely tipikusan a meglévő vállalati infrastruktúrán helyezkedik el, bekötve a címtár irányába és integrálva a felhő szolgáltatással. A felhasználók eredetileg a címtárban léteznek, ott vannak kezelve, nincs szükség az IdP-n egy másik felhasználói adatbázist kezelni. Az IdP beazonosítja a felhasználót (ennek módjairól később) és jelzi a szolgáltatásnak, hogy engedélyezett a kapcsolat. A szolgáltatás maga nem végez azonosítást.

“Felhőbiztonság – Az azonosítás dilemmája” olvasásának folytatása