2014: a jóslatok Máriás Zoltán – TMSI Kft.
[email protected] CISA, CSM, CNE, CASE antidotum 2014
egy prezentáció … • … legyen tele sok képpel • … legyen benne videó és mozgás • … a számokat érdekesen kell tálalni • … és új 21.századi alapszabály: ne legyen benne listajeles felsorolás. • An introverts guide to better presentations (Matt Haughey, 2013)
sajnos … • … nem élhetek listajeles felsorolás (bullet) nélkül
az Oracle … angolul ugyanazt jelenti, mint • a la prédiction franciául • la profezia olaszul • die Voraussage németül vagy a • jóslat magyarul
a közepesen nagy újítók jóslatai • BeyondTrust • Imperva • Sophos • Egy amerikai UTM gyártó
a BeyondTrust jóslatai (I.) • #1: Mobil(itás), virtualizáció: fontosak, kell velük foglalkozni, de mi van az alapokkal? • Az elkonfigurált és nem naprakész kliens- és szerver gépek miatt a rendszerek veszélyeztetettek (megoldás: sérülékenységek azonosítása, patchelés -> támadási felület csökkentése) • A leghatékonyabb támadások a hagyományos módszereket használják majd a biztonságra kevésbé figyelő cégek ellen.
• #2: Jobb együttműködés szükséges...
• ...az IT üzemeltetés és az IT biztonsági csapatok között (adatok szabad megosztása, kevesebb duplikált feladat, terhelés jobb elosztása, nagyobb rálátás a műveletekre -> az adatok veszélyeztetése nagymértékben csökken)
a BeyondTrust jóslatai (II.) • #3: Áttevődik a hangsúly a megelőzésről a gyors észlelésre • De ettől még nem szabad feladni a megelőzést, továbbra is „el kell tudni választani a jelet a zajtól”.
• #4: Tevékenységek viselkedés-alapú nyomkövetése • A szokásostól eltérő viselkedések felderítéséhez, a belső fenyegetések elhárításához, a jobb megelőzéshez
• #5: Windows XP vége • Az újabb rendszereken ne adjunk helyi adminisztratív jogokat, hozzáférést
az Imperva jóslatai (I.) • #1: A külsősök által fejlesztett alkalmazásokban rejlő sérülékenységek kihasználása (exploit, franciául különben hőstettet jelent) • Egy cég szoftverparkjának 70%-át külsősök fejlesztik (Veracode) • Az ilyen fejlesztés biztonságáért senki sem vállalja a felelősséget
• #2: Az APT-k a web server-eket veszik célpontba • A web serverek a végpontoknál is könnyebben érhetők el • A web szerverek a természetüknél fogva könnyebben érik el az adatközpontot
az Imperva jóslatai (II.) • #3: A mobil eszközök felhasználása a kárdetés (hirdetésekben található fertőzések) céljából • • • •
A mobilok szinte mindent tudnak, mint a PC Ráadásul Prémium áras SMS-eket tudnak küldeni (azonnali nyereség) Az Android kártevők 60%-a népszerű alkalmazások álcája mögé bújik Kárdetés = Kártevő + hirdetés (Malware + Advertising = Malvertising)
• #4: A felhőben levő adatokon való rés ütése (data breach) • Az SaaS és a DBaaS mindennapossá válik • Felkészületlen kis és közepes cégek is saját alkalmazások miatt felhőt építenek
az Imperva jóslatai (III.) • #5: Kommersz károkozók készülnek az adatközpontok számára • Narilam – kereskedelmi alkalmazások adatbázisait támadja • Mevade, Shylock, Kulouz – károkozók, amelyek DBaaS-t használnak (SQLite) • Azonosították azt a károkozót, amely az SAP-t támadja
• Az Imperva javaslatai • Egy új védelmi vonalat kell építeni az adatok közvetlen közelében • Adatbázis Tűzfal (database firewall)/Állomány Tűzfal (file firewall) • A Web Application Firewall lassan nélkülözhetetlen lesz egy cég életében
a Sophos jóslatai (I.) • #1: A Felhőben tárolt adatok egyre nagyobb veszélyben • A vállalati Felhő felhasználás növekszik, célpontban a mobilok, céges kliensek és hozzáférési adatok • Megjelenhetnek a felhőben tárolt adatokat foglyul ejtő ransomware-ek • APT-k sikere miatt a régi motoros, pénzügyi kártevőket használó bandák is elkezdik azok kihasználó technikáit használni
• #2: 64-bites kártevők • A 64-bites operációs rendszerek terjedése miatt olyan kártevők megjelenése várható, amelyek már nem futnak 32-bites rendszereken
a Sophos jóslatai (II.) • #3: A védelmi vonalak áttörése
• Új és baljós árnyak a reputációs szolgáltatások, a Felhő-biztonsági adatbázisok, a fehérlistázási és sandbox layerek felett: a legfőbb célpontok • Ellopott digitális aláírással aláírt kártevők, új megkerülő technikák, legitim segédeszközök használata rosszindulatú célokkal
• #4: Mindent hackelni
• A biztonsági ökoszisztéma nincs jól kiépítve a rengeteg fajta készülék között • Az okos eszközök (Internet of Things) elleni támadások egyre gyakoribbá válnak • Új lehetséges célpontok: új elektronikus valuták és fizetési technikák (bitcoin, NFC)
egy UTM gyártó (USA) jóslatai (I.) #1: Várható egy hollywoodi filmekbe illő betörés (pld. vízerőmű, vagy a Fed vagy városi közmű jelentős hibája) az ipari (industrial control systems - ICS) és a SCADA (supervisory control and data acquisition) rendszerek sérülékenyek #2: A kibérzsarolások elterjedése Ransomware (pld. Cryptolocker titkosítja az állományokat Office és egyéb dokumentumokat és később 300 BitCoin dollárért visszafejti)
egy UTM gyártó (USA) jóslatai (II.) … #4: A kibérbűnözők a felhasználókat veszik célba Egyre inkább bevezetésre kerülnek az APT elleni NGTP-k (a veszélykezelés következő generációs védelme) A technika fejlődésével az ember válik a leggyengébb láncszemmé A pszichológiára és nem a technológiára kerül a hangsúly
#5: Chain-of-trust támadások (bizalmi-láncok kihasználása) Nagy rendszerekbe olyan kisebb csatlakozó szervezeteken keresztül próbálnak meg bejutni a támadók, amelyek bizalmi viszonyt élveznek (másodlagos, harmadlagos, pld. SecurID RSA -> Lockeed Martin -> USA hadiipar)
egy UTM gyártó (USA) jóslatai (III.) • #6: A kártevők egyre rosszindulatúbbak • A legtöbb kártevő nem romboló, mert ha megsemmisíti az eszközt, akkor nem jut hozzá azokhoz az erőforrásokhoz, információhoz, amely a cél • A haktivisták támadásai destruktívak lehetnek, mert üzenetük éppen ez • Az államok által pénzelt támadások azért lehetnek destruktívak, mert éppen a rombolás a szándék (pld. merevlemezek törlése a Dél-Korea-i támadásban)
•… • #8: Bármi ellen lehet támadást indítani (IoT – Internet-of-Things) • Nem csak PC-k, szerverek, hanem GPS-ek, kamerák, még a defibrillátor ellen is lehet támadást indítani
summa summarum • A hackerek nem lankadnak és egyre körmönfontabban támadnak • A meglévő eszközök csak korlátozott védelmet biztosítanak • Nem lehet csak szignatúra alapú eszközökkel védekezni
• A támadásokhoz új hozzáállás kell több védvonalban • • • •
A védelmi vonalat a védendő adatvagyon közelében kell meghúzni Titkosítás, titkosítás és még egyszer titkosítás A felhasználóinkat folyamatosan képezni kell az IT biztonsági kihívásokra … még több emberi erőforrásra lesz szükség a feladatok megvalósításához
köszönöm a figyelmet Máriás Zoltán – TMSI Kft.
[email protected] CISA, CSM, CNE, CASE antidotum 2014
