[IT café] A cég vezető szakembere szerint elég a régi megoldások toldozgatásából, új technológiák kellenek: „Felejtsük el a TCP/IP-t, a szoftverdefiniált hálózatok jelenthetik a megoldást a kiberbiztonsági fenyegetések kivédésére!”
John Suffolk, aki 2011 óta a Huawei Technologies kiberbiztonsági elnök-helyettese (CSO) (korábban az Egyesült Királyság kormányának információbiztonsági igazgatója volt), ma cége nevében közleményt adott ki arról, hogy alapjaiban kell megváltoztatni a biztonsági technológiákat, mivel olyan állapotban van ma már a világháló, hogy a régi megoldások már nem elegendőek.
Ne csak a zárat, az ajtót is cseréljük ki!
Suffolk szerint, azzal, hogy erős zárat tetetünk egy gyenge ajtóra, aligha tartjuk vissza a tolvajokat, főként ha értékes dolgok rejlenek odabent. A vállalkozások mégis gyakran teszik ezt a kibertámadásokkal szemben vívott harcban: fejlett digitális biztonsági rendszereket csatlakoztatnak alapból megbízhatatlan vállalati hálózati infrastruktúrákhoz. A végeredmény: olyan vállalati IT rendszerek jönnek létre, amelyek egyrészt álmatlan éjszakákat jelentenek a kockázatnyilvántartást vezetők és az adatbiztonságról gondoskodók számára. Másrészt frusztrációt okoznak azoknak is, akik a következő generációs mobilitást és a felhőalapú technológiákat akarják magukévá tenni hatékonyságuk és versenyelőnyük növelésére. A legtöbb mai kibervédelmi stratégia pedig sajnos inkább egy védekező vagy válaszadó megközelítést alkalmaz a támadó módszerek helyett – vélekedik a szakember.
Suffolk azt is leírta, hogy amiként egy cég digitális platformjainak valódi értéke növekszik, egyre vonzóbbá válik a bűnözők számára. Ezeknek a platformoknak a kereskedelmi haszna pedig jóval meghaladja a kibertámadások okozta költségeket. „Ezt a szabályt nem mindenki látja be – tette hozzá John Suffolk –, a Fortune 500-as céges toplistáján szereplő vállalatoknál is akadnak ugyanis olyan informatikai vezetők, akik szerint a kibervédelem inkább csak akadályt jelent az olyan új technológiák bevezetésében, mint a »Bring Your Own Device«, a közösségi hálók és a nyilvánosfelhő-alapú technológiák.”
Számos iparági szektorban nem ritkák azok a nézetek, miszerint sok fejfájást okoztak az ellopott laptopok, a vonaton felejtett iratok, elhagyott memóriakártyák, ám jóval nagyobbat az, hogy az egész üzlet szisztematikusan a felhőbe kerül. A felhőalapú számítástechnikának pedig úgy kellene biztonságosnak lennie, hogy egyben minden alkalmazott megfelelő hozzáféréssel is rendelkezik – írja az alelnök.
Mondjunk búcsút a TCP/IP-nek!
Suffolk felhívja a figyelmet arra, hogy míg az informatikai vezetők és a technológiai infrastruktúra védelmezői azon tűnődnek, hogyan lehetne egyensúlyt találni a biztonság, az agilitás és innováció között, a kiberbűnözők egyre kifinomultabb következő generációs eszközöket és technikákat fejlesztenek ki arra, hogy beszivároghassanak a vállalati hálózatokba.
De a védekezők számára még nincs minden veszve. A szoftverdefiniált hálózaton (Software-defined Network – SDN) alapuló következő generációs hálózati technológia fokozatos változást hozhat a vállalatok számára, egy újgenerációs védelmi arzenált adhat az informatikai vezetők kezébe, de csakis akkor, ha az SDN-t már a kezdetektől fogva e funkciónak megfelelően tervezték. A Huawei kiberbiztonsági elnökhelyettese szerint az a probléma a hagyományos, régebbi hálózatokkal, hogy TCP/IP alapúak. Ez ugyanis egy alapból megbízhatatlan szerkezet, amit azokban az időkben fejlesztettek ki, amikor a „hacker” szót még elsősorban a rossz golfozókra használták. A TCP/IP a vállalati hálózat gyenge ajtaja – hiába teszünk rá egyre erősebb digitális zárakat, maga a szerkezet sérülékeny marad. Ez pedig inkább bátorítja a kiberbűnözőket, mintsem hogy elrettentené – fejti ki Suffolk.
Szoftverek által védett hálózatok
A mai SDN-alapú hálózatokat már alapból a szerkezetbe építve lehet kifejleszteni, nem úgy, mintha egy utólagos burkolat lenne – magyarázza a szakember. Emiatt az SDN gyökeres változásokat hozhat kibervédelem szempontjából az iparág számára. A legfontosabb változás, hogy ezzel a hálózattal a vállalatok aktívan védekezhetnek a biztonságért felelős csapatok által fejlett állandó fenyegetéseknek nevezett (APT – advanced persistant threats) támadásokkal, az elosztott szolgáltatás-megtagadásokkal (DDoS – Distributed Denial of Service) és a rosszindulatú szoftverekkel (malware), valamint a nulladik napi támadásokkal (zero-day) szemben.
Az aktív SDN kialakítható úgy, hogy folyamatosan figyelje és elzárja a biztonsági réseket minden hálózati elemben, az egyszerű, hozzáférést biztosító készülékektől az adatközpont hálózati elemeinek sokaságáig. A lényegi különbség az, hogy egy SDN tervben a képesség teljes mértékben virtuális és beágyazható. Az SDN segítségével olyan biztonsági eljárások hozhatók létre, amelyek azonos fejlettségi szinten vannak azzal a szolgáltatással, amit védeniük kell, és most először az informatikai vezetők is támadásba lendülhetnek és védelmet biztosíthatnak a vállalat készülékeinek, alkalmazásainak és hálózati elemeinek. Emellett az alkalmazotti hozzáférés aktívan szabályozható napszak, hely, időzóna és egyéb olyan tényezők alapján, amik központosított vezérlés és ellenőrző eszközök segítségével kialakíthatóak a hálózatban. Az SDN használatával az informatikai vezetők kiemelt feladata most először a hatékony hozzáférés biztosítása lehet ahelyett, hogy egy reaktív válaszokra és korlátozó eljárásokra épülő stratégia elemein kellene dolgozniuk – erősít rá a kritikára a biztonsági szakember.
Suffolk szerint azonban az, hogy ez a hálózat létezik, nem jelenti azt, hogy minden SDN -t úgy terveznek, hogy azok azonos hangsúlyt helyezzenek a biztonságra. Ezenkívül van egy jelentős kibervédelmi ágazat, ami a félelem, bizonytalanság és kétség elterjesztésére támaszkodik. Amennyiben az SDN-alapú szerkezetben nem szerepel egyszerre a biztonság, a „nagy adat” (big data), a Sandbox technológia és egyéb technológiák, amelyek alkalmasak az ismeretlen fenyegetések megelőzésére, akkor az SDN alkalmazása is csak annyit segít, mintha kicserélnénk a régi gyenge ajtónkat egy új, erős zárakkal felszerelt, de szintén gyenge ajtóra.
Suffolk összességében úgy véli, hogy az SDN segítségével először nyílik alkalom arra, hogy lényegesen átalakítsák a technikai védekezést, és egy plusz biztonságot nyújtsanak, ami az emberi hibákat teheti kiszűrhetővé.
Forrás: IT café