Mivel foglalkozik a Tigra?
Alföldi Judit (Tigra): A Tigra idén 30 éves: nagyobb IT-fejlesztési projekteket vitt, és a rendszerek biztonsága mindig kiemelt fontosságú volt. 2018-ban Vertán György vezérigazgató önálló információbiztonsági üzletágba szervezte a meglévő szaktudást. Az üzletág ma tanácsadással és teljes körű kivitelezéssel foglalkozik IT-biztonsági területen.
Ha jól tudom, ez az üzletág OSINT-tal is foglalkozik. Mi egyáltalán az OSINT?
AJ: A nyílt forrású hírszerzés, az OSINT (Open Source Intelligence) olyan módszertan, melyet a támadó oldal hatékonyan használ jól felépített kibertámadások és csalások tervezéséhez, előkészítéséhez szervezetek, cégek vagy magánszemélyek ellen nyílt forrásból elérhető információk összegyűjtésével és elemzésével, de hasznos eszköze a védekező oldalnak is.
Nyílt forrás minden, ami elérhető az interneten: a nyílt internet (amit naponta használunk), a deep web (az internet azon része, amit hagyományos keresőmotorok nem indexelnek, így nem listáznak ki a találatok között) és a dark web is. A dark web eredetileg anonim információmegosztásra jött létre – és használják napjainkban is erre a célra –, mára azonban a bűnözők is felismerték az anonimitásban rejlő lehetőségeket és illegális eszközöket, szolgáltatásokat, vagy illegálisan szerzett tartalmakat tesznek közzé és értékesítenek.
OSINT technikákkal elérhető információkat gyűjtenek szervezetekről, a szervezet munkavállalóiról, vezetőiről, felsővezetőiről. Külön-külön ezek az adatmorzsák különösebben nem feltétlenül veszélyesek, de együtt olyan kitettséget lehet velük azonosítani, amivel utána már személyre szabott kibertámadások indíthatók.
Mennyire fontos az OSINT a kiberbiztonságon belül?
AJ: A Tigra szakemberei szerint a kiberbiztonság kiemelt, de kevésbé ismert szegmense a nyílt forrású információszerzésből felépített támadások köre. A Cyber Threat Intelligence (CTI), azaz a szerzett információk feldolgozása kis szelete az IT-biztonságnak, de alapvető része: minden támadás előkészítését segíti, de segítség lehet a védekezésben is. Azt szoktam mondani, hogy a dark web olyan, mint egy óceán alja: végtelen mennyiségű információ, de nem mindegyik kritikus. Egy felhasználónév-jelszó páros viszont már sok mindenhez hozzáférést adhat.
Alföldi Judit, a Tigra Zrt. információbiztonsági üzletágának vezetője
Milyen trendeket lát most a Tigra a kibertámadások területén?
AJ: Eddig a zajos kibertámadások domináltak. Például a DDoS-támadás (Distributed Denial of Service – elosztott szolgáltatásmegtagadással járó támadás), amely egy szolgáltatás terhelhetőségi határát megtalálva lebénítja azt, tehát a szervezet üzletmenet-folytonosságát töri meg. Vagy a ransomware, amikor az adatokat titkosítják és váltságdíjat kérnek a visszaadásukért.
Ezeket nevezem zajos támadásoknak, melyek gyakran egymás takarásául szolgáltak: például amíg egy szolgáltatást DDoS alatt tartottak, addig ransomware-rel letitkosították a cégadatokat. Miközben a szakértői csapat elhárítja az egyiket, a másik támadás célt ér.
A 2026–27-es trendek azt mutatják, hogy a kibertámadások rejtettebbek. Elindult egy csendes hadviselés. A támadók egyre gyakrabban hetekig, hónapokig megbújva maradnak a hálózatokban, legitim forgalomnak álcázva magukat szivárogtatnak ki adatokat, építenek profilt, majd ugyanazt az információt többször is értékesítik a piacokon. Ezt támasztja alá, hogy a top tíz támadási szcenárióból nyolc a csendes rejtőzködést szolgáló technikákat tartalmaz.
Miért pont a csendes támadások terjednek?
AJ: A csendes hadviselés célja az OSINT-tel megszerzett információ többszörös értékesítése: visszafelé magának a szervezetnek (mert a nap végén egy ransomware támadás mégis történik), a dark webnek és más támadóknak.
Ma már nem a végpontokat vagy tűzfalakat támadják, minderre jó metafora egy vár képe. Mára nagyon erős várfalat – tűzfalak és periméter védelem - tudunk építeni, köré tudunk árkot ásni – hálózati szegmentáció -, mely hemzseg a krokodiloktól – IDS/IPS védelem. A támadók viszont már nem próbálják áttörni a falat, hanem megkeresik a kulcsokat, és bemennek az ajtón. A céljuk a legkisebb energiabefektetéssel a legnagyobb kárt okozni vagy a legnagyobb profitot elérni.
Milyen konkrét példa van OSINT-ot használó kibertámadásokra Magyarországon?
AJ: Az OSINT-et használó kibertámadások köre igen széles, gyakorlatilag minden célzott kibertámadás ezzel kezdődik. Saját kutatási projektünk keretében tanulmányt készítettünk például a magyar magánegészségügyi szektorról, ahol konkrét felhasználónév-jelszó párosokat találtunk.
Az átlagember fejében nincs tisztázva, mennyire értékesek a személyes adatok, miközben rengeteg az identitáslopás. A magánegészségügyi szolgáltatók végtelenül érzékeny adathalmazon ülnek, és úgy kell rendszereiket felépíteniük, hogy számolnak az eszköz-kompromittálódással. Az egészségügyi szektor azért különösen érdekes, mert globálisan az egyik leginkább támadott terület – ha hitelesítő adatok, leletek vagy diagnózisok szivárognak, akár egy C-szintű vezető is zsarolhatóvá válik. A kutatásunkat tervezzük a gyógyszergyártókra és az autóiparra is kiterjeszteni.
Az adatszivárgás gyakran nem is a szerverekről indul, néha elég az, hogy a felhasználó a böngészőben menti a jelszavát: a hiba sokszor olyan technológiai komplexitásból fakad, amire még nem vagyunk felkészülve. Az AI-világban sajnos a támadó, de a védekező oldal dolga is könnyebb.
Mennyire figyelnek a OSINT-alapú támadásokra a cégvezetők?
AJ: Erre még érzékenyíteni kell őket. A vezetők ott fogékonyabbak, ahol egy informatikai vezetővel, külső tanácsadóval elindult az IT-biztonsági tudatosság felépítése vagy ahol jogszabály kötelezi erre a szervezetet, valamint sajnos ott, ahol már elszenvedtek valamilyen incidenst, ami a kiszivárgott adatokra vezethető vissza. A NIS2 direktíva nagyban segítette az figyelemfelkeltést: legalább szélesebb körben lehet az IT-biztonságról beszélgetni. Az OSINT-réteg explicit elvárásként nincs benne, de a kontrollkörnyezet részeként indirekten igen – például az adatok biztonságos tárolásának előírásából fakadóan. Egy szakértő ezt rögtön meghallja, de egy CEO szakértői gárda nélkül nem feltétlenül.
Említetted, hogy van nálatok egy platform, ami kifejezetten OSINT-ot használ. Mire jó és kinek?
AJ: A termékcsalád neve Noruas, visszafele olvasva Sauron. Szakemberek alkották meg magát a terméket, aztán annyira beleszerettünk a névbe, hogy ezen nem változtattunk: a Noruas egy szem, ami mindent lát, de Sauronnal ellentétben, jóindulatú.
A platform körbenéz a nyílt interneten – beleértve a dark webet, deep webet és azokat a kommunikációs csatornákat, ahol támadások szerveződnek, vagy a támadók áruba bocsátják a megszerzett adatvagyont. Felhatalmazás alapján, kulcsszavak mentén figyeljük, megjelenik-e a szervezet vagy felsővezetőinek neve támadási kontextusban. Egy szervezetre, C-szintű vezetőre vagy identitásra mutatja meg a támadási felületet – mert ma minden szervezetnek nagy a digitális lábnyoma. Szinte minden digitális tevékenység lábnyomot hagy. Nem minden rossz, de felelősséggel kell bánni vele és a tudatosság minden szinten kell: az üzemeltetőnél, az IT-vezetőnél és a CEO-nál is.
Azt gondolom, ha egy Noruas-szerű platform a KKV-knál, nagyvállalatoknál és kormányzati ügyfeleknél is olyan evidens lenne, mint a végpontvédelem, a kiberbiztonsági incidensek nagy százaléka meg sem történne, mert ez egy erős preventív eszköz. Jó lenne, ha ez a tudatosság kialakulna, mivel ezek nem megfizethetetlen szolgáltatások. Úgy kell rájuk gondolni, mint egy alapvető biztonsági pajzsra: elférnek egy szervezet IT-biztonsági költségvetésében, miközben hatalmas reputációs kockázatot lehet elkerülni velük.
Miért lehet baj, hogy egy szervezetnek digitális lábnyoma van?
AJ: Fiktív példa: egy IT-vezető LinkedInen kiírja, hogy a szervezet bevezet egy konkrét rendszert; egy szakértő konferencián beszél erről, és architektúra-ábrát mutat, közben a HR ehhez a rendszerhez adminisztrátori pozíciót hirdet. Ebből kiderül a választott architektúra, a bevezetett technológia és a kompetenciahiányok helye, innen már célzottan építhető a támadás.
A platform passzívan a technológiai információkat is feltérképezi: a nyílt portokat, a mögöttük futó szolgáltatások verzióit, amikre már lehet ismert sérülékenységet keresni. A szolgáltatás letapogatja a szervezetet, ehhez kevés alapinformáció is elég: egy domain lista, egy-két IP vagy érzékeny kulcsszavak.
A találatok elsőre mind kritikusnak tűnnek: nem tudjuk, történt-e már intézkedés, megváltoztatták-e a jelszót, kilépett-e az illető. A platform ad egy alapriportot és szaktanácsadást, sok deduplikációt és falspozitív kizárást előre elvégzünk, aztán a szervezettel együtt csináljuk meg a nagytakarítást. Ezt az első takarítást rögtön érti mindenki. Magyarázni viszont azt kell, hogy a szervezet legyen az első, aki egy szivárgásról értesül, hogy gyorsan tudjon reagálni. A platform tud menedzselt szolgáltatásként működni, vagy adatforrásként becsatlakozni a központi rendszerbe.
Említetted az AI-t, ti is alkalmazzátok?
AJ: A deduplikációs eljárásokat AI-jal hatékonyabban kezeljük, tanítunk rá algoritmusokat. Az LLM-eknél (nagy nyelvi modelleknél) most nagy a hype, de már 2014 óta használnak AI-t nagy volumenű adatok strukturált feldolgozására, mi is így alkalmazzuk.
Hogyan kezelitek, hogy az ügyfelek érzékeny adataihoz fértek hozzá?
AJ: Hátrányban vagyunk a jó oldalon, mert ehhez nekünk felhatalmazás kell. Kellenek a megfelelő jogi keretek, ideértve többek között a titoktartási nyilatkozatot és adatfeldolgozói szerződést, amelyek biztosítják a megrendelő számára a vállalati és személyes adatok védelmét. Ahhoz, hogy egy szervezetre csak ránézhessünk, rögtön át kell adnunk egy megbízást, amely rendezi többek között a felelősségi kérdéseket a fenti témákban és jogi dokumentumként mindkét felet védi.
A támadó oldal nem foglalkozik a jogi háttérrel, folyamatosan szkennel mindent. Mi a megrendelőtől szerződésben kapunk felhatalmazást ugyanerre, az adattárolásra kialakult eljárásrendjeink vannak, szakjogászaink ismerik a GDPR-t, mindezt szolgáltatásként tudjuk nyújtani, ami a KKV-szektorban különösen fontos.
A platformon kívül még sok minden mással is foglalkoztok az üzletágban.
AJ: Ez egy klasszikus IT-biztonsági tanácsadói csapat: az IT-biztonságot a tanácsadástól a megvalósításig támogatjuk. Az üzletág három különböző szaktudású csoportból áll.
Az egyik a GRC csapat, akik compliance-szel, jogszabályi megfeleléssel foglalkoznak. Ők azok, akik értelmezik a jogszabályt, képesek kockázatarányos intézkedés mentén, megfelelő biztonsági kontrollokat kiépíteni egy szervezeten belül. Hangsúlyozom, hogy ez nem papírgyártás, hanem kifejezetten fontos része a kiberbiztonságnak, mert kell, hogy legyen egy szabályzókörnyezet. Nagyon fontos, hogy egy tanácsadói csapat megértse az ügyféloldal erőforrásait, lehetőségeit és a belső kompetenciákat. A GRC-s csapat ebben segít az ügyfeleknek. Nekik egy nagyon komplex rálátást kell kapniuk a szervezet egészére.
Ezenkívül van egy hacker, offenzív szolgáltatásokat nyújtó csapat. Ők azok, akik a rendszerek sérülékenységét vizsgálják, a penetrációt tesztelik, de az egész szervezetet képesek red-, blue- és purple-teaming szimulációkon keresztül tesztelni. Nagyon izgalmas azt meg vizsgálni, hogy egy szervezet észrevesz -e egy megrendelt DDoS vagy ransomware támadást, és ha igen, hogy reagál rá. Az OSINT szolgáltatásoknak azon része, ami nem automatizálható is az ő szakértelmükre és tapasztalatukra épül. „Fehér kalapos”, etikus hackerként, legális felhatalmazással törik fel a rendszereket, teszik próbára a szervezet védelmi képességeit, mindig előre definiált stop szóig, nemzetközileg elfogadott módszertan szerint és képesítések mentén.
A harmadik csapat az integrátori: a Tigra magára integrátorként gondol, és összeköti a disztribútori, gyártói és megrendelői réteget. Ha egy gap-analízisből kiderül, hogy loggyűjtőre vagy tűzfalra van szükség, ez a csapat találja meg a megfelelőt és támogatja annak beszerzését, bevezetését.
Ezenkívül hosszú távú IT-biztonsági üzemeltetéssel is foglalkozunk, itt a házon belüli kompetenciát erős partneri réteg egészíti ki.
A tartalom a Tigra Zrt. támogatásával, a HVG BrandLab produkciójában készült. A cikk létrehozásában a HVG hetilap és a hvg.hu szerkesztősége és nem vett részt.
