Prevenció a biztonságban: megelőzhetőek a biztonsági incidensek?

Tűzoltás és/vagy prevenció

Egy erős biztonsági kultúra ismérve, hogy a szervezetet érő támadásokat a rendszer megfelelőképpen reagálja le, adekvát válaszlépéseket tesz, és minimalizálja a károkat. A biztonság azonban úgy is elérhető, hogy megakadályozzuk, késleltetjük, vagy egyéb preventív módon védekezünk az olyan egyénektől vagy csoportoktól érkező külső vagy belső fenyegetésekkel szemben, amelyek megpróbálják kibillenteni a szervezet az egyensúlyi állapotából. A megelőzés (vagyis prevenció) a fenyegetések felismerésének vagy előrejelzésének képességétől függ. Westrum a fenyegetések három típusát jellemezte előreláthatóságuk és rendszerbomlasztó képességük alapján. E kategóriák egyben azt is sejtetik, hogy a megelőzés milyen mértékben lehet opció.

 

Rendszeres fenyegetések

Rendszeres fenyegetések azok, amelyek olyan gyakran fordulnak elő, hogy lehetséges és egyúttal költséghatékony is a válaszlépések előkészítése, és az erőforrások elkülönítése olyan helyzetekre, amikor bekövetkeznek. Példa erre egy túlterheléses támadás (DDOS támadás), ahol a támadók (hackerek) megpróbálják megakadályozni, hogy jogos felhasználók hozzáférjenek egy szolgáltatáshoz – ezzel veszélyeztetve az üzletfolytonosságot.

 

Rendhagyó fenyegetések

A rendhagyó fenyegetések vagy egyszeri események azok, amelyekre gyakorlatilag lehetetlen szabványos választ adni. Még ha a fenyegetés elképzelhető is, a támadások általában váratlanok, és megvalósításuk tekintetében nagy variabilitást mutatnak. Ilyenek például a ransomware (zsarolóvírus) támadások. Az ilyen fenyegetések nagy száma rendkívül költségessé teszi az egyes esetekre adott válasz elkészítésének költségeit is.

 

Példátlan események

Példátlan események azok, amelyek annyira egyediek, hogy nem valószínű, hogy egy szervezet, vagy akár más, ugyanabban a szektorban működő szervezetek valaha is átéltek ilyeneket. Ez egyrészt azt jelenti, hogy nagyon nehéz felismerni őket, másrészt azt is, hogy nincsenek tényleges példák a lehetséges megoldásokra.

 

Amiről nincs tapasztalat, azt nehéz megelőzni…

Az előző bejegyzésben bemutatott fenyegetés-típusokat megismerve belátható, hogy a biztonság megelőzés révén történő elérése – a financiális szempontokat is mérlegelve – igazán csak a rendszeres fenyegetések esetén valósítható meg. Mivel ezek az események újra és újra megtörténnek (ha nem is feltétlenül egyetlen szervezetnél), így lehetőség van azok elemzésére, megértésére, és a tanulságok levonására. Az sem egyedülálló, hogy azonos szektorban működő szervezetek egyfajta közös tudásbázist hoznak létre, és tapasztalatot cserélnek a náluk bekövetkezett biztonsági incidensek kapcsán. A rendhagyó és a példa nélküli fenyegetéseket azonban más módon kell kezelni. Mivel mindkét típus ritka és szokatlan, nem garantálható az, hogy meg lehet őket előzni pusztán akadályok kialakításával.

 

Támadó a védő ellen: egy egyenlőtlen küzdelem

Egy másik probléma a megelőzés kapcsán a támadás és a védekezés közötti nyilvánvaló aszimmetria. Egy adott fenyegetés elleni védekezéshez – akár annak megszüntetésével, akár korlátok építésével – kellő biztonsággal tudni kell, hogy mi a fenyegetés, és lehetőleg azt is, hogy mikorra várható annak időzítése. Mivel ez a szokásosnál jóval több erőforrást és időt igényel, az alapértelmezett megoldás az, hogy a komolyabbakra kell összpontosítani, vagyis lényegében egyfajta speciális „triázsolásra” van szükség. Ebben a folyamatban két szempontot érdemes mérlegelni, egyrészt a gyakoriságot, másrészt pedig a súlyosságot. Minél gyakoribb és/vagy minél súlyosabb egy potenciális fenyegetés, annál nagyobb prioritással érdemes kezelni azt a tervezésnél. A probléma azonban továbbra is az, hogy míg a védekező félnek elvileg minden lehetséges fenyegetést figyelembe kell vennie, a támadónak csak egyetlen támadási módra kell gondolnia. A támadóknak csak egy célja van, ezért nem kell más elsődleges célokat figyelembe vennie, és nem kell törődnie a mellékhatásokkal sem. Elegendő megállapítania a célrendszer sebezhetőségeit és megtalálnia azok kihasználási módjait. A védekező félnek viszont sok lehetséges sebezhetőségre kell gondolnia, és törődnie kell az esetleges mellékhatásokkal vagy járulékos károkkal is a védekezés során. Emellett optimalizálnia kell a védekezéssel kapcsolatos – anyagi, humán jellegű és időbeli – ráfordítások mennyiségét.

 

Hasonló érdekes témában olvashat az alábbi cikkünkben: A kockázati tényezők felmérése és a fenyegetettség elemzése .

kisvallalkozasok-versus-kibertamadasok