Értesítés, hogy le ne maradj semmiről! Iratkozz fel és értesülj azonnal a legfrisebb tartalmakról! Nálunk te döntöd el, miről kérsz értesítést! Feliratkozok Többet szeretnék megtudni
Biztonság

HomeOffice: Zsarolóprogramok és adatszivárgás elleni védekezés vállalkozások számára

A világjárvány (covid-19) a távmunka példátlan megugrását eredményezte és valószínűleg tartós hatással lesz a jövőbeli munkarend átalakulására.

Először az otthon végzendő, távoli munkamegállapodást „Home Office-t” kezdetben az üzletmenet folytonosságának fenntartására szolgáló rövidtávú megoldásként gondolták a cégek, de közben sokan azt jósolták, hogy hosszútávú lesz és valóban így is történhet a későbbiekben.

Biztonsági szempontból az otthoni munkavégzés számos komoly kockázatot jelent. A vállalati adatokat sebezhető személyes eszközökről érik el, így az informatikai csapatok nem képesek stabilan érvényesíteni a biztonsági protokollokat. A vállalatspecifikus megoldások az otthoni felhasználói környezetben lesznek elvégezve, egy belső hálózaton kívül – ellenőrizetlenül, így bármikor egy rossz Ransomware vagy adatszivárgás esetén – üzleti, fejlesztési, karbantartási és termelési megoldások kerülhetnek ki a világhálóra.

Ebben az útmutatóban feltárjuk az otthoni munkavégzés biztonsági kockázatait és beszélünk arról, hogy a vállalkozások miként védhetik meg a távoli munkavállalókat és belső hálózati szervereket, klienseket a zsarolóprogramoktól és illetéktelenektől.

A távmunka biztonsági kihívása

A távmunka felerősíti a meglévő biztonsági hibákat és ezáltal új fenyegetések jelenhetnek meg – így a vállalatok sebezhetővé válnak a kibertámadásokkal szemben. Az alábbiakban felsorolok néhányat a távoli munkavégzéssel kapcsolatos legnagyobb biztonsági kockázatok közül:

A vállalati privát fájlok, erőforrások eléréséhez használt nem biztonságos otthoni eszközök

A világjárvány gyors átállásra kényszerítette a vállalkozásokat a távmunkára. Rengeteg kompromisszumot kellett kötni az üzletmenet és gyártás folytonossága érdekében. Egyszerűen nem volt idő arra, hogy a vállalatok biztosítsák az alkalmazottjaik otthoni hálózatainak, eszközkeinek teljes biztonságát és meglévő fertőzésektől való mentességét. A világ egyes részein informatikai berendezések hiánya nehezítette a feladatot és ez azt jelentette, hogy a vállalatok nem tudtak a munkavállalóik számára saját hardvert (speciálisan beállított, otthoni munkavégzésre alkalmazható) biztosítani.

Mivel sok „home office-ban” dolgozó nem biztonságos személyes eszközöket használ a vállalati hálózatok és a bizalmas adatok eléréséhez, a támadási lehetőségek drámaian bővültek. Az otthoni hálózathoz csatlakoztatott eszközök, beleértve számítógépek, okostelefonokon, laptopokom, nyomtatókon, táblagépeken, okoseszközökön, stb. – 2020 márciusában az Amerikai vállalatok 45%-a észlelt legalább egy rosszindulatú fertőzést a távoli irodai hálózatain, míg mindössze 13,3% észlelt fertőzést vállalat belső hálózatán. Ezt a BitSight adataival támasztom alá.

Gyenge biztonsági ellenőrzések

A normál vállalati környezetben az informatikai csapatok szigorú biztonsági házirendeket írhatnak elő a vállalat tulajdonában lévő eszközökre: EDR-rendszereken, korlátozó csoportházirendeken, stb. A távmunka miatt nehéz – ha nem lehetetlen – fenntartani az azonos szintű irányítást, mivel sok távoli munkavállaló használja személyes eszközeit munkacélokra. Személyes eszközöket pedig a vállalat nem ellenőrizhet, erre külön jogszabályok vannak.

Ebből adódik, hogy a vállalatok nem kérhetik a munkavállalóiak arra, hogy ellenőrizni tudják milyen biztonsági kockázatot jelentő szoftvereket használnak az eszközeiken. Ráadásul ezt a cég nem szabhatja meg, nem korlátozhatja. Technikai szempontból a távoli munkakörnyezet puszta sokfélesége rendkívül nagy kihívást jelent a vállalatok számára, hogy megbízhatóan tudják biztosítani azt a számtalan munkaeszközt, operációs rendszert és alkalmazást, minden alkalmazott otthoni hálózatán.

Az otthoni munkavállalók szoftverökoszisztémájának sokfélesége

A vállalati hálózat egy gondosan ellenőrzött környezet, ahol csak több lépcsőben jóváhagyott szoftvert telepítenek a jogosult felhasználónak. A modern EDR (Endpoint detection and response) és következő generációs biztonsági termékek – amelyek gyakran támaszkodnak AI-ra, tehát gépi tanulásra – kiemelkednek ebben a „tiszta” környezetben, mivel az alkalmazások könnyen csoportosíthatók és felismerhetők. Az alkalmazásnak és operációs rendszernek digitálisan aláírtnak kell lennie, emellett vállalatspecifikusan egyeznie kell felhasználónak engedélyezett tevékenységi körrel, különben rosszindulatú a tevékenység, szoftver.

Az otthoni hálózat és rá csatlakozó eszközök viszonylag kaotikus képet adnak. Minden esetben egyes eszközökre ismeretlen forrásból (torrent, rosszindulatúnak minősített weboldal, stb.) letöltött alkalmazások, játékok és médiatartalmak jelenthetnek még veszélyt. A vállalati biztonsági termékeknek ez még idegen. A biztonsági vállalatoknak és informatikai csoportoknak újra meg kell tanulniuk, illetve fel kell térképezniük, hogy mit jelent a fenyegetés ebben a változatos környezetben. Ez nem kevés időt vesz igénybe és nem ritka, az ártatlan állományok vírusosnak jelzése sem (fals pozitív). Ez összeférhetetlenséget eredményezhet.

A leggyakoribb zsarolóprogramok, amelyek a távoli dolgozókat támadják

A legtöbb támadó a vállalat dolgozóit célozza meg különböző megoldásokkal, amit megpróbáltam összegyűjteni. Gyakoribb eset a zsarolóprogrammal történő fertőzés, amely „mutálódik” és továbbítja magát különböző meghajtókra, hálózati helyekre, illetve emaileken keresztül is.

  • Rosszindulatú levélszemét: A támadók rosszindulatú csatolmányokat vagy linkeket küldenek. Azokat különböző belső körlevélnek tűnő email-ben próbálják meg kiküldeni. A megnyitott linken vagy futtatott programon keresztül a támadók parancsokat adnak ki ezeknek a „szkripteknek”, hogy információkat gyűjtsenek a feltört rendszerről és a hálózatról, amelyhez csatlakozik, mielőtt további céleszközre szabott kártevőt telepítenének. Az utóbbi időben a világjárványt használták ki az adatlopásokhoz. Ezek rosszindulatú spam kampányok, amelyek megpróbálják a figyelmet felkelteni és rávenni a felhasználót a „cselekményre”. Általában az egészségügyi világszervezetnek és állami járványvédelmi, illetve megelőzési központoknak adják ki magukat. A Microsoft áprilisban publikált egy tanulmányt, miszerint náluk naponta 60 000 darab COVID-19-cel kapcsolatos adathalász üzenet érkezett.
  • Távelérés: A támadok a rosszul védett távelérési eszközök előnyeit kihasználni hozzáférhetnek a vállalati hálózatokhoz. A távoli asztali protokoll (RDP) a leggyakoribb távelérési támadási cél, de fontos megjegyezni, hogy bármely távoli kapcsolatot létrehozó eszközben előfordulhatnak problémás biztonsági foltok és beállítások. Például korábban a TeamViewer, Kaseya és Citrix is került ilyen helyzetbe.
  • Célzott adathalászat: A célzott adathalászart az adathalászat egy kifinomult formája. A támadó alaposan tanulmányozza a célszervezetet, hogy többet tudjon meg az ott dolgozó személyekről és azok kommunikációs szokásaikról. Ezeket az információkat pedig arra használja fel, hogy célzott adathalász e-maileket küldjön, amelyek látszólag megbízható forrásból lettek elküldve. Az e-mailek egy rosszindulatú csatolt fájlt vagy linket tartalmaznak, amely elindítja a rosszindulatú program letöltését. Az adathalászat különösen veszélyes a jelenlegi munkahelyi környezetben, ahol új szoftvereket alkalmaznak az otthoni munkavégzés érdekében, mivel az alkalmazottak még nem ismerik az újonnan bevezetett távoli munkaeszközök felületeit és bejelentkezési képernyőit, így nehéz lesz megkülönbözteti az adathalász tartalmakat a valós információktól.

Távoli végpontok és vállalati hálózatok védelme

Az otthoni munkavégzéshez meg kell változtatni a vállalkozások biztonsághoz való hozzáállásának módját. Az alábbi tanácsok segíthetnek a szervezeteknek az új távelérési pontok biztonságossá tétele és a vállalati adatok védelme érdekében.

  • Alkalmazottak képzése: Akár az irodában, akár otthon, a szervezet minden szintjén dolgozó alkalmazottnak rendszeres biztonsági képzésben kell részesülniük. A munkavállalóknak alapvető ismeretekkel kell rendelkeznie a vállalat rendszereivel, szoftvereivel, levelező rendszerével. Emellett érdemes oktatás tartani különböző megelőzési területeken, például, hogy miként ismerjük fel a SPAM leveleket és a kéretlen tartalmakat.
  • Biztonságos RDP (Remote Desktop Protocol): Távoli asztali protokollt és a távelérés egyéb formáit lehetőség szerint le kell tiltani. Ha az RDP szükséges a szervezet működéséhez, megfelelően kell biztosítani egy VPN vagy RDP átjárót, MFA, erős jelszavak használatával, illetve az RDP hozzáférés korlátozásával adott felhasználók és IP tartományok használatával.
  • Az MFA (Multi-factor authentication – többlépcsős hitelesítés) használata: A feltört felhasználói hitelesítő adatok (jelszavak) a zsarolóprogramok egyik fő célpontjai. Ez a kockázat csökkenthető a többlépcsős hitelesítéssel. Különösen oda kell figyelni, hogy lehetőleg minden vállalati szoftverre, szolgáltatásokra, távoli hozzáférésre alkalmazható legyen. A biztonsági szoftvereket is biztosítani kell a ezzel a lehetőséggel. Utóbbit könnyen lehet alkalmazni víruskereső szolgáltatások különböző felhő alapú biztonsági megoldásain.
  • VPN lehetőségei: A távoli munkavégzésre való hirtelen átállás a kereskedelmi VPN-ek iránti kereslet megugrását is eredményezte. Bár a VPN eszközök kulcsszerepet játszanak a munkával kapcsolatos adatok biztosításában, a támadók számára is lehetséges belépési pontként működik. Figyelni és rendszeresen frissíteni kell őket, hogy a már felderített biztonsági rések foltozva legyenek.
  • Megbízható víruskereső szoftver telepítése: A szervezeteknek és informatikai csoportoknak megbízható vírusvédelmi megoldással kell rendelkezniük a kártevő pontos felderítésére, illetve annak gyors semlegesítésére. Figyelembe kell venni, hogy a fogyasztói piacon mennyire pontos és használható az adott víruskereső szoftver, tehát tapasztalatok után érdemes kutatni. Az aktív vírusok jelen lehetnek az alkalmazottak otthoni eszközein, amit a vállalat hálózatára csatlakozás előtt semlegesíteni kell. Természetesen anélkül, hogy a munkavállaló komolyabb adatvesztést szenvedne.
  • SPAM szűrés: A megbízható spamszűrő leállíthatja a rosszindulatú levélszemét nagy részét és így a rosszindulatú linkek, illetve csatolt fájlok már nem lesznek megnyithatóak, ezáltal nagyobb biztonságot adva a munkavállaló eszközének és a vállalat adatainak. A szűrők beállíthatók úgy, hogy megakadályozzák bizonyos melléklettípusok kézbesítését (akár kiterjesztés szerint).
  • PowerShell letiltása: A támadás korai szakaszában a támadók gyakran használják a Powershell által nyújtott lehetőségeket. Meg kell fontolni a Powershell távoli végpontokból való eltávolítását, kivéve, ha erre szükség van. Ha a Powershell nem távolítható el, megfelelően biztonságosnak kell lennie (pl: a használatát csak azokra a felhasználókra korlátozza, akinek valóban szükségük van rá és csak digitálisan aláírt parancsfájlok végrehajtását engedélyezik).
  • Jelszókezelő: Érdemes egy jelszókezelő alkalmazást biztosítani a munkavállalóknak, így egyetlen biztonságos jelszóval, több alkalmazás által kívánt jelszót tudunk tárolni, amely különböző védelemmel vannak ellátva. Ennek köszönhetően, ha valamilyen oknál fogva a jelszókezelő adatbázisát eltávolítanák eléggé megizzasztanák a kiberbűnözőket a feltörésben, így nehezen vagy egyáltalán nem tudnak majd hozzáférni a vállalati fájlokhoz.
  • Kérelmek megerősítése: A rendszeres munkafolyamatok megváltoztak a távoli munkavégzésre való áttérés során, ami növelheti a csalás kockázatát. Az alkalmazottaknak szem előtt kell tartaniuk a csaló tevékenységeket és ösztönözni kell őket arra, hogy kérjenek megerősítő választ vagy utasítást a folyamatra.
  • Sűrűbb biztonsági mentések készítése: A távoli munkakörnyezetben a megbízható biztonsági mentési stratégia továbbra is a zsarolóprogramok csökkentésének kritikus eleme marad. A biztonsági aggályok és a sávszélesség korlátai elrettenthetik a vállalatokat attól, hogy biztonsági mentéseket küldjön fel a szervernek a helyi eszközről. Ezeket összegezve és szem előtt tartva talán a felhőalapú biztonsági mentési rendszer valószínűleg a legpraktikusabb lehetőség a legtöbb vállalat számára.

A COVID-19 világjárvány az alapoktól változtatta meg a világ működését. A távmunkára való globális átállás kritikus fontosságú, hogy az üzletmenet és gyártási folyamat folytonos maradjon. Mindeközben pedig tiszteletben kell tartani a személyi és társadalmi jogokat, irányelveket. Ez a folyamat pedig a kiberbűnözöknek nyit teret, hiszen a gyors átállások és folyamatváltozások miatt könnyen sebezhetőek lesznek egyes vállalatok informatikai rendszerei. Nyilván előbb-utóbb ezek a folyamatok stabilizálódnak és a megfelelő szoftverek kerülnek kiválasztásra, amelyek lehetőleg megvédik a szervert és klienst a különböző vírusoktól.

Érdemes a kis és nagyvállalatoknak is szem előtt tartani a távmunka biztonsági kihívásait és lépéseket kell tenniük a távoli végpontjaik, hálózataik, illetve eszközeik védelme érdekében. Ebben a cikkben ismertetett biztonsági gyakorlatok végrehajtása jelentősen csökkentheti a kockázatot és segíthet elkerülni, hogy zsarolóprogramok áldozatává váljanak.

bykewix profilképe
Polgár Zoltán @bykewix Webdesigner, Windows specialista. Szeretem a különböző új technológiákat és a környezetvédelmet.
Hozzászólások -
Vendég profilképe Vendég
{{comment.dateWrite}} Válasz
Válasz {{answer.dateWrite}}