Zsarolóvírustól a kamu csomagküldésig: hogyan vegyük fel a harcot a hackerekkel?

Mire vigyázzunk home office-ban, hogyan legyünk egészségesen gyanakvóak, és mit tehetnek a cégek, hogy hatékonyan kiszűrjék az egyre kifinomultabb támadásokat? Ezekről is kérdezte a 24.hu Vaspöri Ferencet, az Invitech IT-biztonsági szaktanácsadóját.

– Ha tegyük fel, tesztelésképpen körbeküldenénk most egy adathalász e-mailt egy állítólagos koronavírus-kutatásról, Ön szerint hányan nyitnák meg a levelet, és kattintanának egy kockázatos linkre, vagy töltenék le a csatolmányt?

– A járvány egyik következménye, hogy a kibertámadások egyre célzottabbak és szofisztikáltabbak lettek. Az internetes bűnözők egyre gyakrabban cégre szabottan küldenek megtévesztő e-maileket. Van rá példa, hogy előzetesen kinyomozzák a vállalat különböző kontaktjait, vagy feltérképezik az üzleti működését, de akár a LinkedInen is megnézik, ki a döntéshozó vagy a pénzügyes. Ezek a csaló e-mailek pedig sokkal megtévesztőbbek lehetnek, és nagyobb a „találati arányuk" is.

Tehát a kérdésére válaszolva, ahol emberek dolgoznak, ott a hibákat nem lehet tökéletesen kizárni. Egy cég működése során számos olyan terület van, ahol óhatatlanul ki vagyunk téve az emberi hibából fakadó adatvesztésnek. Felmérések szerint a hatalmas váltságdíjat követelő, teljes vállalati rendszereket blokkoló zsarolóvírusok 30%-a a felhasználók közbenjárásával jut be a céges hálózatba. Kizárólag technológiai megoldásokkal tehát nehéz megfogni ezeket a célzott támadásokat. Mi az Invitech-nél azt valljuk, hogy a megfelelő IT-biztonsági szolgáltatások mellett elengedhetetlen a felhasználói tudatosság növelése és a munkavállalók képzése is.

– A zsarolóvírusok mellett a „régimódinak" tűnő túlterheléses, azaz DDoS-támadásokat sem lehet leírni, sőt már évekkel ezelőtt látható volt, hogy újabb reneszánszukat élik. Ezen a fronton, mit hozott a covid-helyzet?

– Azt szoktam mondani, hogy a DDOS-támadások elleni védekezés olyan, mint egy biztosítás, ritkán kell használni, de amikor szükség van rá, akkor nagyon. Sőt, azt is látjuk, hogy a hackerek újabban a szolgáltatásmegtagadással járó támadásokat is elkezdték pénzszerzési lehetőségként használni.

Régen sokan úgy gondoltak ezekre az incidensekre, hogy azok a hálózat túlterhelésével „csak" a weboldalakat és az ott lévő szolgáltatásokat teszik elérhetetlenné. Viszont az elmúlt egy évben egyre többször tapasztalható, hogy már nemcsak a publikus weblappal rendelkezőket érinti, ráadásul a bűnözők egyre gyakrabban pénzt is követelnek. Előzetesen megfenyegetik a vállalkozásokat, hogy fizessék ki kriptovalutában a megadott összeget, különben a hálózatukat túl fogják terhelni.

A DDoS látványos felfutását mutatja, hogy 2020-ban volt olyan hónap, amikor az ilyen típusú incidensek forgalma megtízszereződött az előző évhez képest! Ami szintén probléma, hogy a támadások volumene is megtöbbszöröződött. Hazánkban sávszélesség alapján a legnagyobb tavalyi DDoS-támadás, amelyet internetszolgáltatóként 2020-ban tapasztaltunk, az 170 Gigabit/másodperc volt. Idén viszont már 200 Gigabit/másodperces túlterheléses támadás is történt.

Összehasonlításképpen ez nagyjából 1000-szerese egy átlagos céges internet-előfizetés sávszélességének. Magyarország is egyre jobban fókuszba kerül, és eljuthatunk oda, hogy a közeljövőben gyakrabban kell hazánkban is több száz Gigabit/sec-es támadásokkal számolni.

– Mennyire nőtt meg a cégek sebezhetősége azzal, hogy rengetegen dolgoznak otthonról, és a munkaállomások távoli elérése miatt is számos „kiskapu" kinyílt a vállalati rendszerekben?

– A koronavírus-járvány kezdetétől tapasztaljuk, hogy üzleti infokommunikációs- és internetszolgáltatóként kulcsszerep hárul ránk. A szolgáltatásainkat egyre nagyobb sávszélességben veszik igénybe az ügyfeleink, és mi biztosítjuk számukra a többi között a home office-hoz szükséges internetkapcsolatot, valamint a biztonságos távoli elérést, a VPN-t is.

Egyre több cég látja be, hogy érdemes kiszervezni a nagyon speciális tudást igénylő IT-biztonsági feladatokat, ugyanis nem feltétlenül oldható meg, vagy nem éri meg „házon belül" egy külön apparátus működtetése erre. Mi az Invitech-nél a biztonsági műveleti központunkban (SOC) aggregáltan, a nap 24 órájában, a hét minden napján tudjuk monitorozni, elemezni és elhárítani az ügyfeleink rendszereit fenyegető veszélyeket.

Fontosnak tartom kiemelni, hogy egy olyan DDoS védelmi szolgáltatásfejlesztésen vagyunk túl, aminek köszönhetően nálunk nincs felső korlát abban, hogy mekkora volumenű túlterheléses támadást tudunk kivédeni. Úgy gondolom, az Invitech élen jár a piacon abból a szempontból is, hogy az IT-biztonságot előfizetéses alapon kínáljuk az internetszolgáltatásokhoz hasonlóan, vagy akár ahhoz kínáljuk addicionális elemként.

– Mennyire gyakori a hackertámadásokkal kapcsolatban is a „velünk ez nem történhet meg" hozzáállás? Milyen változásokat lát ezen a téren a magyar vállalkozásoknál?

– Sajnos sokan gondolkodnak még mindig így. Például ahogy már utaltam rá, a DDoS esetében egy tévhit, hogy akinek nincs nyilvános weboldala, az nincs veszélyben. Az elmúlt időszakban ugyanis a megtámadottak többségének a hálózati infrastruktúráját terhelték túl. Ennek következtében nem tudtak otthonról dolgozni a munkatársaik, vagy nem tudtak emiatt távolról bejelentkezni a levelezésükbe. Ezek is rámutatnak, hogy fontos edukálni a cégeket, és ma már mérettől, profiltól függetlenül bármelyikük célponttá válhat. Sokat hangozhatott közhely, de úgymond nem a támadás a kérdés, hanem annak az időzítése.

A tapasztalatok azt mutatják, hogy egy zsarolóvírust sokkal könnyebb bejuttatni egy kisebb vagy közepes méretű kkv-hoz, mint mondjuk, egy bankhoz. A pénzintézetek természetesen a tevékenységükből és a szigorú szabályozásból adódóan is sok mindenben előrébb járnak. Míg egy kisebb vállalkozás sokszor csak akkor dönt az informatikai biztonság kiszervezése mellett, amikor már megtörtént a baj. Nyilván mi az Invitech-nél rendszeresen felhívjuk a figyelmet ezekre a kockázatokra, a védelmi szolgáltatásainkra és az információbiztonsági képzéseink fontosságára is. Ugyanakkor a megsokszorozódott kibertámadások miatt egyre több vállalat saját magától is megkeres bennünket.

– Hogyan lehet elérni, hogy az otthonról dolgozók számára az IT-biztonsági képzés ne csak egy száraz tananyag, egy letudnivaló kötelező kör legyen, hanem valóban felkészültebbek és gyanakvóbbak legyenek a napi kattintgatások közben?

– A tömeges távmunka miatt is egyre nagyobb figyelmet kapnak az online biztonságtudatossági képzéseink. A járványhelyzet ugyanakkor megnehezítette a felhasználók oktatását, hiszen nekünk sincs most lehetőségünk a személyes tréningekre. Online pedig jóval nehezebb lekötni az otthonról dolgozók figyelmét egy információbiztonsági szakzsargonnal megtűzdelt témával. Míg a munkahelyen egy gyanús e-mail kapcsán lehet, hogy odagurulnak a kollégájukhoz, és rákérdeznek az adott levélre, addig távmunkában könnyebben elsikkadhat egy-egy ilyen megtévesztő megkeresés.

A képzéseink egyik fontos célja, hogy egészségesen gyanakvóvá tegyük a felhasználókat, és evidens legyen számukra, hogy a gyanús leveleket jelenteni kell a céges IT-nak. Olyan tudásfelmérő és szimulációs szolgáltatásokat dolgoztunk ki, amelyekkel játékosan, a résztvevőket hatékonyabban bevonva lehet tanítani. Nagyon sokféle tananyagunk van, amelyek cégekre, felhasználói csoportokra, munkakörökre szabhatók. A rendszer automatikusan ajánlja ki ezeket a tréningmodulokat, és az is beállítható, hogy egy héten hány percet szeretnénk rászánni a munkavállalók oktatására, milyen időközönként legyenek a visszamérések, riportálások.

– Hogyan tudnak reagálni az IT-biztonsági oktatásban arra, hogy napi szinten jelennek meg az újabb kibertámadások és adathalász-kampányok?

– A tréningmodulokat folyamatosan frissítjük az éppen aktuális problémák alapján. A covidhoz kapcsolódó csalásokra is egyből reagáltunk, de a „csomagod érkezett" üzeneteket is beépítettük már az oktatóplatformunkba. Sőt, egy szimulált adathalász-kampány kiküldésére is van lehetőség, így ügyfeleink könnyen felmérhetik, hogy felhasználóik közül hányan kattintanának egy ilyen e-mailre, és kik azok, akik bejelentik ezt az informatikusoknak. Fontos megérteni, hogy a céges hálózaton sem lehet bármire rákattintani.

Ha a hétköznapi példákat nézzük, akkor az átlagfelhasználók számára gyanús lehet az e-maileknél az erőteljes sürgetés is, ezeket a csaló weboldalakat ugyanis gyorsan „leveszik" a különböző hosting szolgáltatók. Ha pedig nem tudják eldönteni, hogy valóban az írt-e nekik, akitől állítólag a levelet kapták, akkor az udvarias gyanakvás jegyében érdemes visszakérdezniük. Egy ilyen egyszerű praktikával is kiderülhet, hogyha nem jön újabb releváns válasz, akkor esetleg egy szofisztikált csaló e-mailről volt szó.

Természetesen a felhasználói tudatosság fejlesztése egy soha véget nem érő folyamat az infokommunikációs szolgáltatók számára. Mindig megjelennek új támadások, új eszközök, új kütyük, amelyekre mindig figyelni kell. Egy biztos, minél jobban felkészülünk ezekre, minél jobban felkészítjük a munkavállalókat, annál nagyobb az esélyünk a támadókkal szemben.