Tanulság egy régi hibából: a vírusirtók kora
Az antivírus programok aranykorában még hittek abban, hogy minden rosszindulatú fájlt sikerülhet elkapni. A védelem egészen addig működött, amíg a támadók módszerei egyszerűek és kiszámíthatóak voltak. Amint viszont a kártékony kódok alkalmazkodni, változni kezdtek, a hagyományos vírusirtó szoftverek csődöt mondtak. Külön figyelmet érdemel, hogy az iparág hamarosan be is ismerte: lehetetlen száz százalékosan megelőzni a bajt.
Itt lépett a képbe az EDR (Endpoint Detection and Response, végponti észlelés és válaszadás). Ez nem a vírusirtókat váltotta le, inkább kiegészítette őket: átláthatóságot, viselkedéselemzést, vizsgálati eszközöket és rugalmas elhárítási módszereket adott a rendszerhez. Ennek köszönhetően, ha a rosszindulatú fájl át is jutott, később visszakereshető és ártalmatlanítható volt – az egész védelem ellenállóbbá vált.
Az e-mail védelem: ugyanabban a csapdában
Az e-mail fiókok ma is fontos támadási célpontok: egy feltört postafiókkal rengeteg belső adat, alkalmazás és üzleti folyamat kerül veszélybe – gondoljunk csak jelszó-visszaállításra, számlacsalásra vagy érzékeny felhőfájlok elérésére. Bár a modern spam- és adathalász szűrők számos támadást megállítanak, a kifinomultabb zsarolólevelek, BEC (üzleti e-mail kompromittáció – Business Email Compromise), belső fenyegetések vagy éppen az OAuth-tokenekkel való visszaélés simán átcsúszik a hagyományos szűrőkön. Ezért kijelenthető: a kizárólag megelőzésre alapozott szemlélet már kevés.
Hogyan néz ki az e-mailben az EDR?
A korszerű védelem már nem csak a spam szűrésével kezdődik, hanem a megtörtént támadások utáni enyhítő intézkedésekkel is. Ilyenek például:
- Láthatóság: Ki, mikor, honnan nyitotta meg az e-maileket?
- Incidenskezelés: Ha illetéktelen fér hozzá az e-fiókhoz, visszavonható-e tőle az érzékeny tartalmak elérése?
- Finomhangolt hozzáférések: Lezárható-e a pénzügyi vagy személyes adatok belső megtekintése?
- Érdektelen adatok törlése: Minden szükségtelenül tárolt e-mail növeli a támadási felületet – meddig őrzünk felesleges, régi üzeneteket?
- Fiókerősítés: Az OAuth-kapcsolatok és alkalmazás-hozzáférések szigorúbb szabályozása.
Ezek már a hagyományos szűrőket egészítik ki, és éppen úgy emelik a szintet, mint az EDR az antivírus mellett.
Az új fenyegetések kora: nem csak az e-mail védelmi lánca törékeny
Az Office365 (Microsoft 365) vagy Google Workspace világában a hackerek könnyen továbbléphetnek egy feltört levelezőről a céges naptárba, felhőtárhelyre vagy éppen a megosztott dokumentumokra. Külön figyelmet érdemel, hogy egyetlen kompromittált postafiók akár az egész szervezet adatait veszélybe sodorhatja – a támadások láncreakcióvá válhatnak.
Az EDR-szemlélet ezért már nem állhat meg az e-mail kapujában: a teljes SaaS (szoftver mint szolgáltatás) csomagra ki kell terjeszteni a láthatóságot és a reagálási lehetőségeket. Csak így lehet elkerülni a valódi, láncolt károkat.
Ideje változtatni a hozzáálláson
A biztonsági csapatoknak is váltaniuk kell: az egyoldalú, csak megelőzésre alapozott szemlélet helyett rétegezett, ellenálló védelmet kell kiépíteniük, ahol nemcsak a külső támadások szűrése számít, hanem a feltörés utáni gyors reagálás is. A vírusirtók sem tűntek el az EDR megjelenésével, inkább beolvadtak egy összetettebb stratégiába – így lesz ez az e-mail szűrőkkel is.
Bár sok cég még mindig a régi modellnél ragad, ezt egyre kevesebben engedhetik meg maguknak – a támadók már rég előrébb járnak. A kérdés már csak az: vajon a te céged készen áll arra, hogy előre lépjen, vagy megvárja a következő nagy adatlopást?
