Cikksorozatunk előző részeiben már rávilágítottunk arra, hogy a vezető vállalatok milyen megoldásokkal próbálják csökkenteni az emberi munkaerő rendelkezésre állásától való kitettségüket és milyen kérdéseket szükséges feltenniük az IT biztonsági stratégia és az „elfelhősödés” felülvizsgálata során önmaguknak.
Most a kérdéseken túl a felülvizsgálatok elvégzése során alkalmazható lépéseket, a felülvizsgálat végrehajtása során jól használható eszközöket/megoldásokat, valamint az IT biztonsági stratégiai egy-egy kiemelt területein alkalmazható megoldásokat szeretnénk bemutatni Önöknek.
Az, hogy vállalatunk milyen biztonsági szintet képvisel a „leggyengébb láncszem” aktuális biztonsági szintje határozza meg.
Az elmúlt időszakban végbement technológia változások (lásd: „elfelhősödés”, IT (IoT) és OT rendszerek határainak elmosódása), a megváltozott munkakörnyezet, a fokozódó kibertámadások, mind abba az irányba mutatnak, hogy nem elég csak „leporolni” az elmúlt évi IT biztonsági startégiát, hanem újra egy komplex elemzésnek kell alávetni a teljes IT rendszerünket, ami nem egy esetben már IoT eszközöket és OT rendszerekkel való összekapcsolódásokat, OT eszközöket is jelent.
- Assetek meghatározása
Első és legfontosabb felülvizsgálati lépésként mindenképp szükséges meghatároznunk azt, hogy milyen elemek (assetek) és szolgáltatások alkotják valóban az IT, IoT, OT infrastruktúránkat.
Erre számos „explorer” funkcióval rendelkező szoftver is rendelkezésünkre áll, melyek mind IT (IoT) és OT környezetben is használhatóak.
Fontos kiemelni, hogy az explorer funkcióval az IT (IoT) és OT eszközök láthatóságát kell megteremtenünkezért érdemes olyan terméket választani, mely az eszközökről a lehető legtöbb adat rögzítésére képes.
Az explorer funkció alkalmazása a hagyományos IT rendszerek tekintetében nem kérdés (és számos eszköz rendelkezésre áll), azonban OT rendszerek használata esetén érdemes olyan eszközöket választani melyek képesek OT környezetben is a forgalmak monitorozására, vagy képesek a hálózati eszközök SPAN portján keresztül a hálózati forgalmat kitükrözni, illetve TAP-ek és packet broker eszközök elhelyezésével lehallgatni, majd gyűjteni és szűrt adatok formájában továbbítani az információkat az elemzést végző berendezésnek.
Az eszközök láthatóságának megteremtése után nagyon fontos kérdés, hogy meg tudjuk határozni azt, hogy a feltárt eszközök milyen kapcsolatban vannak egymással, illetve milyen kapcsolatban állnak a külvilággal. Ebben nagy szerepe van az explorer funkcióval rendelkező szoftver esetén a vízuális megjelenítés lehetőségének, mely a hálózati kapcsolatokat, alhálózatokat, topológiai kialakítást is képes megjeleníteni.
Az egyes eszközök vízuális megjelenítésén túl a biztonsági stratégia kialakítása kapcsán fontos szerepe van annak, hogy pontosan meg tudjuk határozni az adott eszköz (vagy eszköz csoportok) milyen protokollokon keresztül, milyen információkat cserélnek egymással vagy a külvilággal, továbbá a kommunikáló eszközök milyen operációs rendszerrel, firmware verzióval vannak ellátva.
- A sérülékenységek meghatározása és kezelése
Ha már az előző pontban meghatározottak szerint ismerjük az infrastruktúránkban lévő eszközöket és a kommunikációs protokollokat, akkor egy sérülékenység vizsgálati és menedzsment eszköz alkalmazásával azok releváns sérülékenységei is feltárhatók. Mindezt manuális és automatikus és ütemezett vizsgálatok megadásával akár folyamatosan is megtehetjük.
Az üzemeltető személyzet munkát és a biztonsági javítások végrehajtását segíti, hogy a napjainkban használt sérülékenység vizsgáló eszközök nem csak egyszerűen meghatározzák a sérülékenység típusát, hanem ha arra létezik azonnali – gyártók által kiadott- javító csomag akkor azok telepítésére vonatkozó javaslatokat is felajánlanak (CVE számok). A javítócsomagok tesztelését, telepítést és utólagos ellenőrzését segíti, hogy a rendszerek nyomon követik azt is, hogy mikor és milyen biztonsági javító csomagok kerültek telepítésre. (és természetesen megmutatják azt is, ha két vizsgálat között ezen feladat nem, vagy csak részben került végrehajtásra.
- Biztonsági események figyelése, anomáliák felfedezése és kezelése
Az előző pontban bemutatott sérülékenységek meghatározása és folyamatos javítása rutinszerűen végrehajtandó feladat kell, hogy legyen az IT üzemeltetési és biztonsági személyzet számára az IT rendszerek tekintetében. De mit tudunk kezdeni az OT rendszerekkel? Mit tudunk kezdeni az olyan sérülékenységekkel melyek javítása nem oldható meg?
Ebben az esetben javasoljuk, hogy azok folyamatos monitorozását, az eszközök SIEM rendszerbe való integrálását, amennyiben az eszköz a külvilággal is kommunikál a tűzfalakkal, tűzfal szabályokkal való integrálását (és megfelelő szabályrendszer alkalmazását, rendszeres felülvizsgálatát!) tegyék meg.
Az üzemeltető és biztonsági személyzet munkáját segítik (sőt kiegészítik!) a SIEM (Security Information and Event management) rendszerek, melyek az észlelésen túl több különálló esemény között összefüggéseket is keresnek és beépített intelligencia segítségével képesek azokat egy eseménnyé korrelálni, riasztási határértékeket kezelni. Így az üzemeltető személyzet figyelmét az eredő okok elhárítására fókuszálni.
A biztonsági események figyelése kapcsán napjainkban már egyre több mesterséges intelligenciával ellátott viselkedés figyelő rendszer is megtalálható mely a hálózati forgalmak, felhasználói és adminisztrátori viselkedések folyamatos monitorozásával nyújthat segítséget a „normális” eseményektől való eltérések gyors és hatékony felderítésében.
A biztonsági események felfedezése után az események kezeléséhez ma már számos automatizmus is rendelkezésünkre áll SOAR (Security Orchestration, Automation, and Response) rendszerek formájában. Ezek lehetővé teszik egy szervezet számára, hogy adatokat gyűjtsenek a biztonsági fenyegetésekről, és emberi beavatkozás nélkül reagáljanak az alacsony szintű biztonsági eseményekre.
- Határ- és vépontvédelem kialakítása, hálózati kapcsolatok védelme
Az IT biztonsági stratégia kialakítása kapcsán nem elhanyagolható tény, hogy az IT rendszereink határvonalai köszönhetően a covid járványnak, távoli- és mobil munkavégzésnek jelentősen eltolódtak. A korábbi klasszikus irodai munkavégzés áttevődött az IT infrastruktúra felhasználóinak otthonaiba, mobil eszközökön keresztül akár külföldi, vagy helytől független lokalizációból történő munkavégzésre.
Ez a „helytől független és rugalmas” munkavégzés a számos előnnyel járt a munkaerő rendelkezésre állása szempontjából és a munkafolyamatok végrehajtása tekintetében, azonban számos problémát, sőt potenciális biztonsági fenyegetettséget is magával hozott.
Gondoljunk csak bele, hogy otthoni munkavégzés során az internet kapcsolatot biztosító router konfigurálása hány esetben tartalmazhat gyári beállításokat, milyen gyakran történik meg az otthonokban az eszközök firmware frissítése egy átlag felhasználónál?
Gyakran heteik- sőt manapság akár hónapokig- a felhasználó nem jut be az irodába, így a központi hálózat védelmében kialakított biztonsági beállítások eljuttatását és alkalmazását is meg kell oldani a felhasználói munkaállomásokon, mobil telefonokon.
Ezekre és még további fenyegetettségekre az általunk is forgalmazott végpontvédelmi megoldások adnak választ. Legyen az:
- Ransomware elleni védelem,
- tűzfal,
- anti-phising és webszűrés,
- ávoli felhasználók valós idejű ellenőrzése,
- USB-szkennelés és az összes rosszindulatú program belépési pontjának blokkolása,
- fejlett malware elleni védelem és gépi tanulás,
- végpontok kockázatkezelése és -elemzése.
Az otthoni környezetben végrehajtott munka során szükséges a védett vállalati hálózathoz való csatlakozás, de ezt kellően védett csatornákon keresztül teszik meg a felhasználók? Adatvédelmi szempontból pedig tudjuk-e szabályozni azt, hogy a vállalati szempontból bizalmas és „kényes” adatok szivárgását távolról is megoldjuk? Erre a DLP megoldások nyújtanak hathatós segítséget!
Az általunk védettnek gondolt vállalati hálózat határvédelmi megoldása (tűzfala) egy szofisztikált és több hálózati végpontról érkező, akár napokig és nem nagy intenzitással kivitelezett támadást is képes kiszűrni/észrevenni? Az alkalmazott tűzfal megoldás olyan technológiát használ, mely képes ezeket felfedezni? Ma már csak NGFW technológiával ellátott tűzfalakkal tudunk hatékonyan védekezni a kibertámadások ellen!
- Jogosultságok és azonosítási megoldások kezelése
Végül, de nem utolsó sorban fontos és kiemelt témakörként kell megvizsgálnunk az IT és OT eszközök tekintetében használt jogosultságkezelési megoldásokat, azonosítási megoldásokat is.
A rendszerek felhasználói, üzemeltetői és karbantartói, sőt sok esetben külső beszállítók, alvállalkozók is hozzáférnek az infrastruktúra elemekhez, a rendszerekben tárolt információkhoz.
A hozzáférési azonosítók felhőben, on-premise rendszerekben, vagy hibrid megoldásoknál is, admin felhasználók esetén adott hálózati eszközöknél, szervereknél, felhasználóknál a munkaállomásokon laptopokon is azonosíthatnak bennünket. De mindez kellően biztonságos? Egy jelszót alkalmazunk mindenhol? A jelszó kellően összetett-e? Az authentikációs folyamat legalább két lépcsős hitelesítéssel történik? Hol és milyen védelmi mechanizmussal tároljuk a felhasználói azonosítókat, kulcsokat?
Az azonosítási és hitelesítési problémákra, legyen az onpremise, felhős vagy hibrid rendszer az általunk forgalmazott felhasználó azonosítás és identitáskezelő eszközök nyújthatnak segítséget Önnek.
Bár az „elfelhősödés” a pandémia helyzetben számos előnnyel járt a munkaerő rendelkezésre állása és a munkafolyamatok végrehajtása tekintetében, a fenti három pontban összegzett (automatizáció, távoli munkavégzés kialakítása, OT&IT eszközök közötti összekapcsolások) szempontjából azonban számos problémát, sőt biztonsági fenyegetettséget is magával hozott, kiemelten a gyártó- és logisztikai ipar területén.
Épp ezért az „elfelhősödés”, és annak hatásainak vizsgálata véleményünk szerint nem tűr halasztást.
Ha a cikk olvasása közben valamelyik kérdés megválaszolásában elakadt és segítségre van szüksége a felülvizsgálatok lebonyolításában, vagy akár célzott védelmi megoldások kialakításában is Társaságunk szakértői és a forgalmazott védelmi megoldásaink a rendelkezésükre állnak!
