Megállj az IT-támadásoknak
Hogyan lehet egy informatikai rendszert úgy kialakítani, hogy ne költsünk rá többet, mint amennyit a költségvetés enged - a többi között ennek a lehetetlennek tűnő feladat megoldásában próbáltak segíteni egy szakmai konferencián.
A BDO Magyarország két szakértője szakmai konferenciájukon előadásaikkal azt kívánták bemutatni, hogyan tudják megteremteni az IT vezetők a biztonságos informatikai rendszer hátterét.
Biztonsági trendek és statisztikák
A felhőalapú számítástechnika gyors terjedése miatt a privát és céges adatok megszerzése könnyebb lett a kiberbűnözők számára. Ennek kivédésére megfelelő jelszómenedzsmentre, hozzáférés-menedzsmentre és arra van szükség, hogy gondosan válasszák ki a szállítókat.
Bár idén már lassuló tempóban, de folytatódik a mobil malware múlt évi gyors terjedése és ez javuló biztonságot is eredményez. Az angol malware kifejezés az angol malicious software (rosszindulatú szoftver) összevonásából kialakított mozaikszó, s mint ilyen, a rosszindulatú számítógépes programok összefoglaló neve. Mint a szakmai konferencián megtudhattuk, egyre célzottabb támadások érik a cégeket.
Az Egyesült Államokban egyenesen buzdítják a munkavállalókat saját eszközeik üzleti használatára, ez az úgynevezett Bring Your Own Device (BYOD - Hozd be saját eszközöd) szemlélet. A közelmúltban végzett nagyvállalati felmérésekből kiderül, hogy már többen engedik meg a saját eszközök vállalati felhasználását, mint ahányan tiltják, az otthonról beszivárgó "kütyük" használatának szabályozása ugyanakkor a legtöbb helyen még megoldásra váró probléma, és a biztonsági kockázatok kivédése érdekében is fontos e megfelelő szabályozások bevezetése, keretek közé szorítása, BYOD Szabályzatok alkalmazása.
A fent említett tendenciák miatt egyre fontosabbá válik eszközeink és informatikai programjaink megfelelő védelme. Egyre nagyobb hangsúly helyeződik a Mobile Device Managementre, amely a mobil eszközök és a rajtuk tárolt információk, alkalmazások, illetve a kommunikációs folyamatok központi, távoli védelmét, flottában történő menedzselését jelenti.
Az informatikai biztonságot veszélyeztetheti egy olyan forráskódban terjesztett vagy bináris program, adathalmaz vagy parancssorozat, amely alkalmas egy szoftver vagy hardver biztonsági résének, illetve hibájának kihasználására, így érve el a rendszer tervezője által nem várt viselkedést. Ezt a programot, adathalmazt vagy parancssorozatot exploitnak nevezik. Ezzel összefüggésben elmondható, hogy az új Windows megnehezíti a támadók dolgát. A Windows XP-t nagyon sokan támadták, most a Windows 7 az új célpont.
Fontos látni, hogy az eszközök robbanásszerű elterjedése és az IT biztonsági szempontok nélkülözése új kapukat és lehetőségeket nyit meg a támadók előtt.
Új irány: biztonsági szoftverek helyett biztonságos szoftverek
Az internetes szoftverek kilencvenkilenc százalékának van legalább egy sérülékenységi pontja. A hacking incidensek kilencven százalékát soha nem hozzák nyilvánosságra. A szakértők felhívták a figyelmet arra, hogy a banki weboldalak nyolcvanegy százaléka tartalmaz komoly sérülékenységet. Mint jelezték, egy weboldal évente átlag tizenegy komoly sérülékenységet tartalmaz, ezeknek az ötvennégy százalékát javították ki.
Biztonsági auditok és jellemzőik
Négyféle audit típust különböztetnek meg a szakemberek, ezek a network scanning, a vulnerability assessment, a penetration testing és az application security assessment.
A vulnerability assessment audit célja alapvetően a megcélzott rendszer kockázatainak, sérülékenységeinek a felderítése. Minél szélesebb spektrumot céloz meg, és minél több találatot eredményez, annál sikeresebb. A cél az összes potenciálisan kihasználható sérülékenység azonosítása. A vizsgálat eredménye a sérülékenységek kategorizált és minősített listája, mely alapján el lehet kezdeni a kockázatok elhárítását.
Jellemzői:
Kétféle megközelítés létezik: kívülről vizsgáljuk a rendszert - potenciális támadó szemszögéből, belülről vizsgáljuk a rendszert - belső, biztonsági jogosultságokkal rendelkező személy szemszögéből: a két megközelítés alapvetően más eredményeket szolgáltat. Jellemző szervezetekre, rendszerekre, hogy a védelmi pontokat a külső támadók távoltartására készítik fel.
A penetration testing auditot akkor használják, amikor alapvetően egy tényleges cél elérése a feladat. Például egy védett adatbázis kompromittálása, egy rendszerparaméter megváltoztatása, egy alrendszer feltörése. Az auditorok a legígéretesebb sérülékenység mélységi kihasználásának segítségével haladnak minél mélyebbre a célzott rendszerben. A vizsgálat eredménye a cél elérésének egy részletes módszertani leírása (lépésről, lépésre).
Jellemzői:
Úgy tűnik, a jövő megoldása a hálózati átláthatóság lehet. Ezt kínálja több publikus és privát felhőkész megoldás: ezek biztosítják nagy mennyiségű adat átláthatóságát és olyan riportolási funkciókkal rendelkeznek, melyek azonnal elkülönítik és megmutatják a hálózati biztonsági fenyegetéseket,
trendeket, továbbá felgyorsítja a fontos biztonsági házirendek beállítását a hálózaton keresztül.
Az adatforgalom szűrési módjának köszönhetően a kritikus információk, a legaktívabb felhasználók és kapcsolatok azonnal láthatóvá válnak. Meg lehet tudni egy pillanat alatt, hogy ki használja a legnagyobb sávszélességet, vannak-e szokatlan tevékenységek, vagy akár, hogy melyik a leglátogatottabb weboldal.
Bármikor és bármilyen információra rá lehet keresni attól függően, hogy mikor és milyen információra van szüksége egy vezetőnek.
Ha pedig mindezeket az adatokat információvá alakítjuk, máris láthatóvá válik, hogyan is védje meg egy vezető a cégét, milyen biztonsági házirendeket vezessen be a megfelelő védelem érdekében.
- 2024.04.04Six Sigma Black Belt képzés 9 napos gyakorlatorientált, intenzív képzési program, amely készségszintre fejleszti a résztvevőket a 6 Sigma ismeretek elsajátításában, alapoktól a Green Belt ismereteken át magas szintű hatékonyságjavító projektek megvalósításáig. Részletek Jegyek
- 2024.04.04Az Év Irodája Konferencia & Díjátadó Kíváncsi vagy, hogy kié lesz Az Év Irodája díj, érdekelnek a legmodernebb irodai megoldások, valamint a magyar és nemzetközi piacot meghatározó szakemberek tapasztalatai? Akkor ott a helyed! KIKET FOGUNK DÍJAZNI? Részletek Jegyek
- 2024.04.23Humán controlling mutatószámok a gyakorlatban A képzés célja: A HR munka modern személetének és mérésének, számításának gyakorlati ismerete. A humán controlling egyes eszközeit konkrét példákon mutatjuk be, a résztvevőkkel közösen értékeljük azok alkalmazását. Részletek Jegyek
- 2024.04.30NewLeadership – Vezetői eszköztár bővítése Önmaguk fejlesztését is fontosnak tartó középvezetőknek, frissen kinevezett döntéshozóknak szóló komplex és intenzív vezetőfejlesztő program sok gyakorlattal. Különlegessége, hogy a résztvevők átgondolhatják és megoszthatják egymással aktuális kihívásaikat és még a kritikus vezetői helyzetek megoldásáról is tanulhatnak egymás jó gyakorlatából is! Részletek Jegyek
A brit gazdasági szakos hallgatók szerint az ügyfélszolgálati munkakörökre lesz a legnagyobb hatással a mesterséges intelligencia - derül ki egy... Teljes cikk
A generatív mesterséges intelligencia forradalmasítja a bankvilágot és új lehetőségek sokasága nyílik meg a pénzintézetek és ügyfeleik előtt.... Teljes cikk
A mesterséges intelligencia eddig is jelentős hatással volt a munkánkra, és a jövőben is komoly változásokat eredményezhet. Lássuk, milyen... Teljes cikk
- Ennyit kereshetnek a magyar IT-sok külföldön 2 hónapja
- Mekkora a magyarok bére az IT-szektorban legközelebbi szomszédainkhoz képest? - mutatjuk a számokat 2 hónapja
- Volt munkaadójuktól szedtek védelmi pénzt a dabasi elkövetők 2 hónapja
- Ennyit keresnek az informatikusok Magyarországon és a régióban 3 hónapja
- Itt az okos HR: Mit hoz az AI a HR digitalizációban? 4 hónapja
- Az AI- és deepfake-alapú banki csalások kivédésére tervezett megoldást a 48-órás programozói verseny győztes csapata 4 hónapja
- Informatikai szakembereket díjazott a Neumann Társaság 5 hónapja
- Így lesz több lányból informatikus 5 hónapja
- Elon Musk: Az AI-technológiát akár az emberiség kiirtására is beprogramozhatják 5 hónapja
- Pályaorientációval segítik a munkaerő-utánpótlást 6 hónapja
- Hamarosan indul az informatikusok országos megmérettetése 6 hónapja