Zero Trust megközelítés Microsoft technológiai alapokon

Ez az írás egy több részes sorozat 5. része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész:  Zero Trust és ami mögötte van
2. rész: Zero Trust – a hálózatbiztonsági megközelítés [1]
3. rész: Zero Trust – a hálózatbiztonsági megközelítés [2]
4. rész: Zero Trust – a hálózatbiztonsági megközelítés [3]

Néhány évvel ezelőtt, ha azt mondják nekem, hogy Microsoft security megoldásokról fogok írni, csodálkozva néztem volna a beszélgetőpartneremre. Pedig igaz, a Microsoft EMS (Enterprise Mobility + Security) csomagja a 2014-es bevezetése óta évről-évre komolyabb fejlődésen megy át, míg mára egyike lett a komolyabb résztvevőknek. Bár a Forrester jelentésére („The Forrester Wave: Zero Trust eXtended Ecosystem Platform Providers, Q4 2019” ) nem került rá, mégis a cégek számára lényegében megkerülhetetlen a piaci pozíciójából adódóan. Lássuk hát, hogy mit jelent Redmond háza táján a Zero Trust!

“Zero Trust megközelítés Microsoft technológiai alapokon” olvasásának folytatása

IoT Security – understand the risk in an Enterprise

In the last few years there has been a surge of new (and old) solutions aimed at IoT Security. Most of the IT and ITSec departments should already be familiar with how most of the vendors align their tools to be the silver bullet for IoT Security – but as usually having the right tool is neither enough, nor should even be the first step on tackling this problem. As one of the related cybersecurity controls of the National Institute of Standards and Technology in the United States, the NISTIR Draft 8259 has been updated two weeks ago, I wanted to pay a visit to this subject from an information security aspect.

“IoT Security – understand the risk in an Enterprise” olvasásának folytatása

Zero Trust – a hálózatbiztonsági megközelítés [3]

Ez az írás egy több részes sorozat 4. része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész:  Zero Trust és ami mögötte van
2. rész: Zero Trust – a hálózatbiztonsági megközelítés [1]
3. rész: Zero Trust – a hálózatbiztonsági megközelítés [2]

A mai írásomban folytatom azon gyártók áttekintését, melyek a Zero Trust állapot elérését hálózatbiztonsági irányból közelítik meg. A hagyományosan ezen a területen dolgozó gyártók megoldásairól, valamint az Okta megoldásáról már korábban írtam, és mindegyik esetben láttuk azt, hogy nem egy termékről, hanem termékek ökoszisztémájáról van szó – a hangsúly az egyes funkciók mellett a saját termékek közötti együttműködésen van.

Az Illumio ebből a szempontból különbözik a többi gyártótól, ugyanis egy megoldása van: az Adaptive Security Platform (ASP) a nevének megfelelően alkalmazkodik a különböző helyzetekhez, környezetekhez, gyártókhoz. Az Illumio taktikája, hogy a hálózatunkban jelenlévő, de nem használt tűzfalakat, az egyes hosztokon (Windows/Linux/Unix) lévő beépített tűzfalakat kapcsolja be és használja a Zero Trust elérésére.

“Zero Trust – a hálózatbiztonsági megközelítés [3]” olvasásának folytatása

Zero Trust – a hálózatbiztonsági megközelítés [2]

Ez az írás egy több részes sorozat 3. része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész:  Zero Trust és ami mögötte van
2. rész: Zero Trust – a hálózatbiztonsági megközelítés [1]
4. rész: Zero Trust – a hálózatbiztonsági megközelítés [3]

A mai írásomban folytatom a Zero Trust hálózatbiztonsági megközelítését használó megoldások bemutatását. Korábban a gyártókat két csoportra bontottam: a régi hálózatbiztonsági szereplőkre és az új játékosokra.

Az új szereplők

A hálózatbiztonsági megközelítésben újabb szereplőnek számít a Unisys, Okta, Illumio és a Cyxtera. Az általam korábban is hivatkozott Forrester elemzés szerint mind a négy gyártó elkelő helyen szerepel a Zero Trust megoldások között – az Illumio és az Okta az egész elemzés legjobb pontszámait kapták (a korábban bemutatott Cisco és Palo Alto Networks megoldások mellett):

Vendor

SUM

Network security

Data securtiy

Workload security

People/workforce security

Device security

Visibility and analytics

Automation and orchestration

Manageability and usability

APIs

Unisys

3,705,003,003,003,003,005,005,005,003,00

Okta

3,565,001,003,005,003,003,005,005,003,00

Illumio

3,843,003,005,003,003,005,005,005,005,00

Cyxtera

3,145,001,005,003,003,003,003,003,003,00
Forrás: Forrester Wave: Zero Trust eXtended Exosystem Platform Providers Scorecard, Q4 2019

A mai írásom témája az Okta megoldása lesz.

“Zero Trust – a hálózatbiztonsági megközelítés [2]” olvasásának folytatása

Zero Trust – a hálózatbiztonsági megközelítés [1]

Ez az írás egy több részes sorozat 2. része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész:  Zero Trust és ami mögötte van
3. rész: Zero Trust – a hálózatbiztonsági megközelítés [2]
4. rész: Zero Trust – a hálózatbiztonsági megközelítés [3]

A mai írásomban a Zero Trust hálózatbiztonsági megközelítéséről írok. Ez az egyik legnépszerűbb megközelítés a gyártók között, ezért két csoportra bontom őket: a régi hálózatbiztonsági szereplőkre és az új játékosokra.

Vendor

SUM

Network security

Data securtiy

Workload security

People/workforce security

Device security

Visibility and analytics

Automation and orchestration

Manageability and usability

APIs

Cisco

3,785,001,003,005,005,005,003,005,003,00

Palo Alto

3,745,003,005,003,003,005,005,003,003,00

Forcepoint

3,545,005,003,003,003,005,003,003,001,00

Symantec

3,485,003,005,003,003,003,003,003,003,00

Check Point

2,625,003,003,001,001,005,003,003,001,00
Forrás: Forrester Wave: Zero Trust eXtended Exosystem Platform Providers Scorecard, Q4 2019
“Zero Trust – a hálózatbiztonsági megközelítés [1]” olvasásának folytatása

Zero Trust és ami mögötte van

Ez az írás egy több részes sorozat 1. része, a következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
2. rész: Zero Trust – a hálózatbiztonsági megközelítés [1]
3. rész: Zero Trust – a hálózatbiztonsági megközelítés [2]
4. rész: Zero Trust – a hálózatbiztonsági megközelítés [3]

Az elmúlt év legtöbbet hangoztatott kifejezése a „nulla bizalom” volt, az IT biztonság világában egyre többen hangoztatják és értelmezik ezt a fogalmat saját szájuk íze szerint. Ahhoz, hogy megértsük, miért ilyen fontos ez az irány, vegyük például a legtöbb vállalati rendszerünket, melyeket jelszó alapján érünk el. Jelenleg ha az ehhez tartozó jelszavunkat elveszítjük (vagy elmondjuk???), bárki tudja a rendszert a mi nevünkben használni. Üzleti rendszerek esetén ennek akár súlyos pénzügyi vagy üzletmenetbeli következményei is lehetnek.

A fenti probléma nem új, épp ezért az üzleti világban nagyon sok helyen megvalósították a több faktoros védelem valamilyen módját. Ez egy klasszikus, zárt vállalati hálózat esetében lehet a régi jól bevált határvédelem, egy nyílt felhő-alapú szolgáltatás esetében pedig egy második hitelesítési faktor – pl. token, SMS, mobiltoken. Ami azonban változott az utóbbi időszakban, hogy egyre gyorsabban derül ki egy-egy biztonsági megoldásról, hogy megkerülhető. Gondoljunk csak a több faktoros hitelesítésre, melyet pl. a banki szolgáltatásainknál használunk. Ezek sajnos egyre könnyebben megkerülhetők: például az alábbi videón bemutatott egyszerű módon az adathalászok könnyedén be tudnak lépni a két faktorral védett szolgáltatásba:

“Zero Trust és ami mögötte van” olvasásának folytatása

Ingyen iPhoneX egy Youtube-linkről? Hát persze!

Egy hete jelent meg a hír, hogy elindult egy scam-kampány, melyben a csalók ismert Youtube-erek nevében küldenek linkeket a felhasználóknak. A módszer rendkívül egyszerű, a csalók felállítottak olyan fiókokat és csatornákat, melyek neve és profilképe megegyezik valamelyik ismert Youtube-eréval. Ezt az teszi lehetővé, hogy a Youtube jelenleg nem ellenőrzi azt, hogy egy csatorna vagy annak tulajdonosa által választott név valóban az ő felhasználói fiókjához tartozik.

A küldött linkek általában egy csábító nyereményt ígértek, és egy URL-rövidítő szolgáltatás linkjét mutatták. A linkre kattintva több átirányításon keresztül eljuthattunk egy adatbekérő nyomtatványig, ahol a személyes adataink megadása után egy online kérdőívet kellett kitölteni. Akinek mindez nem szúrt szemet és boldogan megadta adatait a várt nyereményért cserébe, az a csalók számára jövedelmet adott, ugyanis a kérdőíveket létrehozó cégek a csalók számára fizetnek minden kitöltésért.

Bár a biztonságtudatos felhasználók időben megállhattak, a hírek szerint rengetegen mentek mégis végig az adataik megadásával a folyamaton. A RiskIQ kutatócsoportja egy blogbejegyzésben elmagyarázza az egész folyamatot, és segít abban, hogy hogyan lehet felismerni és elkerülni, hogy a csalók helyett dolgozzunk. Felállítottak egy adatbázist, ahol ehhez a scam-kampányhoz kötődően gyűjtik a gyanús adatokat (indikátorokat, vagy IOC-ket) – ezen sorok írásakor 384 domain nevet tartalmaz ez a lista.

Ez a jelenség újabb csapást mérhet a Youtube-erek amúgy is egyre nehezedő munkájára. Az elmúlt években egyre szigorodó Youtube reklámozási irányelveknek köszönhetően mára a legtöbb csatorna és alkotó jóval alacsonyabb bevételt tud elérni a reklámokból. A Youtube hivatalos Twitter fiókján megjelent üzenetben megköszönik Philip DeFranco videóját, mely a jelenségre figyelmet irányított, a közösség viszont rögtön kifejezte döbbenetét, hogy a reklámbevételek csökkenését okozó szűrő algoritmusok szigorúak és sok fals pozitív eredményt adnak, de közben nincs megoldása a cégnek a felhasználói fiók nevével való visszaélés ellen. Ebben azonban talán nincs is semmi meglepő – a Youtube többször is egyértelműen jelezte, hogy működési modelljét meg szeretné változtatni, és a független tartalomkészítők helyett a filmipar által generált reklámbevételre helyezni a hangsúlyt. Ennek legutóbbi lépése, hogy tavaly november óta egyes régiókban teljes filmeket tettek elérhetővé, természetesen a kötelező reklámszünetekkel. Ha ezt az irány tovább folytatják, valószínűleg nem lesz prioritás az itt leírt fióknevekkel való visszaélések visszaszorítása sem.

Egy államilag szponzorált kibertámadás – és ami mögötte van

Államilag szponzorált kibertámadások – tele van velük a média. Évek óta hangoztatott állítása az IT biztonsági szakértőknek és a védelmi megoldásokra specializálódott termékgyártóknak, hogy bár a meglévő biztonsági termékek (tűzfalak, IPS/IDS rendszerek, mail/webszűrő rendszerek, stb. ) a véletlenszerű támadások ellen megfelelő védelmet biztosítanak, a célzott támadások ellen általában kevésnek bizonyulnak. A legfejlettebb célzott támadásoknak a közös meghatározói általában, hogy hosszú távú működésre fejlesztették őket – bejutás, megfigyelés, adatszivárogtatás. Ennek megfelelően az angol persistent (tartós) szóval jellemezve ezek az Advanced Persistent Threat-ek vagy APT-k. Az APT-k fő szponzorai pedig azok az államok, vagy a megrendelésükre dolgozó bűnszövetkezetek, melyeknek elég pénzük és elég pontos célpontjuk van ahhoz, hogy egy ilyen támadás kifizetődő legyen. Ha visszaemlékezünk például a 2010-es NSA és Izrael által finanszírozott Stuxnet támadásra, vagy az azóta még nagyobb port kavart WannaCry és NotPetya támadásokra, beláthatjuk, hogy ez nem csak a szakértők által mesterségesen felfuttatott téma.

“Egy államilag szponzorált kibertámadás – és ami mögötte van” olvasásának folytatása

Hálózatbiztonság – Network Packet Broker

Ez az írás egy több részes sorozat része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész: Az átlátható hálózat előnye

Az előző részben arról írtam, hogy miért van szükség arra, hogy átlátható legyen a hálózatunk, és hogy mik a fő kihívások egy átfogó monitorozó szolgáltatás bevezetésében. A hálózati bypass switchek használata jelenti az első lépést, azonban a kihívások egy részét még nem fedtük le, azaz még nincsen megoldásunk arra, hogy: 

  • a biztonsági eszköz átviteli teljesítménye korlátozhatja a hálózati sebességet, vagy nagyon drágává teszi az eszközt a hálózati sebesség elvárása
  • többféle biztonsági eszköz beszerelése nehézkes, további késleltetést eredményezhet
  • drága és bonyolult rendszert hozunk létre, melyben egy hálózati újratervezés aránytalanul költséges és bonyolult feladat lesz
“Hálózatbiztonság – Network Packet Broker” olvasásának folytatása

Hálózatbiztonság – Az átlátható hálózat előnye

Ez az írás egy több részes sorozat része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
2. rész: Network Packet Broker

A legtöbb vállalat hálózatában rendkívül sok olyan dolog történik, amelyről nem igazán tud senki. Mi lehet az előnye annak, hogy a hálózatunk forgalmába mélyen beleláthatunk? Például elkerülhetjük a hálózatunkba kerülő kompromittált rendszerek adatszivárogtatását. Mi az oka annak, hogy egyes vállalatok rendkívüli pénzösszegeket költenek IT biztonságra, de a forgalom figyelése és elemzése még mindig sok esetben túlmutat a szervezet képességein? Ilyen és ehhez hasonló kérdésekre keresem a válaszokat a mai írásomban.

A támadások evolúciója

Amikor a rendszereink biztonságáról beszélünk, jellemzően elsőre mindenkinek vagy a végpontvédelem (anti-vírus, AV) vagy a határvédelem (tűzfal, FW) jut eszébe, pedig ugyanekkora szerepet játszanak a mai világban a behatolást érzékelő (IDS) és megakadályozó (IPS) megoldások, vagy az úgynevezett új generációs tűzfalak (NGFW) is. Ahogy a fenyegetések változtak, úgy változnak rájuk adott  válaszként a biztonsági rendszerek is. Míg a 2000-es évekig megjelent támadások esetén elég volt a végponton és az internetes kijáraton védeni magunkat, az elmúlt időszak megmutatta azt, hogy a hálózatunkon belül is szükség van erre.

“Hálózatbiztonság – Az átlátható hálózat előnye” olvasásának folytatása