Miért kevés a passzív adat?
A passzív, időszakos szkennelések gyorsan elavulnak. Egy nyitott szolgáltatás lehet, hogy mire a jelentés a biztonsági csapathoz kerül, már nem is létezik. Vagy épp fordítva: egy új, érzékeny hiba jelenik meg anélkül, hogy felfedeznék. Emiatt gyakori, hogy a szakértők olyan problémákat igyekeznek megoldani, amelyek már megszűntek, miközben az aktuális veszélyek elkerülik a figyelmüket.
A passzív adatok ráadásul gyakran csak felszínesek: hiányzik belőlük a tulajdonosi információ, a környezeti összefüggés, az ok-okozati részletek, és nem látszanak a valódi hatások. Egy kisebb információhiány ugyanúgy néz ki, mint egy súlyos biztonsági rés, ami megnehezíti a helyes sorrendiség felállítását.
A modern IT-környezetekben gyakoriak a „rövid életű” eszközök – ideiglenes tesztszolgáltatások, automatikusan skálázódó felhős erőforrások, gyors próbaprojektek –, amelyek néhány perc vagy óra alatt eltűnnek. A passzív szkennelések ritkán fedezik fel őket, szemben a támadókkal, akik ezeket mindig keresik.
A folyamatos kutatás előnyei
Az állandó, automatizált megfigyelés lényege az, hogy naponta, sőt akár óránként friss képet kapj arról, mi látható kifelé. Ez magában foglalja:
– Új, véletlenül megnyílt szolgáltatások észlelését
– DNS-, tanúsítvány- és tárhelyváltozások követését
– Új hosztok és ismeretlen rendszerek azonosítását
– Hibás konfigurációk feltárását a bevezetés pillanatában
– Azonnali validálást, hogy az aktuális helyzeten alapuljon minden döntés
Emellett a folyamatos megfigyelési rendszerek képesek követni, ahogy új felhőhelyszínek, tesztkörnyezetek vagy „árnyék-IT” jelenik meg. Nincs szükség kézi adatfrissítésre – a rendszer tartja a tempót a környezet változásával.
Olyan veszélyforrásokat is észrevehetsz, amelyek felett a passzív adat átsiklik
– Egy elfeledett fejlesztői szerver váratlanul elérhetővé válik
– Egy fejlesztő egy teszt kedvéért RDP- vagy SSH-hozzáférést engedélyez
– Újonnan létrehozott, de nyilvánosan hagyott Amazon S3-tároló
A napi gyakoriságú vizsgálat ezeket azonnal felfedi, megelőzve a támadókat.
A gyors telepítések hibákat is hoznak: lejárt tanúsítványok, visszaállított alapbeállítások, véletlenül kinyíló portok. A naprakész megfigyelés ezeket is azonnal mutatja.
Fontos, hogy nemcsak az IT-osztály hozhat létre sérülékeny elemeket – marketinges mikrooldalak, külső beszállítók, nem kezelt SaaS-fiókok is rendszeresen felbukkannak.
Konkrétabb döntések kevesebb zajjal
A folyamatos, automatizált kutatásnak köszönhetően a biztonsági csapat már hiteles, aktuális adatokat kap, és tudja, mi változott, mennyire veszélyes, kié az adott rendszer, és milyen lépést kell tenni. A túlságosan hosszú, elavult találati listákat felváltja a rövid, cselekvésre ösztönző összefoglaló. Csökkennek a fals pozitívokból eredő felesleges feladatok, a felelősségek egyértelműek lesznek.
Az alapok: hogyan lehet átlátni a támadási felületet?
Rendszeres, automatizált vizsgálatokkal az alábbiakat érdemes megvalósítani:
– Pontos eszközleltár fenntartása
– Folyamatos monitorozás és azonnali értesítés
– Sérülékenységek kockázat szerinti priorizálása
– Automatikus védelmi folyamatok alkalmazása
– Szoftverek, rendszerek gyakori frissítése, javítása
A modern biztonság alapja a folyamatos láthatóság
A támadási felületek ma már percről percre változnak, míg a statikus, passzív adatok egyszerűen nem tudják ezt lekövetni. Az időszakos vizsgálatokra épülő védekezés vakfoltokat hagy, amelyek könnyen kihasználhatók.
A folyamatos, valós idejű ellenőrzés – legyen szó teljes automatizálásról vagy rendszeres, napi felülvizsgálatról – a fenntartható kibervédelem alapköve. Ez adja meg azt a rugalmasságot, amellyel az IT-csapat ténylegesen a fontos problémákkal tud foglalkozni, gyorsan reagálhat, és minimalizálhatja a valós kockázatot.
