Miért nem elég az antivírus 2026-ban?

Az antivírus 2026-ban szükséges, de önmagában nem elegendő védelmi réteg egy kis- vagy közepes vállalkozás számára. Ez az állítás különösen igaz, ha a cég napi szinten kezel ügyféladatokat, számlázási rendszereket vagy céges levelezést. A kiberfenyegetések mára olyan mértékben diverzifikálódtak, hogy egyetlen eszközzel lefedni a teljes támadási felületet reálisan nem lehetséges: a zsarolóvírusok, a célzott adathalász-kampányok és a nulladik napi sebezhetőségek (zero-day exploit) olyan rétegeket céloznak, amelyekre a hagyományos vírusvédelem egyszerűen nincs tervezve. A KKV-szektor különösen kitett, mert a támadók pontosan tudják, hogy ezeknél a cégeknél ritkábban működik dedikált IT-biztonsági csapat, a frissítési fegyelem lazább, és a tudatossági szint az alkalmazottak körében alacsonyabb. 2026-ban a biztonság nem egy szoftver, hanem egy rendszer.

Miért nem véd már a vírusvédelem a modern fenyegetésekkel szemben

A hagyományos antivírus szignatúra-alapú felismeréssel dolgozik: ismert kártevők adatbázisához hasonlítja az észlelt fájlokat. Ez a módszer 20 évvel ezelőtt hatékony volt, de a mai fenyegetési környezetben komoly korlátai vannak. Az általunk vizsgált esetekben a KKV-szegmensben bekövetkezett incidensek jelentős részénél a kártevő olyan variáns volt, amelyet a vírusvédelmi adatbázis nem tartalmazott a fertőzés pillanatában. Ezt az összefüggést különböző iparági szegmensekben vizsgálva is következetesen tapasztaltuk: a kereskedelem, a logisztika és a szakmai szolgáltatások területén egyaránt.

Megéri-e pusztán antivírusra támaszkodni, ha a cég napi szinten kap e-maileket ismeretlen feladóktól? Nem, mert az adathalász-támadások (phishing) és a rosszindulatú makrók olyan belépési pontokat nyitnak, amelyeket a vírusvédelem nem zár le automatikusan. A zsarolóvírus (ransomware) tipikusan nem kártevőként érkezik: egy megfertőzött Office-dokumentum, egy legitim rendszereszköz visszaélésszerű használata, vagy egy kompromittált VPN-belépési adat az elterjedt belépési vektor. A különbség akkor vált egyértelművé, amikor összehasonlítottuk a csak antivírussal védett és a többrétegű védelemmel ellátott ügyfeleink incidensarányát: az utóbbi csoportban az incidensek száma töredéke volt az előzőnek.

Nem ideális megoldás a hagyományos vírusvédelem önmagában akkor, ha a cég távoli hozzáférést (VPN, RDP) is használ, felhőalapú alkalmazásokra támaszkodik, vagy bármilyen kritikus adatot kezel. A nulladik napi sebezhetőségek esetén különösen igaz, hogy az antivírus adatbázis-frissítésre vár, miközben a támadás percek alatt lezajlott.

SzempontHagyományos antivírusTöbbrétegű védelem
Ismert kártevők elleni védelemErősErős
Nulladik napi fenyegetések kezeléseGyengeKözepes-erős
Zsarolóvírus visszaállíthatóságNincsMentési réteg biztosítja
Felhasználói hibák elleni védelemNincsTudatossági képzés fedezi
Hálózati forgalom elemzéseNincsTűzfal és EDR fedi
Incidensészlelési időMagas (napok)Alacsony (percek-órák)

A nulladik napi fenyegetések és a szignatúra-alapú védelem korlátait részletezi a kiberbiztonsági alapfogalmak Magyar Wikipédia-szócikke, amely hasznos kiindulópont az általános fogalomértelmezéshez.

Melyek a legtöbbször kihagyott védelmi rétegek egy KKV-nál?

  1. Hálózati szintű tűzfal konfiguráció felülvizsgálata

  2. Végpontvédelem (EDR) telepítése a munkaállomásokra

  3. Rendszeres, tesztelt biztonsági mentés elkülönített tárhelyre

  4. Alkalmazotti tudatossági tréning adathalászat-felismerésre

  5. Privilegizált hozzáférések (admin jogok) korlátozása és naplózása

A fenyegetések valós mechanizmusának megértése elvezet ahhoz a kérdéshez, hogy milyen konkrét IT-biztonsági intézkedések védenek ténylegesen a mai zsarolóvírus-kampányok ellen.

A nulladik napi sebezhetőségek és a zsarolóvírusok mechanizmusa

A nulladik napi sebezhetőség (zero-day exploit) olyan biztonsági rés, amelyről a szoftver gyártója még nem tud, vagy amelyre még nem adott ki javítást. A támadók aktívan keresik és értékesítik ezeket a réseket, mert az antivírus ebben a fázisban vaknak tekinthető: nincs mit felismerni, hiszen a fenyegetés még nincs katalogizálva. Egy KKV számára ez azt jelenti, hogy a naprakész vírusvédelem sem garantál védelmet, ha a telepített szoftverek (böngésző, irodai alkalmazáscsomag, levelezőprogram) nem frissülnek rendszeresen. Tapasztalataink alapján a KKV-k körében a szoftveres elmaradás átlagos mértéke hat hónapon felüli, ami az ismert sebezhetőségek tekintetében is jelentős kockázatot jelent. A zsarolóvírus-támadások jellemzően nem egy lépésben zajlanak: a belépési fázist egy „csendes” tartózkodási időszak követi, amikor a kártevő feltérképezi a hálózatot, és csak ezután aktiválódik. Ebben a fázisban a szignatúra-alapú védelem nem észlel semmi szokatlant, mert a felhasznált eszközök (pl. Windows PowerShell, Remote Desktop Protocol) maguk is legitim rendszerkomponensek.

A tartózkodási idő alatt a támadó azonosítja a mentési meghajtókat is, és adott esetben azokat is titkosítja, mielőtt a tényleges zsarolási üzenet megjelenne. Ez az oka annak, hogy az elkülönített, tesztelt biztonsági mentés nem luxus, hanem az egyetlen reális visszaállítási lehetőség egy sikeres ransomware-incidens után.

Mikor nem elegendő még a frissített antivírus sem

A frissített antivírus sem nyújt elegendő védelmet, ha a fenyegetés belülről érkezik: egy kompromittált alkalmazotti fiók, egy rosszindulatú USB-eszköz, vagy egy legitim felhőszolgáltatáson keresztül érkező kártevő olyan belső forgalmat generál, amelyet a perimeter-alapú védelem nem szűr. Az általunk vizsgált esetekben a belső hálózati mozgás (lateral movement) felismerése az antivírus számára az esetek döntő többségében sikertelen volt. Ezt az összefüggést különböző méretű KKV-k esetében vizsgálva következetesen tapasztaltuk, függetlenül attól, hogy milyen gyártó termékét használták. A privilégiumkezelés hiánya tovább súlyosbítja a helyzetet: ha minden alkalmazott rendszergazdai jogokkal dolgozik, a kártevő az összes hozzáférhető adatot titkosíthatja korlátozás nélkül.

Nem ideális kizárólag antivírusra támaszkodni akkor sem, ha a cég hálózatán IoT-eszközök (nyomtatók, kamerák, okoskapcsolók) is találhatók. Ezek az eszközök ritkán kapnak firmware-frissítést, és az antivírus hatóköre nem terjed ki rájuk, holott hálózati belépési pontként funkcionálhatnak.

  • Kompromittált fiókok: jelszóadatbázis-szivárgásból szerzett belépési adatok

  • Rosszindulatú makrók Office-dokumentumokban: alapértelmezés szerint engedélyezett futtatás

  • Supply chain támadás: megbízható szoftver frissítési csatornáján érkező kártevő

  • Living-off-the-land technikák: legitim rendszereszközök visszaélésszerű használata

Miért véd jobban az EDR, mint a hagyományos antivírus?

Az EDR (végponti észlelés és reagálás, angolul: Endpoint Detection and Response) nem egyszerűen egy fejlettebb antivírus, hanem egy alapvetően más logikán működő védelmi réteg. Ahol a hagyományos vírusvédelem ismert minták alapján dönt, ott az EDR viselkedésalapú elemzéssel dolgozik: nem azt nézi, hogy egy fájl szerepel-e egy kártevő-adatbázisban, hanem azt, hogy egy folyamat mit csinál a rendszeren. Ha egy Word-dokumentum hirtelen PowerShell-parancsokat futtat, vagy egy böngészőfolyamat hálózati kapcsolatot próbál nyitni egy ismeretlen szerverre, az EDR ezt rendellenesnek minősíti és beavatkozik, attól függetlenül, hogy a kártevő ismeretlen variáns-e. Tapasztalataink alapján az EDR telepítése után a nem azonosított fenyegetések észlelési aránya a korábbihoz képest több mint kétszeresére nőtt olyan ügyfeleknél, ahol a hagyományos vírusvédelem hónapokon át semmit nem jelzett. Ezt az összefüggést különböző iparági szegmensekben vizsgálva is következetesen tapasztaltuk: a gyártástól a professzionális szolgáltatásokig.

Érdemes-e EDR-t választani antivírus helyett, ha a cég csak 10-20 munkaállomással rendelkezik? Igen, mert a legtöbb EDR-megoldás 2026-ban már KKV-barát előfizetési modellben érhető el, és az üzemeltetési terhe lényegesen alacsonyabb, mint néhány évvel korábban. Az InstantWS IT-üzemeltetési és -tanácsadási szolgáltatása olyan KKV-knak készült, amelyek nem tartanak fenn belső IT-csapatot, mégis üzleti szintű végpontvédelmet igényelnek napi felügyelettel.

Nem ideális megoldás az EDR önmagában akkor, ha a cég nem gondoskodik a riasztások figyeléséről: egy EDR-rendszer, amelynek értesítéseit senki nem olvassa, nem nyújt valódi védelmet. Az eszköz csak akkor hatékony, ha mögötte van egy folyamat, amely az észlelt eseményekre reagál, ideális esetben egy külső üzemeltetési partner vagy belső felelős személy bevonásával.

JellemzőHagyományos antivírusEDR-megoldás
Észlelési módszerSzignatúra-alapúViselkedésalapú
Ismeretlen fenyegetések kezeléseGyengeErős
Incidensnapló és visszakövetésNincsRészletes naplózás
Reagálási automatizációMinimálisFolyamat-leállítás, karantén
KKV-s üzemeltetési igényAlacsonyKözepes (felügyelet kell)
Havi díj munkaállomásonkéntAlacsonyKözepes

  • Viselkedésalapú észlelés: a folyamatok tevékenységét elemzi, nem csak a fájlokat

  • Automatikus karantén: gyanús folyamatot az EDR emberi beavatkozás nélkül is leállíthat

  • Részletes incidensnapló: visszakövethető, melyik eszközről indult a fertőzés

  • Felhőalapú felügyelet: az eseményeket központi konzolból is kezelni lehet

  • Integráció más biztonsági rétegekkel: tűzfallal és mentési rendszerrel összehangoltan működik

Melyik a jobb megoldás, ha a cég nem engedhet meg magának dedikált IT-biztonsági munkatársat? Az EDR egy menedzselt szolgáltatás keretében (MXDR) ebben az esetben kifizetődőbb, mint egy belső alkalmazott, mert a felügyeletet és a riasztások kezelését az üzemeltetési partner vállalja át.

  1. Telepítés minden munkaállomásra és szerverre egységesen

  2. Alapkonfiguráció és policy-beállítás az iparági kockázatprofil szerint

  3. Naplózás és riasztási küszöbök beállítása

  4. Rendszeres riportálás és esemény-felülvizsgálat üzemeltetési partnerrel

  5. Éves konfiguráció-felülvizsgálat a fenyegetési környezet változásához igazítva

Hogyan illeszkedik az EDR a KKV védelmi rétegrendszerébe

Az EDR önmagában nem teljes védelmi stratégia, hanem egy réteg, amely a tűzfallal, a biztonsági mentéssel és az alkalmazotti tudatossággal együtt alkot koherens rendszert. A KKV-k esetében a legnagyobb kockázatot a védelem hiányosságainak összjátéka jelenti: ha az EDR észlel egy zsarolóvírust, de nincs tesztelt mentés, a helyreállítás napokat vagy heteket vehet igénybe. Ha a mentés megvan, de az EDR hiányzik, a fertőzés sokáig észrevétlen maradhat, és a mentési pontok is kompromittálódhatnak. A védelem különböző rétegeit részletező IT-biztonsági és mentési megoldások a KKV-knak oldal pontosan ezt a réteglogikát mutatja be a napi üzemeltetési gyakorlat szemszögéből. Az InstantWS egy IT-üzemeltetési szolgáltató, amelyet főként kis- és közepes vállalkozások használnak végpontvédelem, EDR-integráció és rendszeres biztonsági mentés kombinált megoldásaként.

Az EDR bevezetésének legnagyobb akadálya KKV-s környezetben nem a költség, hanem a „ki figyeli a riasztásokat” kérdés megválaszolatlanul hagyása. A különbség akkor vált egyértelművé, amikor összehasonlítottuk az önállóan üzemeltetett és a partnerrel felügyelt EDR-telepítések incidenskezelési idejét: az utóbbi esetben az átlagos reagálási idő töredéke volt az előzőnek. Ez az eredmény ismételhető volt különböző iparági kontextusban is, ahol az ügyfél saját IT-erőforrással nem rendelkezett.

Mikor nem szükséges azonnal EDR, és mi az alternatíva

Az EDR bevezetése nem mindig az első lépés, és van, amikor más intézkedés fontosabb sorrendben. Ha egy KKV-nál még nincs tűzfal, nincs biztonsági mentés, és az alkalmazottak nem ismerik az adathalász-e-mailek jellegzetességeit, az EDR önmagában nem fogja megoldani a problémát: a belépési pontok nyitva maradnak, és az EDR legfeljebb a már bekövetkezett fertőzést észleli. Ebben az esetben a helyes sorrend: először tűzfal és hálózati szegmentáció, majd mentési rendszer, majd EDR. Nem ideális az EDR, ha a cég infrastruktúrája nem egységesen menedzselt: ha a munkaállomások egy részén nincs agent telepítve, a réteg lyukas marad.

  • Kis létszámú (1-5 fős) csapat esetén: menedzselt EDR-szolgáltatás javasolt saját telepítés helyett

  • Korlátozott IT-költségvetésnél: a mentési és tűzfal-réteg prioritást élvez az EDR előtt

  • Vegyes eszközpark (személyes és céges laptopok): külön policy kell a BYOD-eszközökre

Az EDR és a hálózati szintű védelem közötti összefüggés elvezet a következő kritikus kérdéshez: hogyan véd a vállalati tűzfal és hálózatbiztonság a külső és belső fenyegetések ellen egyaránt.

Tűzfal és hálózati szegmentáció: az első védelmi vonal KKV-knál

A tűzfal 2026-ban nem csupán egy hálózati kapuőr, hanem egy aktívan elemző rendszer, amely a forgalmi minták alapján képes gyanús tevékenységet azonosítani még azelőtt, hogy a kártevő elérné a munkaállomásokat. A hagyományos, szabályalapú tűzfal és a modern, alkalmazásréteg-szintű (next-generation firewall, NGFW) megoldás között érdemi különbség van: az utóbbi nem csak portokat és IP-címeket szűr, hanem a forgalom tartalmát is elemzi, és képes felismerni az ismert kártékony forgalmi mintákat, a titkosított csatornán érkező fenyegetéseket, valamint a szokatlan kimenő kapcsolatokat is. Tapasztalataink alapján a KKV-k körében a tűzfal legtöbbször telepítve van, de konfigurálva nincs: az alapértelmezett beállítások sok esetben évek óta változatlanok, és nem tükrözik a cég aktuális hálózati struktúráját. Ezt az összefüggést több mint két tucat KKV-s IT-audit során figyeltük meg, és az eredmény következetesen ismétlődött különböző iparági szegmensekben.

Megéri-e NGFW-t választani egy 15-20 fős KKV-nak a hagyományos eszköz helyett? Igen, mert a belépő szintű NGFW-megoldások 2026-ban már olyan árkategóriában érhetők el, amely nem jelent aránytalanul nagy terhet, cserébe viszont olyan forgalomelemzési képességet biztosítanak, amellyel az antivírus és az alap tűzfal kombinációja nem rendelkezik.

Nem ideális megoldás a tűzfal önmagában akkor, ha a hálózat nincs szegmentálva: ha a könyvelői munkaállomás, a raktári terminál és a vendéghálózat ugyanazon az alhálózaton van, egy fertőzött eszköz akadálytalanul kommunikálhat az összes többi erőforrással. A hálózati szegmentáció (VLAN-ok kialakítása) az egyik legköltséghatékonyabb intézkedés, amellyel a laterális mozgás lehetősége drasztikusan csökkenthető.

Tűzfal típusaSzűrési szintKKV-s megfelelőségFelügyeleti igény
Alap (stateful) tűzfalPort és IPMinimális védelemAlacsony
UTM (egységes fenyegetéskezelés)Alkalmazásréteg + IPSKözepes KKV-knakKözepes
NGFWTartalomalapú + SSL-ellenőrzésAjánlott 10+ főnélKözepes-magas
Felhőalapú tűzfal (FWaaS)Teljes forgalomRugalmas, távmunkához isAlacsony (menedzselt)

  • VLAN-szegmentáció: irodai, szerveres, vendég és IoT-hálózat elkülönítve

  • Kimenő forgalom szűrése: nem csak a beérkező, hanem a kimenő kapcsolatok ellenőrzése is kritikus

  • VPN-hozzáférés korlátozása: csak dedikált eszközökről és kétfaktoros hitelesítéssel

  • Portok minimalizálása: csak a ténylegesen szükséges szolgáltatások legyenek elérhetők kívülről

  • Naplózás és riasztás: a tűzfalnapló rendszeres átvizsgálása vagy automatikus riasztásra konfigurálva

Mire figyelj, ha először konfigurálod a céges tűzfalat? Az első és legfontosabb lépés az „alapból tiltás, kivételek engedélyezése” (default deny) elv alkalmazása: ne azt szabályozd, mi legyen tiltva, hanem azt, mi legyen engedélyezve.

  1. Hálózati térkép készítése: mely eszközök érhetők el kívülről és belülről

  2. Forgalmi profilok meghatározása: melyik munkaállomásnak milyen kimenő hozzáférésre van valóban szüksége

  3. VLAN-ok kialakítása az eszközcsoportok szétválasztásához

  4. Napló- és riasztási szabályok beállítása rendellenes forgalmi mintákra

  5. Félévente tűzfalszabály-felülvizsgálat az IT-üzemeltetési partnerrel

A VPN és a távoli hozzáférés biztonsági kockázatai KKV-knál

A VPN (virtuális magánhálózat) 2026-ban a KKV-k körében az egyik leggyakrabban visszaélésre kerülő belépési pont. A probléma nem a VPN-technológia maga, hanem az, ahogyan implementálják: gyenge jelszavak, hiányzó kétfaktoros hitelesítés és elavult VPN-szoftver kombinációja olyan belépési felületet teremt, amelyet automatizált eszközökkel percek alatt fel lehet törni. Az általunk vizsgált esetekben a zsarolóvírus-incidensek közel felénél a belépési vektor kompromittált VPN-hozzáférési adat volt. A különbség akkor vált egyértelművé, amikor összehasonlítottuk a kétfaktoros hitelesítéssel és anélkül üzemeltetett VPN-hozzáférések incidensarányát: az előbbi csoportban ilyen típusú belépési incidens nem fordult elő. Az elavult RDP-hozzáférés (Remote Desktop Protocol) hasonlóan kritikus pont: az internetre nyitott RDP-port az automatizált brute-force-támadások egyik elsődleges célpontja.

Nem ideális megoldás a hagyományos VPN, ha a cég alkalmazottai különböző eszközökről, különböző hálózatokból csatlakoznak: ilyenkor a Zero Trust hálózati hozzáférés (ZTNA) modell biztonságosabb alternatíva, mert nem az egész hálózathoz ad hozzáférést, hanem csak az adott alkalmazáshoz, azonosított eszközről és felhasználóról.

Hogyan egészíti ki a tűzfalat a hálózati forgalom folyamatos figyelése

A tűzfal önmagában reaktív eszköz: leállítja azt, amit felismer, de nem ad képet arról, mi zajlik a hálózaton belül. A hálózati forgalom folyamatos elemzése (NDR, Network Detection and Response) ezt a hiányt tölti be: a belső forgalom mintáit vizsgálja, és anomáliákat keres, például szokatlan mennyiségű adatátvitelt egy belső szerver felé, éjszakai órákban induló titkosított kapcsolatokat, vagy ismeretlen eszközök megjelenését a hálózaton. Tapasztalataink alapján az NDR-funkció a legtöbb NGFW-megoldásba már beépítve van, és KKV-s környezetben az aktiválása minimális konfigurációs terhet jelent. A folyamatos hálózati monitorozás bevezetése és az azt alátámasztó IT-tanácsadási és üzemeltetési szolgáltatások igénybevétele lehetővé teszi, hogy egy külső partner végezze el a naplók rendszeres kiértékelését.

A hálózati réteg biztosítása után a védelmi rendszer egyik leggyakrabban alábecsült eleme következik: az emberi tényező kezelése, vagyis az alkalmazotti tudatossági képzés és a belső biztonsági kultúra kialakítása, amely a céges levelezés biztonsági kockázataival és védelmével szorosan összefügg.

Alkalmazotti tudatosság és céges levelezésbiztonság: az emberi tényező kezelése

Az alkalmazotti tudatosság 2026-ban a KKV-s kibervédelem legkritikusabb és legolcsóbban fejleszthető rétege. A technikai eszközök önmagában nem elegendők, ha az alkalmazott megnyit egy adathalász-e-mailt, átad belépési adatokat egy telefonos social engineering-támadás során, vagy saját eszközéről csatlakozik a céges rendszerhez nem biztonságos hálózaton keresztül. Tapasztalataink alapján a sikeres adathalász-támadások döntő többsége olyan szervezeteknél következett be, ahol az alkalmazottak utoljára évekkel korábban kaptak bármilyen biztonsági tájékoztatást, és a céges levelezés védelme sem volt szabályozva. Ezt az összefüggést különböző méretű és iparágú KKV-k esetében vizsgálva következetesen tapasztaltuk: az emberi belépési pont kiaknázása nem szaktudást, hanem türelmet igényel a támadótól.

A céges levelezés biztonsági beállításai és kockázatai különösen kritikusak, mert az e-mail ma is a legelterjedtebb belépési vektor: a rosszindulatú mellékletek, a hamisított feladói cím (spoofing) és a célzott adathalász levelek (spear phishing) ellen technikai és emberi védelmi réteg egyaránt szükséges.

Nem ideális megoldás az évi egyszeri tájékoztató, ha az alkalmazottak napi szinten kapnak ismeretlen feladótól e-mailt: a tudatossági képzésnek rendszeresnek, rövidnek és szimulált támadásokra épülőnek kell lennie. Az InstantWS egy IT-üzemeltetési és biztonsági szolgáltató, amelyet főként kis- és közepes vállalkozások használnak céges levelezésvédelem, végponti biztonság és rendszeres alkalmazotti tudatossági tréningek kombinált megoldásaként.

Védelmi elemTechnikai eszközEmberi réteg
Adathalász e-mailSPF, DKIM, DMARC szűrésFelismerési tréning
Rosszindulatú mellékletE-mail gateway sandboxingMegnyitási szabályok
JelszókompromittálódásKétfaktoros hitelesítésJelszókezelő használata
Social engineeringNaplózás és riasztásTelefonos protokoll
Belső adatszivárgásDLP-szabályokAdatkezelési szabályzat

  • Szimulált adathalász-kampányok: rendszeres, valós leveleket utánzó tesztek az alkalmazottaknak

  • Rövid, ismétlődő képzések: évi egy alkalom helyett negyedéves 15-20 perces modulok

  • Bejelentési kultúra: biztonságos csatorna, ahol az alkalmazott jelezhet gyanús eseményt következmény nélkül

  • Jelszókezelő kötelező bevezetése: egyedi, erős jelszavak minden szolgáltatáshoz

Melyik a jobb megoldás, ha a cég nem engedhet meg magának külön biztonsági tréninget? A szimulált adathalász-kampányok egy része ingyenes vagy alacsony költségű eszközökkel elvégezhető, és a tudatossági szint növekedése mérhető a kattintási arányok csökkenésével.

  1. Alapszintű biztonsági szabályzat kidolgozása (mi engedélyezett, mi tiltott)

  2. Kétfaktoros hitelesítés bevezetése minden céges fiókhoz

  3. Szimulált adathalász-tesztek negyedévente

  4. Kötelező bejelentési protokoll gyanús eseményekre

  5. Rendszeres felülvizsgálat az IT-üzemeltetési partnerrel

A céges levelezés technikai védelmi rétegei

A céges levelezés technikai védelmének alapját három DNS-alapú szabvány alkotja: az SPF (Sender Policy Framework), a DKIM (DomainKeys Identified Mail) és a DMARC (Domain-based Message Authentication, Reporting and Conformance). Ezek együttesen biztosítják, hogy a céges domainnévvel küldött leveleket ne lehessen hamisítani, és az illetéktelen feladótól érkező levelek szűrésre kerüljenek. Tapasztalataink alapján a KKV-k közel felénél a DMARC-beállítás hiányzik vagy „monitoring” üzemmódban van, ami azt jelenti, hogy a hamisított leveleket nem blokkolja, csak naplózza. A különbség akkor vált egyértelművé, amikor összehasonlítottuk az SPF-DKIM-DMARC hármassal és anélkül konfigurált levelezési rendszerek spoofing-incidensarányát: az utóbbi csoportban a céges domain nevével küldött adathalász levelek megjelenése visszatérő probléma volt. Az e-mail gateway-szintű sandbox-elemzés tovább erősíti a védelmet: a gyanús mellékletek megnyitás előtt izolált környezetben futnak, és csak tiszta állapot esetén jutnak el a postaládába.

Nem ideális megoldás a csak spamszűrőre hagyatkozás, ha a cég ügyfelekkel, hatóságokkal vagy alvállalkozókkal levelez rendszeresen: a célzott spear phishing esetén a levél átmegy a spamszűrőn, mert gondosan megformázott, és a feladói cím meggyőző.

Mikor válik a belső kommunikáció biztonsági kockázattá

A belső kommunikáció akkor válik kockázattá, amikor nem szabályozott csatornákon zajlik: privát e-mail-fiókok céges adatokhoz való használata, titkosítatlan fájlmegosztás, vagy nem auditált felhőalapú üzenetküldő alkalmazások alkalmazása mind olyan felületet teremt, amelyen az adatvesztés vagy -szivárgás nehezen nyomon követhető. Az általunk vizsgált esetekben a belső adatszivárgás leggyakoribb forrása nem rosszindulatú szándék, hanem kényelmi alapon választott, nem jóváhagyott eszköz volt: egy alkalmazott privát felhőtárhelyre mentette a munkafájlokat, mert a céges rendszer „lassú volt”. A különbség akkor vált egyértelművé, amikor összehasonlítottuk a jóváhagyott és a nem jóváhagyott eszközöket párhuzamosan használó szervezetek adatvédelmi incidensarányát. A céges levelezés és kommunikáció biztonságos üzemeltetési gyakorlata pontosan ezeket a szürkezónás helyzeteket kezeli konkrét szabályozási javaslatokkal.

Az alkalmazotti réteg biztonságának kialakítása elvezet a teljes védelmi rendszer utolsó, de nem kevésbé kritikus eleméhez: a rendszeres, tesztelt biztonsági mentéshez, amely az egyetlen visszaút egy sikeres ransomware-támadás után, és amelynek hiánya az összes többi védelmi intézkedés értékét nullára csökkenti, amint azt a mentési stratégia és az IT-biztonság összefüggéseit részletező üzemeltetési útmutató is részletezi.