Malware és APT védelmi felkészítés, threat audit. DLP és IRM felkészítés és módszertan alapú bevezetés.
1.
MALWARE- és APT-védelem
MALWARE THREAT AUDIT
A hagyományos határvédelmi infrastruktúrák (tűzfal, IPS, webszűrő, levélszűrő, Anti-Vírus, stb.) az APT támadások polimorfizmusa és a fejlett malwarek intelligenciája ellen nincsenek felkészülve: nem nyújtanak védelmet a modern és új generációs malware támadásokkal szemben.

A periódikus Malware Threat Audit vizsgálat átfogó képet ad a vállalat felkészültségéről és védelmi infrastruktúrájának hatékonyságáról. A hiányosságok és sérülékenységek feltárása mellett az audit javaslatokat tesz a hiányosságok és sérülékenységek költséghatékony kezelésére.

A periódikus Malware Thr
eat Audit értéket ad. Az átláthatóság mellett komoly megnyugvást és megfelelő felkészülési lehetőséget biztosít a szervezet számára. Az aktuális malware és APT/ATA helyzet megismerése, valamint az audit javaslatainak alapján történő remediációs és malware stratégia kialakítása egy új és modern biztonsági réteggel ruházza fel a szervezetet.


A Malware Threat Audit fázisai:

Fertőzöttségi vizsgálat (malware forensic),
Ellenálló képesség vizsgálat (malware penetration test),
Kitettség vizsgálat (OSINT footprinting).
SÉRÜLÉKENYSÉG MONITORING
A sérülékenység-monitoring szolgáltatás egyetlen információs adatbázisba aggregálja a gyártói (CISCO, Microsoft, Aruba, HP, Dell, Fortinet, CheckPoint, Firefox, Java, stb.) és alkalmazás-sérülékenységi értesítéseket, azok részletes információit, az esetleges javítások és patchek elérhetőségeit és javasolt eljárásokat. Rendszerünk több, mint 40.000 alkalmazás sérülékenységeit tartja nyilván.

Az információs adatbázisba felrögzítésre kerülhetnek a kritikus vagy fontos eszközök (pl. CISCO Catalyst switch, HP ILO, MS OS, SQL, JAVA, Firefox, etc.) és az információs rendszer új sérülékenység vagy javítás megjelenése esetén képes értesítést vagy riasztást küldeni. Nem csak egyes eszközcsaládok (pl CISCO Catalyst) hanem adott verziókat (pl 39xx, stb) is nyomon lehet követni.

A szolgáltatás sérülékenységi vészcsengőként jelzi (SMS alert, email alert), ha az eszközökkel kapcsolatos új sérülékenység jelenik meg, illetve lehetőséget biztosít heti vagy havi riportok elkészítésére és digest-jellegű összefoglaló sérülékenységi jelentés kibocsátására.


Monitorozható rendszerek:

Operációs rendszerek (Windows, Linux disztribúciók, stb.),
Alkalmazások (Firefox, Java,Office, Adobe, stb.)
Hálózati eszközök (CISCO, Juniper, Fortinet, HP, stb.)
MALWARE VÉDELEMI SZABÁLYZAT ÉS REMEDIÁCIÓS ELJÁRÁSREND KIALAKÍTÁSA
A nemzetközi statisztikák – és a hazai Malware Threat Audit projektek is azt mutatják, hogy a vállalatok nincsenek felkészülve a modern malware és APT támadások felismerésére és kezelésére.

A műszaki felkészültség hiánya mellett szintén probléma, hogy eljárásrendekben és szabályzatokban sem aktualizáltak a vállalatok: évekkel ezelőtt megfogalmazott Anti-Vírus szabályzatok és módszerek alapján igyekeznek védekezést folytatni a modern malware és APT támadások ellen.

A felkészültség nem csak műszaki eszköz kérdése. Amíg elavult “Vírusvédelmi szabályzat”, esetleg “Anti-Vírus Politika” szabályozza a kijelölt “Vírusvédelmi rendszergazda” tevékenységét, addig nem lehet hatékony malware védekezést folytatni. Átfogó malware védelmi stratégiára van szükség, olyan szabályozásokra és eljárásokra, amelyek képesek csökkenteni a vállalat malware fertőzésekkel szembeni kitettségét, és képesek növelni a malware fenyegetéssel szembeni ellenálló képességet.


Szabályzatok, eljárásrendek:

Malware védelmi politika és szabályzat,
Incidenskezelési (handling, response) eljárásrendek,
Remediációs eljárásrendek.
MALWARE- ÉS FÁJLELEMZÉS
Bizonyos esetekben, vagy nem egyértelmű szituációkban szükség lehet arra, hogy a beérkezett, feltöltött, kapott vagy küldött állományok speciális átvizsgáláson menjenek keresztül, amely végén meghatározható, hogy az állomány veszélyt jelent-e a vállalat számára.

A viselkedés alapú vizsgálat során nem az állomány vagy a kód szignatúrája, hanem az állomány felhasználásakor (megnyitás, futtatás) lejátszódó események és az állomány vagy a kód valós viselkedése (behavioral sandboxing, statikus és dinamikus vizsgálat) kerül ellenőrzésre. A viselkedés alapú sandboxing vizsgálat során észlelhetőek olyan jellemzők, amelyek további, már kézzel végrehajtott vizsgálatot tehet szükségessé.

A kimeneti riport informatív és egyértelműsít, minden gyanús tevékenység és hálózati kommunikáció lekövethető és felderíthető, amelyet az adott kód vagy állomány bonyolít. A kimeneti riport egyértelmű választ ad arra, hogy az állomány kártékony-e és incidenskezelés alá vonandó, avagy nem hordoz veszélyeket a vállalat számára.


Malware- és fájl elemzés:

Statikus elemzés,
Viselkedés-alapú dinamikus elemzés,
Manuális kódvizsgálat.
MULTISCAN ARCHITEKTÚRA KIALAKÍTÁS
A legtöbb üzemeltető és biztonsági szakember találkozott már azzal, hogy az adott kártékony kódot a vállalat AV/AM eszköze az adott időben nem ismeri fel, viszont egy másik AV/AM eszköz képes ellene védelmet nyújtani.

A felismerési időablak oka, hogy a különböző gyártók különböző reagálási idő mellett frissítik szignatúra adatbázisaikat. Amíg a vállalat AV/AM eszköze nem képes az új variáns, vagy új malware felismerésére, a hálózat és a munkaállomások védtelenek az új variánsú kártékony kódokkal szemben.

Multiscan környezetek kialakításával lehetővé válik a meglévő határvédelmi infrastruktúra (web szűrés, email szűrés) megerősítése akár további 20, szinkronban működő AV/AM motorral, így a felismerési időablak kockázata nagymértékben csillapítható. Megoldásunk integrálható az Intranet, Extranet, SharePoint vagy egyéb adattár portálok vagy más webes felületekhez és alkalmazásokhoz, így akár a dokumentum kezelés és dokumentum alapú folyamatok is biztonságosabbá tehetőek.


Multiscan, akár 20 AV/AM motor integráció:

Meglévő határvédelemhez (UTM-hez, mail- és web szűrőkhöz).
Adattárak és portálok (SharePoint, webes alkalmazások, stb.).
Remediációs környezet kialakítás (belső, saját VírusTotal).
VÁLLALATI MALWARE ELEMZŐ OKTATÁS
Malware elemző oktatásunk minden esetben az ügyfél személyzetéhez adaptált egyedi tréning, amely figyelembe veszi az ügyfél informatikai felszereltségét, rendelkezésre álló eszközeit és erőforrásait.

A vállalat biztonsági üzemeltető személyzetére testre szabott malware elemző tréningünkön a hallgatók megtanulják a futtatható állományok és dokumentumok (doc, xls, pdf) elemzési eljárásait (statikus és dinamikus elemzés, manuális sandboxing, network forenisc, stb.) és módszertanát.

A képzés célja, hogy a tréning után a hallgatók képesek legyenek a legfontosabb eszközök használatára, a gyanús állományok felismerésére, elemzésére és olyan IoC-k előállítására, amelyek segíthetik őket az érintett eszközök ellenőrzésében és a remediációs eljárások végrehajtásában.


Tréning elemek:

Network forensic (BRO, Suricata, PCAP, file extractálás, stb),
Threat Intel rendszerek, SIEM integrációk,
Early warning rendszerek (vállalati honeypot infrastruktúra),
Statikus fájlvizsgálat, dinamikus fájlvizsgálat,
Manuális és automatikus sandboxing,
Bináris, PDF, OFFICE dokumentumok vizsgálata, stb.
2.
Adatszivárgás-védelem (DLP)
ADATKLASSZIFIKÁCIÓ ÉS ADATVAGYON-LELTÁR LÉTREHOZÁSA
A tárolási szintig tartó adatvagyon leltár pontosan dokumentálja, a tárolt és kezelt érzékeny adatok hol tárolódnak és hol kerülnek felhasználásra az informatikai rendszerekben. Nagyon fontos megérteni, hogy önmagában csak az adatosztályozás nem elegendő, hiszen a tényleges adatvagyon leltár nélkül a vállalat nem tudja, hol tárolódnak az érzékeny információk a hálózatán belül, így az adott osztályok kontroll intézkedéseit sem képes megvalósítani.

Adatvagyon leltár létrehozásakor automatikus műszaki eszközzel feltérképezzük a tárolási rendszereket (fájlszerverek, adatbázisok, SharePoint, SVN, stb.). A létrehozott adatvagyon leltár alkalmas a legelterjedtebb módszertanok és szabványok (COBIT, BASEL2, PCI, ISO27001, ISO27301, ISO22301) által elvárt vagy megkövetelt, részletes adatosztályozás felállítására és periodikus ellenőrzésére.

Az elkészült adatvagyon leltár alkalmas a DLP rendszerek szabályrendszer-tervezéséhez, és meghatározható belőle, mely állományokat és adatokat kell a DLP rendszernek védenie, lenyomatolnia vagy megjelölnie. A létrehozott adatvagyon leltár és adatosztályozás bármely DLP rendszer bevezetésekor felhasználható és jelentősen lecsökkenti a DLP rendszer bevezetési idejét és költségét.


Adatvagyon leltár és adatklasszifikáció:

DLP, BCP/DRP, IRM/DRM projektekhez,
ISO és PCI audithoz,
2011. évi CXII. torvényi („Infotv”) felkészüléshez és megfelelőséghez,
2013. évi L. törvényi („50-es törvény”) felkészüléshez és megfelelőséghez
DLP MÓDSZERTAN-ALAPÚ FELKÉSZÍTÉS, BEVEZETÉSI TANÁCSADÁS, BEVEZETÉS
DLP pre-audit

A DLP projektek és bevezetések egyik nagy problémája, hogy ügyfél oldalon nem állnak rendelkezésre azok a szükséges inputok és erőforrások, amelyek nélkül nem lehet DLP rendszert bevezetni. A hiányosságok pótlás ilyen esetekben a DLP projekten belül igyekeznek inkább kevesebb, mint több sikerrel megvalósítani.

A DLP pre-audit szolgáltatás egy olyan előkészítő projekt, ahol felmérésre kerül az ügyfél szabályozási és műszaki környezete, és ahol a projekt végeredménye egy olyan dokumentum, amely részletesen leírja, milyen hiányosságokat kell ahhoz pótolni, hogy a DLP rendszer a rendelkezésre álló erőforrásokkal reális költség mellett bevezethető legyen.

A pre-audit riport értéke, hogy átláthatóvá teszi a több terület felett is átívelő DLP projekt erőforrás igényeit és dokumentálja, milyen eljárások után indítható csak el a DLP projekt és ezzel jelentős költségtől (rossz bevezetés, felesleges eszköz vásárlás, stb.) kímélheti meg a szervezetet.


Legfontosabb DLP pre-audit válaszok:
Szükség van egyáltalán DLP rendszer bevezetésére?
Ha nincs, milyen más módszerrel váltható ki?
Milyen hiányosságok miatt nem lehet jelenleg DLP bevezetést elindítani?
Rendelkezésre állnak-e a szükséges erőforrások egy DLP projekt indításához?
Reális költség mellett egyáltalán bevezethető-e DLP rendszer?
A DLP felkészítés lépései:

DLP pre-audit projekt (hiányosságok feltárása),
DLP felkészítő projekt (hiányosságok pótlása, folyamatok),
DLP audit projekt (feltárt hiányosságok pótlásának ellenőrzése)
DLP MÓDSZERTAN-ALAPÚ FELKÉSZÍTÉS, BEVEZETÉSI TANÁCSADÁS, BEVEZETÉS
DLP felkészítés

A legtöbb DLP rendszer bevezetés módszertan nélkül történik, ennek köszönhető, hogy a DLP termékek a legrosszabb ár-érték arányú megoldásoknak számítanak: nagy erőráfordítás és nagyon magas költség mellett alacsony kockázat-csillapítást nyújtanak. Pedig nem a DLP termékekkel van a probléma, hanem magával a bevezetés átgondolatlanságával, amely nem megfelelő eszközhasználattal párosulva valóban költség- és erőforrás pazarló megoldást és projektet eredményez. DLP projektet megfelelő felkészülés nélkül nem szabad elkezdeni. Ahogy egy ISO tanúsításra felkészül a szervezet, ugyanígy a több terület felett átívelő, hosszú lefutású (min fél év) DLP projekt is megfelelő felkészülést igényel.

A DLP felkészítés azt jelenti, hogy a szervezet a DLP rendszer bevezetését nem egyetlen projektben, hanem több, kisebb és egymásra épülő projektben valósítja meg, ahol a projektek egymásra és egymás kimeneteire támaszkodnak. A módszertan alapú felkészítés nem csak azt biztosítja, hogy a bevezetett eszköz reális költség mellett és megfelelően működjön, hanem azt is, hogy a szervezet képes legyen veszteséget csökkentve kiszállni a bevezetésből, amennyiben ez valamilyen okból (pl. „kiderül”, nincs is szükség ilyen védelmi eszközre, erőforrás hiány, stratégia-váltás, stb.) szükséges. A felkészítés biztonságot és átláthatóságot nyújt és megvédi a szervezetet a felesleges költségektől.


A DLP felkészítés lépései:
DLP pre-audit projekt (hiányosságok feltárása),
DLP felkészítő projekt (hiányosságok pótlása, folyamatok, szabályok),
DLP audit projekt (feltárt hiányosságok pótlásának ellenőrzése),
DLP MÓDSZERTAN-ALAPÚ FELKÉSZÍTÉS, BEVEZETÉSI TANÁCSADÁS, BEVEZETÉS
DLP audit

A DLP projektek és bevezetések egyik nagy problémája, hogy ügyfél oldalon nem állnak rendelkezésre azok a szükséges inputok és erőforrások, amelyek nélkül nem lehet DLP rendszert bevezetni.

A DLP audit szolgáltatás egy olyan minőségbiztosító kontroll-projekt, ahol egy másik DLP bevezetésre felkészítő szervezet tevékenysége kerül ellenőrzésre.

A DLP audit során felmérésre kerülnek a korábbi, egy másik másik felkészítő/bevezető szervezet által lefolytatott DLP pre-audit és DLP felkészítő projekt eredményei. A projekt célja, hogy láthatóvá váljon, a korábbi fázisokban minden hiányosság feltárásra került, és a hiányosságok a felkészítés során megfelelően pótolva lettek.

A DLP audit értéke, hogy a megbízó szervezet számára láthatóvá váljon, a szervezet megfelelően fel lett-e készítve a DLP rendszer bevezetésére, és a rendelkezésre álló erőforrások mellett elindítható-e a DLP rendszer bevezetése.

A DLP felkészítés lépései:
DLP pre-audit projek (hiányosságok feltárása),
DLP felkészítő projek (hiányosságok pótlása, folyamatok, szabályok),
DLP audit projekt (feltárt hiányosságok pótlásának ellenőrzése)
DLP MÓDSZERTAN-ALAPÚ FELKÉSZÍTÉS, BEVEZETÉSI TANÁCSADÁS, BEVEZETÉS
DLP bevezetés

A DLP rendszerek módszertan nélküli bevezetésének legjobb példája az a gyakorlat, hogy a gyártó- és termékválasztás általában megelőzi a felkészítési folyamatokat. Pedig ha a szervezet nem tudja, milyen szenzitív adatok és hol találhatóak a hálózatában és a szenzitív adatokat milyen folyamatok érintik, hogy tudja eldönteni, milyen rendszerrel, hol és hogyan akarja a szenzitív adatokat megvédeni? A DLP bevezetési projektet a módszertani sorban megelőzi a felkészítési projekt. A DLP bevezetési projekt így csak a termékválasztási és integrációs folyamatokat foglalja magába. A felkészítési projekt kimenete és eredménye alapján történik meg a megfelelő DLP eszköz kiválasztása.

A bevezetés során a felkészítési projekt kimenete és eredménye alapján kiválasztott DLP eszköz (megfelelő felkészítés esetén bármilyen DLP rendszer bevezethető) kerül telepítésre és integrálásra. A DLP bevezetési projekt a felkészítés során összeállított, a feltárt szenzitív adatvagyon elemeket védő szabályok betöltésével és a rendszer átadásával zárul.

DLP bevezetési fázisok:
Termékválasztás (a felkészítés alapján)
Integráció, telepítés és konfiguráció,
Szabályrendszer betöltés, tesztelés (adatvagyon leltár és felkészítés alapján)
DLP MÓDSZERTAN-ALAPÚ FELKÉSZÍTÉS, BEVEZETÉSI TANÁCSADÁS, BEVEZETÉS
DLP post-audit

A DLP post-audit szolgáltatás egy olyan minőségbiztosító kontroll-projekt, ahol egy DLP bevezetést végző szervezet bevezetési tevékenysége kerül ellenőrzésre.

A DLP post-audit során ellenőrzésre kerülnek a korábbi DLP felkészítő projekt eredményei (adatvagyon leltár, folyamatok és kontextusok, incidenskezelési eljárásrend, stb.) és a bevezetés során betöltött szabályok.

A post-audit első sorban arra fókuszál, hogy a betöltött szabályok által generált események és incidensek az elvárásoknak megfelelően (a felkészítés során definiált incidenskezelési eljárásoknak megfelelően) jönnek létre és kezelődnek le. Másodsorban a post-audit projekt átvilágítja a bevezetés lépéseit és felfedheti a bevezetés közben elkövetett hibákat vagy hiányosságokat.

A DLP post-audit értéke, hogy a megbízó szervezet számára láthatóvá váljon, a DLP rendszer bevezetése a módszertani lépeseket követve megfelelően zajlott le, és a rendszer megfelelően üzemeltethető-e.

DLP post-audit szempontok:
Incidensek generálása (kontextusok és folyamatok alapján),
Incidenskezelési workflow ellenőrzése,
Alerting ellenőrzése.