Védelem a végeken, avagy a céges biztonság kialakítása a felhasználói oldalon
Krékity Gusztáv
2020.04.08
Eddigi bejegyzéseinkben sorra vettük, mire van szükség ahhoz, hogy biztonságosan megvalósíthassuk a távoli hozzáférést. Most elérkeztünk arra a pontra, amikor tüzetesebben megvizsgálhatjuk, miként oldható meg, hogy az otthonról dolgozó munkatársak irányából is a lehető leghatékonyabb védelmet építsük ki. A felhasználói oldal bebiztosítása ugyanis létfontosságú, hogy megvédjük a szenzitív adatokat mind az otthon használt számítógépeken, mind a céges hálózatban, amelyhez a felhasználó csatlakozik. Ha például van VPN kapcsolat és tűzfal, az elegendő a teljes körű biztonsághoz?
A leggyengébb láncszem
Magyarországon a távmunka meglehetősen új keletű dolog. Nem volt ismeretlen eddig sem, de ezidáig nem épült be a köztudatba. A környező országok némelyikében e téren előbbre jártak nálunk, már eddig is sokan dolgoztak ily módon, így ott a COVID-19 koronavírus által okozott világjárvány berobbanása ilyen szempontból kevésbé jelentett kihívást. Idehaza sok cég csak a járvány miatt kényszerült a távmunka bevezetésére, márpedig a semmiből, hirtelen összehozni egy biztonságosan üzemelő távmunka rendszert sajnos nem egyszerű. Így aztán elég nagy a katyvasz még mindig. Hallottunk olyan cégekről, ahol a munkatársak a saját otthoni gépükről csatlakoznak a céges hálózatba, extra védelem nélkül.
Bár a távmunkának számos előnye van, a vállalati adatok szempontjából nézve sajnos az otthonról dolgozó felhasználó a leggyengébb láncszem: már egyetlen személy is kockázati tényezőt jelent, ha nem tartja be a cégnél életbe léptetett biztonsági szabályokat. Már ha egyáltalán vannak ilyenek, mert míg nagyvállalati környezetben mindent jól leszabályoznak (olykor a ló túloldalára is átesve), addig a kkv-k esetében – tisztelet a kivételnek – általában nincsenek megfelelően kidolgozva a felhasználók számára a megfelelő adatvédelmi szabályzatok és leírások az ilyen esetekre. Elég megnézni a friss felméréseket, amelyek alapján a felhasználók közel fele jelenleg is úgy érzi, hogy nem tudja biztonságosan megoldani az otthoni munkavégzést, vagy adott esetben nem tudja tartani magát az előírt szabályokhoz.
Fontos, hogy az incidensek elkerülése érdekében olyan biztonsági stratégiára van szükség, amelyik támogatja, nem pedig gátolja az eredményes otthoni munkavégzést. Ezzel elkerülhető, hogy a munkatársak esetleg kiskapukat keressenek a korlátozások megkerüléséhez. Ha túl sok szankciót vezetünk be hirtelen, az túl nagy terhet jelenthet az alkalmazottaknak, így szinte zsigerből megpróbálják kijátszani azokat.
Az észszerű szabályrendszerek legtöbbször leírják, hogy a felhasználónak rendelkeznie kell céges géppel, amelyen minden egyes szoftver folyamatosan frissítendő. Emellett elvárás, hogy csak biztonságos VPN kapcsolat felépítésével csatlakozhatnak, nem használhatnak publikus wifi csatornákat, vagyis csak ténylegesen otthonról dolgozhatnak, az otthoni internet elérésükön keresztül. Utóbbi jelenleg amúgy adott, hiszen a járvány idején aligha ül be valaki dolgozni egy kávézóba és kapcsolódik annak publikus wifijén keresztül az internethez.
További fontos szempont a meghajtók titkosítása is, hiszen ha bármilyen módon ellopják, esetleg elhagyják a céges laptopot, akkor illetéktelenek nem férhetnek hozzá az eszközön tárolt kényes adatokhoz. Ez a hagyományos értelemben vett távmunka esetében – amikor nincs kijárási korlátozás – nagyobb rizikót jelent, de cserébe jelenleg hatványozottan nőtt a távoli támadások száma. Éppen ezért mi is ez utóbbiakat vesszük jobban górcső alá.
A probléma egyértelmű: sok kkv esetében a céges gép asztali PC-t jelent, amit értelemszerűen most nem tudnak hazavinni a munkatársak. Míg enterprise szinten a cégek képesek biztosítani a szükséges laptopot, addig a kisebb vállalkozásoknál ez kevésbé egyértelmű. Ott – mint már említettük – sok esetben a kolléga saját otthoni gépét állítják hadrendbe, s még jól jártak, ha nem a gyerekét, rajta a céges adatokat kétes forrásból származó játékokkal és warez szoftverekkel összeeresztve.
Védelmi megoldások
Egy jól átgondolt rendszer esetén a cég maga biztosítja az otthoni munkához szükséges hardver és szoftver feltételeket. Kiosztják a laptopokat (ha kell, még vásárolnak a szükséges mennyiségben), ezeken előre telepítik a megfelelő, frissíthető szoftvereket és a szükséges védelmi eszköztárat: biztonságos VPN kapcsolat, multifaktor autentikáció stb. Több különböző komponens létezik, amelyekkel rétegződéses alapon, egyre biztonságosabb lehet a távoli munkavégzés. Ilyenek például a fejlett végpontvédelmi megoldások: AEP (Advanced Endpoint Protection), EPP (Endpoint Protection Platform), DLP (Data Leak Prevention) rendszerek. Lehet akár időbeli korlátokat is megadni, hogy ki, mikor, mennyi adathoz férhet hozzá, illetve mennyi adatot mozgathat meg (azaz tölthet fel vagy le). Ez az úgynevezett forgalom monitorozás és korlátozás. Ezen kívül még lehet további rétegeket beépíteni, például Identity Management rendszerrel (IDM) ellenőrizhetővé és auditálhatóvá válik, hogy adott időben ki milyen hozzáféréssel rendelkezett. Ide tartoznak még a különböző UEBA (User and Entity Behavior Analysis) alapú rendszerek, amelyek a felhasználói viselkedést tudják követni, hogy a belső rendszerben mit és hogyan értek el a kollégák.
Védelem a végeken
A végponti védelem megfelelő kialakítására az elmúlt hetek, napok statisztikáit figyelve is nagy szükség van. A növekvő számú támadások között megtalálhatók az adathalász spamek, fertőzött alkalmazások (PL: Zoom meeting) és a kártékony kódokat tartalmazó weboldalakat egyaránt. Ezek egy része egyértelműen az otthonról dolgozó felhasználókat támadja.
Míg ezek a felhasználók a cégen belül védve voltak voltak a spamszűrők, tűzfalak, antivírus és egyéb biztonsági megoldások által, addig most kikerültek a virtuális vadonba, ahol ez a védelem már nem alapértelmezett. Otthon vagy vannak, vagy nincsenek ilyen eszközök telepítve és sok felhasználó még csak nem is tudja maga eldönteni, hogy mire van szüksége ezen opciók közül, vagy honnan szerezze be ezeket.
Egy esetleges fertőzés esetén az érintett kliensen keresztül a támadók észrevétlenül kutakodhatnak a felhasználó gépén, rosszabb esetben pedig bejuthatnak a céges rendszerbe is. Így a felhasználó a tudtán kívül hozzásegítheti a kiberbűnözőket ahhoz, hogy hozzáférjenek érzékeny adatokhoz.
A szignatúra alapú védelem az esetek többségében nem elegendő. Egy összetettebb vírus esetében ezek nem nyújtanak megfelelő védelmet. Ezért is terjed manapság az a nézet, hogy a tűzfal helyett az új védelmi határt immár a végpontok jelentik. Ráadásul ezek között is vannak durvább és józan ésszel érthetetlen célpontok: a kórházak. A dolog nem új keletű, a kórházi rendszereket eddig is támadták (különösen az USA-ban), de a koronavírus kapcsán e támadások száma is fokozódott. Ezek kritikus fennakadásokat okozhatnak az egészségügyi rendszerekben, miközben azok pusztán a COVID-19 járvány miatt is túlterheltek.
De az átlagfelhasználókat – köztük az otthonról dolgozókat – is folyamatosan támadják a koronavírus járványra épített csalásokkal. Egy ilyen támadási módszer, amikor a felhasználó olyan spamet kap, amelyben a csalók egy adott kórház nevében értesítik róla, hogy egy közeli kollégája vagy családtagja esetében pozitív lett a COVID-19 vírusteszt eredménye, így most ő is kontaktszemélynek számít. Ezért aztán adja meg személyes adatait, amihez az levélhez csatolt Excel fájlt ajánlják. Ebben a felhasználó tudtán kívül egy makró lapul, amely a dokumentum megnyitása után – mivel a felhasználók zöme automatikusan az engedélyezésre kattint minden esetleges figyelmeztető párbeszédablakban – ez gond nélkül letölthet egy olyan kártékony kódot, amely alkalmas a privát adatok kimazsolázására a gépen (böngészési előzmények, sütik stb.), vagy akár kéretlen kriptopénz bányászatra, esetleg zsarolóvírusok (ransomware) telepítésére és aktiválására. De adott esetben nem állnak meg a kérdéses gépnél, hanem – amennyiben nem megfelelő a biztonsági rendszer a céges oldalon – kémkedésbe, vagy rombolásba kezdhetnek a céges hálózaton is.
Ezért is fontos úgy védenünk a klienseket, hogy egy fejlett antivírus megoldással a levelek csatolmányaiban az ilyen – szignatúra mentesnek nevezett – kártékony kódokat is azonnal detektálhassuk. Vagyis a végpontokra több kell a hagyományos értelemben vett vírusirtóknál, hiszen a szignatúra alapú megoldások nem tudnak mit kezdeni azokkal a friss fertőzésekkel, amelyeket még nem ismernek.
Az AEP (Advanced Endpoint Protection ) vagy EPP (Endpoint Protection Platform) rendszerek fejlett végpontvédelmi megoldások, amelyek a rendszerek sérülékenységeit célzó támadásokat is képesek preventív módon blokkolni, illetve viselkedés alapon detektálják az ismeretlen vírusokat. Ez hatékonyabb védelmet jelent a kliensek számára, mint az eredetileg otthoni használatra szánt megoldások többsége. Azok a végpontvédelmi megoldások pedig, amelyek egyben endpoint detection response (EDR) rendszerek is, a későbbiekben képesek elemezni és felülvizsgálni, hogy mi történt pontosan az adott számítógépen. Ezáltal még hatékonyabban elkerülhetjük a jövőben az ilyen jellegű támadásokat, vagyis hathatósabb a védekezés.
Összegzésül
Jelenleg az otthonról dolgozó felhasználók kerültek a hackerek célkeresztjébe. Ők az elsődleges célpontok, hiszen sok esetben technikailag védtelenek, ráadásul a világjárvány okozta felfokozott érzelmi állapotuk miatt is támadhatóbbak az erre irányuló csalásokkal. Rajtuk keresztül könnyebben lehet beékelődni a céges kommunikáció és az otthoni gép közé, vagy bejutni a védett hálózatba. Kiszolgáltatott, potenciális áldozatok, akiken keresztül megfertőzhető a céges környezet.
Éppen ezért nem vehetjük félvállról a vállalati biztonságot, s a lehető legrövidebb idő alatt, de átgondoltan kell megoldani a végpontok védelmét. Ebben a VPN, a multifaktoros autentikáció, és a jelen írásunkban említett egyéb védelmi rétegek vannak a segítségünkre. Ezekkel megakadályozhatjuk az olyan támadásokat is, amelyek a felhasználók hiszékenységét, félelmét akarják kihasználni. Ráadásul a most elvégzett biztonsági fejlesztések a későbbiekben, a világjárvány után is a cég javára válnak. Biztonságosabbá és egyben hatékonyabbá is téve a távoli munkavégzést.
Kövess minket a LinkedIn-en is!
Kapcsolódó bejegyzések
Végpont védelm és a NIS2 megfelelőség összefüggései
Krékity Gusztáv
2024.09.02
Az EPP, EDR és XDR végpontvédelmi rendszerek segítenek megfelelni a NIS2 irányelv követelményeinek, biztosítva a kibertámadások elleni hatékony védelmet.
X(DR)-akták, avagy generációváltás a végpontvédelemben
Krékity Gusztáv
2020.05.18
A Cortex XDR 2.0 új generációs végpontvédelem: AI és gépi tanulás révén csökkenti a hamis riasztásokat és gyorsabbá teszi a fenyegetések felismerését.
A biztonságos home office alapjai
Krékity Gusztáv; Bikki Mónika
2020.03.23
A home office alapvető biztonsági eszközei: VPN, MFA és céges tűzfalak. Ismerje meg, hogyan védhetjük a vállalati adatokat távoli munkavégzés során!
A hatékony távmunka eszközei, járvány és karantén idején
Krékity Gusztáv
2020.03.17
Hatékony távmunka eszközök járvány idején: VPN, sávszélesség és biztonságos szoftverek a stabil és biztonságos munkavégzéshez otthonról.