Az ismerős alkalmazások igazi értéke
Kívülről minden modern vállalat infrastruktúrája eltérőnek tűnhet, de belül rendre ugyanazok a szoftverek tűnnek fel, és ezek közül néhány úgy uralja a piacot, hogy nélkülük elképzelhetetlen lenne a munka: e-mail-kliensek, Word- és Excel-szerű irodai programok, böngészők, tömörítő- és előnézeti eszközök. A kompatibilitás fontosabb kérdéssé vált, mint a személyes preferencia. Ugyanazokat a fájlformátumokat használjuk, hogy mindenkinek olvasható, szerkeszthető maradjon a tartalom. Ezért szabványosodtak a dokumentumformátumok, és ezért terjedtek el néhány nagy név szoftverei az összes munkahelyen. Ez a kiszámíthatóság azonban az adathalászoknak, támadóknak is stabil támpontot ad.
Hogyan formálja a valószínűség a támadási stratégiákat?
Régóta működik az a módszer, hogy a támadók egyszerűen elküldenek egy speciális tartalmú e-mailt, és remélik, hogy a címzett például Outlookot használ. Küldenek makróval teli Excel-fájlt vagy hibás PDF-et, bízva abban, hogy valakinek az eszközén fut az érintett program. A valószínűségi gondolkodás azonban mára előtérbe került: a támadók nem egyedi alkalmazásokat keresnek, hanem széles körben elterjedt programok sérülékenységeit, amelyek a legtöbb gépen megtalálhatók. Ezek a szoftverhibák futótűzként terjednek a támadói közösségben, mert rengeteg vállalat használja ugyanazokat az eszközöket, akár az Outlookot, a Wordöt vagy az Adobe termékeit, így a támadás egyszerűen skálázható.
A vállalati „lábnyom” logikája – minden mindennel összefügg
Az irodai alkalmazások gyakran együtt mozognak: ha egy rendszerben érzékelhető az Outlook jelenléte, szinte biztos, hogy a Word vagy az Excel is elérhető. Az e-mail-munkafolyamatok összefonódnak a dokumentumfeldolgozással, hiszen a mellékletek, előnézetek, fájlmegosztások egy rendszeren belül történnek. Egy fertőzött e-mail simán utat talál a csatolmánykezelőn vagy a dokumentumolvasón keresztül más alkalmazásokhoz. Ezért tekinthető maga a vállalati szoftverlábnyom támadhatónak – a támadók már nem egy-egy programot céloznak, hanem a mindennapok szokásait támadják.
Csendes nyomok és rejtett adatszivárgás
Más megközelítésben érdemes felhívni a figyelmet arra, hogy minden dokumentum – akár egy sima PDF vagy Excel – számos apró információt tartalmaz arról, hogy milyen szoftverrel készült, melyik programverzióval mentették, és hogyan dolgozza fel a rendszer. E-mail-fejlécekből, user agent-adatokból, fájlstruktúrákból egyszerűen kiolvasható, hogy az adott vállalat milyen eszközöket használ, melyek a legelterjedtebbek, és ezekből az információmorzsákból a támadók egész profilt építhetnek fel az infrastruktúráról. Minél régebbi egy alkalmazás, annál több, már befoltozott hibát tartalmazhat – ezek pedig a támadás fő célpontjai lehetnek.
Harmadik féltől származó szoftver – felügyelet nélkül
A nagy cégek általában komoly energiát fektetnek az operációs rendszer, a böngészők vagy a mobilplatformok frissítésébe. A harmadik féltől származó szoftverek, vagyis a PDF-olvasók, tömörítők, segédprogramok viszont sokszor kimaradnak a központi menedzsmentből. Ezekhez a fejlesztők eltérő telepítőket kínálnak, némelyik magától frissül, más pedig a felhasználóra bízza a javítást. Így könnyen előfordulhat, hogy egymás mellett élnek különböző, akár többéves verziók is – és ezalatt évek sérülékenységei halmozódhatnak fel, teljes csendben.
Egyetlen, öt éve nem frissített PDF-olvasó egy gépen akár többéves exploitcsomagot kínálhat a támadóknak, mert az ilyen technikai elmaradás tágra nyitja a sebezhetőségek ablakát.
Az emberi faktor: a rutin veszélyei
A mindennapi szoftverekhez ösztönösen bizalom kapcsolódik – egy e-mail, egy dokumentum vagy egy ZIP-fájl megnyitása nem tűnik veszélyesnek, hiszen ez is a szokásos munka részévé vált. Mire a felhasználó gyanút fogna, a rosszindulatú program már rég befészkelte magát a rendszerbe. Az ilyen kompromittálódást visszakövetni szinte lehetetlen, amikor mindennap több ezerszer ismétlődnek ezek a rutincselekvések.
A valódi kitettség és a láthatatlan kockázat csökkentése
A vezetők számára nem a pánikkeltés a cél, hanem a perspektíva szélesítése: a biztonság nemcsak az operációs rendszer állapotán vagy a tűzfal beállításán múlik, hanem főleg azon, hogy milyen programok kerülnek ténylegesen használatba, hogyan, hol és milyen gyakran frissülnek. A harmadik féltől származó alkalmazások kezelése, folyamatos auditja és naprakészen tartása – bár inkább adminisztratív feladatnak tűnik – lényegesen nagyobb mértékben csökkentheti a valódi kockázatot, mint sok drágább védelmi megoldás.
Ezeknek az alkalmazásoknak a jelenléte, frissítési típusa, feleslegessé válása vagy épp lappangó elavulása évek alatt a sebezhetőség melegágyává válhat, miközben minden más kontroll látszólag tökéletesen működik. A támadók nem a platformot, hanem azt célozzák, amin a platform ténylegesen működik: a mindennapi szoftvereszközöket, amelyek mindenhol megtalálhatók.
A korszerű védekezés kulcsa a harmadik féltől származó szoftverek folyamatos felügyelete és gyors, automatizált frissítése – mert a látszólag unalmas, átlagos programok a legkiszámíthatóbb és ezért a legveszélyesebb támadási felületté válhatnak.
