Kicsiket is fenyegetnek

A nagy, hangos, látványos támadások ideje lejárt, sokkal csendesebb, kifinomultabb technikák jelentek meg, amelyek elsősorban a végfelhasználókat támadják, állítja Gombás László, a Symantec Képviselet vezető rendszermérnöke, aki szerint emiatt mára a hangsúly a végpont biztonságának irányába tolódott el.

Költségtervezés

Egy kis- és középvállalat néhány százezer forinttól több millió forintig költhet a biztonságra, amihez hozzáadódik általában a beruházás 15-20 százalékára rúgó telepítési és éves üzemeltetési költség - világít rá a hálózati biztonság pénzügyi oldalára Gombás László, a Symantec Képviselet vezető rendszermérnöke. Hirsch Gábor, a Cisco üzletfejlesztési menedzsere az interaktivitást ajánlja: a kkv-k számára kialakított akció keretében a cég honlapján néhány egyszerű kérdésre válaszolva minden érdeklődő személyre szabott ajánlatot kaphat biztonságos és fejlett kommunikációs lehetőségeket tartalmazó alap-infrastruktúrára. Dávid András, a Relnet ügyvezetőjének becslései szerint a teljes informatikai költségvetés 5-10 százalékát teheti ki általános esetben a biztonságra költött összeg, és új beruházásoknál is nagyjából ezzel az aránnyal érdemes számolni.

Lopás és szivárgás ellen

Felmérések alapján a legnagyobb probléma az adatlopás és -szivárgás. A hagyományos tűzfalak tudását célszerű megerősíteni, a legfontosabb azonban a vírusvédelem megerősítése mellett a spyware/adware elleni védelem kiépítése. Gombás László a teljes hálózatfelügyeletet ajánlja, amelynek esetében az egyes komponensek - szerverek, munkaállomások - önállóan reagálnak a támadásokra, és a rendszer automatikusan képes helyreállítania a sérült, hibás elemeket, vagy a fertőzött klienseket leválasztani az aktív hálózatról, így megelőzve, hogy további gépek fertőződhessenek meg.

A kis- és középvállalatoknak a nagyvállalati biztonsági szintnek megfelelő, de egyszerűbben telepíthető és üzemeltethető megoldások a megfelelőek, mondja Hirsch Gábor, a Cisco üzletfejlesztési menedzsere. A "svájci bicska" típusú megoldások - ilyen például a cég ASA családja - egyszerre több biztonsági funkciót integrálnak egy eszközbe, ami tűzfal, vonali titkosító, behatolásmegelőző és tartalombiztonsági funkciókkal is rendelkezik.

A kis- és középvállalatok piacán Dávid András, a többek között az amerikai Juniper Networks tűzfalaival foglalkozó Relnet ügyvezetője is érzékeli a magyar felhasználók hozzáállásának fejlődését, hiszen egyre inkább csak integrált megoldásokat lehet értékesíteni a piacon. A hagyományos, személyi számítógépre telepített szoftvermegoldások kiveszőben vannak, és például az egy-egy internetszolgáltató vagy specialista által menedzselt biztonsági megoldások lassú, de biztos térnyerése tapasztalható.

A magyar ugar

Szemben a nagyvállalatokkal, amelyek profi, többszintű védelmet alkalmaznak, és nem utolsósorban jelentős összegeket fordítanak erre, a kisvállalati körre a biztonsági tudatosság kevésbé jellemző. Többnyire a lehető legolcsóbb megoldást választják, legalábbis Gombás László tapasztalatai szerint. Számukra az egyszerűen használható Plug-and-Protect - csatlakoztatás utáni védelem - jellegű készülékeket ajánlják, amelyek szinte az alapparaméterek megadásán kívül más beállítást nem is igényelnek.

- Magyarországon a külföldi tendenciák figyelhetők meg egy kis késéssel - mondja Hirsch Gábor, aki szerint jelenleg a menedzselt szolgáltatások piaci elterjedtsége nem túl nagy, de ez lassan felzárkózik a nyugat-európai szintre. - A folyamatot, miszerint a kkv-k is a nagyvállalatihoz hasonlóan korszerű és biztonságos infrastruktúrával rendelkezzenek, kedvező finanszírozási lehetőségekkel segítjük - teszi hozzá a Cisco munkatársa.

A magyar piacra jellemző, hogy kevés a valóban profi szállító, nagyon sok az olyan vállalkozás, amelyet csak a más szegmensekben folyó éles verseny késztet a biztonsági piacra való belépésre, állítja Dávid András. A helyzetet nehezíti, hogy az IT-cégek túlnyomó többsége vegetál, így Dávid szerint a szállítói oldalon további csődök várhatók az elkövetkező években.

- Ugyanakkor a világpiacon jelen lévő gyártók többsége a magyar piacon is itt van, bár a annak a mérete ezt egyáltalán nem indokolná - mutat rá a Relnet ügyvezetője.

Tűzfalkalauz

Alkalmazásszintű tűzfalak: az alkalmazásszintű szűrés (angolul application layer filtering) olyan tűzfal-architektúra, amely nem a puszta adatcsomagfejléceket, hanem azok tartalmát is elemzi, valamint ismeri az alkalmazói programok adataival kapcsolatos szabályokat, és így nem csomagszinten szűri ki a nem kívánatos forgalmakat, hanem képes a hibás vagy rosszindulatú bemenetek felismerésére vagy az alkalmazás használatának rugalmas felügyeletére.
Állapotfüggő csomagszűrés: az állapotfüggő csomagfelügyelet (angolul stateful packet inspection, rövidítve SPI) olyan tűzfal, amely - a statikus csomagfelügyelettel ellentétben - értelmezi a csomagok egymásutániságát, "követi" az összetartozó csomagok által alkotott logikai adatfolyamok állapotát, és így azokat egy magasabb absztrakciós szinten képes ellenőrizni (például észleli az adatfolyamokba logikailag nem illeszkedő adatcsomagokat).
Csomagszintű tűzfalak: csak az adatcsomagok fejlécét vizsgálja, a tartalmukat nem.
Dinamikus csomagszűrés: ha egy számítógép kommunikálni akar a tűzfal által védett hálózattal, akkor a tűzfal tárolja a távoli gép IP-címét és a port számát, amelyen keresztül várja a választ, és megnyit egy véletlenszerűen kiválasztott portot, amelyen keresztül csak a tárolt IP-címről fogad csomagokat.
Statikus csomagszűrés: a szűrési szabályokat egyszerűen a forrás és célállomás adatai alapján határozza meg (cím, protokoll, portszám, egyéb csomagfejléc-jellemzők).
Személyes tűzfalak: az otthoni felhasználásra készült állapotfüggő csomagfelügyeletet használó tűzfalak engedélyeznek minden kimenő kapcsolatot, így biztonságosak (minden kívülről érkező támadást megállítanak), és kényelmesek (nem kell portokat nyitni minden alkalmazásnak). Az így beállított tűzfal lehetetlenné teszi a portszkennelést.

#page#

Beszerzési csapdák

Az internetre felcsatlakozott szervezeteket nem elsősorban méretüknél fogva célszerű tipizálni, hanem meg kell vizsgálni azokat a kockázatokat, amelyek tevékenységi körükből, üzleti folyamataikból és az infrastruktúrájukból adódóan különböző szinteken fenyegetik őket, segít a beszerzésen gondolkodóknak Hirsch Gábor. Ez szervezetenként eltérő és egyedi, így a védelmi rendszerek is eltérőek. Mindazonáltal vannak olyan tipikus elemek, amelyeket mérettől függetlenül ajánlott és célszerű is alkalmazni: ilyen a tűzfal, a hálózati és munkaállomás-oldali behatolást megelőző eszköz, a vírusvédelem és egyéb tartalombiztonsági megoldás, például a spamszűrő. Ezeken felül - biztonsági szinttől függően - további megoldások bevezetése javasolt, úgymint biztonsági eseménykezelés vagy fejlett felhasználóazonosító megoldások.

Ha a cégnél nincs saját profi szakember, Dávid András szerint inkább menedzselt megoldást érdemes választani. Ez sokszor még adózási szempontból is kedvezőbb lehet, hiszen nincs amortizáció és bérteher. Előnyős, ha többrétegű - mélységi - védelmet alkalmazunk, akár úgy is, hogy inkább több akár olcsóbb védelmi eszközt vásárolunk, mint egy darab "high-tech"-nek mondott, de drága eszközt, árnyalja a képet a Relnet vezetője, aki szerint feltétlenül szükséges egy biztonsági és általános IT-szabályzat minden vállalkozásnál - akár ha magunk készítjük is szakkönyvek segítségével -, és lehetőség szerint egy évenkénti auditra is kerüljön sor.

Gyanútlan felhasználók

Olcsó, lopott adatok

Az on-line veszélyek jelenlegi környezetére az adatlopás és -szivárgás, valamint az anyagi előny szerzésére és titkos információk ellopására szolgáló célzott rosszindulatú kódok létrehozása a jellemző, állítja a Symantec internetes veszélyekről szóló jelentése, amely szerint a számítógépes bűnözők tovább finomítják támadásai módszereiket, hogy észrevétlenek maradhassanak, s az egész világot behálózó együttműködő hálózatokat hozhassanak létre tevékenységük fenntartására és bővítésére. A Symantec 2006 második felében a világon több mint 6 millió fertőzött számítógépről számolt be, ez 29 százalékkal több, mint az előző időszakban. A bűnözők és a bűnszervezetek a bűngazdaság szervereit használják a lopott információ, így a közigazgatás által kiadott azonosítószámok, a hitel- és bankkártyaszámok, valamint személyazonosító számok (PIN), a felhasználói fiókok adatai és az e-mail címlisták értékesítésére. A lopott információk hamar kínálati piacot hoztak létre, szinte nevetséges összegért lehetséges azonosítókhoz jutni.

- A Windows-sérülékenységekre azonnal reagálni kell servicepack, javítófoltok, úgynevezett patchek segítségével, a vírusok jelentős része ugyanis keresi a Windows-lyukakat. Polimorf, moduláris vírusok jelentek meg, amelyek az internetről képesek "frissíteni" magukat, újabb kódot letölteni, és beépíteni magukba - figyelmeztet a Symantec szakembere, de azt is jelzi, hogy fokozottan figyelni kell az ilyen e-mailekre is, hiszen az adathalászat itthon is egyre gyakoribb. - A felméréseink szerint megnövekedett a szimbiózisban élő vírusok száma: trójai programot telepítenek, ami vírust vagy spyware-t tölt a gépre. Nagy károkat okoznak a botnetek és az ezekkel végrehajtott cselekmények, mint például az elárasztásos - DDoS - támadások.

Hirsch Gábor szerint ezenkívül gyakran előforduló fenyegetést jelentenek a károkozó kódok és az adathalászat (phising) is.

- Fontos azonban hangsúlyozni, hogy ezekkel szemben van védelem, ami részben technológiai elemek alkalmazása, részben pedig a még tudatosabb felhasználói magatartás - mondja a Cisco üzletfejlesztési menedzsere. Ehhez kapcsolódik Dávid András vélekedése is, aki szerint maguk a felhasználók is veszélyeztethetik a rendszert, hiszen ha oktatásuk hiányos, akkor semmilyen biztonsági eszköz nem védi meg önmaguktól őket. Ezért kell a védelmi rendszer kialakításánál mindig figyelni arra, hogy a támadások túlnyomó többsége belülről jön. Természetesen helytelen érvelés az - teszi hozzá a szakember -, hogy "miért pont engem támadnának meg idegen hekkerek", mert a kívülről jövő támadások 99 százaléka automatizált, így gyakorlatilag mindenkinek azonos esélye van arra, hogy megtámadják.