2015. április 3., péntek

IDC IT Security Roadshow 2015

Az IDC nemrég rendezte meg a 2015-ös IT Security Roadshowját, ami nem csak hazai pályán volt az egyik legjobb ITsec rendezvény, amire ellátogattam.

Ha valaki követi az informatikai biztonsággal kapcsolatos híreket, különböző konferenciák témáiban igen nagy az átfedés fedezhető fel, amiben viszont már jelentős különbségek vannak, hogy egy-egy témában a
vendégek tudásához mennyit tud hozzáadni egy-egy előadás, ilyen szempontból pedig az IDC kitett magáért. Több húzónév is volt az előadók közt, akik olyan naprakész és pontos információkat tudtak mondani  különböző fenyegetések gyakoriságáról valamint természetéről, amit máshonnan nem igazán lehetett volna beszerezni és persze konkrét megoldásokat is ajánlottak ezekre a fenyegetésekre. Minden előadáson ugyan nem tudtam ott lenni, amin voltam, tényleg kiváló volt.

Csósza Lászlótól előadást hallhattunk a 0 day-eket kihasználó kártékony programok elleni védelem  lehetőségeiről, ami egyre fajsúlyosabb a különböző gyártók számára, nem véletlenül: egy-egy zero-day sebezhetőség, azaz olyan, biztonsági szempontból kihasználható programhiba, amit még nem bugreportoltak és javítottak, ilyen módon sokkal nehezebben azonosítható, mint egy vírusdefiníciós adatbázisban például szignatúra alapján felismerhető kártevő vagy tipikus, jól ismert betörési kísérletre jellemző események azonosítása, kihasználható lehet a malware-ek számára is. Az előadásból kiderült, hogy a vállalatok 84 százalékánál nyitottak már meg fertőzött csatolt fájlt tartalmazó emailt, ahogyan az is, hogy a már ismert malware-ek 0,7%-a is átmegy a hagyományos antivírus-termékeken, míg az ismeretlen malware-ek közül körülbelül az összes 5%-a jut át, a kártékony kódok legnagyobb része márpedig email-csatolmányként  érkezik a vállalati hálózatokba. Ami már elgondolkodtatóbb adat, hogy néha 79 perc telik el a 0day-t
kihasználó malware települése és azonosítása közt, így érthető, hogy miért egyre égetőbb a kutatók számára, hogy valamiféle megoldást próbáljanak nyújtani a problémára.

Hozzáteszem, a malware-ek jókora része ma már különféle trükköket vet be annak ellenőrzésére, hogy valódi, éles környezetben, operációs rendszeren fut-e vagy éppenséggel még csak az antivírus-termék által kialakított virtualizált környezetben, viszonylag elkülönített helyen, az ún. sandboxban - például úgy, hogy megpróbálja megfigyelni, hogy van-e a felhasználói magatartásra általánosan jellemző egérmozgás.

A CheckPoint ún. Threat Extraction technológiájának a lényege, hogy például PDF állomány esetén a dokumentumot gyakorlatilag másik PDF-dokumentummá nyomtatják ki, így csak a tényleges tartalom marad benne, majd ez jut el a címzett gépére, nyilván, az esetlegesen kártékony kód nélkül. A bemutatott megoldás megtartja az eredeti dokumentumot is, mindenesetre egy nagyon hatékony technológiának tűnik egy olyan környezetben, ahol - valljuk be - az alkalmazottaktól nem várható el, hogy soha nem nyissanak meg csatolmányként érkezett dokumentumot anélkül, hogy alaposan ellenőriznék annak forrását. Az eredeti dokumentum megtartása azért fontos, mert ha a konvertálás közben a felhasználóhoz kerülő dokumentum egy fontos része elveszne, még mindig előszedhető az eredeti példány. Ami bennem felmerült, például az, hogy a digitálisan aláírt dokumentumok digitális szignója a letisztított dokumentumokban [hiszen a digitális aláíráshoz elengedhetetlenül hozzátartozik a dokumentum sértetlenségét igazoló ellenőrzőösszeg], de ez még mindig kisebb kockázattal jár, mintha a dokumentumok threat extraction nélkül kézbesítődnének. Abban az esetben, ha a szoftvermegoldás csak a vélhetően kártékony elemeket próbálja kigyomlálni a  dokumentumból, a hatékonyság csak 93%-os, amihez szervesen hozzátartozik a threat emulation is, ami lényegében a malware viselkedését próbálja elemezni és az adminisztrátort képes riasztani szükség esetén. Amellett, hogy ilyen összetételű sandboxing megoldás csak ebben a termékben fordul elő, mindenki számára érdekes lehet, hogy ingyenesen elérhető webes alkalmazás is van a dokumentumok ellenőrzésére, ami a www.threat-cloud.com címen érhető el.

Ha már malware - ezt követően Gyenese Péter előadásában elmondta, hogy az IBM QRadar biztonsági  megoldásában az alkalmazások működése közben olyan naplóállomány készül, ami rögzíti annak szinte minden mozzanatát, az így készült óriáslogokat pedig aztán automatizáltan lehet kielemezni és időben  azonosítani a fenyegetéseket.

Hirsch Gábor előadásában a kritikus infrastruktúrák védelméről és a Fortinet tűzfalmegoldásairól beszélt,  persze a tűzfalak már jóideje sokkal okosabbak, mint a hagyományos értelembe vett tűzfalak. Szóba került, hogy 250-nél is több szakértőjük folyamatosan dolgozik, a 2014-es év utolsó negyedévében 150 terabyte méretű fenyegetési mintázatot tároltak és a folyamatosan növekvő elosztott adatbázisok alapján alakítják ki az ügyfeleknél többek közt az IPS [behatolást megelőző] szabályrendszert, külön az alkalmazások   biztonságára vonatkozó szabályokat. Persze olyan megoldások kidolgozása a cél, ami egyrészt az ipari vezérlő rendszerek kiszolgálásához egyrészt iparág-specifikusak, másrészt extrém működési körülmények  közt is megbízhatóan működnek, ezen kívül időben képesen az észlelt eseményeket továbbítani a Fortinetnek és annak ügyfelei felé.

A CrySystől  Bencsáth Boldizsár a legkifinomultabb fenyegetésekkel kapcsolatos trendekről beszélt, az APT, azaz Advanced Persistent Threat a saját meghatározásom szerint olyan kifinomult, célzott, professzionális fenyegetetés, ami tipikusan sok ideig rejtve marad, alapvetően több komponens  működtetésével okoznak kárt ún. C&C szervereken keresztül a bűnözők.

Az előadás legfontosabb mondandói közt volt, hogy gyakorlatilag a cyberwar, azaz a sokszor kormányzati szervekhez, államokhoz köthető támadások és a cyber crime, ami bűnözői csoportok által indított támadások gyűjtőneve, két olyan kategória, amik közt már nem csak, hogy nem érdemes, sokszor nem is lehet különbséget tenni. Többek közt, mivel sokszor nagyon hasonló vagy azonos exploitokat használnak, az APT-k nagyon nagy része közt a kiigazodás már szinte lehetetlen, az anti-APT rendszerek pedig rendszerint költségesek és nem működnek túl nagy hatékonysággal.

Egyébként a CrySys csapata volt annak idején, amelyik a világra úgy igazából ráijesztő kártevőnek, a  Stuxnetnet a kistestvérét, a Duqu-t azonosította, a teljes sztoriról egyébként erre olvasható egy egészen kimerítő cikk: https://firstlook.org/theintercept/2014/11/12/stuxnet/

Az IDC tényleg kitűnően eltalálta a legfontosabb témákat és megtalálta a témákhoz a legjobb előadókat.