John Suffolk, a brit kormányzati kibervédelmi szerep (CIO) után 2011-ben szegődött el a Huaweihez, a távközlési multinacionális vállalathoz. Elmondta, azzal, hogy erős zárat tetetünk egy gyenge ajtóra, aligha tartjuk vissza a tolvajokat, főként ha értékes dolgok rejlenek odabent. A vállalkozások mégis gyakran teszik ezt a kiber támadásokkal szemben vívott harcban: fejlett digitális biztonsági rendszereket csatlakoztatnak alapból megbízhatatlan vállalati hálózati infrastruktúrákhoz. A végeredmény: olyan vállalati IT rendszerek jönnek létre, amelyek egyrészt álmatlan éjszakákat jelentenek a kockázat-nyilvántartást vezetők és az adatbiztonságról gondoskodók számára. Másrészt frusztrációt okoznak azoknak is, akik a következő generációs mobilitást és a felhő alapú technológiákat akarják magukévá tenni hatékonyságuk és versenyelőnyük növelésére. A legtöbb mai kibervédelmi stratégia pedig sajnos inkább egy védekező vagy válaszadó megközelítést alkalmaz a támadó módszerek helyett.
A Huawei kiberbiztonsági elnökhelyettese hozzátette, ahogy egy cég digitális platformjainak valódi értéke növekszik, egyre vonzóbbá válik a bűnözők számára. Ezeknek a platformoknak a kereskedelmi haszna pedig jóval meghaladja a kiber támadások okozta költségeket. „Ezt a szabályt nem mindenki látja be” – tette hozzá John Suffolk – „a Fortune 500-as céges toplistáján szereplő vállalatoknál is akadnak ugyanis olyan informatikai vezetők, akik szerint a kibervédelem inkább csak akadályt jelent az olyan új technológiák bevezetésében, mint a „Bring Your Own Device” („Hozd a saját eszközöd”), a közösségi hálók és a nyilvános felhő alapú technológiák.”
Számos iparági szektorban nem ritkák azok a nézetek, miszerint sok fejfájást okoztak az ellopott laptopok, a vonaton felejtett iratok, elhagyott memóriakártyák, ám jóval nagyobbat az, hogy az egész üzlet szisztematikusan a felhőbe kerül. A felhő alapú számítástechnikának pedig úgy kellene biztonságosnak lennie, hogy egyben minden alkalmazott megfelelő hozzáféréssel is rendelkezik.
Suffolk felhívja a figyelmet arra, hogy míg az informatikai vezetők és a technológiai infrastruktúra védelmezői azon tűnődnek, hogyan lehetne egyensúlyt találni a biztonság, az agilitás és innováció között, a kiberbűnözők egyre kifinomultabb következő generációs eszközöket és technikákat fejlesztenek ki arra, hogy beszivároghassanak a vállalati hálózatokba.
De a védekezők számára még nincs minden veszve. A szoftver definiált hálózaton (Software-defined Network – SDN) alapuló következő generációs hálózati technológia fokozatos változást hozhat a vállalatok számára, egy újgenerációs védelmi arzenált adhat az informatikai vezetők kezébe, de csakis akkor, ha az SDN-t már a kezdetektől fogva e funkciónak megfelelően tervezték.
A Huawei kiberbiztonsági elnökhelyettese szerint az a probléma a hagyományos, régebbi hálózatokkal, hogy TCP/IP alapúak. Ez ugyanis egy alapból megbízhatatlan szerkezet, amit azokban az időkben fejlesztettek ki, amikor a „hacker” szót még elsősorban a rossz golfozókra használták. A TCP/IP a vállalati hálózat gyenge ajtaja – hiába teszünk rá egyre erősebb digitális zárakat, maga a szerkezet sérülékeny marad. Ez pedig inkább bátorítja a kiberbűnözőket, mintsem hogy elrettentené.
Szoftverek által védett hálózatok
A mai SDN-alapú hálózatokat már alapból a szerkezetbe építve lehet kifejleszteni, nem úgy, mintha egy utólagos burkolat lenne. Emiatt az SDN gyökeres változásokat hozhat kibervédelem szempontjából az iparág számára. A legfontosabb változás, hogy ezzel a hálózattal a vállalatok aktívan védekezhetnek a biztonságért felelős csapatok által fejlett állandó fenyegetéseknek nevezett (APT – advanced persistant threats) támadásokkal, az elosztott szolgáltatás-megtagadásokkal (DDoS – Distributed Denial of Service) és rosszindulatú szoftverekkel (malware), valamint a nulladik napi támadásokkal (zero-day) szemben.
Az aktív SDN kialakítható úgy, hogy folyamatosan figyelje és elzárja a biztonsági réseket minden hálózati elemben, az egyszerű, hozzáférést biztosító készülékektől az adatközpont hálózati elemeinek sokaságáig. A lényegi különbség az, hogy egy SDN tervben a képesség teljes mértékben virtuális és beágyazható. Az SDN segítségével olyan biztonsági eljárások hozhatók létre, amelyek azonos fejlettségi szinten vannak azzal a szolgáltatással, amit védeniük kell, és most először az informatikai vezetők is támadásba lendülhetnek és védelmet biztosíthatnak a vállalat készülékeinek, alkalmazásainak és hálózati elemeinek. Emellett az alkalmazotti hozzáférés aktívan szabályozható napszak, hely, időzóna és egyéb olyan tényezők alapján, amik központosított vezérlés és ellenőrző eszközök segítségével kialakíthatóak a hálózatban. Az SDN használatával az informatikai vezetők kiemelt feladata most először a hatékony hozzáférés biztosítása lehet ahelyett, hogy egy reaktív válaszokra és korlátozó eljárásokra épülő stratégia elemein kellene dolgozniuk.
Suffolk szerint azonban az, hogy ez a hálózat létezik, nem jelenti azt, hogy minden SDN -t úgy terveznek, hogy azok azonos hangsúlyt helyezzenek a biztonságra. Ezenkívül van egy jelentős kibervédelmi ágazat, ami a félelem, bizonytalanság és kétség elterjesztésére támaszkodik. Amennyiben az SDN-alapú szerkezetben nem szerepel egyszerre a biztonság, a „nagy adat” (big data), a Sandbox technológia, és egyéb technológiák, amelyek alkalmasak az ismeretlen fenyegetések megelőzésére, akkor az SDN alkalmazása is csak annyit segít, mintha kicserélnénk a régi gyenge ajtónkat egy új, erős zárakkal felszerelt, de szintén gyenge ajtóra.
A kibervédelem egyben technikai és emberi kihívás. Minden informatikai vezető és hálózati biztonsági tervező jól ismeri azt a folyamatos harcot, amit azért kell vívni, hogy az alkalmazottak viselkedésén javítani lehessen a működő biztonsági eljárások alátámasztásának érdekében. Ez a probléma továbbra is fennáll, azonban az SDN segítségével először nyílik alkalom arra, hogy lényegesen átalakítsák a technikai védekezést és egy plusz biztonságot nyújtson, ami az emberi hibákat teheti kiszűrhetővé. Bővebb információ (videó): http://www.huawei.eu/videos/cybersecurity-priority