SECURINFO.hu | IT-rendszerek biztonsága, az „emberi tényező”

IT-rendszerek biztonsága, az „emberi tényező”

2016. 05. 23.
IT biztonság

Az elektronikus vagyonvédelmi rendszerek vezérlése informatikai alapokon, számítógépes platformok alkalmazása mellett működik. A zökkenőmentes üzemeltetés okán, a mi szakmánkban is megkerülhetetlen az IT biztonsági szempontoknak való megfelelés. Oldalunk közismerten nem foglalkozik mélységben az IT biztonság területéhez tartozó technikai kérdésekkel, azonban megdöbbentően sok tényező múlik ebben a vonatkozásban is a felhasználói viselkedésen.

Az informatikai rendszereket ért támadások immár több mint 50 százaléka a humán tényezőt, azaz a felhasználót célozza. Az egyre eredményesebben alkalmazott módszer a social engineering. Feltétlen fontos , hogy erről a témáról beszéljünk és tudatosodjon bennünk, a védekezés nem döntően pénz kérdés, ismertek és elsajátíthatóak a megelőzés módszerei.

A fent említett felmérést 3000 IT-biztonsági szakértő bevonásával az Information Systems Audit and Control Association (ISACA) végezte 2016 januárjában. A social engineeringhez kapcsolódó legutóbbi mellbevágó hír, hogy hackerek meg tudták szerezni az amerikai nemzetbiztonsági szolgálat 9000, illetve az FBI 22 ezer alkalmazottjának elérhetőségi adatait.

A technika támadása nélkül hozzáférni az adatokhoz

A módszer lényege, a gyanútlan felhasználótól a hackerek különböző módszerekkel a jelszavakat, regisztrációs-bejelentkezési adatokat – csalnak ki, amelyek útján képesek lesznek a technika direkt támadása nélkül bejutni a számítógépekbe, ahol aztán tetszőleges műveleteket tudnak majd elvégezni.

A témáról Lengyel Csaba, a Hunguard Kft. szakmai igazgatója nyilatkozott. Hangsúlyozta, hogy sajnos nem evidencia, hogy a cégeknél a munkatársak kellő körültekintéssel védik a vállalati rendszerek jelszavait. Szerinte sokan úgy gondolják, hogy csak a jelszó kevés ahhoz, hogy feltörjék felhasználói fiókjukat, azt azonban senki nem tudhatja, hogy a támadó milyen információk és adatok birtokába jutott korábban.

A támadási cél gyakran a külső kör

A támadások célpontjai gyakran olyan alkalmazottak, akik nem feltétlenül ismerik az információk értékét; például külsős munkatársak, gyártók, beszállítók, kiszolgáló területeken dolgozó munkatársak. “Ez esetben a probléma igazi forrása az, hogy a támadónak kezdetben elég egy alacsony szintű hozzáférés, amivel később bővíteni tudja saját felhasználói jogait, ami pedig még fontosabb, hogy akár hónapokon keresztül lophat vagy változtathat meg adatokat” – mutat rá Lengyel Csaba.

Rossz a jelszó választás

A vállalati információk megszerzésének egy másik módja az alkalmazottak nem megfelelő jelszó-választási szokásainak kihasználása. A legbiztonságosabbnak számító, különleges karaktereket is tartalmazó jelszavakat a tapasztalatok szerint csak a felhasználók negyede használ. Egy csak számokból álló jelszó feltöréséhez, egy gyakorlott hackernek alig öt percre van szüksége, a csak betűkből álló jelszavak 5-6 nap alatt megfejthetőek, a betűk és számok kombinációjából álló jelszó kitalálása viszont már hónapokba telhet. A legjobb megoldás, ha számokat, kis- és nagybetűket, valamint speciális karaktereket is tartalmaz a jelszó; ugyanis ezek feltörési ideje akár száz években is mérhető.

A lezáratlan számítógépek

Nem csak a kiadott jelszó, de a lezáratlan számítógépek is kockázatot rejtenek: nagy szervezetek esetében meglepően sikeres módszer az úgynevezett “piggybacking” technika, ahol a hackerek magukat munkatársnak, esetleg karbantartónak vagy takarítónak kiadva jutnak be a vállalat irodáiba. “Ez is egyfajta social engineering. A helyszínen már ellenőrzés nélkül, szabadon hozzáférhetnek a magukra hagyott, nem lezárt terminálokhoz, laptopokhoz. Ilyenkor a legnagyobb károkat nem a gépek és adathordozók ellopása okozza, hanem az azokon tárolt adatok és információk eltulajdonítása, megváltoztatása” – teszi hozzá a szakmai igazgató.
A támadásokat csak a felhasználók tudják elhárítani

Fontos, hogy a vállalatok tisztában legyenek azokkal a technikákkal, amelyekkel elkerülhetik, hogy a social engineering áldozataivá váljanak. Amíg a kifejezetten a technikát célzó kibertámadások ellen a biztonságot nyújtó eszközök, programok, valamint ezek megfelelő beállításával védekezni lehet, a felhasználót célzó támadásokat csak maguk a felhasználók tudják sikertelenné tenni. “Ehhez fontos a munkatársak oktatása, megismertetése a veszélyforrásokkal, a megfelelő belső eljárásrendek és szabályzatok megalkotása és betartatása. A kockázatokat csak így lehet a minimálisra csökkenteni” – hangsúlyozza Lengyel Csaba.

Eredeti forrás: Goodwill Communications

Kapcsolódó cikkek:

SOCIAL ENGINEERING TÁMADÁSI TECHNIKÁK. Avagy a végső megoldás: a felhasználó Az adatvédelem 12+1 kérdése

Kiberbiztonsági szabályok 2025-ben: mire kell figyelni Magyarországon?

Az elmúlt években Magyarországon is látványosan terjedtek a digitális biztonsági megoldások: hálózatba kötött beléptetőrendszerek, intercomok és különféle okoseszközök. Bővebben »

A „jelszótárca” használata lenne a legtutibb megoldás a jelszóbiztonságra?

2020-ra rengeteget változott a kiberbizonság: még aktívabbak az állami szereplők, okosabbak a hackerek és gyakran már egy papírra leírt jelszó is biztonságosabb lehet, mint egy digitálisan tárolt megoldás

Út a biztonságosabb jelszavakhoz – A Kaspersky Lab javaslata

„A jelszavak erősségét nem a bonyolultságukra, hanem az egyediségükre kell alapozni, …mindenkinek célszerű kialakítania egy saját módszert arra, hogy a különféle szolgáltatások, weboldalak esetében miként képezi az egyedi jelszavait.”

A felhőalapú eszközökön található sebezhetőségek egyharmada könnyen kihasználható

Ahogy a szervezetek egyre inkább áttérnek a többfelhős stratégiákra, a jelentős biztonsági réseket kihasználva a támadók bejuthatnak a hálózatokba állítja a CyCognito amerikai IT biztonsággal foglalkozó cég kutatása.

Azonnal cseréljük le a jelszavunkat, ha ilyet használunk

Egy egyszerű nyolc karakteres jelszó 37 másodperc alatt feltörhető. Egy 16 karakteres jelszó feltöréséhez viszont egy évszázad sem elég. Hívja fel figyelmünket cikkében az origo.

Informatikai biztonság 2024 – Hamisított hívások és mobil-zsarolóvírusok

Eddy Willems, a G DATA biztonsági szakértője előrejelzéseit az ELEKTROnet net oldalán megjelent cikkből idézzük. A téma mint tudjuk a biztonságtechnikai szakma számára is megkerülhetetlen.

A home office munkavégzés komplex védelmet igényel

A home office egy olyan hibrid világot teremt, amelyben a biztonsági kockázatok kezelése egyre nagyobb kihívásokat tartogat. Hiszen igen gyakran nem jut kellő figyelem arra, hogy a céges és magánéleti adatkommunikáció és tárolás nem különül el tudatosan.

Kritikus infrastruktúrák védelme. Nem elég a megbízható fizikai biztonság, növekvő kiberfenyegetések

Mennyire kell aggódnunk a nemzeti infrastruktúrákat ért számítógépes vagy fizikai támadás miatt? Chris Price az ifsec Global hasábjain szakértők bevonásával példákon keresztül elemzi a témát. Nézzük, hogy a járvány, a távmunka és az IoT növekedése hogyan veszélyezteti a technológiákat. Az érdekfeszítő cikk persze az európai tapasztalatokra alig tér ki, mégis általánosítható tanulságai vannak.

Fizikai és IT biztonság egykézből

„Az SBT Protect Kft biztonságtechnikai tapasztalattal a háta mögött nyújt informatikai felülvizsgálatot nem csak az általános ügyviteli, de a biztonságtechnikai rendszerek IP kommunikációs hálózata vonatkozásában is.”

IT biztonság a Home Office-ban a Deloitte szakértőitől

Előző cikkünben a változatlanul széles körben meglévő home office munkavégzés szabályozási kérdéseiről beszéltünk. Úgy gondoljuk, hogy ebben témában változatlanul aktuális a Deloitte szakértői kitűnő összefoglaló írásának ismétlése, amit még a tomboló COVID periódusába portálunk is közreadott.