Tavaly a biztonsági incidenst elszenvedett vállalatok tetemes bevételcsökkenésről és ügyfeleik elvesztéséről számoltak be. Harmaduknál a bevételkiesés és az ügyfelek elvesztésének aránya meghaladta a 20 százalékot. A támadások után az érintett vállalatok 90 százaléka látványosan fejlesztette védekezési mechanizmusait: 38 százalék különválasztotta az IT- és a biztonsági funkciókat, és hasonló arányban döntött a biztonságtudatos oktatás erősítéséről, illetve a kockázatcsökkentő megoldások bevezetéséről.

A Cisco éves kiberbiztonsági jelentésének (Annual Cybersecurity Report – ACR) összeállítói több forrásra támaszkodnak. Ide tartoznak a Cisco Talos fenyegetéselemző szervezet adatai, továbbá a Cisco Security Capabilities Benchmark kutatása is. Ez utóbbi kérdőíves felmérés, amelyben tavaly 13 ország 3000 biztonsági vezetője (CSO) vett részt. A válaszadók az informatikai biztonság fejlesztésének legfőbb akadályaként a szűkös költségvetést, a rendszerek kompatibilitásával kapcsolatos problémákat, illetve a képzett szakemberek hiányát jelölték meg. Emellett kiemelték a biztonsági megoldások komplexitását is: a szervezetek kétharmadánál legalább 6, sőt, akár 50-nél több biztonsági megoldást is használnak egyszerre, ami alapvetően megnöveli a biztonsági rések kockázatát.

A biztonsági rések kihasználásához a kiber-bűnözők sok esetben már bevált olyan „klasszikus” módszerekhez folyamodnak, mint az adware kártevők (reklámokat megjelenítő szoftver, amely általában vagy trójaiként, vagy kereskedelmi programok ingyenes változatainak részeként települnek a számítógépre), vagy a kéretlen levelek, amelyeknek száma újra a 2010-ben tapasztalt magas értékre emelkedett. Az emailek kétharmada spam, ráadásul 8–10 százalékban rosszindulatú. A kéretlen levelek tömege folyamatosan növekszik, a terjesztésüket pedig gyakran nagy kiterjedésű bothálózatok végzik.

A biztonsági megoldások hatékonyságának mérésével kapcsolatosan olvasható a jelentésben, hogy a Cisco folyamatosan dolgozik a felderítési idő (time to detection – TTD) rövidítésén, hogy a lehető legkevesebb idő teljék el a fertőzés és a kártevő felismerése között. A felderítési idő rövidítésével a támadók lehetőségei szűkülnek, az incidens által okozott károk pedig csökkenthetők. A Cisco a múlt év elején mért átlagos 14 óráról az év végére 6 órára csökkentette a felderítési időt.

 

A kiberfenyegetések ára: elvesztett ügyfelek, csökkenő bevételek

A Cisco 2017-i jelentése rávilágít a vállalatokat érintő támadások lehetséges gazdasági következményeire. A szervezetek több mint felénél nyilvános vizsgálat zajlott egy-egy támadást követően. Ezek a vizsgálatok leginkább a működési és a pénzügyi rendszereket érintették, de a márka megbízhatósága és az ügyfelek megtartása is elemzés tárgya volt. A támadást elszenvedő szervezetek esetében az incidens hatásai nagyok:

  • Az adatvesztést elszenvedő vállalatok 22 százaléka vesztett ügyfeleket – 40 százalékuk korábbi ügyfeleinek több mint ötödét vesztette el;
  • 29 százaléknál volt bevételcsökkenés, amelynek mértéke a vállalatok 38 százalékánál meghaladta a 20 százalékot;
  • az adatvesztés következtében a vállalatok 23 százaléka veszített el üzleti lehetőségeket, 42 százalékuknál ennek mértéke meghaladta a 20 százalékot.

 

Új „üzleti” modellek a kiber-bűnözésben

Tavaly a kiber-bűnözés egyre inkább vállalati jelleget öltött. A digitalizáció nyomán bekövetkező technológiai változások új lehetőséget teremtenek a számítógépes bűnözőknek. A már bevált technológiák mellett a kiber-bűnözők új módszereket is alkalmaznak, ezekkel pedig leginkább a vállalatok középvezetőit célozzák:

  • Az új módszerek a vállalati hierarchián alapulnak: bizonyos hirdetési kártevők mögött álló személyek középvezetőnek adják ki magukat, így rejtve rosszindulatú tevékenységüket. A bűnözők a módszer révén gyorsabban terjeszkedhetnek, fenntarthatják működési területeiket és elkerülhetik a felderítést.
  • Felhő alapú megoldások és kockázataik: az alkalmazottak által használt külső felhőalkalmazások 27 százaléka magas kockázatúnak számít, és jelentős aggályokat vet fel a biztonság területén.
  • A jól ismert adware-kártevők továbbra is sikeresek, a vizsgált szervezetek háromnegyedét fertőzték meg.
  • Kiemelt figyelem irányult a nagy exploit kitek (Angler, Nuclear, Neutrino) visszaszorítására. A keletkezett űrt számos kisebb kártevő igyekszik betölteni.

* * *

„Hazánkban, elsősorban a zsarolóprogramok terjedése következtében, egyre nagyobb hajlandóságot látunk a biztonsági beruházásokra – jelentette ki szakújságírók előtt Ács György, a Cisco regionális hálózatbiztonsági szakértője. – Ugyanakkor a hazai vállalatok biztonsági stratégiája sok esetben még mindig elsősorban a tűzfalakra épül. Ebben a tekintetben szemléletváltásra van szükség: a megelőzésen túl legalább ilyen fontos, hogy mi történik a támadások alatt és után. Mindemellett a szakemberhiány, illetve az európai adatvédelmi irányelvek bevezetése foglalkoztatja a biztonsági szakmát” – tette hozzá a szakember.

A jelentés szerint a biztonsági riasztások csupán 56 százalékát vizsgálják ki, és a valós jelzések kevesebb, mint felénél történik hatékony intézkedés. A biztonsági szakemberek megbíznak az általuk alkalmazott eszközökben, azonban kihívás a számukra az összetett rendszerek kezelése és a munkaerőhiány. Így a támadóknak elegendő idő és hely áll rendelkezésére, hogy kihasználják a kínálkozó lehetőségeket. A Cisco a következő lépéseket javasolja a behatolások megelőzéséhez, és a kockázatok csökkentésére:

  • Legyen üzleti prioritás a biztonság – A vállalatvezetésnek kiemelten kell foglalkoznia a biztonsággal, és a beruházások során prioritásként kell kezelni a védelmi megoldások és szakemberek alkalmazását.
  • A működési szabályok alkalmazása és megtartása – Folyamatosan figyelendők a biztonsági patchek, frissítendők a rendszerek, és monitorozandók a hálózatok, alkalmazások és az adatok hozzáférési pontjai.
  • Teszteljük védelmi megoldásainkat – Dolgozzunk egyértelmű adatokkal, amelyek segítségével ellenőrizhetjük és javíthatjuk biztonsági megoldásainkat.
  • Alkalmazzunk integrált megközelítést – Az integráció és az automatizálás segítségével növelhető az átláthatóság és a rendszerek átjárhatósága, illetve csökkenthető a támadások felderítési ideje. A biztonsági szakembereknek így csak a valós fenyegetésekkel kell foglalkozniuk, és elegendő erőforrást fordíthatnak az incidensek vizsgálatára.

 

Új biztonsági megoldásokat mutatott be a Cisco

A Cisco új megoldásokkal bővíti biztonságimegoldás-választékát. A Cisco® Umbrella és a Cisco Firepower 2100 következő generációs tűzfal (Next-Generation Firewall, NGFW) a mobil munkavállalók és a modern digitális üzleti modellek számára kínálnak védelmet.

Cisco Umbrella

A digitalizáció terjedésével a munkavégzés folyamata is változik. A mobil munkavégzés egyre nagyobb mértékben zajlik Software-as-a-Service (SaaS) alkalmazásokon keresztül. A Gartner előrejelzése szerint az SaaS alkalmazások használata 70 százalékkal növekszik 2018-ra. Egyre több fiókiroda kapcsolódik majd közvetlenül az internetre, kikerülve a vállalati hálózatok védelmét. A munkavégzés új formái rugalmasságot és hatékonyságot kínálnak, azonban a felhasználók egy része kikerül a hagyományos hálózati és webes biztonsági megoldások védelme alól, illetve a szervezetek sem látják át teljesen a vállalkozásukat fenyegető kiberbiztonsági veszélyeket.

A mobil munkavégzés egyik fontos eszköze a virtuális magánhálózat (Virtual Private Network – VPN) használata. Az IDG felmérése szerint ugyanakkor a mobil munkavállalók 82 százaléka nem mindig használja a VPN-t, illetve sokan hagyatkoznak a helyi internetes biztonsági eszközökre és szolgáltatásokra, amelyek növelik az összetettséget.

A Cisco új termékkategóriaként megjelenő biztonságos internet átjáró megoldása (Secure Internet Gateway – SIG) biztonságos internet-hozzáférést kínál a mobilfelhasználóknak, még akkor is, ha éppen nem kapcsolódnak a VPN hálózatra. Az SIG a biztonságos hozzáférés mellett átláthatóságot és védelmet is kínál a felhasználóknak függetlenül attól, hogy hol tartózkodnak, milyen eszközt használnak, és melyik hálózatra próbálnak csatlakozni.

A Cisco® Umbrella nevet viselő biztonságos internet átjáró megoldás egy felhő alapú biztonsági platform, amely a hálózaton vagy azon kívül dolgozó munkavállalók védelmének első vonala. Az Umbrella blokkolja a rosszindulatú domainekhez, URL-ekhez, IP-címekhez és fájlokhoz való hozzáférést, mielőtt még a kapcsolat létrejönne, vagy a fájl letöltődne. A letöbb támadás a végpontok felé irányul, ezért fontos, hogy minden portot és protokollt egy biztonságos, a forgalom 100%-át lefedő hálózat védjen. Az Umbrella védelme nem igényel összetett működési környezetet. A teljesen felhő alapú működés miatt nincs szükség hardverek telepítésére, vagy a szoftverek manuális frissítésére. Azok az ügyfelek, amelyek rendelkeznek valamilyen Cisco megoldással – AnyConnect® klienssel, az Integrated Services Router 4K széria valamely tagjával, vagy vezeték nélküli LAN-vezérlővel – könnyedén irányíthatják belső vagy külső internetes forgalmukat az Umbrella megoldáson keresztül.

A Cisco Umbrella legfontosabb tulajdonságai:

  • Átláthatóság és védelem mindenhol: az Umbrella a hálózaton található összes eszköz számára biztonságos internetelérést biztosít. A Cisco Cloudlock Cloud Access Security Broker technológiájával láthatóvá válik, hogy éppen milyen Saas alkalmazásokat használnak, továbbá veszélyes vagy helytelen használat esetén lehetőség van azok blokkolására is.
  • Támadások megállítása még indulásuk előtt: az Umbrella naponta több mint 100 milliárd internetes kérést kezel, és az élő adatokat összeveti mintegy 11 milliárd korábbi eseménnyel. Az elemzések révén minták és anomáliák fedezhetők fel, valamint automatikus modellek létrehozásával feltérképezhetők a támadási struktúrák, mielőtt azok tovább terjedhetnének a hálózaton.
  • Kiterjedt figyelem a rosszindulatú fájlokra:az Umbrella a Cisco biztonsági eszköztárának széleskörű használatával teljes képet nyújt a támadások korai felismeréséhez és megállításához:
    • Gépi tanulási modellek tárnak fel már ismert és új veszélyforrásokat, illetve DNS és IP szinteken blokkolják a rosszindulatú címekhez való kapcsolódást.
    • A Cisco Talos biztonsági intelligencia blokkolja a rosszindulatú URL-eket HTTP/S szinten.
    • A Cisco Advanced Malware Protection (AMP) felderíti a rosszindulatú fájlokat és a felhőben blokkolja azokat.
  • Könnyen integrálható nyílt platform: Az Umbrella képes már meglévő rendszereket integrálni, beleértve biztonsági megoldásokat, intelligens platformokat, valamint azokat az egyedi, házon belül elérhető eszközöket, amelyek révén a védelem kiterjeszthető a peremhálózatokon kívül eső helyszínekre és eszközökre.
  • SaaS alkalmazások feltérképezése és ellenőrzése: A Cloudlock technológia alkalmazásával az Umbrella lehetővé teszi a szervezetek számára, hogy azonosíthassák és ellenőrizhessék az SaaS alkalmazásokban lévő érzékeny adatokat, a hálózaton belül és kívül egyaránt.
  • Megbízható és gyors kapcsolatok a jobb felhasználói élményhez: az Umbrella használatakor a felhasználók nem tapasztalnak lassulást vagy szakadozást a hálózati kapcsolatokban. Az Umbrella megoldásban használt Anycast routing révén minden adatközpont ugyanazt az IP címet kapja meg, így a kérések a leggyorsabban elérhető központba továbbítódnak, 100%-os rendelkezésreállást biztosítva.

A Cisco Umbrella megoldás egy rövid regisztrációt követően ingyenesen kipróbálható, további információ a Cisco weboldalán található.

 

Cisco Firepower 2100

A kiberbiztonsági megoldásoknak lépést kell tartaniuk a növekvő igényekkel, beleértve a legújabb veszélyforrásokat és sebezhetőségeket; mindezt anélkül, hogy korlátoznák az alkalmazások vagy a hálózatok teljesítményét.  Azonban a következő generációs tűzfalak esetében gyakran tapasztalható, hogy a betörés vizsgálati funkció bekapcsolásával több mint 50%-kal csökken a teljesítmény. Ez jelentős hatással lehet az olyan webes alkalmazásokra, mint a webáruházak, vagy az online bankolás, amelyek esetében elvárás a magas rendelkezésre állás, és gyakran célpontjai a kibertámadásoknak is. A jobb felhasználói élmény érdekében a vállalkozások sokszor olyan kritikus biztonsági funkciókat kapcsolnak ki, amelyekkel nemcsak magukat, de felhasználóikat is veszélyeztetik.

A Cisco Firepower® 2100 Series Next-Generation Firewall (NGFW) megoldást azoknak a vállalkozásoknak fejlesztették, amelyeknél nagy mennyiségű bizalmas banki vagy kereskedelmi tranzakció zajlik, illetve fontos a folyamatos rendelkezésre állás, valamint a kritikus üzleti adatok és funkciók védelme. Teljesítménye (1.9 Gbps-től akár 8.5 Gbps-ig modelltől függően) akár duplája is lehet a versenytársakénak. A Cisco a biztonsági portfólió menedzselését is megkönnyítette. Az új megoldások között megtalálható a tűzfalak telepítését egyszerűsítő Cisco® Firepower Device Manager, a Cisco Firepower Management Center, amely a biztonsági megoldások központosított működtetését teszi lehetővé, illetve a felhő alapú megoldások menedzselését támogató Cloud Defense Orchestrator.