7 fontos tudnivaló a végpont oldali IT biztonsági védekezésről

Az IT nagyobb valószínűséggel nem a támadási kísérlet során, hanem a hálózaton és a szervereken észlelt káros tevékenység alapján veszi észre, hogy áldozatul estek egy kibertámadásnak.

A kiberbűnözők már a spájzban vannak... A 7 Uncomfortable Truths of Endpoint Security címet viselő tanulmány elkészítése során több mint 3100 informatikai vezetőt kérdeztek meg 12 különböző országban, különféle iparágban és eltérő méretű cégeknél.

A felmérés szerint az IT a legjelentősebb számítógépes bűncselekmények 37% -át a cég szerverein és saját hálózatán fedezte fel. Csupán az esetek 17%-ában detektálták a támadási kísérletet már a munkaállomásokon és 10%-ban a mobil eszközökön.

A kutatás azt a bölcsességet is alátámasztotta, miszerint nem az a kérdés, hogy meg fognak-e támadni, hanem csak az, hogy mikor. A felmérésbe bevont cégek 68%-nál ugyanis már történt IT biztonsági incidens.

Az is kiderült, hogy nem csupán a megelőzésre érdemes koncentrálni, hanem arra is célszerű felkészülni, mit teszünk akkor, ha éppen egy folyamatban lévő támadást fedezünk fel. Vagyis már nem csak a rendszer külső határait kell figyelni, hanem számolni kell vele, mennyi időbe kerülhet felfedezni és elhárítani egy sikeres behatolást, ami már áttörte a fő védelmi vonalunkat.

Muszáj gyorsnak lenni

A felmérésben résztvevő cégek átlagosan 13 óra alatt észlelték a már bejutott támadókat. Ausztrália, Brazília és Kanada az élbolyba tartozik 10 órás teljesítménnyel, míg például Japán 17 órával van a sor végén. Csupán nézőpont kérdése, hogy ez sok vagy kevés. Ha belegondolunk, hogy egy vadidegen bűnöző 10-17 órán át észrevétlenül, kényére kedvére garázdálkodhat a vállalat rendszerében, akkor ez egy örökkévalóságnak tűnik. Ha viszont olyan elismert iparági benchmarkot veszünk figyelembe, mint a Verizon Data Breach vizsgálati jelentés (DBIR), amelyben ezt a reakcióidőt hetekben vagy hónapokban mérik, akkor a 13 óra szinte hihetetlenül gyors. A felmérés készítői kitérnek rá az anyagban, miért lehet ekkora eltérés két különböző mérés között. Például az is szerepet játszik benne, hogy a megkérdezett cégeknek van-e dedikált biztonsági csapata vagy nincs.

Nyomrögzítés nélkül nem sokra megyünk

Az elmúlt évben áldozatul esett cégek 20 százalékánál az IT vezető nem tudta megmondani, hogyan jutott be a behatoló, 17%-nál pedig nem derült ki, hogy a mennyi ideje lehet bent a rendszerben. Tehát sem az nem derült ki, hogy milyen biztonsági rést kellene befoltozni, sem az, hogy mekkora és milyen jellegű kár keletkezhetett eddig.

Mindezek detektálására szolgál az Endpoint Detection and Response (EDR) technológia, ami meg tudja mutatni a fenyegetések eredetét, továbbá rögzíti a támadó digitális lábnyomait. A válaszadók 57%-a arról számolt be, hogy a támadás idején nem rendelkezett EDR-megoldással, de azt tervezte, hogy a következő 12 hónapon belül alkalmazni fogja a technológiát.

Elpazarolt idő

A válaszadó cégek évente átlagosan 48 napot (vagyis havi 4 napot) töltenek potenciális behatolások utáni nyomozással. Ebből 41 napot olyan esetekre fordítanak, amelyekről végül kiderül, hogy nem jelentettek komoly veszélyt. Ez pedig rengeteg elpazarolt idő.

Ezek után nem meglepő, hogy az IT vezetők három fő okot neveztek meg, hogy miért lenne szükségük EDR-re: a gyanús események vizsgálata (27%), a riasztáskezelés (18%) és a gyanús események rangsorolása (13%) miatt.

Az első védelmi vonal: a munkaállomások

Vaspöri Ferenc, az Invitech IT biztonság szakértője és presales csoportvezetője szerint nem véletlen, hogy az idézett tanulmány a végpontok, azaz a munkaállomások védelmének fontosságát hangsúlyozza. Ugyanis ezek jelentik a vállalati informatikai rendszer első és egyúttal legfontosabb védelmi vonalát, mivel itt történik a behatolások nagy százaléka. Ha a támadóknak ezen a fronton sikerül áttörniük és bejutniuk a hálózatba, akkor adatokat lophatnak vagy más károkat okozhatnak.

Az Invitech több módon is segít ügyfeleinek megvédeni ezt a fontos frontvonalat. Például oktatással, mert számos esetben a felhasználók ismereteinek hiánya is bajt okozhat. Például a munkaállomásokon sokan használnak vírusvédelmet, ami helyes, de nem tudják, hogy manapság önmagában ez már nem elég. Elég félrevezető linkekre, csatolmányokra kattintani, és máris ajtót nyitottunk a behatolóknak. A képzés segít megtanulni, hogy felhasználóként milyen esetekben érdemes gyanakodni, és milyen tevékenységeket célszerű elkerülni.

Az Invitech egy új generációs végpontvédelmi megoldást is nyújt: a mesterséges intelligencián alapuló szolgáltatás figyeli a hálózat végpontjait, észleli és jelzi a gyanús tevékenységeket.

Végül pedig az Invitech biztonsági felügyeleti szolgáltatást is kínál, ami azt jelenti, hogy egy vállalat akár a teljes rendszerfelügyeletet is kiszervezheti a szolgáltatóhoz, az Invitech pedig riasztást tud küldeni, ha egy munkaállomáson támadáshoz kapcsolódó folyamat indult el.