Amilyen könnyű ma kibertámadásokat indítani, annyira bonyolulttá válik az ellenük való védekezés. A mesterséges intelligencia mindkét oldalt segíti, a NIS2 és a hozzá hasonló szabályozások pozitív hatása pedig csak később érvényesül majd. Csinos Tamást, a Clico Hungary country managerét Schopp Attila, az IT Business főszerkesztője kérdezte.
Egyetlen hiba is elég lehet
Hogyan alakul manapság a világ kiberfenyegetettségi térképe? Minden megy tovább, csak még nagyobb számban, vagy megjelentek esetleg teljesen új fenyegetettségek is, amelyekkel korábban nem találkoztak a felhasználók? Ma már például egyre kevésbé találkozunk olyan statisztikákkal, hogy másodpercenként hány támadás történik…
Valóban nem látunk ilyen statisztikákat, de nincs is nincs értelmük. Annyi támadás megy végbe minden pillanatban, hogy az összesített számok már nem mondanak semmit. Amit fontos lenne minden szervezetnek tudni, hogy naponta vagy havonta hány támadás éri az ő saját rendszereit. A gond azzal van, hogy a legtöbb cég még ezzel sincs tisztában, nem is érzik, hogy a fenyegetettség, a kockázat folyamatos és egyre nő. Ami megüti a média, különösen a tömegmédia ingerküszöbét, az csak a jéghegy csúcsa. (Ilyen volt például az OTP vagy az Oracle elleni támadás.) Tehát a legfőbb trendnek azt mondhatnám, hogy a kibertámadások száma folyamatosan nő, és tényleg bárkiből lehet célpont.
“Tehát a legfőbb trendnek azt mondhatnám, hogy a kibertámadások száma folyamatosan nő, és tényleg bárkiből lehet célpont.”
Mi a leggyakoribb támadási forma?
Azt látni kell, hogy alapvetően kétféle támadásról beszélhetünk. Az egyik a nem célzott, amikor úgymond sörétes puskával beledurrantanak a tömegbe, például amikor vaktában kiszórják az éterbe az adathalász emaileket vagy valamilyen más kártevőt, és remélik, hogy valaki fennakad a horgon. Ezek a gyakoribbak, a nagyobb számúak és több áldozatot szednek. És vannak a célzottak – az előbbi hasonlatnál maradva, amikor gondos előkészület után mesterlövész-puskával szednek le egy célpontot –, vagyis kiszemelnek egy-egy áldozatot, alaposan felderítik a rendszereit, és őrá szabott módszerrel igyekeznek megszerezni az adatait. Ezekből van kevesebb, de általában ezek a sikeresebbek is.
De visszatérve a támadásokra, továbbra is egyértelműen a zsarolóvírus viszi a pálmát, abból lehet a leggyorsabban és a legkönnyebben pénzhez jutni. Nagyon ritkán ismerik el az áldozatok, de gyakran fizetnek, különösen a nagy cégek, amelyeknek pénzük is van, és különösen súlyosan érintené őket az adataik elvesztése. És amíg lesznek cégek, amelyek hajlandók fizetni, addig lesznek támadók is.
Van valami különös oka annak, hogy gyorsuló ütemben nő a támadások száma?
Leginkább csak az, hogy fejlődik a technológia és – ha fogalmazhatok így -, a kártevők körüli ökoszisztéma. Soha nem volt még ilyen olcsó támadásokat indítani: teljes körű online szolgáltatások érhetők el az internet megfelelő bugyraiban, bármilyen csapást össze lehet állítani bármiféle technikai tudás nélkül. A kiberbűnözők sem sajnálják a pénzt a kutatás-fejlesztésre, a Covid miatti lezárások ráadásul sok „régivágású” bűnözői csoportot is az online világ felé tereltek, és mivel itt kisebb a lebukás veszélye, hát itt is maradtak.
Miben és hogyan használják fel a mesterséges intelligenciát a támadó oldalon?
Ugyanúgy tudnak folyamatokat optimalizálni, emberi erőforrást megtakarítani vagy új módszereket kidolgozni, mint minden más szervezet. Rögtön a folyamat legelején, a sérülékenységek felderítésében jó hasznát lehet venni. Az internet éppen azért tud működni, mert viszonylag kevés és egyszerű kommunikációs szabványra épül. Az OSI-modellnek van hét rétege, ahhoz különböző protokollok tartoznak, amelyek a megvalósításban különbözhetnek, de nem olyan nagyon.
Összességében így az alap támadási technikákból legfeljebb néhány tucat van, ezeket lehet kombinálni, mint egy sakkjátszmában az egymás után következő lépéseket. Ha erre indulsz el, akkor ilyen védekezésre számíthatsz, arra ez a válaszlépés jön, és így tovább. Az MI sokkal gyorsabban végig tudja pörgetni az összes várható lépést, jóval gyorsabban kielemzi a válaszreakciókat, hogy azok alapján meghatározza és finomítsa a támadás következő fázisát. Az eredmény pedig az lesz, hogy a bűnözők gyorsabban reagálnak, egyre szofisztikáltabb és így sikeresebb támadásokat indítanak.
Ugyanezek a lehetőségek a védők oldalán is rendelkezésre állnak, vagy nem?
Természetesen, és az IT-biztonsági eszközök fejlesztői már jóval a generatív mesterséges intelligencia felfutása előtt alkalmazták a tanuló algoritmusokat az incidensek szűrésére, detektálására, korrelációjára. A kibertámadás és a védekezés mindig is egyfajta macska-egér játék volt. A védők kialakíthatnak ezer védelmi kontrollt is, a támadók csak egyetlen hibára várnak, hogy azt kihasználva bejussanak a rendszerbe. De ha bejutottak, akkor fordul a kocka. Ott már a védők vannak hazai terepen, ők ellenőrzik, monitorozzák a rendszereket, és ha a támadók elkövetnek egy hibát, akkor meg lehet találni és meg lehet állítani őket. Minden azon múlik, ki a hatékonyabb. Ha elég gyorsak a támadók, és sikerül telepíteniük a zsarolóvírust vagy ellopniuk az adatokat, akkor ők nyertek. Ha a védők ügyesebbek, akkor még ezelőtt nyakon csípik őket.
A technológiai fejlődés, a vállalati informatikai infrastruktúrák átalakulása milyen szemléletbeli változásokat hozott a kiberbiztonságba?
A teljes szemléletváltás még nem jött el, de szerintem nagyobb lett a nyitottság arra a gondolkodásmódra, amely a prevenció helyett a detektálásra, vagyis a megelőzés helyett az észlelésre helyezi a hangsúlyt. Mert mi a klasszikus gondolkodásmód? Minden áron igyekezzünk megelőzni a támadásokat. Ha az én házam körül magas kerítés van, az ajtón bonyolult zár, akkor a betörő nem nálam próbálkozik, hanem megy a szomszédhoz. És valamilyen szinten ez persze működik is, a kóbor betörők, a nem célzott támadások ellen elég jól véd. De ha a te házadban van valami, amire a betörőnek szüksége van, akkor ez nem rettenti el, és nem fog a szomszédnál próbálkozni. Megnézi, hogy milyen magas a fal, hogyan lehet kinyitni az ajtót, előbb-utóbb be fog jutni, és megszerzi, ami neki kell, legyen az ügyféladat, pénzügyi információ vagy szellemi tulajdon. A célzott, szofisztikált támadások ellen ma már egyre kevésbé lehet így védekezni, különösen, hogy azt sem tudjuk, hova húzzuk fel a falat és hova építsünk ajtókat, hiszen nem minden esetben egyértelmű, hol ér véget a saját területünk és kezdődik a másiké.
Hogyan néz ki akkor egy modern védekezési szemlélet?
Az a lényeg, hogy a prevent-detect-response, tehát a megelőzés-észlelés-elhárítás hármasából ne csak az elsőre koncentráljunk. Természetesen nem azt mondom, hogy a megelőzésre nem kell figyelni – mindent meg kell tenni, hogy a támadókat lehetőleg ne engedjük be. Csak éppen tartsuk észben, hogy nem tudunk mindenkit kívül tartani, lesznek olyanok, akik minden óvintézkedés ellenére bejutnak a hálózatunkba, a rendszereinkbe. Ha pedig ez megtörténik, akkor álljanak készen az eszközeink és a módszereink, hogy minél hamarabb észleljük a behatolót, mérjük fel, hova jutott be, mekkora kárt okozott, majd legyenek forgatókönyveink a támadás elhárítására és a következmények felszámolására. Ezt a szakma egy része már évek óta hangsúlyozza, és most talán látunk valamilyen elmozdulást. Szerencsére az IT-biztonsági szabályozások, a NIS2-től a DORA-ig, szintén komoly hangsúlyt fektetnek a reagálási képességek fejlesztésére.
A platformok kora jön?
Miközben a fenyegetettségek nőnek, az IT-biztonsági szakemberhiány mit sem csökkent, ami miatt a védelmi rendszerek üzemeltetése, a kontrollok működtetése is sok nehézséget okoz. A megoldás egyik összetevője a platformizálás lehet – mondja Csinos Tamás.Ennek lényege, hogy a különféle biztonsági feladatokra nem különböző gyártóktól származó, önmagukban nagyon jó (best-of-breed) megoldásokat alkalmaznak, hanem olyan, jó minőségű integrált platformot, amely egyszerre számos funkciót lát el. A platformok komponensei egyetlen felületről vezérelhetők, a legfontosabb információk is elérhetők egyetlen helyről, mert az adatokat is központilag tárolják. A komponensek közötti adatcsere bonyolult integrációs feladatok nélkül is megoldható, ami nemcsak a bevezetés idejét csökkenti le, hanem a működés során az incidensekre való reagálást is gyorsabbá teszi.
Az elhárítás nem azért maradt le a többi mögött, mert azt nehezebb automatizálni, mint a másik kettőt, több élőerő kell hozzá, miközben szakemberekből köztudottan hiány van?
Nem mondanám, hogy a reagálást nem lehet automatizálni, és az említett szabályozások is nem kis részben azt a célt szolgálják, hogy módszert, rendszert vigyenek be erre a területre. A jogszabályok részletesen leírják, hogy milyen adatokat és milyen formátumban kell egy incidens esetén a hatóságnak jelenteni. A hatóság nem azért kéri ezeket az adatokat, mert úri kedve úgy diktálja, hanem mert ezekből tud következtetni a támadás jellegére és súlyosságára, vagyis ezek az adatok hasznosak a védelem szempontjából is. Innentől kezdve nem kell mást csinálni, mint ezeket az adatokat felhasználni a védekezésben, azokra építve beállítani a kontrollokat, az eszközöket. Vagyis a reagálás jó része is automatizálható, pláne a mesterséges intelligencia segítségével, és ehhez nagy segítséget adnak majd a biztonsági platformok. (Lásd a „Platformok kora jön?” című keretes írásunkat!)
Ha már a szabályozások szóba kerültek: a tavalyi év nagyrészt a NIS2-ről szólt a kiberbiztonságban, számos határidő járt le tavaly. Érezhető-e már a hatása a felhasználók, az érintett vállalatok biztonsághoz való hozzáállásában, esetleg az IT-biztonsági eszközök és szolgáltatások piacának növekedésében?
Erről szerintem még korai lenne bármit is mondani. A tavalyi év a felkészülésről szólt, az idei lesz az első, amikor már tényleges auditokat folytatnak le, tehát feketén-fehéren kiderül, hogy mennyire jól valósították meg az érintettek a kontrollokat, mennyire felelnek meg a szabályozás előírásainak. Az biztos, hogy a felkészülés során számos olyan dokumentum készült, amelyet a vállalatok jól tudnak hasznosítani, készíthetnek alapos intézkedési tervet, amelyből a még esetleg hiányzó kontrolljaikat, eljárásaikat javíthatják, kiegészíthetik.
Ennek még csak az elején járunk, ezért az IT-biztonsági piacon nem is látszik óriási fellendülés, és én nem is számítok erre. A NIS2 persze sok mindent előírt, de a költségvetést a cégeknek kell ehhez hozzárendelniük, és egyáltalán nem biztos, hogy erre megvan a forrás. Időbe fog telni, amíg a cégek gondolkodásmódja átáll arra, hogy az IT-költségvetésemnek nem egy százalékát költöm biztonságra, hanem mondjuk ötöt.
Azt is hozzá kell tenni ehhez, hogy az IT-biztonság azért eddig is szépen fejlődő piac volt, gyorsabb ütemben nőtt, mint az informatikai piac egésze, pont az állandósult fenyegetettség miatt. Valószínűleg a NIS2 megtolja majd ezt is, de nem azonnal és nem lökésszerűen.
Akkor cégvezetőként bizakodva néz a 2025-ös évre?
Részben mindenképpen, mert hiszem, hogy az IT-biztonsági piac továbbra is lendületesen nő majd, és amikor lendületesről beszélek, akkor a forgalom két számjegyű növekedését értem alatta, ami azért az IT-piac nem sok szegmenséről mondható el. Ez mindenképpen biztató a jövőre nézve.
Ugyanakkor nem tekinthetünk el attól, hogy mi is és ügyfeleink is ki vannak téve a gazdaság mostanában hektikus változásainak. Egyelőre nem tudom, de szerintem más sem, hogy a vámháború szele hogyan csap meg minket. Nemcsak szoftvereket és szolgáltatásokat értékesítünk, hanem hardvereket is, és azok nagy része hiába készül az Egyesült Államokban, számos olyan komponens van bennük, amelyik harmadik országból jön. A legutóbbi hírek szerint a chipek mégsem lesznek vámkötelesek, de ez a helyzet bármikor változhat, és így nagyon nehéz tervezni. Vagy mi történik, ha a vámok a szolgáltatásokban is megjelennek, és a Google, a Microsoft vagy az Amazon felhője hirtelen kétszer annyiba kerül, mint eddig?