A COVID-19 világjárvány számos új kihívást generál az üzleti alapfunkciók működésének folyamatos fenntartására törekvő – és ezzel párhuzamosan sokféle új munkastílust támogató –szervezetek és technológiai csapataik számára. Ráadásul ezeket a feladatokat jelentősen megváltozott kockázati profil mellett, gyors változások közepette kell végrehajtaniuk.
- Perfekcionizmus helyett hatékony patch-telepítés
Sok IT-vezető az erősen szabályozott szemléletet részesíti előnyben a szoftverek biztonsági patchelése terén, hogy minimumra szorítsa az IT-működésre gyakorolt potenciális negatív hatást. Ez a perfekcionizmus azonban olyan patch-kezelési rutin kialakulásához vezethet, amely szükségtelenül megnöveli a támadási felületet.
Az EternalBlue SMBv1 sérülékenységre például már két hónappal a széles körű támadások előtt volt patch, de sok vállalat azért esett áldozatul a támadásnak, mert akkorra még nem frissítette a szoftvert. Ez jól érzékelteti a rendszeres patchelés fontosságát.
Arra számíthatunk, hogy a gátlástalan támadók agresszíven próbálják kihasználni a megváltozott munkagyakorlat kínálta lehetőségeket, miközben az IT-üzemeltető csapatot nagyrészt lefoglalják a COVID-19 világjárvány kezelésével járó feladatok. Javasoljuk, hogy a vállalatok gyakran telepítsék a patcheket, és inkább kezeljék a felmerülő problémákat, ahelyett, hogy hónapokig várnának tétlenül a tökéletes patchre.
- A munkavállalók felkészítése a COVID-19 adathalász e-mailek felismerésére (amelyek különösen nagy kockázatot jelentenek az Office 365 felhasználói számára)
Mindenki élénken érdeklődik a COVID-19-cel kapcsolatos hírek iránt, és rengeteg e-mail érkezik ebben a témában mind belső, mind külső forrásból. Ezt kihasználva a támadók kiterjedt kampányok keretében, koronavírus tárgyú adathalász üzenetekkel veszik célba az Office 365 felhasználóit.
Ha a támadó sikeresen hozzáfér egy Office 365-fiókhoz, számos egyéb Microsoft szolgáltatást is elér (pl. SharePoint, OneDrive és Skype). Ezután saját céljaira használhatja a beszélgetések üzenetváltásait – például eltéríthet pénzügyi tranzakciókat, vagy a saját kéréseit igazoló üzeneteket küldhet az üzenetküldő alkalmazásokkal.
Az adathalász támadások célja a bejelentkezési adatok eltulajdonítása. Ezért az oktatás részeként tájékoztatni kell a felhasználókat, milyen helyzetben várhatják el tőlük Office 365 bejelentkezési adataik megadását.
Javasoljuk, hogy minden felhasználóban tudatosítsák, hogyan kell kinéznie a világjárvánnyal kapcsolatos kommunikációnak, és kik lehetnek a feladók. Fontos az is, hogy a felhívják figyelmüket a COVID-19-cel kapcsolatos tanácsadást, frissítéseket, védekező mechanizmusokat kínáló, kéretlen külső e-mailek veszélyére. A biztonsági csapatoknak érdemes lehet válságspecifikus teszteket végezniük a felhasználók körében.
- Különös éberség a felsővezetői e-mail fiókoknál
A felsővezetők eszközein tárolt kényes adatok különösen nagy értéket képviselnek a támadók számára. A feltört vezetői fiókok segítségével könnyen megtámadhatnak más belső és külső felhasználókat, mivel a munkatársak és az ügyfelek is nagyobb eséllyel bíznak meg a látszólag felsővezetői forrásból származó levelek hivatkozásaiban és mellékleteiben.
A felhasználókat fel kell készíteni arra, hogy kiszűrjék azokat az e-maileket, amelyek látszólag kollégáktól vagy vezetőktől érkeznek, de – például a hangvételük, a nyelvtani hibák vagy a túl általános utalások (pl. „a fontos projekt”) miatt – gyanúsak.
A szervezetnél mindenkinek tudnia kell, hogyan észlelheti és jelentheti a gyanús adathalász kísérleteket. Az értékes felsővezetői fiókok mellett a teljes szervezetre ki kell terjeszteni az éberséget, hiszen csak így lehet elhárítani a felhasználók jóvhiszeműségével visszaélő „social engineering” támadásokat.
- Célzott biztonság
A munkavégzési gyakorlat megváltozott. Sokkal több felhasználó, mobileszköz és távmunkás kapcsolódik elosztott módon a céges hálózatokhoz, mint korábban bármikor.
Ezért kiemelten fontos, hogy a biztonsági figyelőrendszerek és folyamatok gyorsan azonosítani tudják a hálózati anomáliákat és a támadás jeleit.
A szervezeteknek kockázatalapú szemlélettel be kell határolniuk és folyamatosan figyelniük kell a legmagasabb szintű kockázatot képviselő adatokat, felhasználókat és rendszereket. Figyelembe kell venniük azt is, hogy az idő előrehaladtával változhatnak a prioritások.
Előfordulhat például, hogy egy fizikai üzleteket üzemeltető szállítónál most az e-kereskedelem a fő értékesítési csatorna, míg a napi működés során valószínűleg az együttműködési eszközök fontossága növekedett meg jelentősen.
- Az internetbiztonsági oktatás beépítése a távmunka gyakorlatába
Az ismerős otthoni munkakörnyezetnek lehet olyan negatív hatása, hogy a felhasználók nagyobb valószínűséggel keresnek fel kétes webhelyeket és kattintanak rá olyan hivatkozásokra, amelyeket az irodai környezetben figyelmen kívül hagynának.
Tekintve, hogy a támadók megpróbálják aktívan kihasználni a távoli munkavégzés sérülékenységeit, a szervezeteknek gondoskodniuk kell arról, hogy munkavállóik is kivegyék a részüket a vállalat védelméből. Meg kell osztaniuk bevált gyakorlatukat, egységes biztonságtudatossági oktatásban kell részesíteniük a dolgozókat a home office használatával kapcsolatban, és meg kell könnyíteniük számukra az incidensek valós idejű bejelentését.
- Megbízható, biztonságos hálózati hozzáférés
A megbízható és biztonságos hálózati hozzáférés fenntartása kritikusabb, mint valaha. Ugyanilyen fontos, hogy az összes felhasználó és eszköz hozzáférjen a munkavégzéshez szükséges erőforrásokhoz. Ez egyben azt is jelenti, hogy az illetéktelen felhasználókat és eszközöket meg kell akadályozni a hálózati erőforrások elérésében.
Éberségre van szükség az árnyék-IT használatával kapcsolatban, ösztönözni kell a jóváhagyott eszközök, készülékek, üzenetküldő és egyéb alkalmazások (pl. fájlküldő és dokumentumkezelő megoldások) használatát.
Fontos, hogy a felhasználók tudják, milyen felelősség terheli őket a vállalati eszközök és hálózatok használatával kapcsolatban, kellően ismerjék a releváns szabályzatokat, és világos iránymutatást kapjanak az elfogadható és a tiltott eszközökre és alkalmazásokra vonatozóan.
- A bizalom újradefiniálása
A biztonságos távoli hozzáférés kritikus az eredményes működés szempontjából. Ez azt jelenti, hogy felül kell vizsgálni a régi koncepciót, miszerint a biztonságos hálózaton belül minden eszköz megbízható, azon kívül pedig egyik sem.
Mivel a céges és személyi eszközök a céges hálózaton belülről és kívülről is teljesen legitim módon próbálják elérni az adatokat és a rendszereket, az IT-biztonsági csapatoknak érdemes lehet a zéró bizalom elve alapján, az eszköz helyett az egyedi felhasználóra „átruházni” a bizalmat.
Ez azt jelenti, hogy az üzleti rendszerek elérését engedélyezni kell, ha azt egy helyes azonosítóval és bejelentkezési adatokkal rendelkező, megbízható személy kéri, ugyanakkor meg kell tiltani, ha egy épp jó helyen lévő eszköz teszi ugyanezt.
- Az internetbiztonság fizikai elemeinek figyelembevétele
A távmunkások a biztonságos fizikai irodai környezeten kívül dolgoznak, és a vállatoknak kell segíteniük nekik a fizikai biztonsági normák betartásában.
Sok cég ellátja távoli dolgozóit a munkabiztonsági szabályoknak megfelelő eszközökkel – legfőbb ideje, hogy megfelelő biztonsági elemekkel is kiegészítsék a csomagot.
Érdemes gondolni például a megjelenített adatokat védő adatbiztonsági szűrőkre, és a kényes alkalmazásoknál az időtúllépés esetén foganatosítandó intézkedésekre, hogy a rendszereket akkor se lehessen megtámadni, ha a munkatársak elfelejtik lezárni őket.
Ezek az intézkedések különösen fontosak akkor, ha a munkavállaló másokkal közösen bérelt ingatlanban lakik.
- Közös munka egy magasabb rendű jó érdekében
A példátlan kihívásokra reagálva sok biztonsági csapat új biztonsági stratégiát dolgozott ki, és akár korlátozott információ birtokában is igyekszik gyorsan reagálni az eseményekre. Mindannyian ugyanazokkal a nehézségekkel szembesülünk, és nem sok sikerre számíthatunk, ha ezeket egyedül próbáljuk leküzdeni.
Az internetbiztonsági kihívások, bevált gyakorlat és tanulságok szakmabeliekkel való megosztása, valamint a külső információs és inspirációs források bevonása az értéklánc és az iparág egészében segíti a biztonsági stratégiák gyors kidolgozását és a hatékony, stabil működést.
Forrás: Fujitsu blog / Magyarország