Címlapon

Kovács Zoltán, ITBN
Kovács Zoltán, ITBN
Forrás: ITB
Adatok, tolvajok, és a mindent leigázó trend

Szügyig gázolva a bitekben, avagy az Everything-as-a-Service a kiberbiztonság nagyítója alatt

Az Everything-as-a-Service (XaaS) pontosan annyira jó, mint amilyennek első blikkre hangzik: infrastruktúra, platform, szoftver, eszköz – nincs terület, amelynek nélkülöznie kellene a megoldást. Ugyanakkor attól függetlenül, hogy ki melyen XaaS-t használ, hasonló tapasztalásokkal találhatja szemben magát, az illetéktelen kezekbe kerülő adatok, a meghekkelt szerverek vagy épp az eltérő szabályzás képében. Az internet sötét oldalára kalandozva pedig elképesztő „as-a-service” arzenált kínálnak a támadók. A XaaS világában útra kelő adat kalandos útjáról, az as-a-service napfényes- és árnyoldaláról, valamint az örökzöld kérdésről, hogy kié is az adat, az ITBN kiberbiztonsági tanácsadójával eszmecseréltünk.

Az „as-a-service” igénybevétele több okból is igen népszerű mind a kis-, mind a nagyvállalatok körében. „Alapvetően költséghatékony és kényelmes, de bejön a képbe a felelősség kérdése is. Az IT-rendszerek karbantartása, naprakésszé tétele még akkor is fejfájást okozhat, ha van rá megfelelő csapat, viszont ha a cég az »as-a-service«-ként ezt is igénybe veszi, akkor nem kell folyamatos bérköltségként számolni vele, fenn lehet tartani egy állandó színvonalat. Talán ez az, ami a leginkább motiválja a cégeket az »as a service« felé való elmozdulásban”, mondta Kovács Zoltán, az ITBN kiberbiztonsági szakértője és szakmai tartalomért felelős tanácsadója.

 

„Az adat mindig a tulajdonosé”

Azonban felmerülhet a kérdés, hogy a szolgáltatás igénybevétele során mi a protokoll a harmadik félhez beérkező adatokra vonatkozóan? Egyszerűbben fogalmazva: mi történik vele? „Az adat továbbra is az eredeti tulajdonosáé, de attól függően, hogy a fizikai adattárolók hol helyezkednek el, különböző szabályzások és törvényi intézkedések vonatkoznak rá. Illetve egy másik szerepkör is nagyon fontos, az adat feldolgozójáé”, mondta a szakértő.

Ugyanis nem ritka, hogy egy harmadik cég dolgozik tovább az adatokkal (például szolgáltatásként: számlázás, elemzés, de akár bérszámfejtés is lehet), aki egyébként a saját adatait is máshol tárolja. Ez a három szereplős felállás bonyolult helyzeteket szülhet, de még a harmadik szereplő nélkül is eléggé kiszolgáltatott lehet az adat tulajdonosa, ezért az a legbiztosabb megoldás, ha az adatokat a szolgáltató fél már nem is tudja értelmezni.

„Számos Software-as-a-Service-nél már elérhető olyan megoldás, ami a kimenő és bejövő internet forgalmat, az adott szolgáltató felé menő és onnan jövő információt kódolja és dekódolja. Például a dolgozó kitölt egy rendelési lapot névvel és minden szükséges adattal, és miután az feltöltődik már titkosítva van. Ezt a szolgáltatást biztosító sem tudja dekódolni, a kulcsok csak helyben vannak meg az ügyfélnél. Ezzel lehet azt kivédeni, hogyha a szolgáltatónál bármi történik, tegyük fel egy dolgozó adatot akar lopni, akkor sem tudják megszerezni, mert olvashatatlan lesz”, mondta Kovács Zoltán.

De nemcsak a rossz útra tévedt dolgozók és a „szokásos” módon támadó hekkerek igyekezhetnek megszerezni az adatokat. 2018 második felében felröppent a hír, hogy ennél furfangosabb módon próbálta meg az egyik legnagyobb kínai gyártó az elsősorban amerikai piacra értékesített, alaplapra integrált bónusz chippel megszerezni az adatokat - vagy legalábbis előkészíteni az ehhez szükséges csatornát. (A hírt többek közt az NSA is téves riasztásként értékelte, de rá egy évvel egy lelkes biztonsági kutató bemutatta, hogy a módszer működőképes.)

 

Mesterlövészek célkeresztjében

Az adatokért folytatott harc pedig szakadatlanul zajlik, az adattároló központok pedig állandó célkeresztben vannak, többek közt az államok által szponzorált támadói csapatok által. „Abszolút célpontok, valahogy úgy tudnám érzékeltetni, hogy a legkifinomultabb mesterlövészek figyelik őket. De ezt tudják is, nem véletlenül van komoly biztonsági csapat ezeken a helyeken. Akkora érték van náluk, hogy szinte természetes, hogy emiatt célponttá válnak”, mondta Kovács Zoltán. „Ez az egyik teher, amelyet átvesz a szolgáltató, hogy a biztonsági szintet folyamatosan megfelelő szinten tartja. Ha ugyanezt az adott cég szeretné saját maga biztosítani, csak komoly energiabefejtetéssel tudná garantálni, hogy ne legyen folyamatos lemaradásban”, tette hozzá.

Ez a fajta felelősségtranszfer a szolgáltatást igénybe vevő cégek számára is egyfajta garancia arra, hogy az általuk kezelt adatok biztonságban lesznek. Noha százszázalékos biztonság nem létezik, a titkosításon túl a jól körülhatárolt biztonsági SLA a záloga az XaaS-adatok tárolásának.

 

Az „as-a-service” sötét oldala

Természetesen a B2B és a B2C sem maradhatott ki az „as-a-service” hullámból, habár a legtöbb lehetőség már megvalósult az elmúlt években, ezért inkább az „Application-as-a-Service” vonalon fognak megjelenni újabb szolgáltatások, illetve az ilyen alapokon nyugvó moduláris szoftverfejlesztésé lesz a jövő. Igazán nagy lépést talán az „AI-as-a-Service” és a machine learning, mint új XaaS-játékos megjelenése jelenthet.

A klasszikus „as-a-service” szolgáltatásokon túl, amelyek a költséghatékonyságot és a megfelelő biztonsági szintet segítik elő, a dark weben is fel-felbukkanó gonosz ikertestvér is megérdemel egy bekezdést. Ugyanis, nemcsak a hatékonyság szolgálatába állítható ez a megoldás.

„Már évek óta létezik a »Malware-as-a-Service«, a »Hacker-as-a-Service«, a »DDoS-as-a-Service« a támadói oldalon. Nyilván nem legális, de az internet sötét oldalán meg lehet ezeket találni. A »Deepfake-as-a-Service« ugyan nem klasszikus XaaS, de a telefonos appoknál jóval fejlettebb audió- vagy videóhamisítványok gyártása lehet a következő lépcsőfok. Ilyen hangfájllal már vertek át céget, sok milliós veszteség lett a vége. Itt a cég vezetőjét megszemélyesítve, az ő hangján szólalt meg a deepfake által generált támadó. Ez lehet a következő lépés a sötét oldalon, mint szolgáltatás ajánlása”, zárta gondolatait Kovács Zoltán.