2014: a jóslatok Máriás Zoltán TMSI Kft. zoltan.marias@tmsi.hu CISA, CSM, CNE, CASE antidotum 2014
egy prezentáció legyen tele sok képpel legyen benne videó és mozgás a számokat érdekesen kell tálalni és új 21.századi alapszabály: ne legyen benne listajeles felsorolás. An introverts guide to better presentations (Matt Haughey, 2013)
sajnos nem élhetek listajeles felsorolás (bullet) nélkül
az Oracle angolul ugyanazt jelenti, mint a la prédiction franciául la profezia olaszul die Voraussage németül vagy a jóslat magyarul
a közepesen nagy újítók jóslatai BeyondTrust Imperva Sophos Egy amerikai UTM gyártó
a BeyondTrust jóslatai (I.) #1: Mobil(itás), virtualizáció: fontosak, kell velük foglalkozni, de mi van az alapokkal? Az elkonfigurált és nem naprakész kliens- és szerver gépek miatt a rendszerek veszélyeztetettek (megoldás: sérülékenységek azonosítása, patchelés -> támadási felület csökkentése) A leghatékonyabb támadások a hagyományos módszereket használják majd a biztonságra kevésbé figyelő cégek ellen. #2: Jobb együttműködés szükséges......az IT üzemeltetés és az IT biztonsági csapatok között (adatok szabad megosztása, kevesebb duplikált feladat, terhelés jobb elosztása, nagyobb rálátás a műveletekre -> az adatok veszélyeztetése nagymértékben csökken)
a BeyondTrust jóslatai (II.) #3: Áttevődik a hangsúly a megelőzésről a gyors észlelésre De ettől még nem szabad feladni a megelőzést, továbbra is el kell tudni választani a jelet a zajtól. #4: Tevékenységek viselkedés-alapú nyomkövetése A szokásostól eltérő viselkedések felderítéséhez, a belső fenyegetések elhárításához, a jobb megelőzéshez #5: Windows XP vége Az újabb rendszereken ne adjunk helyi adminisztratív jogokat, hozzáférést
az Imperva jóslatai (I.) #1: A külsősök által fejlesztett alkalmazásokban rejlő sérülékenységek kihasználása (exploit, franciául különben hőstettet jelent) Egy cég szoftverparkjának 70%-át külsősök fejlesztik (Veracode) Az ilyen fejlesztés biztonságáért senki sem vállalja a felelősséget #2: Az APT-k a web server-eket veszik célpontba A web serverek a végpontoknál is könnyebben érhetők el A web szerverek a természetüknél fogva könnyebben érik el az adatközpontot
az Imperva jóslatai (II.) #3: A mobil eszközök felhasználása a kárdetés (hirdetésekben található fertőzések) céljából A mobilok szinte mindent tudnak, mint a PC Ráadásul Prémium áras SMS-eket tudnak küldeni (azonnali nyereség) Az Android kártevők 60%-a népszerű alkalmazások álcája mögé bújik Kárdetés = Kártevő + hirdetés (Malware + Advertising = Malvertising) #4: A felhőben levő adatokon való rés ütése (data breach) Az SaaS és a DBaaS mindennapossá válik Felkészületlen kis és közepes cégek is saját alkalmazások miatt felhőt építenek
az Imperva jóslatai (III.) #5: Kommersz károkozók készülnek az adatközpontok számára Narilam kereskedelmi alkalmazások adatbázisait támadja Mevade, Shylock, Kulouz károkozók, amelyek DBaaS-t használnak (SQLite) Azonosították azt a károkozót, amely az SAP-t támadja Az Imperva javaslatai Egy új védelmi vonalat kell építeni az adatok közvetlen közelében Adatbázis Tűzfal (database firewall)/állomány Tűzfal (file firewall) A Web Application Firewall lassan nélkülözhetetlen lesz egy cég életében
a Sophos jóslatai (I.) #1: A Felhőben tárolt adatok egyre nagyobb veszélyben A vállalati Felhő felhasználás növekszik, célpontban a mobilok, céges kliensek és hozzáférési adatok Megjelenhetnek a felhőben tárolt adatokat foglyul ejtő ransomware-ek APT-k sikere miatt a régi motoros, pénzügyi kártevőket használó bandák is elkezdik azok kihasználó technikáit használni #2: 64-bites kártevők A 64-bites operációs rendszerek terjedése miatt olyan kártevők megjelenése várható, amelyek már nem futnak 32-bites rendszereken
a Sophos jóslatai (II.) #3: A védelmi vonalak áttörése Új és baljós árnyak a reputációs szolgáltatások, a Felhő-biztonsági adatbázisok, a fehérlistázási és sandbox layerek felett: a legfőbb célpontok Ellopott digitális aláírással aláírt kártevők, új megkerülő technikák, legitim segédeszközök használata rosszindulatú célokkal #4: Mindent hackelni A biztonsági ökoszisztéma nincs jól kiépítve a rengeteg fajta készülék között Az okos eszközök (Internet of Things) elleni támadások egyre gyakoribbá válnak Új lehetséges célpontok: új elektronikus valuták és fizetési technikák (bitcoin, NFC)
egy UTM gyártó (USA) jóslatai (I.) #1: Várható egy hollywoodi filmekbe illő betörés (pld. vízerőmű, vagy a Fed vagy városi közmű jelentős hibája) az ipari (industrial control systems - ICS) és a SCADA (supervisory control and data acquisition) rendszerek sérülékenyek #2: A kibérzsarolások elterjedése Ransomware (pld. Cryptolocker titkosítja az állományokat Office és egyéb dokumentumokat és később 300 BitCoin dollárért visszafejti)
egy UTM gyártó (USA) jóslatai (II.) #4: A kibérbűnözők a felhasználókat veszik célba Egyre inkább bevezetésre kerülnek az APT elleni NGTP-k (a veszélykezelés következő generációs védelme) A technika fejlődésével az ember válik a leggyengébb láncszemmé A pszichológiára és nem a technológiára kerül a hangsúly #5: Chain-of-trust támadások (bizalmi-láncok kihasználása) Nagy rendszerekbe olyan kisebb csatlakozó szervezeteken keresztül próbálnak meg bejutni a támadók, amelyek bizalmi viszonyt élveznek (másodlagos, harmadlagos, pld. SecurID RSA -> Lockeed Martin -> USA hadiipar)
egy UTM gyártó (USA) jóslatai (III.) #6: A kártevők egyre rosszindulatúbbak A legtöbb kártevő nem romboló, mert ha megsemmisíti az eszközt, akkor nem jut hozzá azokhoz az erőforrásokhoz, információhoz, amely a cél A haktivisták támadásai destruktívak lehetnek, mert üzenetük éppen ez Az államok által pénzelt támadások azért lehetnek destruktívak, mert éppen a rombolás a szándék (pld. merevlemezek törlése a Dél-Korea-i támadásban) #8: Bármi ellen lehet támadást indítani (IoT Internet-of-Things) Nem csak PC-k, szerverek, hanem GPS-ek, kamerák, még a defibrillátor ellen is lehet támadást indítani
summa summarum A hackerek nem lankadnak és egyre körmönfontabban támadnak A meglévő eszközök csak korlátozott védelmet biztosítanak Nem lehet csak szignatúra alapú eszközökkel védekezni A támadásokhoz új hozzáállás kell több védvonalban A védelmi vonalat a védendő adatvagyon közelében kell meghúzni Titkosítás, titkosítás és még egyszer titkosítás A felhasználóinkat folyamatosan képezni kell az IT biztonsági kihívásokra még több emberi erőforrásra lesz szükség a feladatok megvalósításához
köszönöm a figyelmet Máriás Zoltán TMSI Kft. zoltan.marias@tmsi.hu CISA, CSM, CNE, CASE antidotum 2014