A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NBSZ-NKI) heti rendszerességgel összeállít egy válogatást az adott időszak információbiztonsági híreiből. Azonban nem csak az NKI által közzétett válogatásban szereplő cikkekből szemezgetünk, mivel azt tapasztaltuk, hogy olvasóink azokra a hírekre is nyitottak, amelyek hatásai túlmutatnak a szűkebb kibervédelmi és technikai aktualitásokon.
Az NKI a sajtószemle mellett tájékoztatást és riasztásokat is küld, ha úgy ítéli meg, hogy azok olyan súlyú fenyegetéseket tartalmaznak, amelyeket érdemes közzétenni az érintetti körben. A legszerencsésebb (és utólag mindig kiderül, a legköltséghatékonyabb) megelőzni a bajt: azok a szervezetek, ahol az információbiztonsági felelős élő kapcsolatot ápol a rendszer üzemeltetőivel, fejlesztőivel és használóival, az érintettek megerősödött immunrendszerükkel könnyebben állnak ellen a vírusoknak, zsarolási kísérleteknek és egyéb rosszindulatú kódok mesterkedéseinek!
Aki a teljes anyagra kíváncsi itt találja meg a forrást: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/
Továbbra se feledjük: a kibertérben a biztonság csak egy hamis illúzió...
Forrás: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/sajtoszemle-2022-44-het/
Ave Caesar, a harcba indulók üdvözölnek! A modern korban a háború sokkal kiterjedtebb és szünet nélkül zajlik - ahogy ezt az EIVOK 30 debreceni konferenciáján Prof. Dr. Kovács László dandártábornoktól a Nemzeti Közszolgálati Egyetem tanárától, az MHP Kiberműveleti Parancsnokság parancsnokától megtudhattuk. A fórumon Magyarország kiberkoordinátora, Prof. Dr. Rajnai Zoltán is előadott, és bár megnyugtatóan hangzik, hogy év végére új nemzeti kiberstratégia kerül kiadásra, a pihenésre egyik előadó sem látott esélyt... (A konferencián elhangzott előadások hamarosan elérhetőek lesznek az EIVOK - Elektronikus Információbiztonsági Vezetők Okosan - honlapján: https://konferencia.unideb.hu/hu/program-eivok-30).
Nézzük, mi borzolta az elmúlt héten a nyugalomra vágyó üzemeltetők és a segítségükre rendelt kiberbiztonsági tanácsadók kedélyét a nagyvilágban:
"ADATHALÁSZAT ELLENI MFA IRÁNYELVEKET TETT KÖZZÉ A CISA - Az Egyesült Államok Kiberbiztonsági Ügynöksége (CISA) a többtényezős hitelesítésre (MFA) vonatkozóan tett közzé irányelveket, amelyek segíthetnek felvenni a harcot az adathalász támadásokkal szemben. A CISA a többtényezős hitelesítés mielőbbi bevezetését javasolja a szervezetek számára."
Csodálkozva tekintek a tengeren túlra, hiszen az általuk sok évvel ezelőtt már alkalmazott ajánlás alapján készült honi szabályozás 2015 óta előírta a többtényezős hitelesítés alkalmazását a legalább hármas osztályba sorolt szakrendszerek esetében. Miért most gondolja azt a CISA, hogy már elérte a többi szereplő ingerküszöbét az adathalász támadások által okozott kár? Ha végigolvassuk a cikket, rá kell döbbennünk, hogy nem erről van szó: a CISA már a többtényezős hitelesítést alkalmazók figyelmét hívja fel azokra az új módszerekre, amelyek ezek kijátszására jöttek létre.
"[...] például az adathalászat, az SS7 protokoll sebezhetőségeinek kihasználása, a SIM csere és az ún. push fatigue - amely során olyan sokszor küldik el a kétfaktoros push üzenetet az áldozat eszközére egymás után, hogy az áldozat vagy véletlenül rákoppintva fogadja el azt, vagy csak megunja, hogy elárasztják az üzenetek."
Megoldást is kínálnak a védekezésre: "Az ilyen jellegű támadók ellen a CISA az adathalász elleni MFA megoldások, mint a FIDO/WebAuthn és a nyilvános kulcsú infrastruktúrák (PKI) vagy az egyszer használatos jelszómegoldások (OTP) telepítését javasolja."
Régi kedvencünk a DropBox - most ismét új csemegével szolgált - sajnos ez a fogás nem a' la carte volt választható:
"SZEMÉLYES ADATOKHOZ ÉS A DROPBOX FORRÁSKÓDJÁHOZ IS HOZZÁFÉRTEK AZ ADATHALÁSZOK - A Dropbox november 1-jén ismerte el, hogy a közelmúltban adathalász támadás áldozatává vált, amely során az elkövetők a szolgáltató néhány forráskód részletéhez, illetve az alkalmazottak és ügyfelek személyes adataihoz is hozzáférést szereztek."
Nem kapkodták el a beismerést. "[...] elmondásuk szerint október 14-én értesültek a biztonsági eseményről, miután a GitHub felhívta a figyelmet egy, a CircleCI-t megszemélyesítő, folyamatban lévő adathalász kampányra. (A CircleCI a szoftverkódok folyamatos integrálásához és szállításához (CI/CD) ad elosztott platformot, amellyel a vállalatok a szoftverkiadások kezelését, tesztelését és telepítését automatizálhatják)."
Javaslom, hogy akik érdeklődnek a hasonló technikák/módszertanok iránt, azok olvassák végig a cikket: nagyon ügyesen
- 43/44 -
összerakott és átgondolt szervezőmunka szükséges, hogy a célt elérjék az elkövetők. Ha nem ilyen célra fordítanák az energiáikat, még tisztelni is lehetne őket érte (https://nki.gov.hu/it-biztonsag/hirek/szemelyes-adatokhoz-es-a-dropbox-forraskodjahoz-is-hozzafertek-az-adathalaszok/).
"ELLÁTÁSI LÁNC BIZTONSÁGI ÚTMUTATÓT ADOTT KI AZ USA KORMÁNYA - Az Egyesült Államok Kiberbiztonsági Ügynöksége (CISA), a Nemzetbiztonsági Ügynöksége (NSA), valamint a Nemzeti Hírszerzés Igazgatói Hivatala (ODNI) kiadták a szoftver ellátási lánc védelméről szóló, három részből álló útmutató második részét."
Az elektronikus információbiztonsági vezetők - köztük az információbiztonsági felelősök - éves kötelező továbbképzése éppen most folyik és témája is ismerős lehet: az ellátási láncok biztonsága. A téma aktualitása nem vitatható - nincs olyan szakmai konferencia, ahol ne kerülne említésre a SolarWinds esete. Az USA kitettsége lényegesen nagyobb, mint a kibertér egyéb szereplőié - ennek megfelelően a védekezésre is több erőforrást fordítanak. Az útmutat -, amelynek most a második része lesz hozzáférhető számunkra is - értékes anyag: lehetőség, hogy ne a saját kárunkon kelljen megtapasztalni a felkészülés és a megelőzés elmulasztásának következményeit.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
