A digitális világ háborúi – egy nap a fenyegetéselemző életéből
Ebben a cikkben a Palo Alto Networks fenyegetettség-elemző munkatársának életét és a témával kapcsolatos gondolatait mutatjuk be.
A kibertámadások elkerülhetetlenek a mai digitális világban. Eme fenyegetések jövőbeli enyhítésének egyetlen módja, hogy megértsük működésüket és tudásunkat megosszuk másokkal.
A felderítési kör, a rosszindulatú szereplőkre való vadászat egy kipróbált módja. Beletartozik az információgyűjtés arról, hogy hogyan hajtották végre a támadást, hogyan exploitálták az adott célt vagy rendszert, elérték-e a céljukat és arról, hogy miképp kommunikáltak vissza a támadóhoz.
Mivel a kérdésekre adott válasz egyedülálló minden egyes kártevőre nézve, ezért rá kell jönni a támadó gondolkodására, hogy meg lehessen állítani a jövőben.
Kezdetek
Napjaimban számtalan módon tanulok az új támadásokról. Függetlenül a forrástól, a célom, hogy jobban megértsem mi történik és milyen taktikát alkalmaznak. Ezeknek a tényezőknek a megértése segít megérteni és feltérképezni a támadó online infrastruktúráját, segíteni tud a potenciális áldozatnak.
A 42-es egységben (A Palo Alto Networks egyik szervezeti egysége) a fenyegetettségelemző csoport munkája azt jelenti, hogy egy olyan művelet középpontjába vagyok, amely a világ minden tájáról származó számítógépes fenyegetésekről számol be. Az ilyen hírszerzés magába foglalja – ha lehetséges – a támadó kilétét, az általuk használt eszközöket és malware-eket, illetve a támadás miértjét. Olykor nagyméretű támadások után is kutatunk, ahol több tízmillió ember is érintett.
A Palo Alto Networks a védelemről és a megelőzésről szól, nem pedig a rehabilitációról. A vállalkozások és a nyilvánosság védelmén dolgozunk, a rosszindulatú fenyegetések ellen. Egyrészt ügyfeleink digitális védelmét támogatjuk, a leghatékonyabb alkalmazásokkal– akár felhő vagy végpont alapon – másrészt a hálózat elleni támadások megelőzését segítjük elő.
Harc a támadás ellen
Az információbiztonság terén dolgozom, mióta otthagytam az iskolát 18 évvel ezelőtt, de sok minden változott, többek között a támadások léptéke és kifinomultsága is.
A múltban, a biztonsági kutatóként dolgozó munkatársak csak a támadásra és a támadásról kapott hírekre reagáltak. Most azonban sokkal inkább proaktívnak kell lenni. Az ismert fenyegetések nagy részét mesterséges intelligencia kezeli, túl sok munka lenne ez emberek számára. Napjainkban felkapott téma a mesterséges intelligencia ereje – legalábbis gépi tanulás szempontjából – olyan mintázatok felismerése az adatokban amik veszélyesek lehetnek, így mi, elemzők a magasabb szintű információkra koncentrálhatunk. Például, hogy a támadás különböző részei hogyan kapcsolódnak egymáshoz, kiterjesztve a hírszerzést és végül meggátolva a támadást.
A számítástechnikai bűnözésre vonatkozó megközelítésem egyezik a rendőrség véleményével bármilyen más bűncselekménnyel kapcsolatban – bizonyítékot gyűjteni elektronikusan egy kísérlet megoldani a közismert detektívregényt. Itt azonban, a regényekkel ellentétben, nehéz megbizonyosodni a támadó valódi kilétéről. A szereplők nagyon képzettek identitásuk elrejtésében és más nemzetiségek vagy országok maszkját veszik fel. Helyette nyomon követhetjük a stratégia vagy a malware típusát és a jövőbeli hatását csökkenthetjük, így nem tudják újra használni.
Hogyan legyél fenyegetéselhárítási elemző
Az információbiztonsággal való ismerkedésem során, először középiskola és egyetem között egy évet vírusvédelmi cégnél töltöttem, már az iskolában elkezdtek érdekelni a játékok és számítógépek. Sok időt töltöttem hardverek gyártásában, és hálózatok építésével, amik összekötöttek mindent mindennel – ez volt a szokás amikor a wifi még nem terjedt el. Nap mint nap más feladatok vártak rám, ezért maradtam a cégnél a következő 12 évben.
Egészen mostanáig nem volt diplomám – az elmúlt 6 évben számítástudományi szakot végeztem egy nyílt egyetemen. Közben az Egyesült Államokba utaztam, mielőtt csatlakoztam a Palo Alto Networkhöz két éve, és vissza kellet repülnöm az Egyesült Királyságba, hogy letegyem a vizsgáimat.
Ez a munka nem olyan egyoldalú, mint gondolnád, nincs olyan hogy tipikus elemző. Bár a legtöbben számítástechnikai háttérrel rendelkeznek, sok érték van a bölcsészekben is, akik jobbak a rosszindulatú programok típusának megjóslásában a korábbi minták alapján. A fenyegetés-kutatási végzettségek csak a közelmúltban váltak elérhetővé – ahogy fellendült a kiberbiztonsági ipar – bár a matematikai tudás szükséges a fenyegetéselhárítás egyes feladataihoz, ugyanolyan értékesek lehetnek a csapat számára a marketingben, politikában vagy pszichológiában jártas tagok.
A kiberbiztonsági képességek hiánya az Egyesült Királyságban – és a világon – egyre problémásabb, a számítástechnikai szenvedélyre egyre nagyobb igény van. Ez a szenvedély csak hobby lehet egyetemen, utána viszont felbecsülhetetlen érték lesz – függetlenül attól, hogy milyen végzettséged van.
Napi szinten új technológiákat, hálózatokat használva számos kibertámadást indítanak útnak. Ehhez képest az iskolák már korán aktívan riasztják el a tanulni vágyó diákokat, így nem meglepő iparunkban a munkaerőhiány, a sebezhetőségek fénykorában.
A kiberképességek egyre értékesebbek
Egyre digitalizáltabb világban élünk, ahol a számítástechnikai képességek és az adat az új olajjá válik. A GDPR nyomán, a támadások célpontjai sokkal jobban érdekeltek abban, hogy kiderítsék a támadó kilétét. Miért támadtak? Mi volt a célpont? Hogyan védhetjük ki? Ezért forgatókönyveket készítünk a következő támadásokról, malware típusokról, az ezekben használt eszközökről, valamint a támadó technikáiról, – akár ismert, akár ismeretlen – hogy a nyilvánosság használhassa ezeket az információkat, és ügyfeleink nagyobb tudásszintet, valamint biztonságosabb környezetet élvezhessenek termékeink használata során.
Minden alkalommal amikor egy új techcég népszerűvé válik az interneten, a sajtóban a fenyegetéselhárítási elemzőknek feltételezniük kell egy kibertámadás közeledtét és azt, hogy minden sérülékenységet megcéloznak majd. Ha egy magánszemély vagy vállalat felerősödik akkor célzottá válik a kibertámadásokkal szemben. Itt jövünk mi a képbe.
Az információbiztonsági iparág minden bizonnyal tovább fog növekedni az általunk védett fenyegetésekkel, és az ellenük használt technológiákkal együtt. Az automatizálás például különösen kiemelkedő lesz, mivel a veszély mértéke növekszik és az emberek képtelenek lesznek kezelni ezt.
Ezt azt jelenti, az emberekre még mindig nagy szükség van, hogy harcoljanak a rengeteg figyelmeztetés ellen és felismerjék mikor van csak anomália, gyanús cselekmény és, hogy mikor kell értesíteni az ügyfelet a veszélyre. A sikeres fenyegetéselemzés – a jövőben – az ember és a gép közötti szimbiotikus kapcsolatból jön létre.
Forrás: https://blackcell.hu