A kibertámadások ellen többféle módon is védekezhetnek a cégek. A informatikai biztonság személyi kérdéseiről már többször is szót ejtettünk, vagyis arról, hogy milyen fontos az emberi tényező egy vállalat információbiztonsága szempontjából.
Természetesen a hekkerek elleni fellépésnek más – hardveres és szoftveres – módja is létezik, és abban is eltérnek egymástól a különféle technológiák, hogy offenzívak – támadóak –, vagy éppen defenzívek, azaz védekezőek.
Minden rendszer sebezhető
Amikor egy vállalkozás felállítja a saját informatikai rendszerét, és minden, éppen a piacon lévő újítást bevezet, hajlamos azt gondolni, hogy innentől kezdve nyugodtan hátradőlhet, hiszen teljes mértékben védve van a hekkertámadásoktól. Pedig ennél nagyobbat nem is tévedhet az a döntéshozó, aki ebben a tévhitben ringatja magát.
A szomorú – vagy inkább reális – helyzet az, hogy minden, még a legbiztosabbnak hitt rendszer is sebezhető, a kérdés csak az, hogy hol. Ha nem így lenne, akkor a hekkerek sem érhetnének el sikereket, és nem lennének képesek a támadásaik végrehajtására.
Ha azonban abból az alapfeltevésből indulunk ki, hogy nincs feltörhetetlen rendszer, akkor egy lépéssel máris közelebb kerülünk ahhoz, hogy megvédjük a cég számára fontos adatokat és információkat.
A sérülékenységvizsgálat, vagyis az etikus hekkelés
Az offenzív technikák egyike a sérülékenységvizsgálat, aminek az a célja, hogy az adott céggel szerződést kötő etikus hekkerek feltárják az informatikai rendszeren esetelegesen keletkező biztonsági réseket. Ha ugyanis ismertek a gyenge pontok a védelmi rendszerben, akkor a rosszindulatú támadásokat is meg lehet előzni, hiszen tiszta képet kapunk arról, hol kell további erőfeszítéseket tenni, és javítani az IT biztonságot.
A sérülékenységvizsgálat során a megbízott cég többféle szempontból is vizsgálja az adott vállalkozás informatikai rendszerét, illetve a védelem állapotát. Szimulálják pl. a különféle jogosultsággal rendelkezők által végrehajtható támadásokat, illetve azt is, hogy ha valaki semmiféle információval nem rendelkezik az adott vállalkozásról, abban az esetben mire megy.
A sérülékenységvizsgálat szintjei
A sérülékenységvizsgálat során általában három szintet vizsgálnak meg az etikus hekkerek, ezek a fekete, a szürke és a fehér doboz.
A fekete doboz – black box – vizsgálat
A fekete doboz vizsgálat során azokat a támadásokat szimulálják, amiket olyanok követhetnek el, akik semmiféle konkrét információval nem rendelkeznek az adott cégről, illetve annak informatikai rendszeréről.
Tulajdonképpen ezeket tekintjük a klasszikus hekkertámadásoknak, vagyis amikor valaki kívülről próbál betörni egy vállalkozás szerverére vagy honlapjára.
A szürke doboz – grey box – vizsgálat
Ebben az esetben azt veszik alapul, hogy a támadó nem egy idegen, hanem olyan személy, aki belülről is ismeri valamennyire az adott szervezetet. Ilyen lehet például egy alacsonyabb felhasználói jogosultsággal rendelkező munkatárs – a cél annak a kiderítése, hogy egy ilyen alkalmazott meg tud-e szerezni magasabb jogosultságot, vagy képes-e feltörni a rendszert.
A fehér doboz – white box – vizsgálat
A fehér doboz vizsgálat célpontjai általában a vezető pozícióban lévők – ilyenkor a magasabb hozzáféréssel rendelkező személyek szemszögéből történik a tesztelés, vagyis annak a kiderítése, hogy egy szinte minden szükséges információ birtokában lévő munkatárs milyen támadásokat képes végrehajtani, amivel árthat a vállalatnak.
Hogyan történik a sebezhetőségvizsgálat?
A cég informatikai rendszerének sebezhetőségét különféle, kifejezetten erre a célra fejlesztett szoftverekkel végzik. Ezekből a programokból elég sok található a piacon, és egyáltalán nem mindegy, hogy melyiket használják a vizsgálat során, ugyanis a minőségük nagyon eltérhet egymástól.
Szerencsére ezekről a szoftverekről minden informatikai szakember tájékozódhat, így amikor a vizsgálatot végző etikus hekker kiválasztására kerül a sor, azt annak figyelembevételével lehet megtenni, hogy milyen programokat használ a rendszer teszteléséhez.
A penetrációvizsgálat célja, hogy valamennyi olyan gyenge pont felderítésre kerüljön, ahol akár belülről, akár kívülről támadás érheti a vállalat informatikai rendszerét. Ez azonban a legjobb szoftvereket és szakembereket kívánja, mert ellenkező esetben csak fölösleges pénzkidobás lesz a procedúra.
Mely területeket érint a sérülékenységvizsgálat?
A sérülékenység – penetráció – vizsgálatának során a vállalkozás informatikai rendszerének minden szintjét tesztelik. Így nem maradhatnak ki a szerverek, a honlapok, az online applikációk, a vezeték nélküli hálózatok, a mobileszközök, valamint az egyéb olyan pontok, ahol a cég sérülékenységnek lehet kitéve.
A vizsgálat befejeztével azonban még nem ér véget a folyamat, ugyanis az etikus hekkerek javaslatokat adnak arra is, hogy a felfedezett sérülékenységeket hogyan lehet kijavítani, és milyen intézkedések szükségesek ahhoz, hogy a cég informatikai rendszere biztonságosabb legyen.
Az etikus hekkelés automatizálása
A penetrációs vizsgálatokat a cég elvégeztetheti egy erre szakosodott szervezettel, vagy használhat a vállalaton belül penetrációs szoftvereket, és így automatizálhatja az etikus hekkelést.
Mint kiderült, ezt egyre több vállalkozás teszi meg, hiszen tisztában vannak azzal a ténnyel, hogy szinte folyamatosan keletkezhetnek új sérülékenységek, amiket fel kell deríteni. Ennek az az oka, hogy számtalan eszközt használnak egy cégnél, és az azokon futó alkalmazások száma is nő, ezért naponta tucatjával keletkezhetnek az újabb sérülékenységek, ezt pedig nem szabad félvállról venni.
A sérülékenységet vizsgáló szoftverek egyik hátránya eddig az volt, hogy gyakran száznál is több oldalt kellett az IT szakembereknek átböngészniük ahhoz, hogy a valós sérülékenységeket kiszúrják, sok volt ugyanis közöttük a fals, azaz a téves riasztás.
Ma már ez sem jelent gondot, hiszen a penetrációs szoftverek képesek kiszűrni a fals eredményeket, és megtalálni azokat a réseket, amik a valóságban is gondot okozhatnak.
Megéri penetrációs vizsgálatot végeztetni?
Akkor, amikor hazánkban egy vállalkozás informatikai kiadásai amúgy is alacsonyak, rögtön felmerül a kérdés, hogy érdemes-e erre költeni, vagy csak pénzkidobás fizetni érte.
Ha egy cégnek fontos, milyen kép alakul ki az ügyfeleiben vele kapcsolatban, akkor mindenképpen érdemes a lehetséges sérülékenységek feltárása. Ellenkező esetben ugyanis könnyen elveszítheti a partnerei bizalmát, ha nem elérhető a honlapja, vagy ha hekkerek ellopják a vevői személyes adatait.
Egy sérülékenységvizsgálat elvégzése után erre sokkal kisebb lesz az esély, de azt mindenképp meg kell jegyezni, hogy újabb biztonsági rések bármikor keletkezhetnek, azaz 100%-ig védett rendszerek nincsenek. Ezzel együtt a penetrációs vizsgálat nem fölösleges, mert a fennálló problémákra rávilágít, és használható megoldást is kínál rájuk.
Defenzíva helyett legyen offenzív!
Vannak cégek, ahol csak a defenzív (védekező) technológiákat alkalmazzák az informatikai rendszer védelmében – a tűzfalakat, a titkosítást stb. –, de az offenzív, azaz a támadó módszereket nem.
Ezzel csak az a gond, hogy így soha nem derül fény azokra a sérülékenységekre, amik sebezhetővé teszik a vállalkozást a támadásokkal szemben, a cég pedig akkor szembesül a problémával, amikor egy konkrét támadás éri. Ezért fontos, hogy a két technológiát párhuzamosan alkalmazza a cég, mert így mind a védelem, mind pedig az „elhárítás” területén kellően felkészült lesz.
