Egyre másra látnak napvilágot az IT Security incidensek és mi magunk is tapasztaltunk egy-két esetet, akár saját bőrünkön, vagy közvetlen környezetünkben.

Közelmúlt eseményeihez tartozik, amelyben magyarországi kis és nagyvállalatokat és magánembereket egyaránt utolért a CTB-Locker Ransomware áradat, mely újfajta, minden eddiginél erősebb és biztosabb módon (Elliptikus Görbe alapú titkosítással) érte el, hogy az áldozat biztosan elveszítse a túszul ejtett adatait, ha nem fizet. Persze váltságdíj fejében, ami akár több száz dollárig is terjedhet, visszakapjuk a vírus által titkosított fájljainkat.

Ezen túl napvilágot látott egy nagyon régóta létező bug, ami egyébként nem is bug, hanem feature! A „FREAK”-nek nevezett hiba az internetes biztonság alapját, az SSL-t teszi sebezhetővé. (Köszönhetjük ezt a különböző „nemzetbiztonsági” szerveknek (NSA), akik nyomás hatására készíttették el ezt a kiskaput, ami aztán nyitva maradt…)

A hiba kihasználásának alapja a régi idők módszereit alkalmazza: használj olyan titkosítást, amit fel tudunk törni, ha akarunk. Az idő múlásával az ilyen gyenge titkosítások (mint az 512 bit hosszúságú RSA kulcsok használata) már elévültek, standard módszer szerint nem használják már, de: még használhatják! Erre lehet rákényszeríteni a kommunikáló feleket (MITM módszerrel), ami következményeképp pár órán belül feltörhető és módosítható a titkosított kommunikáció.

Hogyan védekezhetünk a veszélyek ellen?

Utóbbi esetben több oldalról is megelőzhető a támadás: szerver oldalról megfelelő TLS könyvtárak használatával, kliens oldalról pedig friss verziójú böngészők használatával védhetjük ki a támadást. De mindezek csak manuális közbenjárást (frissítést) követően lehetünk védettek, ami bizonyos környezetekben napokat, néha heteket, hónapokat is igénybe vesz. Amíg e lépéseket nem tesszük meg, védtelenek vagyunk…

Az első esetben pedig mind a hatékony végpontvédelem, mind hálózati megoldás segítségünkre lehet. Ezek mellett ki kell emelnünk a „józan ész” használatának fontosságát. De vegyük sorra ezeket: miket és miként érdemes használni a biztonsági megoldásokat?

A hatékony és egységes hálózati megoldás: NGFW

Az új generációs tűzfal technológiák használatával egy eszközben összpontosíthatjuk a feltétlenül szükséges védelmi modulok nagy részét. Így egy helyről, egy felületről, egy megoldásban kezelhetjük hálózati védelmi eszközünket és szolgáltatásait. Egy NGFW tűzfalnak tartalmaznia kell az alábbi funkciókat:

• Alkalmazás-kezelés és vezérlés
• Felhasználó azonosítás és kontroll
• IPS
• További funkciók: Tartalom és Webszűrés, Gateway Anti-Virus és Anti-Bot

A mostani cikkben nem kívánom kifejteni az egyes funkciók szerepét, azonban meg kell jegyezni, hogy a vezető gyártók többsége alkalmazza ezen funkciókat egy megoldásban, ám teljesítményben és hatékonyságban jelentős differenciákkal találkozhatunk.

És még? Spamszűrés!

Igen, még mindig! Tapasztalataink alapján a közelmúltban lezajlott Ransomware-ek terjedése nagyrészt spameken keresztül érkezett a felhasználókhoz. A spammelés akkut kérdése nem mutat javulást, pont ellenkezőleg: napról napra mind nagyobb mértékben növekszik. A hatékony spamszűrők ezen kéretlen levelek nagy százalékát (90-99% közötti hatékonysággal) ugyan kiszűrik, de még így is eljut néhány kéretlen levél a későbbi áldozathoz. Akkor miért is a Spamszűrés? A válasz az előző sorban található: nem mindegy, hogy 100 kéretlen levélből (amik nem csak idegesítőek és érdektelenek, de veszélyesek is lehetnek) 90-99 db lesz kiszűrve, vagy egy sem.

Zero-Day védelem

Az új generációs védelmi módszerekkel már Gateway oldalon is tudunk viselkedés vizsgálatot végezni, és meggátolni a gyanús vagy kártékony kódokat tartalmazó tartalmak bejutását a védett hálózatba. A sandbox technikát alkalmazó megoldások virtuális környezetben emulálva futtatják a hálózatba érkező fájlokat és monitorozzák a működést. Ha bármi gyanúsat érzékelnek, ami abnormális viselkedésre utal, jelentik és/vagy korlátozzák az adott forgalmat. Ennek megvalósítása azonban elég erőforrás igényes és ezért költséges feladat.

Hatékony végpontvédelmi megoldás?

Létezhet, de meglehetősen ritka. Visszajelzések alapján még a vezető gyártók termékeit használók is belebuknak néha az új veszélyekbe. A malware készítők minden egyes áradatnál megvariálják a támadó fájlokat, így a statikus szignatúra alapon működő végpont védelmi megoldások nem hatékonyak, nem szűrik ki a fájlokat. Mégis ezen a szinten tehetünk a legtöbbet, igaz csak, mint utolsó védekezési réteg. A különböző heurisztikus vizsgálatokkal és viselkedéselemzéssel azonban meggátolhatjuk a kártékony kódok lefutását. Ezek megvalósítására Gateway oldalon nem volt lehetőség. Egészen napjainkig!

Konklúzió 

A támadók mind agyafúrtabb és változatosabb módszerekkel próbálják elérni céljukat, amit az esetek többségében a felhasználók hiszékenységére, megtévesztésére alapoznak. A weboldalakon és közösségi portálokon is futótűzként terjedő, általában szexuális tartalmú, morbid vagy egyéb figyelemfelkeltő, hangzatos címmel rendelkező, vagy pixeles, nem tisztán látható képek és videók kattintásával észrevétlenül kerülhet a gépre a fertőző tartalom. Ezek kivédésére a leghatékonyabb mód a felhasználók oktatása!

A felhasználónak tudatosan kell cselekednie!

Alapvető, általános irányelvek: Ne kattintsunk rá olyan levél csatolmányára, ami ismeretlen feladótól jött, ismeretlen az eredete, kiterjesztése, vagy akár csak a neve. Számos esetben találkoztunk olyannal, hogy a felhasználó egy spam levél csatolmányaként érkezett értelmetlen nevű fájlt nyitott meg. Nem ismerte se a feladót, se a kiterjesztését, de a megnyitott fájlt, ami rögtön zárolta is a számítógépét, ami aztán jelentős kellemetlenségeket okozott.

A leíráshoz egy általános érvényű megjegyzés: a józan ész használatát nem fogja helyettesíteni semmilyen védelmi megoldás!

VJ