Prim Hírek

A globális eseményeket és a kormányok által világszerte kötelezővé tett közösségi távoltartást, azon belül a közösségi és szakmai rendezvények betiltását figyelembe véve, a távmunka ma már nem alku tárgyát képező béren kívüli juttatás, hanem a szervezet üzletmenet-folytonosságának alapvető feltétele. 

Ám ennek ellenére, amikor a felhasználók különböző mobileszközökről, többféle hálózaton keresztül, távolról érik el a szervezet rendszereit és adatait, számos olyan kockázat merül fel, amely álmatlan éjszakát okozhat az információbiztonságért felelős felsővezetőnek. Ha az adatokat a biztonságos hálózati határvonalakon kívülről érik el, korábban nem létező támadási felület nyílik meg a kiberbűnözők számára, és rengeteg új sérülékenység jelentkezik a szervezeteknél. Milyen fenyegetésekre kell különösen odafigyelniük az információbiztonsági vezetőknek és az IT-döntéshozóknak távmunka esetén, és hogyan enyhíthetik az ezzel járó kockázatot? 

Kapacitásproblémák

A kapacitás csak első hallásra tűnik egyszerű kérdésnek. A mobil dolgozók VPN-hálózaton keresztül érik el a vállalati hálózatot, ám az ilyen hálózatok jelentősen megterhelik az erőforrásokat, és használatukhoz az is fontos, hogy a szervezet elegendő licenccel rendelkezzen a biztonságos távhozzáféréshez. 

Ezenkívül, az IT-döntéshozóknak azt is meg kell határozniuk, hogyan fogják a biztonságos hozzáféréskezelési megoldások prioritási sorrendbe állítani az elsőbbségi sávszélesség iránti igényeket. A csatlakozást lassíthatja, ha a felhasználók kevésbé kritikus, nagyméretű fájlokat töltenek fel vagy le a hálózatban, mivel ezek az állományok csökkentik a kritikus vállalati IT-rendszerekhez dedikált sávszélességet. 

Az üzletmenet-folytonosság és a katasztrófa utáni visszaállás megtervezésekor a szervezeteknek gondosan meg kell vizsgálniuk a kapacitás szempontjából kritikus tényezőket, köztük a licenckezelést, a rendelkezésre álló sávszélességet, hogy fel tudjanak készülni az igények váratlan megugrására. Ahhoz, hogy biztonságosan felhőalkalmazásokhoz tudják rendelni a webes forgalmat, az IT-döntéshozóknak érdemes fontolóra venniük a Cloud Access Security Broker (CASB) megoldások használatát. A CASB-szolgáltatásokkal biztonsági monitorozás és a biztonsági szabályok érvényesítése mellett  tudják kezelni az igényeket, így biztosítva a felhasználók és az alkalmazások megfelelő védelmét. A nagyvállalatoknak a már eddig is használt szolgáltatásoknál (pl. Microsoft Azure) elérhető biztonsági funkciókat is tanácsos igénybe venniük a kihívások kezelésére.

stormshield.com

Védtelen eszközök 

Mivel manapság gyakran frissítik a mobilbiztonsági szoftvereket, az eszközökre rendszeresen le kell tölteni a hibajavító kódokat a biztonság fenntartásához. Ez különösen releváns a saját eszközök munkacélú használata (BYOD) esetén, amikor a natív mobileszköz-biztonsági szoftver nem feltétlenül képes kielégíteni a szervezet által támasztott követelményeket. A patchek és a frissítések kezelik az ismert biztonsági problémákat – telepítésük elmulasztása viszont új támadási felületet nyit meg a kiberbűnözők előtt. 

Az IT-döntéshozóknak gondoskodniuk kell róla, hogy megfelelő patching-folyamatok támogassák az eszközök folyamatos biztonságát. Ehhez láthatóvá kell tenni, hogy mi csatlakozik a hálózathoz, és követni kell a csatlakozó eszközök műszaki állapotát, így a legutóbbi frissítés időpontját is. Ezzel összefüggésben azt is fontos látni, milyen új frissítésekkel jelennek meg a hardver- és szoftverszállítók, hogy elérhetőségük időpontjában azonnal telepítsék is őket. 

A gyanús viselkedés nehezen figyelhető 

Mivel a távmunka jellegéből adódóan a vállalat biztonsági határvonalain kívül zajlik, nem követi azokat az alapvető munkavégzési mintákat, amelyeket a vállalati fenyegetéselemzők figyelni szoktak. Ha elfogadható, hogy valaki éjjel 11-kor jelentkezik be a hálózatba, a biztonsági elemzőknek tudniuk kell a gyanús viselkedés elemzésekor, hogy ez az „új normális”. Így aktualizálhatják a normális hozzáférés viselkedési kritériumait ahelyett, hogy automatikusan gyanúsként jelölnék meg a „régi normálistól” eltérő távhozzáférési mintákat. 

A távmunkában dolgozók rugalmas hozzáférésének korlátozása nem vezet eredményre. A szervezeteknek ehelyett azt kell kitalálniuk, hogyan tudják úgy figyelni a felhasználói viselkedést, hogy azzal ne zavarják a szokatlan, ám legitim távhozzáférési helyzeteket. A felhasználók és entitások viselkedését elemző (User and Entity Behavior Analytics – UEBA) eszközök láthatóbbá teszik és kifinomultabb jelentésekbe foglalják a felhasználói viselkedést. Ezek az eszközök olyan kontextusfelismerő képességekkel is rendelkeznek, amelyek segítségével a veszélyelemzők megállapíthatják, hogy egy adott viselkedés valóban gyanús-e. Így elemzői idő és erőforrások  szabadulnak fel a valós fenyegetések gyors és eredményes kezelésére. 

A támadók kihasználják a mobileszköz-használati szokásokat 

Kutatások*  szerint a felhasználók nagyobb valószínűséggel válaszolnak az adathalász e-mailekre mobileszközön. Ez valószínűleg a kisebb képernyőméret miatt van így, amelyen nehezebb észrevenni az adathalászatra utaló jeleket. Attitűdbeli okai is lehetnek, ha a felhasználók út közbeni üzenetlehívásra és az e-mailek gyors megválaszolására használják mobileszközeiket. 

Az e-mailes és SMS-alapú adathalászati támadások a felhasználók natív és kereskedelmi közösségimédia-alkalmazások iránti bizalmával is visszaélnek. A jelenlegi helyzetben egyre több internetes támadási kísérleti indul SMS és fogyasztói alkalmazások (pl. WhatsApp) útján, kihasználva a koronavírus-járványról további tájékoztatást remélő, kiszolgáltatott mobilhasználók félelmeit. Mivel a legtöbb mobilfelhasználó több e-mail-fiókkal rendelkezik egy eszközön, a személyes e-mail-fiók elleni adathalászati támadáskor a nagyvállalati eszköz biztonsága is sérülhet, és egyetlen apró hiba a teljes vállalati hálózatot veszélybe sodorhatja.

Mivel a „social engineering” jellegű támadásoknál elsősorban a mobileszközök használói jelentik a kockázatot, a mobileszköz-használati szabályokról tartott egyértelmű és szigorú oktatás jelenthet megoldást. Mindenki számára világossá kell tenni, melyek a fogyasztói alkalmazások és a személyes e-mail-fiókok vállalati és BYOD-eszközökön történő használatának elfogadható módjai.

A fizikai eszközhasználati szabályok megsértése 

Bármilyen praktikusnak és kézenfekvőnek tűnik a mobileszközök munkára való használata, ebben az esetben fennáll a fizikai eszköz elvesztésének, ellopásának vagy feltörésének kockázata. Ha egy eszközt elveszítenek vagy felügyelet nélkül hagynak nyilvános helyen, még akkor is közvetlen és jelentős adatbiztonsági kockázat merül fel, ha a rendszert erős titkosítás és egyéb mechanizmusok védik. 

Az adathalászat elleni védekezéshez hasonló módon, a fizikai eszközbiztonság esetében is oktatni kell a mobilhasználókat arra vonatkozóan, milyen szabályok és felelősségek érvényesek a kritikus céges adatokhoz hozzáférő eszközök használatakor. Az erős eszköztitkosítási módszerek bizonyos fokú védelmet nyújtanak az eszköz feltörésekor, a távoli eszközfelügyeleti képességek pedig távoli lezárással, az eszközön vagy céges hálózatban található adatok törlésével és különféle karanténba helyezési beállításokkal tudnak beavatkozni.

Kártékony alkalmazások

Tekintve, hogy a mobileszközön összemosódik egymással a munka és a magánélet, a felhasználók óhatatlanul letöltenek személyes használatra szánt alkalmazásokat a vállalati eszközre. És mivel senki nem szokta elolvasni a fogyasztói alkalmazások adatvédelmi szabályzatát, nagyon is valós veszély, hogy a felhasználó szándékán kívül kémszoftvert telepít vagy olyan biztonsági sérülékenységet nyit meg a rendszeren, amelyen keresztül el lehet jutni a vállalati rendszerekhez és adatokhoz.

Az adatvesztés megakadályozása érdekében a mobileszköz-használati szabályzatoknak ismertetniük kell az elfogadható használat feltételeit – elő kell írniuk az alkalmazásmegosztás engedélyezését, az alkalmazásszintű jelszavak használatát vagy akár az engedélyezési és tiltólisták alkalmazását. A biztonsági csapatoknak rendszeresen meg kell vizsgálniuk az eszközöket, célzottan rákeresve az ismert kártékony alkalmazásokra, és fel kell szólítaniuk a felhasználókat azok haladéktalan törlésére. 

A vállalati erőforrások távoli elérésének és a szervezeti rendszerek integritásának egyidejű fenntartása kétségtelenül komoly egyensúlymutatvány a legtöbb IT-döntéshozó számára. A napjainkban elérhető intelligens mobilfelügyeleti és analitikai eszközök és elemzések birtokában azonban a nagyvállalati informatikai és biztonsági csapatok a korábbinál sokkal erősebb pozícióból tudják biztosítani kollégáiknak a biztonságos távhozzáférést és az optimális, produktív mobil munkavégzés élményét – a szervezet IT-erőforrásainak túlterhelése nélkül. 

______________

* A FireEye e-mail biztonsági jelentése (2020. március 24.) – Hogyan járjunk egy lépéssel az e-mailes fenyegetések előtt? (Get One Step Ahead of Email Threats)