Az esetek 52 százalékában a humánfaktoron bukik az IT-rendszerek biztonsága

forrás: Prím Online, 2016. március 1. 10:11

Az ISACA friss felmérése szerint az információtechnológiai rendszereket ért támadások 52 százaléka nem a technikát, hanem a felhasználót veszi célba – Az eredményesség tekintetében a social engineering alapú támadás ma már a leghatékonyabb módszer az IT-rendszerek kompromittálására.

Az Information Systems Audit and Control Association (ISACA) 2016 januárjában végzett, mintegy 3000 IT-biztonsági szakértő bevonásával készített felmérése alapján a megkérdezettek 52 százaléka szerint jelenleg a legnagyobb veszélyt a rendszerek biztonságára a felhasználót támadó social engineering módszer jelenti, amelynek hatékonyságát bizonyítja, hogy ezzel a módszerrel sikerült az elmúlt hetekben hackereknek megszerezni az amerikai nemzetbiztonsági szolgálat 9000, illetve az FBI 22 ezer alkalmazottjának elérhetőségi adatait. Jó hírt jelent a szervezeteknek, hogy megfelelő belső szabályozással és a munkatársak oktatásával a social engineering megközelítésre épülő támadások jelentős része kivédhető.

 

A social engineering lényege, hogy a hackerek különböző módszerekkel a felhasználótól olyan információkat – jellemzően jelszavak, regisztrációs-bejelentkezési adatok – csalnak ki, illetve szereznek hozzáférést az információtechnológiai rendszerekhez, amelyek mentén képesek lesznek a technika direkt támadása nélkül eljutni a kívánt adatokhoz, azokat megszerezni, illetve módosítani.

 

Habár sok nagyvállalati biztonsági szakértő és vezető számára evidenicának tűnik, hogy a munkatársak védik a vállalati rendszerek jelszavait, ez meglehetősen csalóka biztonságérzetet kelt. „Az egyik információtechnológiai biztonsággal foglalkozó vállalat csokoládét kínált fel egy elismert pénzügyi negyedben dolgozóknak a céges informatikai rendszerbe való belépési jelszavukért cserébe. Szinte hihetetlen, de a megkérdezettek 70 százaléka kiadta a céges jelszavát egy szelet édességért” – hívja fel a figyelmet a social engineering sikerességére Lengyel Csaba, a Hunguard Kft. szakmai igazgatója. Szerinte sokan úgy gondolják, hogy csak a jelszó kevés ahhoz, hogy feltörjék felhasználói fiókjukat, azt azonban senki nem tudhatja, hogy a támadó milyen információk és adatok birtokába jutott korábban.

 

A social engineer technikával próbálkozó hackerek célja a lehető legtávolabb maradni az IT-rendszerektől, nem a technikát, hanem az információkhoz és adatbázisokhoz hozzáférő munkavállalót célozza meg. A célszemélyek gyakran olyan alkalmazottak, akik nem feltétlenül ismerik az információk értékét; például külsős munkatársak, gyártók, beszállítók, kiszolgáló területeken dolgozó munkatársak. „Ez esetben a probléma igazi forrása az, hogy a támadónak kezdetben elég egy alacsony szintű hozzáférés, amivel később bővíteni tudja saját felhasználói jogait, ami pedig még fontosabb, hogy akár hónapokon keresztül lophat vagy változtathat meg adatokat” – mutat rá Lengyel Csaba.

 

 

A Hunguard Kft. munkatársának szakmai tapasztalata szerint a vállalati információk megszerzésének egy másik módja az alkalmazottak nem megfelelő jelszó-választási szokásainak kihasználásából ered. Jellemzően mindössze a felhasználók negyede használ valamilyen, a legbiztonságosabbnak számító, különleges karaktereket is tartalmazó jelszavakat. Egy csak számokból álló jelszó feltöréséhez, egy gyakorlott hackernek alig öt percre van szüksége, a csak betűkből álló jelszavak 5-6 nap alatt megfejthetőek, a betűk és számok kombinációjából álló jelszó kitalálása viszont már hónapokba telhet. A legjobb megoldás, ha számokat, kis- és nagybetűket, valamint speciális karaktereket is tartalmaz a jelszó; ugyanis ezek feltörési ideje akár száz években is mérhető. 

 

Nem csak a kiadott jelszó, de a lezáratlan számítógépek is kockázatot rejtenek: nagy szervezetek esetében meglepően sikeres módszer az úgynevezett „piggybacking” technika, ahol a hackerek magukat munkatársnak, esetleg karbantartónak vagy takarítónak kiadva jutnak be a vállalat irodáiba. „Ez is egyfajta social engineering. A helyszínen már ellenőrzés nélkül, szabadon hozzáférhetnek a magukra hagyott, nem lezárt terminálokhoz, laptopokhoz. Ilyenkor a legnagyobb károkat nem a gépek és adathordozók ellopása okozza, hanem az azokon tárolt adatok és információk eltulajdonítása, megváltoztatása.” – teszi hozzá a szakmai igazgató.

 

Fontos, hogy a vállalatok tisztában legyenek azokkal a technikákkal, amelyekkel elkerülhetik, hogy a social engineering áldozataivá váljanak. Amíg a kifejezetten a technikát célzó kibertámadások ellen a biztonságot nyújtó eszközök, programok, valamint ezek megfelelő beállításával védekezni lehet, a felhasználót célzó támadásokat csak maguk a felhasználók tudják sikertelenné tenni. „Ehhez fontos a munkatársak edukálása, megismertetése a veszélyforrásokkal, a megfelelő belső eljárásrendek és szabályzatok megalkotása és betarttatása. A kockázatokat csak így lehet a minimálisra csökkenteni” – hangsúlyozza Lengyel Csaba.

 

 

Színes ROVAT TOVÁBBI HÍREI

Volt nincs, buli van

Idén a járvány miatt elmaradt a Telekom VOLT Fesztivál, a szervezők azonban nem hagyják magukra a fesztiválhangulatra vágyó fiatalokat. A soproni gigarendezvény helyett a VOLT és a Telekom olyan Minifesztiválok megvalósítását támogatja, ahol ugyan szűkebb körű a részvétel, ám az exkluzív fellépők mellett a hamisítatlan VOLT-feelinget és az élmények megosztását fejlett digitális megoldások is segítik.

2021. július 22. 12:48

A maximumot várja magától a Team Black Jack

Már csak néhányat kell aludniuk a vitorlássport szerelmeseinek, hogy július 22-én elstartoljon a sportág legendás hazai eseménye, az 53. Kékszalag Raiffeisen Nagydíj. A versenynek nagy reményekkel vág neki a több évtizedes tapasztalattal rajthoz álló Team Black Jack, mely 2021-ben a Wallis Motor teljes támogatásával törhet a dobogó tetejére. A BMW és a MINI vezető hazai márkakereskedője ebben a csapatban mindent megtalált, amire az üzleti életben értékként tekint: eltökéltséget, kitartást, versenyszellemet és mindenekelőtt győzni akarást. A közös cél: elsőnek lenni.

2021. július 21. 15:59

Töltőkábelek – mi történik, ha megrágta a kutya?

Ma már szerencsére minden eszközhöz, amit tölteni szükséges, tudunk vásárolni extra töltőkábelt, ha esetleg véletlenül elvágnánk vagy megrágná a házi kedvencünk. Találunk a piacon egyedileg az eszközünkre szabott kábelt, de léteznek már univerzális megoldások is.

2021. június 14. 15:56

Megkérdőjezelődött a trójai faló mítosza

A trójai faló legendáját szinte mindenki ismeri: egy gigantikus, fából készült építménybe katonák bújnak, hogy az éj leple alatt kimásszanak a Trója falai mögé bevontatott „ajándékból”, majd társaikat beengedve percek alatt eldöntik a tíz évig húzódó csata menetét. De vajon valóban így történt? Tényleg egy lovat formált az építmény, a valóságban is így dőlt el a csata, vagy mindez csak mítosz? A Viasat History legújabb, A trójai faló rejtélye című dokumentumfilmje 2021. május 23-án vasárnap 21 órától szakértők segítségével igyekszik megfejteni a rejtélyt és felgöngyölíteni Homérosz költeményeinek valódi jelentését.

2021. május 22. 10:31

Jár neked a legjobb! - Nézzük, mi újdonság van a napelem piacán!

Rengeteg újdonságot láthatsz, hiszen a megújuló energia fejlődése nem egyszerűen csak biznisz, hanem egy lehetőség arra, hogy elkerüljük a klímaválságot és megőrizzük a fenntartható, élhető bolygónkat a jövő generációk számára.

2021. május 13. 11:09

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Tapasztalja meg a legendás játékot

2021. szeptember 20. 18:29

A világon egyedülálló drónra szerelhető szállítódobozt fejlesztettek

2021. szeptember 15. 14:15

Öt érmet is elhoztak a magyar diákok a juniorok informatikai diákolimpiájáról

2021. augusztus 31. 09:58

A Xiaomi várakozásokat felülmúlóan teljesített a második negyedévben

2021. augusztus 26. 14:46