A vállalatok ezért sok esetben tehernek érzik az ilyen jellegű kötelezettségeket, ám ha megfelelően kezelik az érzékeny adatokat, az ügyfelek is nagyobb bizalmat szavaznak nekik. A Micro Focus szakértői szerint a fejlett fájlelemző megoldások segíthetnek a szabályozások alá tartozó információk azonosításában és megfelelő kezelésében, így a cégek egyszerűen kovácsolhatnak üzleti előnyt a megfelelőségből.

A normál működésen túl a legtöbb vállalatnak extra terhet jelent, hogy meg kell felelnie olyan adatvédelmi előírásoknak, mint például a GDPR. Ezek a szabályozások azonban minden szervezetre egyformán vonatkoznak, ezért minden cégnek muszáj foglalkoznia velük. A kötelező körön túl a megfelelőség egyben lehetőség is a szervezetek számára annak bizonyítására, hogy megfelelően gondoskodnak ügyfeleik adatainak biztonságáról, ami növeli a cég iránti bizalmat. A Micro Focus ennek kiaknázására most bemutatja azokat az alapvető lépéseket, amelyeket követve bármilyen adatvédelmi előírás egyszerűen teljesíthető.

Személyes információk azonosítása…

Ahhoz, hogy tudjuk, pontosan mit is kell megvédenünk, első lépésként meg kell keresni és összesíteni azokat az elemeket, amelyekre a védelem vonatkozik. Ezt az adatvédelmi szabályozások is előírják a szervezeteknek, akiknek fel kell térképezniük és be kell azonosítaniuk, hogy milyen személyes adatokat hoznak létre, fogadnak be és osztanak meg másokkal. Ez magában foglalja annak nyomon követését is, hogy milyen alkalmazások kezelik, illetve milyen munkafolyamatok érintik ezeket az információkat. A cégeknek emellett azt is összegezniük kell, hogy pontosan hol tárolják az információkat, és kivel osztják meg azokat. Az átláthatóság érdekében ezért érdemes létrehozni és napra készen tartani egy nyilvántartást a személyes adatokról, amelynek során különös figyelmet kell fordítani az adatbázisokban tárolt, strukturált adatokra. A vállalatoknak azonosítaniuk kell az összes olyan strukturált adattárat, amely személyes adatokat tartalmazhat, beleértve a régebbi (legacy), már nem aktív adatbázisokat is.

A legnagyobb kockázat általában nem is a nagy, központi adattáraknál jelentkezik, inkább a peremen található információk jelentenek nagyobb veszélyt, így például az adatbázisokból készített, másokkal is megosztott kivonatok vagy éppen a laptopokon lévő ügyféllisták. Sok adatszivárgási eset olyan forráson keresztük történik, amelyről nem is gondolnák a szervezet szakemberei, hogy tartalmaz bizalmas információkat. Emellett a strukturálatlan adathalmazokban, különféle dokumentumokban, kép-, videó- és hangfájlokban is előfordulhatnak személyes adatok. Ezek analizálása azonban óriási munka lenne manuális módszerekkel. Hatékony segítséget nyújthat a feladathoz egy olyan megoldás, mint például a ControlPoint. Az eszköz ugyanis képes átvizsgálni a cég teljes informatikai rendszerét és adatbázisát, majd rendszerezni és kategorizálni az összes fájlt és információt, külön megjelölve az érzékeny adatok helyét. A Micro Focus eszköze ráadásul bármilyen típusú állományban tud keresni és elemezni, beleértve a képeket, videókat vagy a hangfelvételeket. Így semmilyen típusú személyes adat nem maradhat rejtve előtte.

…biztonságba helyezése…

A személyes adatok beazonosítása után gondoskodni kell arról, hogy azok ne szivároghassanak ki a cégtől akár egy véletlen baleset, akár egy célzott támadás során. A ControlPoint ehhez is segítséget nyújt, lehetővé téve a szervezetek számára, hogy az előzetes vizsgálat során azonosított, személyes adatokat a megfelelő módon kezeljék, előre meghatározott házirendek alapján. A bizalmas információk így nagyobb biztonságot és akár titkosítást is kaphatnak, vagy akár erősebben védett helyre kerülhetnek. A kevésbé fontos adatok pedig archiválhatók vagy törölhetők, ezzel is optimalizálva a tárolást.

…és kiadása

A legtöbb adatvédelmi előírás arra is kötelezi a vállalatokat, hogy az ügyfeleket kérés esetén megadott határidőn belül tájékoztassák arról, hogy pontosan milyen adatokat tárolnak róluk, és milyen további felekkel osztották meg azokat. Minden olyan szervezetnek, amely hetente több ilyen megkeresést kap, érdemes skálázható folyamatokat kialakítania ahhoz, hogy hatékonyan tudja végrehajtani a kapcsolódó kereséseket. Ezek a folyamatok arra is alkalmasak, hogy a cégek különféle forrásokból összegyűjtsék az információkat, majd egyetlen csomagban összesítsék azokat. Erre azért lehet szükség, hogy igény esetén a cégek másolatot tudjanak készíteni és kiadni az érintetteknek a saját személyes adataikról.

A törlésről már nem is beszélve

Az ügyfelek arra is jogosultak, hogy az adatkezelő szervezetektől kérjék a rájuk vonatkozó információk törlését vagy azok alkalmatlanná tételét az azonosításra. Ez utóbbira jó módszer lehet, ha a cég eleve formátummegőrző titkosítást használ az adatok védelméhez. Ezzel a technológiával ugyanis megmarad az adatok formátuma, mivel a megoldás például egy igazolványszámban a számokat más, véletlenszerű számokkal, és a betűket is más, véletlenszerű betűkarakterekkel helyettesíti.

The post Így védje ügyfelei adatait, ha a valódi biztonság a cél appeared first on Műszaki Magazin.

A kormányzati szervek, a diplomaták és a telekommunikációs szolgáltatók általában kedvelt célpontjai az APT-knek, ami nem is csoda, hiszen ezek az emberek és intézmények rengeteg szigorúan bizalmas és politikailag érzékeny információval rendelkeznek. Az ipari szervezetek ellen irányuló célzott kémtámadások jóval ritkábbak, de, hasonlóan az iparágak elleni bármely más támadásokhoz, ezek is pusztító hatással lehetnek az üzletmenetre. Ezért aztán amikor a Kaspersky szakemberei felfigyeltek a MontysThree aktivitására, azonnal vizsgálat alá vonták.

Megállapították, hogy a MontysThree egy négy modulból álló malware program telepítésével végzi a kémkedést. Az első – a betöltő – modul olyan RAR SFX fájlok (önkicsomagoló archívumok) segítségével terjed, amelyek az alkalmazottak kontaktlistáihoz, műszaki dokumentációihoz, egészségügyi vizsgálati eredményeihez kapcsolódó neveket tartalmaznak, és ezzel veszik rá az alkalmazottakat a fájlok letöltésére. Ez egyébként egy gyakran alkalmazott célzott adathalászati technika. A betöltő elsődleges feladata azt biztosítani, hogy a malware-t ne észleljék a rendszerben. Ezt a szteganográfia néven ismert technika alkalmazásával éri el.

A szteganográfiát a támadók arra használják, hogy elrejtsék az éppen zajló adatcsere tényét. A MontysThree esetében a fő kártékony payloadot bittérkép-fájlként (digitális képek tárolási formátumaként) álcázzák. A megfelelő parancs megadása esetén a betöltő modul egyedi algoritmus használatával dekódolja a pixelmátrix tartalmát és futtatja a kártékony payloadot.

A fő kártékony payload több különféle saját titkosítási technikát alkalmaz az észlelés kivédésére, nevezetesen egy RSA algoritmussal titkosítja a vezérlőszerverrel folytatott kommunikációt és dekódolja a malware által küldött fő „feladatokat”. Ilyen például egy adott kiterjesztésű dokumentum keresése egy adott vállalati könyvtárban. A MontysThree kimondottan a Microsoft és az Adobe Acrobat dokumentumokat támadja; továbbá képes begyűjteni a képernyőfotókat és „ujjlenyomatot venni” a célpontról (azaz információkat gyűjteni a hálózati beállításokról, a hoszt nevéről, stb.) annak érdekében, hogy kiderüljön: a célpont számot tarthat-e a támadók érdeklődésére.

A begyűjtött információk és a vezérlőszerverrel folytatott egyéb kommunikációk aztán nyilvános felhőalapú szolgáltatóknál, például a Google-ben, a Microsoftnál és a Dropboxban tárolódnak. Ez megnehezíti a kommunikációs forgalom kártékonyként való észlelését, és mivel ezeket a szolgáltatásokat semmilyen antivírus szoftver nem blokkolja, a vezérlőszerver zavartalanul végrehajthatja a parancsokat.

A MontysThree emellett egy egyszerű módszerrel szerzi meg a tartós irányítást a megfertőzött rendszer felett: módosítja a Windows gyorsindítóját. A felhasználók így a tudtukon kívül saját maguk futtatják a malware első modulját minden egyes alkalommal, amikor jogszerű alkalmazásokat, például böngészőket futtatnak a gyorsindító eszköztár használatával.

A Kaspersky más ismert APT-khez képest semmilyen hasonlóságot nem talált a MontysThree kártékony kódjában, de az infrastruktúrájában sem.

„A MontysThree nemcsak azért érdekes, mert ipari holdingokat vesz célba, hanem azért is, mert kifinomult és némileg „amatőr” TTP-ket kombinál. Általánosságban elmondható, hogy a kifinomultság modulról modulra változik, de nem ér fel a legfejlettebb APT-k szintjéhez. Mindenesetre a kitalálói hatékony kriptográfiai szabványokat alkalmaznak, és komoly technikai hozzáértésre utaló módszereket is láthatunk benne – ilyen például az egyedi szteganográfia. De ami talán a legfontosabb: jól látszik, hogy a támadók jelentős energiákat fordítottak a MontysThree eszközkészletének kifejlesztésére, ami arra utal, hogy igencsak elszántak a céljaikat illetően, és hogy ezt nem rövid életű kampánynak szánták” – fejtette ki Denis Legezo, a Kaspersky globális kutató és elemző csapatának szenior biztonsági kutatója.

A MontysThree malware-ről a Securelist weblapon található bővebb információ. A csoporthoz kapcsolódó behatolásra utaló jelekkel, többek között a fájl hashekkel kapcsolatban a Kaspersky fenyegetéselemző portálján érhető el bővebb információ.

A Kaspersky szakértői a következőket javasolják a szervezeteknek a MontysThree-hez hasonló jellegű támadások elleni védekezéshez: 

• Részesítsék a munkavállalókat kiberbiztonsági alapismereteket bemutató képzésben, hiszen számos célzott támadás indul adathalászattal vagy más pszichológiai manipulációs technikákkal. Hajtsanak végre szimulált adathalász támadást annak kiderítésére, hogy a dolgozók meg tudják-e különböztetni az adathalász e-maileket a normál e-mailektől.
• A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz. A Kaspersky fenyegetéselemző portálja egyablakos hozzáférést biztosít a vállalat fenyegetéselemzéseinek adataihoz, többek között a Kaspersky által több mint 20 év alatt összegyűjtött kibertámadásos adatokhoz és meglátásokhoz.
• Az incidensek elleni végpontszintű védelemhez, a kivizsgálásukhoz és a megfelelő időben történő orvoslásukhoz használjanak EDR megoldásokat, például a Kaspersky Endpoint Detection and Response szoftvert.
• Az alapvető végpontvédelem mellett alkalmazzanak olyan nagyvállalati szintű biztonsági megoldást is, amelyik már a korai szakaszban észleli a hálózati szintű fejlett fenyegetéseket, például a Kaspersky Anti Targeted Attack Platformot.
• A vállalati végpontok védelme mellett az ipari végpontok védelméről is gondoskodjanak. A Kaspersky Industrial CyberSecurity megoldása célzott védelmet biztosít a végpontok számára, továbbá hálózatmonitorozást is végez az ipari hálózatban zajló gyanús és potenciálisan kártékony tevékenység felfedése érdekében.

The post Ipari kémek akcióban: új eszközkészlettel az ipari holdingok ellen appeared first on Műszaki Magazin.