kapubanner for mobile
Szerző: Kovács Regina
Megjelent: 9 éve

Megállj az IT-támadásoknak

Hogyan lehet egy informatikai rendszert úgy kialakítani, hogy ne költsünk rá többet, mint amennyit a költségvetés enged - a többi között ennek a lehetetlennek tűnő feladat megoldásában próbáltak segíteni egy szakmai konferencián.

Nincs teljesen biztonságos technológia. Az IT biztonsággal foglalkozó szakemberek számára e megállapítás, amelyet egyelőre senkinek sem sikerült megcáfolni, magától értetődő. Dolgozzanak akár a technológiai megoldások kifejlesztésén, vagy akár azon az oldalon, ahol a technológia berendezéseit működtetik, a dolguk nem irigylésre méltó. Lehetetlennek tűnik például annak az elvárásnak megfelelni, amelyet a vezetés gyakorta fogalmaz meg az IT vezetővel szemben: "Legyen az IT rendszered biztonságos, de ne költs rá többet, mint amennyit beterveztünk a költségvetésbe!"

A BDO Magyarország két szakértője szakmai konferenciájukon előadásaikkal azt kívánták bemutatni, hogyan tudják megteremteni az IT vezetők a biztonságos informatikai rendszer hátterét.


Biztonsági trendek és statisztikák



A felhőalapú számítástechnika gyors terjedése miatt a privát és céges adatok megszerzése könnyebb lett a kiberbűnözők számára. Ennek kivédésére megfelelő jelszómenedzsmentre, hozzáférés-menedzsmentre és arra van szükség, hogy gondosan válasszák ki a szállítókat.

Bár idén már lassuló tempóban, de folytatódik a mobil malware múlt évi gyors terjedése és ez javuló biztonságot is eredményez. Az angol malware kifejezés az angol malicious software (rosszindulatú szoftver) összevonásából kialakított mozaikszó, s mint ilyen, a rosszindulatú számítógépes programok összefoglaló neve. Mint a szakmai konferencián megtudhattuk, egyre célzottabb támadások érik a cégeket.

Az Egyesült Államokban egyenesen buzdítják a munkavállalókat saját eszközeik üzleti használatára, ez az úgynevezett Bring Your Own Device (BYOD - Hozd be saját eszközöd) szemlélet. A közelmúltban végzett nagyvállalati felmérésekből kiderül, hogy már többen engedik meg a saját eszközök vállalati felhasználását, mint ahányan tiltják, az otthonról beszivárgó "kütyük" használatának szabályozása ugyanakkor a legtöbb helyen még megoldásra váró probléma, és a biztonsági kockázatok kivédése érdekében is fontos e megfelelő szabályozások bevezetése, keretek közé szorítása, BYOD Szabályzatok alkalmazása.

A fent említett tendenciák miatt egyre fontosabbá válik eszközeink és informatikai programjaink megfelelő védelme. Egyre nagyobb hangsúly helyeződik a Mobile Device Managementre, amely a mobil eszközök és a rajtuk tárolt információk, alkalmazások, illetve a kommunikációs folyamatok központi, távoli védelmét, flottában történő menedzselését jelenti.

Az informatikai biztonságot veszélyeztetheti egy olyan forráskódban terjesztett vagy bináris program, adathalmaz vagy parancssorozat, amely alkalmas egy szoftver vagy hardver biztonsági résének, illetve hibájának kihasználására, így érve el a rendszer tervezője által nem várt viselkedést. Ezt a programot, adathalmazt vagy parancssorozatot exploitnak nevezik. Ezzel összefüggésben elmondható, hogy az új Windows megnehezíti a támadók dolgát. A Windows XP-t nagyon sokan támadták, most a Windows 7 az új célpont.

Fontos látni, hogy az eszközök robbanásszerű elterjedése és az IT biztonsági szempontok nélkülözése új kapukat és lehetőségeket nyit meg a támadók előtt.


Új irány: biztonsági szoftverek helyett biztonságos szoftverek



Az internetes szoftverek kilencvenkilenc százalékának van legalább egy sérülékenységi pontja. A hacking incidensek kilencven százalékát soha nem hozzák nyilvánosságra. A szakértők felhívták a figyelmet arra, hogy a banki weboldalak nyolcvanegy százaléka tartalmaz komoly sérülékenységet. Mint jelezték, egy weboldal évente átlag tizenegy komoly sérülékenységet tartalmaz, ezeknek az ötvennégy százalékát javították ki.


Biztonsági auditok és jellemzőik



Négyféle audit típust különböztetnek meg a szakemberek, ezek a network scanning, a vulnerability assessment, a penetration testing és az application security assessment.

A vulnerability assessment audit célja alapvetően a megcélzott rendszer kockázatainak, sérülékenységeinek a felderítése. Minél szélesebb spektrumot céloz meg, és minél több találatot eredményez, annál sikeresebb. A cél az összes potenciálisan kihasználható sérülékenység azonosítása. A vizsgálat eredménye a sérülékenységek kategorizált és minősített listája, mely alapján el lehet kezdeni a kockázatok elhárítását.
Jellemzői:

  • Az auditnak lehet külső vagy belső kiindulási pontja.
  • A felfedezett sérülékenységek nem kerülnek kihasználásra.
  • Az audit során nem kerül sor aktív támadásra (pl . DOS).
  • Alapvetően automatizált, különböző szoftver eszközök használatával történik (pl. Nessus, Retina).

    Kétféle megközelítés létezik: kívülről vizsgáljuk a rendszert - potenciális támadó szemszögéből, belülről vizsgáljuk a rendszert - belső, biztonsági jogosultságokkal rendelkező személy szemszögéből: a két megközelítés alapvetően más eredményeket szolgáltat. Jellemző szervezetekre, rendszerekre, hogy a védelmi pontokat a külső támadók távoltartására készítik fel.

    A penetration testing auditot akkor használják, amikor alapvetően egy tényleges cél elérése a feladat. Például egy védett adatbázis kompromittálása, egy rendszerparaméter megváltoztatása, egy alrendszer feltörése. Az auditorok a legígéretesebb sérülékenység mélységi kihasználásának segítségével haladnak minél mélyebbre a célzott rendszerben. A vizsgálat eredménye a cél elérésének egy részletes módszertani leírása (lépésről, lépésre).

    Jellemzői:

  • Az auditnak lehet külső vagy belső kiindulási pontja.
  • A felfedezett sérülékenységeket maximálisan kihasználják a cél elérése érdekében.
  • Az audit során sor kerülhet veszélyes aktív támadásra (pl . DOS) az ügyféllel való egyeztetés után.
  • Szoftver eszközök mellett nagyon fontos különböző exploitok és kreatív megoldások használata (social engineering is!)

    Úgy tűnik, a jövő megoldása a hálózati átláthatóság lehet. Ezt kínálja több publikus és privát felhőkész megoldás: ezek biztosítják nagy mennyiségű adat átláthatóságát és olyan riportolási funkciókkal rendelkeznek, melyek azonnal elkülönítik és megmutatják a hálózati biztonsági fenyegetéseket,
    trendeket, továbbá felgyorsítja a fontos biztonsági házirendek beállítását a hálózaton keresztül.

    Az adatforgalom szűrési módjának köszönhetően a kritikus információk, a legaktívabb felhasználók és kapcsolatok azonnal láthatóvá válnak. Meg lehet tudni egy pillanat alatt, hogy ki használja a legnagyobb sávszélességet, vannak-e szokatlan tevékenységek, vagy akár, hogy melyik a leglátogatottabb weboldal.
    Bármikor és bármilyen információra rá lehet keresni attól függően, hogy mikor és milyen információra van szüksége egy vezetőnek.

    Ha pedig mindezeket az adatokat információvá alakítjuk, máris láthatóvá válik, hogyan is védje meg egy vezető a cégét, milyen biztonsági házirendeket vezessen be a megfelelő védelem érdekében.
    • 2024.03.21recruiTECH 2024 A recruiTECH elsősorban HR vezetőknek, toborzóknak, toborzási vezetőknek, employer branding specialistáknak és learning & development szakembereknek szól, akik napi szinten küzdenek a toborzási céljaikért a munkaerőpiacon, akik keresik az új megoldásokat, melyek segítségével hatékonyabbá tehetik vállalatuk tevékenységét.info button Részletek ticket button Jegyek
    • 2024.03.26Műegyetemi Állásbörze A Műegyetemi Állásbörze Budapest legnagyobb és legrangosabb álláskereső rendezvénye. 1995 óta képez hidat a munkaadók és potenciális munkavállalóik között. Rendezvényről rendezvényre több újítással, színesebb programokkal, felméréssel és számos csatornával is találkozhatnak az érdeklődők.info button Részletek ticket button Jegyek
    • 2024.03.27Átfogó projektmenedzsment képzés IPMA és PMI alapokon Klasszikus projektmenedzsment képzés - átfogó, gyakorlati program, egyéni mentorálással.info button Részletek ticket button Jegyek
    • 2024.04.04Six Sigma Black Belt képzés 9 napos gyakorlatorientált, intenzív képzési program, amely készségszintre fejleszti a résztvevőket a 6 Sigma ismeretek elsajátításában, alapoktól a Green Belt ismereteken át magas szintű hatékonyságjavító projektek megvalósításáig. info button Részletek ticket button Jegyek
    További cikkek
    Az üzleti hallgatók készen állnak a mesterséges intelligencia munkahelyi használatára

    A brit gazdasági szakos hallgatók szerint az ügyfélszolgálati munkakörökre lesz a legnagyobb hatással a mesterséges intelligencia - derül ki egy... Teljes cikk

    Iskolapadba ültetheti a vezetőket a mesterséges intelligencia forradalma

    A generatív mesterséges intelligencia forradalmasítja a bankvilágot és új lehetőségek sokasága nyílik meg a pénzintézetek és ügyfeleik előtt.... Teljes cikk

    Pánik és potenciál: Mit tanultak a dolgozók a mesterséges intelligenciáról 2023-ban?

    A mesterséges intelligencia eddig is jelentős hatással volt a munkánkra, és a jövőben is komoly változásokat eredményezhet. Lássuk, milyen... Teljes cikk