ÜZLETI IT- Tartalmas, előremutató, vicces de közben halálosan komoly

EURO ONE

SOAR: az automatizálás biztonsága

2023. január 17. - EURO ONE

Az elmúlt években megnőtt a vállalatok biztonsági csapatainak vállára nehezedő teher, mivel az egyre szervezettebben fellépő támadók aprólékosan kihasználják az informatikai infrastruktúrák növekvő szintű összetettségét. Azonban a SOAR (Security Orchestration, Automation and Response) segítségével hatékonyan automatizálhatók a kiberbiztonsági folyamatok, s ez hatalmas előnyt jelenthet a biztonsági vezetők számára.

soar-blogposzt.jpg

SOAR: amikor az automatizálás biztonságot teremt

Aki hatékonyan szeretné kialakítani a biztonsági folyamatokat és a legtöbbet kívánja kihozni azokból, az nem kerülheti meg többé az automatizálást, s így van ez az IT-biztonsági iparág esetében is. A szakképzett munkaerő hiányának kialakulása és ezzel egyidejűleg az IT-infrastruktúrák növekvő összetettsége óriási kihívások elé állítja a biztonsági csapatokat, ezért kézenfekvő megoldásnak tűnik, ha átadunk néhány feladatot a gépnek, amelyeket az a lehető legrövidebb idő alatt - és beavatkozásunk nélkül - elvégez. Ez nemcsak a dolgozókat tehermentesíti, hanem döntően felgyorsítja a biztonság szempontjából kritikus folyamatokat is.

A saját informatikai biztonság automatizálásának egyik módja a SOAR használata. Ez a megoldás számos olyan eszközt kínál, amelyekkel sok helyen automatizálható az IT-biztonság, és ezáltal javítható a vállalat egészének biztonsága.

Amikor minden másodperc számít

Az automatizálást gyakran akkor alkalmazzák, amikor az ismétlődő folyamatok túlzóan lefoglalják a kapacitásokat és ezzel a késedelem mellett jelentős frusztrációt is okoznak. Ha ezeket a feladatokat átadjuk a gépnek, az utánozza az emberi viselkedést. Ezt a klasszikus eljárást RPA-nak (Robotic Process Automation) nevezik. Bár a SOAR kezdetben szintén hasonló technikákon alapul, de azokat a kiberbiztonsági ágazat tipikus folyamataira alkalmazza és használata különösen az incidensreakció módszereit gazdagítja. Ebben hatalmas lehetőségek rejlenek, mivel egy válaszadás során gyakran minden perc - vagy akár másodperc - döntő fontosságú lehet. Ha biztonsági szempontból releváns esemény történik, a biztonsági csapatoknak a lehető leggyorsabban kell cselekedniük, és mielőbb megtenniük a védekezéshez szükséges lépéseket. Az automatizálás fontos szerepet játszhat ebben. Ha például a rendszer riasztást indít, automatikusan létrejön az ehhez tartozó hibajegy, és az elemző azonnal megkezdheti az adatok vizsgálatát. Ha valóban rosszindulatú szereplőről van szó, a biztonsági csapat automatizált műveleteket indíthat, amelyek során más rendszerek blokkolják a rosszindulatú fiókot vagy blokkolnak egy IP-címet az elemzés során. Ez azt jelenti, hogy a biztonsági csapatok nem vesztegetik az időt ismétlődő feladatokra, hanem közvetlenül képesek a riasztások értékelésére, a megfelelő, összetettebb lépések megtételére, s így a kár minimalizálására vagy adott esetben annak komplett kiküszöbölésére.

Az áttekinthetőség fenntartása a nagyfokú összetettség ellenére

Modern infrastruktúrák talán legnagyobb kihívása azok növekvő összetettsége. Az évek során - hála az IoT megállíthatatlan fejlődésének - számos eszköz halmozódik fel, ráadásul folyamatosan bővül a hálózatok szereplőinek száma is. A kiberbűnözőknek ez a komplexitás kész csemege, hiszen egyrészt nő a támadási felület, másrészt a szerteágazóság lehetőséget kínál arra, hogy eltűnjenek a tömegben.

A múltban legtöbbször elegendő volt egy SIEM-megoldás (Security Information and Event Management) használata, amely rövid idő alatt nagy mennyiségű adatot vizsgál meg, és riaszt, ha gyanús viselkedést észlel. Ám ahogy egy hálózat mérete növekszik, úgy gyarapodik a riasztások száma is, és ezeknek csak a töredéke vonatkozik ténylegesen veszélyes szereplőre. Ez kvázi "riasztási kimerültséget” okoz a biztonsági személyzet körében, hiszen napi szinten, tengernyi jelentéssel szembesülnek, s egyre nehezebbé válik számukra, hogy megkülönböztessék a hamis riasztásokat a valós fenyegetésektől. A SOAR itt is megkönnyebbülést hozhat.

Ez nem tévesztendő össze az úgynevezett XDR-megoldásokkal (Extended Detection and Response), amelyek mesterséges intelligenciát használnak a szereplők viselkedésének korrelálására a különböző végpontokon, hogy felfedezzék a mozgásmintákat és azonosítsák a káros szereplőket. Az XDR-eszközöket fenyegetések felderítésére használják. A SOAR azonban a figyelmeztető jelzések sorrendjére és a figyelmeztető jelzésekre adott értékelési válaszra összpontosít. Ám épp e különbözőségből adódóan, a SOAR és az XDR kifejezetten jól kombinálható. Előbbi számos egyéb biztonsági eszközzel összekapcsolható, így központi áttekintést nyújthat a rendszer minden, biztonsági szempontból releváns folyamatáról, aminek köszönhetően a biztonsági csapatoknak nem kell váltogatniuk az egyes eszközök között.

A megfelelő felkészülés kulcsfontosságú

Nem meglepő, hogy az automatizált folyamatok lényegesen gyorsabban futnak, mint kézzel végrehajtott megfelelőik. Ennek megfelelően kecsegtető lehetőségek rejlenek bennük a vállalati biztonságra nézve, amint azt az automatikusan támogatott incidensreakciók példája is mutatja. Mindazonáltal a SOAR semmiképpen sem tekinthető csodaszernek, különösen a szakképzett munkaerő súlyos hiányával szemben, mert még ha az automatizálás sok fontos helyen tehermentesíti is a biztonsági csapatokat, a vállalatoknak nem szabad alábecsülniük az ilyen rendszerhez szükséges emberi erőforrásokat.

A SOAR úgynevezett playbookokon alapul. Ezeket a terveket különböző biztonságkritikus esetek incidenciatípusaihoz használják. Ahhoz azonban, hogy az automatizált folyamatok megfelelően működjenek és a szakértők támaszkodhassanak rájuk, a playbookokat elengedhetetlen folyamatosan frissíteni és pontosan az adott helyzetekre szabni. Minél összetettebbek a folyamatok a saját ökoszisztémában, annál időigényesebb ez a feladat. Különösen nagyvállalatok esetében szükséges a SOAR folyamatos nyomon követése, már csak az esetleges hibaforrások beazonosítása érdekében is. A gyakori frissítés szintén létfontosságú, hogy a biztonsági csapatok a lehető leggyorsabban kijavíthassák a playbookokban fellelt hibákat.

Hatékony biztonsági intézkedések az automatizálásnak köszönhetően

Egyértelmű tehát, hogy a saját biztonsági folyamatok automatizálásához emberi erőforrások szükségesek, mivel a SOAR sem működik tökéletesen önállóan. Mindazonáltal az előnyök sok esetben meghaladják a hátrányokat, mert a SOAR drasztikusan csökkenti az incidens észlelése és a biztonsági csapat reakciója közötti időt. Így nemcsak a szakembereket tehermentesíti, hanem nagyobb biztonságot is szavatol.

Összegzésül

Azoknak, akik még az automatizálási út elején járnak, érdemes megfontolniuk külső szolgáltatók bevonását. Ők már kellően nagy tapasztalattal rendelkeznek ezen a területen, és támogatni tudják a vállalatokat például a SOAR integrálásában és az automatizálás használatában, ott, ahol az valóban előnyös lehet a cég számára. Világos persze, hogy nem minden biztonsági struktúra automatizálható, de annál fontosabb, hogy a csapatoknak legyen idejük azokra a létfontosságú feladatokra, amelyeket nem végezhetnek el gépek. Minél kevesebb ideje van a támadónak a támadási folyamat kivitelezésére, annál nagyobb az esélye annak, hogy a védők végül képesek lesznek elhárítani azt, így garantálva saját szervezetük biztonságát.

Kihirdetésre került a NIS 2 Irányelv. Hogyan tovább?

Tóth Tamás cikke

2023. január 10. - EURO ONE

A korábbi cikkemben bemutattam az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló NIS2 Irányelv alapjait. A jelen cikkemben az újdonságokat és néhány érdekességet kívánom összefoglalni.
nis2-blogposzt.jpg

Az Európai Unió Bizottsága 2022. december 27-én kihirdette a NIS2 Irányelvet (a továbbiakban: Irányelv). A szabályozás 2023. január 16-án fog hatályba lépni, a tagállamoknak pedig 2024. október 17-ig kell átültetniük először a saját jogrendszerükbe az előírásokat.

NIS2 hatálya alá tartozó szervezetek

Az Irányelv hatálya alá tartozó szervezetek köre, vagyis a fontos- és alapvető szervezetek. Ezekről részletesen a korábbi cikkemben írok. 

Vezetőség felelőssége

Az Irányelv szövege szerint a tagállamoknak biztosítaniuk kell, hogy az alapvető és fontos szervezetek vezető testületei jóváhagyják az e szervezetek által a 21. cikknek való megfelelés érdekében tett kiberbiztonsági kockázatkezelési intézkedéseket, felügyeljék annak végrehajtását és felelősségre vonhatók legyenek az említett cikknek a szervezetek általi megsértéséért.

Ez egybevág azzal az általános "tankönyvi" állásponttal, hogy az információbiztonságért végső soron a szervezet vezetése felelős, illetve hasonlóságot mutat a német információbiztonsági szabályozással (IT-Sicherheitsgesetz 2.0 - "IT-SiG 2.0), ahol szintén előírták a vezetés felelősségét.

Az Irányelv nem állt meg a vezetés felelősségének a meghatározásánál, ugyanis a szöveg szerint a tagállamoknak biztosítaniuk kell, hogy az alapvető és fontos szervezetek vezető testületeinek tagjai számára kötelező legyen a képzéseken való részvétel.

A vezetés kötelező képzésének előírása segíthet kiberbiztonsági terület fontosságának megértésében és ezáltal az elkötelezettség növelésében.

Kiegészített védelmi intézkedések

Az Irányelv korábbi szövegében kevesebb védelmi intézkedést írtak elő, mint a jelenlegi, elfogadott verzióban. A hálózati és információs rendszerek kockázatokkal arányos védelmét a kihirdetett Irányelv szerint az alábbi védelmi intézkedésekkel kell biztosítani:

  1. kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok;
  2. eseménykezelés;
  3. üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés;
  4. az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat;
  5. biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét;
  6. szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére;
  7. alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;
  8. a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások;
  9. humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás;
  10. adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül.

A felsorolt védelmi intézkedések nem elég konkrétak az implementáció megkezdéséhez. Ehhez a meglévő keretrendszereket (pl. a 2022-ben frissített ISO 27001 szabványt, a felülvizsgálat alatt álló NIST Cybersecurity Framework - CSF), valamint az ágazati standardokat lehet segítségül hívni. Az Irányelv a szabványosítás keretében ösztönzi a hálózati és információs rendszerek biztonsága tekintetében releváns európai és nemzetközi szabványok és műszaki előírások alkalmazását.

Az Irányelv szövege szerint Európai Unió Bizottsága további követelményeket fogadhat el a védelmi intézkedések technikai és módszertani követelményeinek meghatározása céljából, ami további segítséget adhat a megfeleléshez.

Jelentéstételi kötelezettség

Az Irányelv szigorú incidens bejelentési elvárásokat is meghatározott, amit érett incidensmenedzsment folyamatok és SIEM megoldások nélkül aligha tud teljesíteni egy szervezet. Gyakran az incidensek detektálása sem történik meg, vagy csak hosszú idő után, amit az IBM 2022 Cost of Data Breach Report-ja támaszt alá 277 napos átlagos észlelési idővel.

A jelentős eseményekről késedelem nélkül értesíteni kell az adott tagállami CSIRT-eket, vagyis a "számítógép-biztonsági eseményekre reagáló csoportokat", ami Magyarországon várhatóan a Nemzeti Kibervédelmi Intézet lesz. Az Irányelv elég tágan fogalmaz, szerinte akkor jelentős egy esemény, ha

  • súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban, vagy pénzügyi veszteséget okozott az érintett szervezetnek;
  • az esemény jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett, vagy képes érinteni.

Az incidensekről a CSIRT-en kívül a szolgáltatást igénybe vevőket is értesíteni kell. Ha az incidensben személyes adat is érintett volt, akkor azt az adott tagállam adatvédelmi hatóságának is jelenteni kell.

A bejelentéseknek több fajtája lehet:

  • Korai előrejelzés: minden esetben a jelentős eseményről való tudomásszerzéstől számított 24 órán belül kell beadni, amelyben fel kell tüntetni, hogy a jelentős eseményt vélhetően jogellenes vagy rosszindulatú cselekmény okozta-e és hogy lehet-e határokon átnyúló hatása,
  • Eseménybejelentés: a jelentős eseményről való tudomásszerzéstől számított 72 órán belül kell beadni, amely aktualizálja a korai előrejelzésben említett információkat, és tartalmazza a jelentős esemény első értékelését, beleértve annak súlyosságát és hatását, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat;
  • Közbenső helyzetjelentés: CSIRT vagy az illetékes hatóság eseti jelleggel kérheti;
  • Zárójelentés: összefoglaló jelentés, amit az eseménybejelentés benyújtását követő egy hónapon belül kell beadni és tartalmazza az alábbiakat:
    • az esemény részletes leírása, beleértve annak súlyosságát és hatását;
    • az eseményt valószínűleg kiváltó fenyegetés vagy kiváltó ok típusa;
    • alkalmazott és folyamatban lévő mérséklési intézkedések;
    • adott esetben az esemény határokon átnyúló hatása.

Tanácsok a megfeleléshez

Minden szervezetnek azt javasoljuk, hogy első körben vizsgálja meg, hogy az Irányelv hatálya alá tartozik-e. Ha a válasz igen, akkor erősen ajánlott minél előbb megkezdeni a megfelelésre való felkészülést és nem érdemes megvárni az Irányelv 2024-es magyar jogba való átültetésének határidejét. Ha egy szervezetnek alacsony érettségi szintű kiberbiztonsági képességei vannak, akkor időbe fog telni az elvárt megfelelési szint elérése, követelményekből pedig nincs hiány.

Konkrét tanácsokat a korábbi "Új Európai Uniós kiberbiztonsági szabályok a láthatáron" című cikkem Tanácsok a megfeleléshez fejezetben adunk. A felkészülés strukturált megközelítéséhez pedig a Kiberbiztonsági projektek megközelítése az "ITIL 4 Continual Improvement Model alapján" című cikkem ajánlom.

Itt vannak 2023 IT biztonsági trendjei és veszélyei

Krékity Gusztáv cikke

2023. január 05. - EURO ONE

Minden bizonnyal ez az újév is fogadalmak sorával indul szinte mindenkinél, s ez nem is meglepő, hiszen mindig van min változtatni, van miről leszokni, s van mit átgondolni. Ám ez nem csak az általános életvitelre igaz. Egy új év új kihívásokat rejt az IT világban is, kiváltképp ha a biztonságról van szó. Így aztán mi mással indíthatnánk el az idei blogbejegyzések sorát, minthogy csokorba szedjük, melyek lesznek 2023 IT biztonsági trendjei és veszélyei.

2023as-ev-it-biztonsagi-trendjeirol-es-veszelyeirol-blogposzt.jpg

2023 IT biztonsági trendjei és veszélyei

Visszatérő olvasóink már megszokhatták, hogy évről évre azzal kezdjük a januárt itt a blogban, hogy sorra vesszük, mit hoz az új év. Így lesz ezúttal is, amikor megpróbáljuk összefoglalni, mire számítanak 2023-ban az olyan piacvezető IT biztonsági gyártók, mint a Trend Micro, a Palo Alto Networks vagy épp az RSA Security. De rajtuk kívül természetesen a független piacvezető szakértők véleményét is áttekintjük.

A Cybersecurity Ventures szerint a kibertámadások a leggyorsabban növekvő bűnözési formává nőttek globális szinten, így 2023 végére az általuk - egy év alatt - okozott kár mértéke már világszinten átlépheti a 8 000 000 000 000 dolláros (8 billió USD) határt, 2025-re pedig - a növekedéssel arányosan - elérheti a 10.5 billió dolláros szintet.

A technológia fejlődésével a vállalkozások egyre aggasztóbb kiberbiztonsági kihívásokkal szembesülnek évről évre. A digitális környezet és a támadási felületek napról napra változnak, így ma már létfontosságú tudni, hogy mikor kell változtatni a prioritásokon a megfelelő alkalmazkodási képességek kialakításához. Ez kulcskérdéssé vált a megfelelő IT biztonsági stratégiák és költségvetések meghatározásakor.

E cikkben azon fontos trendeket, veszélyeket és koncepciókat foglaljuk össze, amelyek vélhetően nagyban változnak idén az elmúlt évekhez képest.

Az AI és ML hatásai az IT-ra

A mesterséges intelligencia egyre nagyobb és fontosabb szerepet tölt be az üzleti folyamatokban, hiszen sok esetben - a matematikai modellek segítségével - az embernél jóval gyorsabban hoz döntéseket és talál megoldásokat egy rendszer hatékony működéséhez. Az AI számtalan biztonsággal kapcsolatos feladatot elláthat, beleértve az adatelemzést és a gépi tanulást.

picture2.png

Fontos megjegyezni, hogy a mesterséges intelligenciát a támadók is előszeretettel alkalmazták az elmúlt időszakban, a támadások hatékonyságának növelése, gyorsítása, illetve automatizálása érdekében. A kiberbiztonság területén immár elengedhetetlen az AI-alapú, automatizált megoldások beépítése, az erőforrások megtakarítása, illetve az automatizált támadások elleni megbízhatóság növelése érdekében.

picture3.png

2022-ben az egyik legnépszerűbb AI alapú megtévesztési támadás a mélyhamisítással készült videó volt, amely látványos fejlődésen ment át a közelmúltban, s mára élő videók hamisítására, vagy épp videóhívásoknál is előszeretettel alkalmazzák a támadók. Elsősorban államilag szponzorált akciók vagy kiberterrorizmus esetében.

Becslések szerint 2023-ban még több ilyen támadásra lehet számítani előre felvett anyagokkal, de az AI-nak köszönhetően a videóhívásokkal végrehajtott támadások is egyre népszerűbbé válnak. S akkor még nem is beszéltünk arról, hogy az AI-t hasznosító támadások a következő években egyre szélesebb körben válnak elérhetővé, illetve egyre változatosabb formákban alkalmazhatják azokat a kiberbűnözők.

Supply Chain Attacks

Napjaink vállalati működését főként a beszállítók világméretű hálózata, harmadik féltől származó szolgáltatások és ellátási láncok segítik. Sajnos ez a függőség növeli a vállalkozások támadási felületét, hiszen számos belépési pontot biztosít a hackereknek. Az ellátási lánc feltörése nem új keletű probléma, de egyre több opportunista, pénzügyileg vezérelt kiberbűnöző él ezen eszközökkel, méretük és hatásuk miatt.

Jelentések szerint az ellátási lánc támadásainak száma 430%-kal nőtt 2021-ben, de 2022-ben is tovább emelkedett e támadások aránya, ráadásul egyre változatosabb formákban találkozhattunk velük. 2023-ban az ellátási lánc támadásai a hackerek legkedveltebb eszközeivé válhatnak. A hackerek rájöttek, hogy a nagyvállalatok által használt, harmadik féltől származó szoftverek új támadási felületeket nyújthatnak. Jó példák erre elmúlt évek legjelentősebb támadásai: a SolarWinds és a Kaseya Ransomware, ahol a támadók harmadik féltől származó szoftvereket használtak a vállalati alkalmazások kihasználására. Idén jó eséllyel ismét akadnak majd nagy port kavaró támadások.

Célzott és fejlett Ransomware támadások

Egy másik fontos kiberbiztonsági trend, amely mindig is létezett: a célzott ransomware. Nem hagyhatjuk figyelmen kívül e célzott zsarolóprogramos támadásokat, amelyek különösen a fejlett országok iparágaiban támaszkodnak nagymértékben speciális szoftverekre, napi tevékenységeik végrehajtásához.

picture4.jpg

Ezek a zsarolóvírus-megoldások igen jól fókuszáltak, ahogy láthattuk azt a National Health Service kórházai elleni „Wanna Cry” támadás esetében is - Angliában és Skóciában -, amelynek során több mint 70 000 orvosi eszközt zároltak 2022-ben. A kampányokkal ellentétben ezek a támadások személyre szabottak és aprólékosan felépítettek - adott esetben akár hosszú időn át tartó előkészítéssel -, hogy minél pontosabban célba érjenek. Mivel ez meglehetősen kifizetődő technikának bizonyult, így 2023-ban egyre több olyan forgatókönyv születhet, ahol a kampányok helyett a támadók sokkal inkább személyre szabott és nehezebben detektálható támadásokat hajtanak végre.

Ransomware támadások a felhős rendszerekben

A hagyományos zsarolóvírus támadásokkal ellentétben a kiberbűnözők már nem csak az on-site telepített rendszereket támadják, hanem a felhőmigrációs projektek népszerűsödésével arányosan egyre kiemeltebb célponttá válnak a felhős környezetbe kihelyezett adatok is. A zsarolóvírusos támadások folyamatosan fejlődnek és az adatok felhőbe történő migrációjával párhuzamosan a támadók is alkalmazkodnak a változó trendekhez. 2023-ban valószínűsíthetően megnövekszik majd a felhőalapú adatszivárgás, az ezeket célzó ransomware támadások miatt.

A harmadik féltől származó ellátási láncok több rejtőzködési lehetőséget kínálnak a bűnözők számára. A felhőszolgáltatók célkeresztbe kerülése pedig egyetlen szervezet kompromittálásán túl, bővebb lehetőségeket biztosít a kiberbűnözőknek.

Sőt, a támadók megfenyegethetik a külső felhőszolgáltatókat is, mely taktika már október elején hatással volt az oktatási szektorra Amerikában, amikor a Vice Society ransomware csoport megzsarolta a Los Angeles Unified-ot (LAUSD), az Egyesült Államok második legnagyobb iskolai intézményét. A támadók érzékeny információkat szereztek meg, beleértve banki adatokat és a diákok pszichológiai-egészségi állapotáról szóló jelentéseket, s ezek darkneten történő publikálásával fenyegetőztek.

Modern MFA bevezetése

Az elmúlt évben több olyan esetről hallhattunk, amelyeknél az áldozatoknak ugyan volt többtényezős hitelesítési megoldása, a kiberbűnözők mégis sikeresen hajtották végre a támadásokat. Sőt, a közelmúltban számos olyan támadás valósult meg, amelyeknél a támadás egyik alappilére volt, hogy a támadók megszerezték a legitim hitelesítő adatokat és visszaéltek azokkal. Néhány példa a közelmúltból: az Uber esetében láthattuk, hogy az MFA legyőzhető, az Okta esetében pedig azt, hogy maguk az MFA-cégek is célpontokká válhatnak.

picture5.png

Pár évvel ezelőtt még „silver bullet” megoldás volt az MFA a hitelesítő adatokkal való visszaélés elleni küzdelemben, de nem tartott sokáig a támadóknak, hogy megtalálják és kihasználják az MFA gyengeségeit. Így lesz ez 2023-ban is.

Az MFA kritikus fontosságú marad az alapvető kiberhigiénia szempontjából, de többé már nem tekinthető önálló „set and forget” megoldásnak. A hozzáférhetőséggel és a használhatósággal kapcsolatos kérdések továbbra is meghatározzák az MFA-beszélgetéseket, és ezeket csak felerősíti a felhő és a SaaS népszerűsödése, valamint a hagyományos on-prem hálózatok megszűnése.

Ma és a jövőben az MFA-ra úgy kell tekinteni, mint Zero Trust architektúrára épülő megoldásra, amelynél azonban ki kell egészíteni a hagyományos MFA képességeket a modern MFA elvárásaival is, ahol a viselkedésalapú elemzés központi szerepet játszik az alkalmazottak viselkedésének megértésében és bizonyos hitelesítő adatok felhasználásával végrehajtott tevékenységek engedélyezésében. A modern MFA szoftveres megoldásoknak rendelkeznie kell olyan önvédelmi mechanizmusokkal, amelyek képesek érzékelni és megvédeni a felhasználót abban az esetben, ha az eszköz, amelyre telepítve vannak, kompromittálódott.

Automatizálási megoldások egyre növekvő szerepe

2023-ban láthatjuk majd, hogy az automatizálást a biztonsági műveletek olyan fennmaradó területein is bevezetik, amelyek jelenleg még manuális folyamatoktól függenek. Ezen területek magukban foglalják a fenyegetésekkel való kitettség kezelését, ami segíthet megválaszolni az olyan kérdéseket, mint például a: „Mennyire vagyunk felkészülve a szervezetünket leginkább célzó támadók és támadások észlelésére és reagálására?”

Egy másik, automatizáltabbá váló terület az észleléstechnika, amely még mindig nagymértékben függ a speciális szakértelemtől és tudástól. Az automatizálás nemcsak a kockázatot csökkenti e szervezeteknél, hanem megszabadítja az SOC személyzetét a hétköznapi feladatoktól, így olyan kihívásokra összpontosíthatnak, amelyek valóban emberi kreativitást és innovációt igényelnek: például a fenyegetésvadászat, vagy az új és újszerű támadási taktikák és technikák megértése.

Mobileszközök elleni támadások növekedése

A mobileszközök ma már hatalmas mennyiségű értékes adatot tárolhatnak, és változatos funkciókat hajthatnak végre távolról. A mobilok biztonsága alulértékelt, különösen a nem üzleti felhasználók körében, és ez a hatalmas előny a fenyegetések kiöltőinek. A gyártók biztonsági törekvései ellenére minden mobileszköz csak egy újabb lehetséges kapu a hálózat megsértéséhez. Az RSA Current State of Cybercrime jelentése szerint a tranzakciós csalások mintegy 70 százalékának a mobilplatformok a forrásai. A legtöbb mobileszköz-kompromittálódás jelenleg adathalászat és rosszindulatú programok támadása miatt következik be. Várhatóan a megszokott támadási módszerek száma is növekszik majd idén, de sajnos új taktikák is megjelenhetnek.

A kiberbiztonsági trendek már 2019-ben is jelentős - 50 százalékos - növekedést jelentettek a rosszindulatú mobilbanki appok vagy támadások számában, így mobil eszközeink kiváló perspektívát jelentenek a hackerek számára. Mobil eszközeinken megtalálhatóak fényképeink, pénzügyi tranzakcióink, céges- és magán levelezésünk, ami igen vonzó a kiberbűnözők számára. Az okostelefonos vírusok és rosszindulatú appok már 2022-ben felkeltették a szakértők figyelmét, s teret hódíthatnak majd 2023-ban is.

Az IoT és az 5G kapcsolatokban rejlő potenciális veszélyek

Az Insider Intelligence szerint a következő öt évben valószínűleg megközelítőleg 64 milliárd IoT-eszköz kerül be a vállalati rendszerek vérkeringésébe. Mindazonáltal az IoT eszközök számának növekedésével arányosan növekszik a szervezetek támadási felülete is. A számítógépek vagy telefonok korszerűbb biztonsági óvintézkedésekkel rendelkeznek, mint más IoT eszközök. Ennek fényében az egyik kritikus kiberbiztonsági téma, amelyre 2023-ban figyelni kell, az IoT és a fokozott digitalizáció.

picture6.jpg

A vezeték nélküli kapcsolat új szintjét hozta el az 5G terjedése is, amely az IoT eszközök terjedésével párhuzamosan növelheti a támadási felületet és a támadások sebességét is. Mind az IoT, mind az 5G új architektúrának számít, így időbe telik az alkalmazkodás és a megfelelő biztonsági szint kialakítása. A korai alkalmazóknak óvatosaknak kell lenniük a csúcstechnológiák integrálásakor, sőt, bizonyos esetekben kifejezetten korlátozniuk kell az IoT-alapú eszközök használatát.

Cloud security

Egyre több vállalat és szervezet tér át a felhős rendszerek alkalmazására, bevezetésére. Elmondható, hogy a felhőbe költözés továbbra is növekvő szerepet kap a közeljövőben, annak minden előnyével és hátrányával együtt. E felhős platformok esetén továbbra is az jelenti a legnagyobb biztonsági kockázatot, hogy a legtöbb szolgáltató nem rendelkezik titkosítással vagy MFA hitelesítéssel, s a felelősséget a felhasználó szervezetekre hárítja, hogy az adatok megfelelő védelméről és biztonságáról saját maguk gondoskodjanak.

Mindazonáltal az elmúlt években történtek jelentős fejlesztések a kezdeti biztonsági kockázatok csökkentésére a felhőbiztonság területén is. Ilyen például a „Zero Trust” felhőalapú biztonsági architektúra. A zéró bizalom architektúra számos olyan problémát képes kezelni, amellyel az egyének és szervezetek manapság szembesülhetnek.

Az autóipari támadások növekedése

Az autók gyakran rendelkeznek automatizált szoftverekkel, amelyek megalapozzák az olyan funkciókat, mint a sebességtartó automatika, a motor időzítése, a légzsákok, az automatikus ajtózár és a jobb vezetői támogatási rendszerek.

Úgy gondoljuk, hogy 2023-ra a hackerek átvehetik az irányítást a járművek felett vagy a mikrofonon keresztül lehallgathatják a beszélgetéseket, rosszabb esetben pedig akár baleseteket is előidézhetnek.

Az adatszuverenitás fontosságának növekedése

Ahogy a világ egyre inkább függ az adatoktól és a digitális információktól, nő a felhasználok ellenőrzésének és védelmének, valamint a kritikus szolgáltatások folyamatos elérhetőségének vágyából eredő szabályozások és jogszabályok mennyisége is. Ennek eredményeként az adatok lokalizációjáról és az adatszuverenitásról szóló beszélgetések 2023-ban szintén felerősödnek.

Képzett emberi munkaerő hiánya és megtartása

Annak ellenére, hogy a kiberbiztonság - és úgy általában az IT - egy recesszióálló iparág lehet, valószínű, hogy a személyzet mérete és a tudásbeli minőség megcsappan a gazdasági visszaesés miatt. Egyelőre nem látjuk a kiberbiztonság alapvető költségvetésének csökkentését, de a „diszkrecionálisabb” területeken, például a képzési költségvetéseknél valószínűleg vissza kell venni azon költségekből, amit eddig a kollégák továbbképzésére fordítottak. Ez vonatkozik a vállalatoknál tartott biztonsági tudatosságra vonatkozó képzésekre és a kiberbiztonsági szakemberek kritikus eszközeinek megfelelő védelmét ismertető képzésekre egyaránt. Az iparág már most is a képzett munkaerő hiányával néz szembe, és valószínűleg azt látjuk majd, hogy a szakképzett munkaerőhiány súlyosbodik, ahogy eluralkodik a recesszió 2023-ban.

picture7.png

Összegzésül

Mindent egybevetve ezek lehetnek 2023 IT biztonsági trendjei és veszélyei, de be kell valljuk, hogy idén bizony nehezebb dolgunk volt, amikor megpróbáltunk összeszedni öt vagy maximum hét olyan pontot, amely érinti az IT változásait vagy az előző éves trendekben történő fejlődési és evolúciós jóslatokat. A legtöbb nemzetközi szakértő szervezet és a piacvezető IT biztonsági gyártók sok szempontból ugyanazokat a jóslatokat adják. Mindazonáltal mindenkinek van egy két saját ötlete is, amelyeket a 2022-es tapasztalatok alapján prognosztizál a közeljövőre. Ez alkalommal igyekeztünk a fentiekből azokra összpontosítani, amelyek a közös jóslatokat fogalmazzák meg, de lehet, hogy a megérnek majd egy külön cikket az egyes piaci szereplők 2023 IT veszélyeire vonatkozó önálló sejtései is.

Kiberbiztonsági projektek megközelítése az ITIL 4 Continual Improvement Model alapján

Tóth Tamás cikke

2022. november 10. - EURO ONE

GRC tanácsadóként az ITIL 4 Foundation vizsgámra való felkészülés során sokszor felmerült bennem, hogy a keretrendszer elemei és ajánlásai nagy mértékben – ha nem egészében – alkalmazhatóak a kiberbiztonságra is. Az egész keretrendszerből a Continual Improvement Model tetszett a legjobban és ezt találtam a leginspirálóbbnak, pedig nincs benne extra tartalom és újdonság, csupán jól fel van építve és logikusan tartalmazza azokat az összefüggéseket, amelyekről a mindennapokban hajlamosak vagyunk megfeledkezni.

grc-blogposzt.jpg

Ebben a cikkben a saját gondolataimat kívánom megosztani arról, hogy a kiberbiztonsági projektekben hogyan lehet és érdemes alkalmazni a Continual Improvement Model-t és annak milyen előnyei lehetnek. Elsőre úgy tűnhet, hogy sok triviális – józan ésszel is magyarázható – elem szerepel az írásomban, de a saját tapasztalatom az, hogy sokszor távolról, az alapoktól kell kezdeni, hogy a célok, a kontextus és az összefüggések biztosan érthetőek legyenek.

Security – service

A bevezetőben azt állítottam, hogy az ITIL 4 ajánlásai nagy mértékben alkalmazhatóak a kiberbiztonságra. Akár egy szervezet belső, a CISO által irányított security csapatáról, esetleg egy vállalatcsoportot kiszolgáló Cyber Defence Centerről, vagy a szervezet által megbízott külső tanácsadóról van szó. Az közös bennük, hogy a kiberbiztonsági tevékenységeikkel szolgáltatást nyújtanak az adott szervezet számára. Ezek pontos köre és az általuk előállított érték sokrétű és a szolgáltatástól függ, de végső soron az adatok bizalmasságának és sértetlenségének védelmét, az üzleti és támogató funkciók működőképességének és ellenállóképességének biztosítását, valamint a megfelelést említhetjük.

Continual Improvement Model

A continual improvement, vagyis a folyamatos fejlesztés nem újkeletű dolog, a minőségügyi és egyéb kapcsolódó szabványok visszatérő és központi eleme. A megközelítés ITIL 4-ben is több helyen visszaköszön: service valuce chain activity-ként, practice-ként és a jelenleg tárgyalt modellként egyaránt. A Continual Improvement Model a folyamatos fejlesztés iteratív megközelítését támogatja, a munkát menedzselhető darabokra osztja külön célokkal, amelyeket fokozatosan lehet elérni.

 picture2.jpg

 

A cikk gondolatmenetének vezetése érdekében egy egyszerű minta projekten keresztül szemléltetem a Continual Improvement Model egyes elemeit. A minta projekt célja egy szervezet incidenskezelési folyamatainak kidolgozása. (A megfelelő védelem kialakításához ez önmagában kevés, de a példának érthető okokból egyszerűnek kell lennie.)

What is the vision?

Első lépésként a víziót és a célokat kell meghatározni, amelyeket a projekt megvalósításával akarunk elérni. Ez biztosítja a kontextust minden későbbi döntéshez, és összekapcsolja az egyedi cselekvéseket a szervezet jövőképével.

A minta projektünk esetén a fő ösztönző a valódi kockázatok kezelése. A szervezet a globális fenyegetési jelentések (pl. Verizon Data Breach Investigation Report, ENISA Threat Landscape), illetve a kifinomult és súlyos támadások hírei alapján megállapította, hogy maga is bármikor áldozat lehet, ezért valamit tennie kell, hogy megfelelően tudjon reagálni a fenyegetésekre. Az a víziója, hogy fejleszti az incidenskezelési képességeit és előre felkészül a támadásokra, mert így sokkal jobb esélyekkel védekezhet egy anyagi veszteségeket és reputációvesztést okozó támadás ellen. Ezek alapján dokumentált biztonsági incidenskezelési folyamatok kialakítását és az incidenskezeléssel foglalkozó személyek kiképzését tűzi ki célul. A szervezet a célkitűzés során megállapította, hogy ez a cél nagyban támogatja az üzleti céljait is, hiszen ez növeli az ellenállóképességét és megvédheti a kritikus funkcióit.

Sok esetben a valós kockázatok kezelése mellett a megfelelési nyomás is hasonló ösztönző lehet, ami szintén támogatja a szervezet üzleti céljait és vízióját, mert enélkül gyakran nem is működhet egy olyan vállalat, amely erősen szabályozott környezetben folytatja a tevékenységét, vagy jövedelmező üzleti lehetőségektől esik el.

Where are we now?

Az incidenskezelési képességek kialakítása során az első lépés a jelenlegi, kiinduló (as is) állapot felmérése. Az ITIL 4 egy találó példát hoz ehhez a lépéshez: a javulás felfogható úgy, mint egy utazás A pontból B pontba és az utazást nem lehet feltérképezni, ha a kiindulási pont nem ismert.

A minta projektünkben – és sok hasonló esetben is – egy gap assessmenttel lehet meghatározni a kiinduló állapotot. A gap assessment – amelynek nem igazán van magyar kifejezése – célja a baseline-tól való eltérés(ek) megállapítása. Fontos, hogy ne csak a best practice-kre, hanem a kötelező elvárásokra is gondoljunk, amelyeket jogszabály vagy szerződés támaszthat. Az incidenskezelési képességnél maradva a baseline lehet az ISO 27001:2022 incidenskezelésre vonatkozó kontrolljainak felmérése, de alapul vehetjük a NIST Cybersecurity Framework (CSF) Respond biztonsági funkciójához tartozó kontrollokat is.

Ha jól csináltuk, akkor a scope-ba tartozó kiinduló helyzet felmérésének az outputjaként van egy részletes információkat tartalmazó dokumentumunk és egy összefoglalónk, amely pontosan megmutatja, hogy a szervezet hány darab kontrollnak felel meg teljesen, részlegesen vagy egyáltalán nem. Ha meg akarjuk könnyíteni a későbbi munkánkat, akkor a hiányosságokat – vagy eltéréseket – priorizáljuk.

Where do we want to be?

Az előző lépésben leírt ITIL 4-es hasonlatnál maradva az aktuális lépés az elérendő állapot (to be), az úticél, vagyis a B pont meghatározása, amely nélkül szintén nem tudjuk megtervezni az utazásunkat. Nagyon fontos, hogy a baseline kiválasztásával egy kicsit már az elérendő állapotot is meghatározzuk, hiszen az előző lépésben az ettől való eltérést vizsgáljuk, persze ez nem ilyen egyszerű.

A gap assessment által feltárt hiányosságok közül ebben a lépésben kell pontosan meghatározni a prioritást élvező feladatokat, intézkedéseket, amelyeket a projekt során el kell végezni, le kell szállítani. A minta projektünkben prioritásként feltárásra került, hogy a szervezetnek nincs egy egységes, széleskörben ismert incidens definíciója, az incidenskezeléssel kapcsolatos szerepkörök és felelősségek hiányosak, továbbá nincsenek scenario-specifikus incidenskezelési tervek (IRP) sem, például adathalászat, malware fertőzés, külső behatolás esetére, valamint a tapasztalatok (lessons learnt) nem kerülnek elemzésre és beépítésre.

A szervezet a magasszintű céljához kapcsolva, alacsonyabb szintű célként kitűzte a felsorolt, prioritásként azonosított hiányosságok megoldását és a felelős személyek képzését a megoldás részleteire vonatkozóan.

A szervezetek a projekt kritikus sikertényezőjeként, vagyis a kívánt eredmények eléréséhez szükséges előfeltételekként határozta meg az alábbiakat:

  • Kiberbiztonsági incidens definíciójának és kategóriáinak meghatározása
  • Kiberbiztonsági incidenskezeléssel kapcsolatos szerepkörök és felelősségek azonosítása, részletes kifejtése,
  • Kiberbiztonsági incidenskezelési tervek (3 db) adathalászat, malware fertőzés, külső behatolás esetére
  • Ellenőrzőlista a kiberbiztonsági incidenskezeléssel kapcsolatos tapasztalatok elemzésére és működésbe való beépítésére

Ha a szervezetnek megvan az érettsége és a szándéka, akkor a kritikus sikertényezők teljesülését KPI-val mérheti. A KPI mérőszám, amelyet a cél elérésének sikerének értékelésére vagy teljesítménymérésre használnak. Gyakorlati példákból kiindulva, rendkívül érdekes lenne, ha egy szervezetnek projekt eredménytermékek leszállítására vonatkozó mérőszáma lenne. Incidenskezeléssel kapcsolatban sokkal közelebb állna a valósághoz, ha az SLA-k betartására, vagy kiberbiztonsági incidensek detektálására (Mean Time To Detect – MTTD) és azokra történő reagálásra (Mean Time To Respond – MTTR) vonatkozó mérőszámot alakítanának ki. A KPI-k kialakítása során számos körülményt kell figyelembe venni és meghatározni, amelyek ismertetése nem célja a jelen cikknek.

Különös gondot kell fordítani a megfelelő célok és mérőszámok kialakítására, hiszen a projekt az előrehaladása és lezárása során ezek alapján lesz értékelve. Előfordulhat, hogy a szervezet nem elég érett ahhoz, hogy mérőszámokat alkalmazzon. Ebben az esetben fontosnak tartom az elérendő célok pontos meghatározását, amelyek elérését vagy elérésének kudarcát egyértelműen meg lehet állapítani.

How do we get there?

Ha megvan a kiinduló pontunk és az úticélunk, akkor meg kell terveznünk az utazást. A minta projekt csapat ebben a lépésben kell megtervezi a célok elérésével járó konkrét feladatokat, kijelölni a résztvevőket, a feladatok felelősét és a határidőket. A tervezés során alaposan kell eljárniuk: figyelembe kell venniük a kapacitásaikat, az előfeltételeket és a függőségeket is. Valószínűleg nem az incidenskezelési tervekkel fognak kezdeni, amíg nem határozzák meg az incidens definícióját és azoknak a feladatait, akik a kezelésükkel foglalkoznak majd.

Take action

Ha kész a terv, akkor nincs más hátra, el kell kezdeni a megvalósítást, a feladatok végrehajtását. Elképzelhető, hogy menet közben újra kell tervezni és projektje válogatja, hogy mekkora lépésekben lehet haladni. A minta projekt csapat tagjai átbeszélik a tervek részleteit és megkezdik a munkát.

Did we get there?

A feladatok végrehajtása során monitorozni kell az előrehaladást és értékelni kell a kitűzött célokhoz tartozó kritikus sikertényezők teljesülését, mérőszámok alakulását.

A minta projekt csapat rendszeresen státuszol és igyekszik dinamikusan kezelni a végrehajtás során felmerülő nehézségeket, akadályokat, amelyekből nincs hiány. A csapat végül elkészült a kritikus sikertényezőknél felsorolt dokumentumokkal és sikeresen átadták a tudást az incidenskezelésért felelős személyeknek, így lezárásra került a projekt.

How do we keep the momentum going?

Az ITIL 4 ajánlása alapján, ha sikerült megvalósítani a kitűzött célokat, akkor utána a sikerek marketingjére és a bevezetett új módszerek megerősítésére kell koncentrálni. Ezzel lehet biztosítani, hogy az elért haladás ne vesszen el, támogatást és lendületet adjon a következő fejlesztésekhez és a működés ne essen vissza a projekt előtti állapotba. A szervezeteket ebben a változásmenedzsment és tudásmenedzsment segíti.

A szervezet a minta projekt eredménytermékeit egy tudásbázisban hasznosította, ami minden érdekelt személynek rendelkezésre áll és az új incidenskezeléssel foglalkozó munkatársak is részesülnek a szükséges, korábban megtartott képzésekben.

Continual Improvement Plan és projektmenedzsment

A lépések bemutatása során igyekeztem sugallni, hogy a Continual Improvement Plan egyes lépéseit a projektmenedzsment módszertanok is tartalmazzák, az viszont elképzelhető, hogy más-más ciklusban.

A vízió meghatározása a projekt előtt történik. A szervezeten kívüli és belüli hatások eredményeként tulajdonképpen ebben a lépésben merülhet fel a projekt iránti igény. A vízió és a célok meghatározása a projektmenedzsment módszertanok (pl. Prince 2) szerint a business case-ben történik meg, amit természetesen költségre, megtérülésre vonatkozó részletekkel is ki kell egészíteni. Ez alapján ítélhető meg, hogy a projekt kívánatos, életképes és megvalósítható-e.

Ha a business case elfogadásra került, akkor indulhat a projekt előkészítése és tervezése. Ez más, mint az utazás megtervezése a 4. lépésben, hiszen itt a fejlesztési célok elérése érdekében végrehajtandó, fejlesztési feladatok tervezése történik (pl. kockázatkezelési terv), de addig el kell jutnia a szervezetnek. A projekttervben az összes lépés végrehajtásához szükséges erőforrásokat és ütemezést kell tervezni.

A klasszikus projektmenedzsment módszertan alkalmazása (projekttervezés, eredménytermékek meghatározása, projektindítás, státuszolás, változásmenedzsment stb.) elősegíti a Continual Improvement Plan megvalósítását, de nem valósítja meg szükségszerűen a modell előnyeit. Egy jól előkészített és gördülékenyen lebonyolított projekt is lehet kudarc egy éles helyzetben, ha az szakmailag nem megalapozott és az összefüggések nem lettek figyelembe véve: például üzletmenet-folytonossági terveket nem lehet üzleti hatáselemzés nélkül készíteni (hacsak már nem áll rendelkezésre a kritikus folyamatok és azokat támogató vagyonelemek listája, vagy éppen olyan kis méretű a szervezet, hogy anélkül is be lehet azonosítani a kritikus folyamatokat)

Konklúzió

A cikkben összefoglaltam az ITIL 4 Continual Improvement Model kiberbiztonsági projektekben való alkalmazhatóságát.

Összegzésként egy kérdést igyekszem megválaszolni: Mit adhat nekünk a Continual Improvement Model? Amennyiben röviden kellene válaszolnom, akkor azt mondanám, hogy szakmailag megalapozott projekteket, HA következetesen alkalmazzák.

Ha bővebben kellene válaszolni, akkor azt mondanám, hogy a modell egy strukturált fejlesztési megközelítést ad, amit univerzálisan, szinte bármilyen projektben alkalmazhatunk. Használhatjuk SIEM rendszer bevezetésére irányuló, komplex projekt során is, hiszen a fő lépések és a megközelítés változatlan. A modell következetes felhasználással az ad-hoc, gyakran a buzzword-ök által vezérelt célok helyett valós kockázatokat kezelő, koncepcionálisan megalapozott és jól előkészített projekteket eredményezhet, amelyek nagyobb valószínűséggel végződnek sikerrel.

NetWitness XDR 12: új platform az XDR-iparág jövőjéhez

2022. november 03. - EURO ONE

Meglehetősen sok szempontot kell figyelembe vennie annak, aki hosszú távra alkalmas, megbízható megoldást keres az XDR-iparágban. A szeptembert elérhető NetWitness XDR 12 Platform olyan összetett funkciókészletet kínál, amellyel már most is a leginkább jövőbiztos XDR-ütemtervet ígéri.

01-netwitness-xdr-12.jpg

Korát megelőző XDR megoldás

Az XDR, avagy az eXtended Detection and Response egy viszonylag új kifejezés az első osztályú security operations centerekben (SOC) szükséges eszközökre. Mivel az elmúlt évtizedekben mind az adatok, mind a támadások mennyisége jelentősen megnőtt, így részmegoldások ezrei jelentek meg a konkrét fenyegetések elleni védekezésre, beleértve a különböző víruskeresőket, behatolásmegelőző rendszereket, tűzfalakat és spamszűrőket. Ha abból indulunk ki, hogy minden olyan támadás, amelyet ezen eszközök valamelyike meghiúsít, már győzelem, akkor ezek kétség kívül hasznosak. Ennek ellenére az ilyen megoldások önmagukban már nem elegendőek a napjainkban tapasztalható kifinomult támadások hatékony kivédéséhez.

Mivel a NetWitness már a 2000-es évek elején előre látta ezt az állapotot, idejekorán elkezdte integrálni az örökölt hálózati (NDR), a log (LDR), majd később a végponti (EDR), illetve a tárgyak internetének (IoT) eszközeire vonatkozó észlelési és reagálási képességeket. Miközben az elmúlt évtizedekben - a gyártók számának növekedésével párhuzamosan -, robbanásszerűen elszaporodtak az olyan megközelítési módok, amelyek ezek egyikét vagy másikát hirdették, addig a NetWitness végig arra összpontosított, hogy mindezt egyetlen biztonsági elemző platformba integrálja.

E megközelítés kulcsa, hogy egy közös elemzőmotor működjön az egységes adatmodell ellenében. Mialatt a nagy teljesítményű NetWitness XDR elemzőmotorba sokfajta adattípus - hálózati csomagok, rendszer- és alkalmazásnaplók, végponti tevékenység és IoT-kimenetek - bekerül, az adatokat metaadatokkal gazdagítja és egységes adathalmazzá normalizálja, az automatikus elemzéshez és korrelációhoz. A NetWitness XDR 12 Platform emellett teljes körű SOAR (security orchestration, automation, and response), TIP (threat intelligence platform) és UEBA (user and entity behavior analytics), valamint új eszközelemzési és priorizálási képességeket kínál, amelyek kvázi erőnövelőként szolgálnak a megfelelő számú képzett munkatársat felvenni és megtartani igyekvő SOC-ok számára.

Ez a radikális láthatóság nagyon megnehezíti a támadók számára a rejtőzködést. Az adathalmazok finom jelzései, amelyeket anno zajként értelmezve figyelmen kívül hagytak volna, hirtelen a security analyst-ek és a threat hunterek szeme elé kerülnek. Ahogy a szlogen is mondja: See Everything. Fear Nothing.

Mit ígér az XDR? 

Az XDR ígérete pontosan az, amit a fentiekben már említettünk: egyszerűsíteni a folyamatok spektrumát - adminisztratív és működési szempontból is - olyan mértékben, hogy egy biztonságtudatos szervezet saját maga vagy egy szolgáltató segítségével hatékonyan védekezhessen a kiberfenyegetések ellen, s közben képes legyen visszaszorítani az ilyen támadások által okozott kockázatokat.

Bár a hangsúly ezúttal az XDR-en van, de nem ez az egyetlen, amit a NetWitness XDR 12 Platform szállít. Jelentős fejlesztés lévén a NetWitness XDR 12 Platform több száz izgalmas és praktikus újítást tartalmaz a termék teljes rendszerében, például:

  • Az új fenyegetés-felderítési tartalomrendszer újratervezett munkafolyamataival és a központosított kezelhetőséggel megkönnyíti a tartalom telepítését és kezelését a platformon és annak összetevőin belül.
  • Az alapértelmezett és automatikusan frissülő "tartalomcsomagok" az egyedi érzékelési tartalmakat logikai egységekbe tömörítik az egyes felhasználási esetek, iparágak, földrajzi területek, fenyegetés típusok stb. szerint. Ez a megközelítés egyszerű és gyors módszer az egyes fenyegetési kategóriák elemzésére és azok kivédésére.
  • A fenyegetések gyorsabb és könnyebb felderítését szolgáló vizsgálati fejlesztések, amelyek lehetővé teszik a lekérdezések szabályonkénti és dashboardonként történő mentésének lehetőségét is.
  • Az iparági szabványok és keretrendszerek, köztük a MITRE ATT&CK teljes körű támogatása.
  • Új és továbbfejlesztett mérések és riportok, beleértve a támadások észlelésének (MTTD), felismerésének (MTTA), illetve megválaszolásának (MTTR) átlagos idejét is.
  • A felhasználói élményt érintő számos, az ügyfelek által megszavazott fejlesztés, beleértve az egyszerűsített időtartomány kiválasztását, a továbbfejlesztett végpontkezelést és az automatizált telepítést.
  • Bővített és kiterjesztett támogatás a technológiák és szabványok számára, beleértve a SaaS-szolgáltatásokat, a Secure Access Service Edge (SASE) és a Cloud Access Security Broker (CASB) gyártókat, valamint az ARM processzorokat és a Windows Server 2022-t a végpontokon.

Összegzésül

A NetWitness XDR 12 Platform megjelenésével az IT Security csapatok végre valóban kihasználhatják az XDR által ígért előnyöket. Az évekig tartó innováció, integráció és iteráció eredményeként egy rendkívül sokoldalú XDR platform jött létre, amely mostantól bárki számára elérhető.

Már javában dolgoznak az XDR témák következő hullámán, így a NetWitness Vision XDR-en is, amely egy tisztán SaaS alapú megoldás és követi azt a már megkezdett intelligens fejlesztési irányt, amely a NetWitness-t a kezdetek óta jellemzi.

További információért vagy demó időpont egyeztetésért forduljon hozzánk: infosec@euroone.hu

Biztonsági tudatosítás fontossága

Tóth Tamás cikke

2022. október 25. - EURO ONE

A kiberbiztonsági szakemberek közül mindenki egyetért azzal, hogy a biztonsági tudatosítás kulcsfontosságú és elengedhetetlen védelmi intézkedés, aminek minden CISO security programjában szerepelnie kell.

Az egyszerű és a kifinomult támadások kezdeti lépései egyaránt megcélozzák a gyanútlan felhasználókat, akiknek a tudatosságán múlhat a támadó sikere. Ilyen kezdeti lépés lehet egy adathalász levél összeállítása és kiküldése, amivel belépési adatokat - és egyúttal hozzáférést is - lehet szerezni. Ezt alátámasztják a különböző keretrendszerek, modellek, amelyek a támadások fő lépéseit és technikáit írják le (pl. MITRE ATT&CK®: Initial Access Technique és Phishing Sub-technique). Erről a témakörről előző cikkünkben is olvashat.

biztonsagi-tudatositas-fontossaga-blogposzt.jpg

Örökérvényű igazság - és lassan közhely is -, hogy az ember a leggyengébb láncszem. A szervezet számtalan technológiai kontrollt alkalmazhat, pl. klasszikus vírusirtókat és EDR-t, hálózati szegmentációt, erős jelszókövetelményeket és többfaktoros hitelesítést, SIEM-et, de a támadó könnyen átjuthat a nem tudatos felhasználók és utána kizárólag a többi kontrollon múlik, hogy megállítják-e vagy észlelik-e a támadó rosszindulatú tevékenységét és a szervezet megfelelő módon el tudja-e hárítani a támadást. Emiatt a megfelelő biztonságtudatossági programok rendkívül hatékonyak lehetnek, továbbá ezek költsége jelentősen alacsonyabb a többi technológiai kontrollhoz képest.

Tudatosító program és annak elemei

A szervezetnek első körben ki kell dolgoznia a tudatosító programját, ami nem egyenlő egyetlen tudatosító oktatással. Ha a Prince 2 projektmenedzsment módszertan definíciójából indulunk ki, akkor a program több összehangolt projektből áll, hogy különböző előnyöket érjenek el, amelyeket különálló irányítással nem lehet elérni. Ez alapján tudatosító programnak magában kellene foglalnia a tudatosító oktatásokat, ezek eredményességét valós szituációban felmérő kampányokat, ezek ütemezését, a területtel kapcsolatos célkitűzéseket, mérőszámokat, felelősségeket és költségvetést.

A tudatosító oktatásokat új kollégák belépésekor, illetve évente a meglévő alkalmazottak esetében ajánlott megtartani. Ha a szervezetnél jellemző, akkor az oktatásokból nem érdemes kihagyni azokat a beszállítókat, alvállalkozókat, akiknek hozzáférése van a vállalati rendszerekhez.

Az oktatások jellemzően prezentáció vagy e-learning útján valósulnak meg. Mindenképp érdemes kitérni a felhasználókat célzó fenyegetésekre (pl. rosszindulatú e-mail csatolmányok, adathalászat, social engineering), azok ismérveire és következményeire, a követendő magatartásra, valamint a kapcsolódó szervezeti szabályozásra és sajátosságokra. Fontosnak tartom, hogy az oktatásnak érdekesnek, figyelemfelkeltőnek kell lennie, hogy ne simuljon bele - az egyébként fontos és elengedhetetlen - munka- és tűzvédelmi oktatások szürkeségébe, mert ez buktató lehet. Ezt egyrészt úgy lehet elérni, ha az oktató érdekes, valós példákkal szemlélteti az egyes fenyegetéseket, amelyeket a közönség a magánéletben is hasznosítani tud. A 100%-os részvételt nehéz elérni, de megfelelő vezetőségi elkötelezettséggel nem lehetetlen megközelíteni a 90% körüli értéket, amit már jónak mondhatunk.

Az oktatásokat követően kötelezően teljesítendő kvízekkel vagy vizsgákkal mérjük vissza a tudatosító oktatásokon történő tudásátadást. Sikertelen eredmény vagy egy biztonsági incidens okozása esetén ajánlott kötelezővé tenni az oktatás és vizsga ismételt elvégzését.

Az oktatások után a következő érettségi szint a különböző biztonságtudatossági kampányok szervezése és lebonyolítása. Az ilyen kampányokat természetesen a legnagyobb titokban kell szervezni, ellenkező esetben nem fogja elérni a kívánt hatást, mivel a felhasználók figyelmeztetni fogják egymást (ez persze egy támadási kísérletnél is lehet így). A kampányokhoz jellemzően szükséges kifejezetten erre a célra fejlesztett platformot alkalmazni, amely például teszi az adathalászat szimulációját. Meg lehet vizsgálni, hogy mennyien kattintanak rá egy kiküldött gyanús linkre, vagy éppen mennyien adják meg a jelszavukat egy meghamisított bejelentkező oldalon, vagy éppen mennyien nyitják meg a gyanús e-mail csatolmányt. Másik népszerű kampány tematika a pendrive-ok szétszórása a szervezet környékén (pl. parkolóban), mivel a külső adathordozók útján is terjednek a rosszindulatú programok. Ilyen kampányok során szintén szükséges az ezt támogató megoldás, amellyel ki lehet deríteni, hogy ki csatlakoztatta a vállalati számítógépéhez az ismeretlen adathordozót. Egy ezzel foglalkozó szervezet szerint az emberek 45%-a megteszi. Vannak olyan megoldások, amelyek az Active Directory jelszavak erősségét képes tesztelni és ki tudja szűrni a gyenge, duplikált és soha le nem járó jelszavakat.

A következő érettségi szint lépést a tudatosítás játékossá tételével, vagyis a gamification-nel lehet elérni. A játékos út egyre elterjedtebb és hatékonyabb. Ezt meg lehet valósítani applikációkkal és interaktív oktatásokkal (pl. biztonságtudatossággal kapcsolatos online szabadulószoba), de nemrégiben ilyen témájú társasjáték is ki lett fejlesztve. Jómagam az utóbbi időben részt vettem egy gamification-alapú tudatosító oktatáson és sokkal emészthetőbb, barátságosabb volt, mint egy száraz, elméleti előadás. Nem véletlen, hogy egyre inkább népszerűbb ez a tudatosítási mód és több kutatás is foglalkozik vele.

Szintén növeli a szervezet érettségi szintjét, ha mérik a tudatosítást és természetesen ez alapján optimalizálják a végrehajtást. A tudatosítás fontossága alapján a részvételi és vizsga sikerességi/sikertelenségi mutatók fontos mérőszámok (KPI/KRI) lehetnek, amelyek mérése nem bonyolult.

A tudatosításért jellemzően a CISO a felelős, de a végrehajtásban gyakran közreműködik a szervezet HR részlege is.

Konklúzió

Ebben a cikkben igyekeztem rávilágítani a biztonságtudatosság kialakításának fontosságára és lehetséges módszereire. Azoknak a szervezeteknek, amelyek még nem foglalkoztak a területtel, azt javaslom, hogy minél hamarabb dolgozzák ki a saját tudatosító programjukat és hajtsák végre. Azok a szervezetek, akik már foglalkoznak a tudatosítással, azt javaslom, hogy a lehetőségeikhez képest tartsanak kampányokat és alkalmazzanak gamification elemeket is, hogy minél hatékonyabban tudjanak védekezni az emberi tényező ellen.

Biztonsági tudatosító programmal kapcsolatban keressenek minket: infosec@euroone.hu

Nem minden a technika: így működnek valójában a hacker szervezetek

2022. október 13. - EURO ONE

Ha IT-biztonságról, a kiberbűnözés megelőzéséről vagy bármely olyan védelmi intézkedésről esik szó, amelyet a cégek hackertámadások elleni védelem érdekében alkalmaznak, az emberek általában tűzfalakra, SIEM, SOAR és XDR platformokra, esetleg teljeskörű high-tech biztonsági műveleti központokra gondolnak. Alig pár embernek jut eszébe, hogy ezen fenyegetéseknek akadhatnak nem technológiai elemei, valamint az tény, hogy a legtöbb támadás vállalaton belülről érkezik, ami már önmagában is hatalmas fenyegetést jelent. Valójában a hackertámadások mindössze harminc százalékát hajtják végre technikai úton, a fennmaradó hetven százalék bizony az emberi tényezőt kihasználva zajlik. Éppen ezért arra gondoltunk, tisztázzuk végre, miként működik valójában a szervezett kiberbűnözés, s mit tehetünk annak érdekében, hogy felkészültebbek legyünk a hackerek támadási kísérleteinek elhárítására.

nem-minden-a-technika.jpg

Ismerjük meg a bűnöző hackerek arcait

Az egyik legnagyobb - részben a hollywoodi, javarészt egy kaptafára épülő filmes tálalásnak köszönhető - tévhit a bűnözői hackerszervezetekkel kapcsolatban az, hogy egy maroknyi titokzatos, csuklyás remetéből állnak, akik félhomályos szobákban élnek, villámgyorsan gépelnek, és általában gyenge szociális készségekkel dicsekedhetnek. A mozivásznon széles körben elterjedt hacker képpel ellentétben a kiberbűnözők nagyon is úgy dolgoznak - és úgy is néznek ki -, mint a hagyományos céges alkalmazottak. S ami a legszebb az egészben: a kiberbűnözői szervezetek ugyanúgy működnek és irányítják a személyzetüket, mint a hétköznapi vállalatok. Ismert tény például, hogy az egyik legnagyobb németországi bűnözői hackerszervezet több mint harminc céget hozott létre, amelyek mindegyike hús-vér munkavállalókat foglalkoztat, igaz, mindannyian hamis személyi igazolványokkal, hamis útlevelekkel és hamis címekkel kerültek bejelentésre. Ennek ellenére a külvilág számára ezek a cégek egy professzionális vállalkozás benyomását keltik, profi alkalmazottakkal. Lássunk néhány példát arra, hogyan dolgoznak e kiberbűnözői szervezetek és hackerek.

Blackheads: az igazi belső fenyegetés

A bűnözői hackertámadások talán leggyakoribb és legkifinomultabb típusát az úgynevezett blackheads-ek hajtják végre, amelyek tevékenysége erősen emlékeztet a trójai faló történetére. Ezek a különleges hackerek általában hatalmas tudással rendelkeznek bizonyos informatikai területeken, különösen a hálózati technológiában. Őket a bűnszervezetek hamis személyi igazolványok, hamis útlevelek, hamis lakcímigazolások és tökéletesre faragott önéletrajzok segítségével juttatják be a vállalatokhoz. Alapos háttérellenőrzés nélkül tökéletes jelöltnek tűnnek bármely vállalat számára, így általában gyorsan felveszik őket, majd rövid időn belül adminisztrátori jogokat és teljes hozzáférést kapnak mindenhez. Azonban a károk, amelyeket ezek a kiberbűnözők okozhatnak, szörnyű következményekkel járnak. A legutóbbi, szászországi blackhheads támadás során például két beépített hackernek egy hét alatt sikerült egy egész szervezetet leállítania, hosszú távú anyagi károkat okozva ezzel a vállalatnak és kétezer alkalmazottjának.

Aki úgy véli, ilyen támadások ritkán esnek meg, gondolja újra a dolgot: csak Németországban jelenleg több mint 6000 ilyen eset van bírósági szakaszban. Ennek ellenére ritkán derül fény arra, hogy a támadásokat egy kiberbűnözéssel foglalkozó szervezet által a vállalatba telepített hackerek hajtották végre.

Mit lehet tenni? A felvételi folyamat során az egyik legfontosabb lépés az alapos háttérellenőrzés elvégzése, különösen, ha olyan alkalmazottról van szó, aki korlátlan hozzáférést kap a vállalat teljes IT-infrastruktúrájához. Mivel azonban ez speciális készségekkel rendelkező erőforrásokat igényelhet, a legjobb, ha ezt egy átvilágításra szakosodott cégre bízzuk.

Egykori alkalmazott támadása

A belső fenyegetés egy másik típusa akkor fordul elő, amikor egy bosszúvágyó alkalmazott távozik a cégtől. Ennek több oka is lehet, de sokszor - gyakrabban, mint gondolnánk - a vezetőség hibájából történik. Ezzel kapcsolatban akad egy elég közismert mondás is, amely így szól: "a jó alkalmazottak nem a vállalatokat hagyják el, hanem a vezetőket".

De mi van akkor, ha a távozás olyannyira borús hangulatban zajlik, hogy a továbbálló munkavállaló bosszúra szomjazva akar visszavágni korábbi sérelmeiért a volt munkaadójának? A dark weben több mint ötven olyan csoport létezik, amelyeknél a volt alkalmazottak rejtett, bizalmas információkat szolgáltathatnak ki egy vállalatról, amelyeket aztán felhasználhatnak zsarolóprogramok, rosszindulatú programok vagy más típusú kibertámadások indítására. Ebben az esetben, bár a támadás nem a vállalat területén történik, a fenyegetés belülről ered.

Társadalmi tervezés és a megfelelő IT-biztonsági oktatás fontossága

A hackertámadások egy másik, rendkívül hatékony típusa a social engineering, amely kifejezés a rosszindulatú tevékenységek széles skáláját takarja. Ezeket emberek manipulálásával váltják valóra, akik emiatt biztonsági hibákat követnek el. Egy ismert, manapság sajnos meglehetősen elterjedt módszer, hogy olyan embereket keresnek munkaajánlatokkal, akik anyagilag nehéz helyzetben vannak - ez sajnos akkor is elképzelhető, ha valaki egy vállalatnál dolgozik -, majd beszervezik őket bizonyos termékek eladására, extra jövedelemszerzés reményében. Ha elvállalják, amire már cikkünk írásakor is több mint 2 millió élő példa van, valóban megbízást kapnak, méghozzá havi 200, 300 vagy akár 500 eurós fizetéssel. Egy idő után, amikor a bizalom már kiépült, az "alkalmazottak" kapnak egy pendrájvot, amelyet egy adott pillanatban - épp, amikor a munkahelyükön vannak - kell a számítógéphez csatlakoztatniuk, hogy elvégezzenek egy képzést, amellyel extra pénz ütheti a markukat. Ők pedig, nem sejtve, hogy valójában egy összehangolt kibertámadás résztvevői, követik az utasításokat, tudtukon kívül segítve a hackereknek bejutni a rendszerbe. Az utóbbi idők egyik ilyen esetekor ugyanannak a vállalatnak 11 alkalmazottja, akiknek fogalmuk sem volt arról, hogy mit tesznek éppen, 7 másodperc alatt leállította a cég központját, amivel 1800 embert tettek munkaképtelenné.

A fenyegetés - annak ellenére, hogy az alkalmazottak részéről nem volt rosszindulatú szándék - ezúttal is belülről érkezett. Egyszerűen bedőltek egy trükknek, mivel nem kaptak megfelelő oktatást a kibertámadásokról.

Egy hacker karrierje

Fentebb már megállapítottuk, hogy a bűnöző hackerek nem közönséges utcai rablók. Ők többnyire szuperintelligens, magasan képzett, nagy tapasztalattal rendelkező informatikai szakemberek. Hogyan jutnak ilyen szakértelemhez és jártassághoz? A válasz egyszerűbb, mint gondolnánk: egyetemre járnak. Ami azt illeti, a világ legjobb informatikai, programozási és szoftverfejlesztési egyetemein végzett abszolvensek húsz százaléka nem azért fejezi be tanulmányait, hogy vállalatoknál dolgozzon, hanem hogy a szervezett kiberbűnözés felé vegyék az útjukat. Miért? Mert egy átlagos informatikus körülbelül 4000 eurót keres havonta, míg egy bűnöző hackerszervezet, egy tehetséges fiatal hackernek könnyedén kifizet évi 2-3 millió eurót. Lássuk be, ez a különbség igencsak megdöbbentő!

Támadásonként körülbelül 20-25 millió eurós kár keletkezik, ami ellen úgy is lehetne védekezni, hogy az informatikusok fizetését akár többszörösére emelik és így kevesebb végzős informatikust vonzana a kiberbűnözés. Ezzel a vállalatok is több millió eurót takaríthatnának meg. Vagyis számolni kell azzal, hogy mindig lesznek jól fizetett bűnöző hackerek, akikkel a vállalatoknak fel kell venniük a harcot, és az ilyen fenyegetést legtöbbször nem lehet csak pusztán technológiával elhárítani.

Következtetés

A fő probléma tehát az, hogy a technológia önmagában nem jelent megoldást a fenti kihívásokra. A mai napig a vállalatok túlnyomó többsége csak azért fektet be SOC-okba, tűzfalakba és egyéb biztonsági technológiákba, hogy megvédje magát a kibertámadásoktól. Azt azonban nagyon kevesen ismerik fel, hogy a legtöbb támadás nem csak a technológián alapul. Bármennyire is bonyolultak és kifinomultak a bűnszervezetek, mindig a legegyszerűbb utat választják arra, hogy betörjenek egy vállalati rendszerbe. Ez az út pedig általában a munkavállalókon keresztül vezet.

A vállalkozásoknak fel kell ismerniük, hogy legalább akkora hangsúlyt szükséges fektetniük a vezetésre és az alkalmazottakra, mint az informatikai részlegre. Ha a vezetőség csak az informatikai személyzetbe és technológiába fektet be - a fenyegetésre való felkészültség reményében - akkor csak a kiberbiztonsági problémák harminc százalékát oldja meg. Bármilyen hatékony is a tűzfal és a felhőplatform biztonsága, a fennmaradó és elsöprő hetven százalék mindig megtalálja a módját, hogy kárt okozzon. A támadás pedig leginkább belülről érkezik, s ilyenkor nem számít, hogy profi beépített hackerek, pénzügyileg instabil alkalmazottak vagy bosszúszomjas öregdiákok okozták-e a bajt. Az ügyész mindig a vezérigazgatóért jön, nem az informatikai részlegért.

Éppen ezért mindenkinek az az érdeke, hogy egy vállalat teljes mértékben tisztában legyen azzal, miként védekezhet a bűnözői hackertámadások minden formája ellen: legyen szó az újonnan érkezők alapos háttérellenőrzéséről, a személyzet informatikai biztonsággal kapcsolatos oktatásáról, vagy akár az anyagilag nehéz helyzetben lévő alkalmazottak megsegítéséről.

Ebben a cikkben a biztonsági tudatosítás fontosságáról van szó, olvasd el hogyan tudod használni a szervezetednél.

 



Ez a cikk Robert Ehlert és Morgan Alexander (Quantum Cyber Lab AG) előadásán alapszik. Ezen az oldalon visszanézheti előadásukat : socssummit.com

A közelgő gazdasági válság hatása az IT szektorra

2022. szeptember 15. - EURO ONE

A számítástechnika mára az életünk szerves részévé vált – túlzás nélkül mondhatjuk, hogy társadalmunk egyik alappillére. És mégis, a közelgő gazdasági válság hatásai még ezt a stabil ágazatot sem fogják elkerülni. A koronavírus-járvány okozta problémák az ukrajnai háború kitörésével csak tovább fokozódtak, máris az évtized második globális válsághelyzetét idézve elő. A chip- és munkaerőhiány, az egekbe szökő energiaárak és az egyre látványosabban jelentkező klímaváltozás mind-mind átalakulásra késztetik a gazdaságot.

A növekvő bizonytalanság számtalan kihívás elé állítja az IT szektort is, ugyanakkor kellő helyzetértékeléssel lehetőségeket is hordoz magában. A továbbiakban azt járjuk körbe, hogy mik ezek a kihívások és milyen globális trendeket látunk ezek áthidalására.

kozelgo-gazdasagi-valsag-blogposzt.jpg

Először is lássuk a tényeket!

Egy a Bloomberg Markets által 2022 március-áprilisában készített felmérés szerint a befektetők majdnem fele arra számít, hogy az USA-ban már jövőre recesszió várható. További 21%-uk szerint ez majd csak 2024-ben jön el, 15% viszont már erre az évre visszaesést vizionál. Közben olyan cégóriások, mint a Facebook, a Google vagy a Netflix a legrosszabb forgatókönyvre készülve máris elbocsátással és létszámstoppal igyekeznek mérsékelni a kiadásaikat. Bár a részletekről megoszlanak a vélemények, egyben minden előrejelzés egyetért: a következő nagy gazdasági válság küszöbén állunk.

Nem is kell azonban Amerikáig mennünk, hogy a bőrünkön érezzük a közelgő visszaesést. Elég, ha itthon körbe nézünk: évtizedek óta nem látott méretű inflációval és energiaár-növekedéssel nézünk szembe, miközben a nyári aszályok és a forróság hazánkban is testközelbe hozták a klímaváltozást, melyre nem tekinthetünk többé absztrakcióként.

Milyen nehézségek várnak az informatika szektorra?

A legutóbbi gazdasági válság óta eltelt bő évtized nagyon kedvezően hatott a technológiai szektorra. Újabb és újabb startupok nőttek ki a földből, világcégek kapkodtak a fejlesztők után, a befektetők pedig öntötték a pénzt az innovációba. Nagyon úgy tűnik, hogy ennek a bőséges időszaknak a végére értünk.

Létszámstop és külsős foglalkoztatás

A 2022-es évvel mindenki biztonsági üzemmódba kapcsolt. A befektetők éppúgy, mint a létszámstoppal és elbocsátásokkal védekező vállalatok. Senki ne gondolja azonban, hogy mától kezdve ne lenne szükség számítástechnikai szakemberekre. A kereslet továbbra is megmarad, legfeljebb a kerete változik meg.

A költségcsökkentés és a hatékonyságnövelés nevében a kiterjedt belsős IT csapatok helyett egyre több cég állhat át kiszervezett, külsős foglalkoztatásra. Alvállalkozóval, projekt alapon dolgozni nemcsak rugalmasabb, de sok esetben olcsóbb is lehet, főleg, ha távmunkában olyan piacok szakembereit is elérik, mint Közép-Kelet-Európa. Innen nézve a válság máris lehetőséggel kecsegtet a hazai IT szakemberek számára.

Átalakuló üzleti stratégia

A válságra való felkészülés megváltoztatja az üzleti prioritásokat, melyek újrarendezése a rövidtávú taktikai célokra éppúgy hatással lesznek, mint a hosszútávú strukturális lépésekre. A cégeknek rövidtávon egy sor praktikus döntést kell hozniuk az iroda méretétől kezdve a szoftver- és hardverszükségletekig. Ha a COVID-karantént követően nem álltak át hibrid vagy távmunkára, a növekvő rezsiköltségek nagy valószínűséggel erre késztetik majd őket. Ugyanez vonatkozik a békeidőben kevésbé szigorúan vett technológiai eszköz-használatra. A költségeket csökkentendő itt az ideje újragondolni, hogy minden alkalmazásra és szolgáltatásra szükség van-e, vagy fenntartható-e a működést kevesebből is.

Mielőtt azonban minden előfizetést lemondunk és minden adattároló eszköz a szemétben végzi, érdemes a hosszabb távú célokra is gondolni. A fontossági sorrend átrendezése lehetőséget teremt olyan előremutató, digitális megoldások bevezetésére vagy kibővítésére, amelyekre eddig nem került sor. Ha sikerül a technológiai kérdéseket központi stratégia részévé tenni, az a válságot követően is jövedelmező lesz, hiszen a digitalizáció nem áll meg, sőt. Az IT-feladatok prioritása csak még tovább nő majd. Itt az alkalom, hogy az üzleti és az informatikai vezetők egy asztalhoz üljenek és a szavuk egyenlő nyomatékot kapjon.

Kiberbiztonsági fenyegetések

A számítástechnikai szektorról szólva nem maradhat ki a kiberbiztonság kérdése sem, ami nem csak az átalakuló üzleti modell és a külsős foglalkoztatás miatt kerül még inkább előtérbe. A bizonytalan idők kétségtelenül kedveznek a kiberbűnözőknek, akik előszeretettel használják ki az emberek aggodalmát és félelmét, legyen szó a koronavírus-járványról vagy az ukrajnai háború okozta fenyegetettségről.

Alig kezdődött el a járvány, máris adathalász (phishing) e-mailek százai jártak körbe gyógymódot, oltást és orvosi útmutatást ajánlva. A kínált megoldások helyett persze csak a felhasználók adatait szerezték meg vagy fertőzték meg az eszközeiket. Hasonló a helyzet az olyan kripto-adományozási csalások esetében is, amelyek az emberek segítő szándékát kihasználva a Vöröskeresztnek vagy az UNICEF-nek adják ki magukat. Az ehhez hasonló kibertámadások ellen máris számos cég tart tudatossági tréningeket, hogy felkészítsék alkalmazottjaikat a lehetséges csalásokra. Ezek naprakészen tartása mindig hasznos, most azonban kritikus lehet.

Elemi elvárás egy vállalattól, hogy legyen egy kész forgatókönyve arra az esetre, ha bekövetkezik egy zsarolóvírus támadás. Ne akkor kelljen kitalálni, hogy kinek mi a feladata, ráadásul ez a feladat egyben revelációs jellegű is: ennek kapcsán ébredhet rá a menedzsment a kockázat valódi mértékére. Az adatvédelem növelésének alapvető módja a többlépcsős hitelesítés kialakítása (MFA = multi-factor authentication).

Azok számára pedig, akiknek a többlépcsős hitelesítés már rég a rutinjuk része, a következő lépcsőfok az úgynevezett „nulla bizalom” (zero trust) megközelítés. Az alapvető elv, hogy „soha ne bízz, mindig ellenőrizz (azaz, „never trust, always verify”). Ennek értelmében alkalmazotti hierarchiától függetlenül senki sem jogosult engedményekre vagy kiskapukra, ha rendszerekhez való hozzáférésről van szó. A hitelesítési záradék mindenkire egyaránt vonatkozik. Persze ennek bevezetése is inkább egy folyamat, egy törekvés és egyben egy kiváló módszer arra, hogy a cégek csökkentsék támadási felületüket. Hogy ezt a folyamatot hol érdemes elkezdeni, azt mutatja meg egy szakszerűen kivitelezett kockázatértékelő felmérés.

Technológiai trendek, amelyek a segíthetnek túljutni a válságon

Ahogy korábban is említettük, a válsághelyzet nemcsak kihívás elé állítja az IT-szektort, de lehetőséget is teremt az innovációra. A teljesség igénye nélkül összegyűjtöttünk néhány olyan technológiai trendet, amely a válság utáni sikerre készítheti fel a vállalatokat, hosszútávon jövedelmezővé téve őket.

Befektetés a zöld technológiába

Napjainkban nemcsak egy gazdasági válság küszöbén állunk, de egy új kor kapujában is. Ha hihetünk a trendkutatóknak, az éghajlatváltozás elleni küzdelem hamarosan elhozza az úgynevezett „zöld korszakot” (Green Age), amely átfogó társadalmi és technikai változásokkal jár majd.

Azok a cégek, amelyek sikeresen átállnak zöld energiára és az erőforrásokat a leghatékonyabban fel tudják használni, ma még elképzelhetetlen versenyelőnyhöz juthatnak. Hogy milyen technológiákról van itt szó? Többek között a fenntartható energiatermelésről és -tárolásról vagy például a hatékony áramelosztásról. Ha valamikor megérte merész döntéseket hozni a zöld befektetések terén, annak most jött el az ideje.

Nem eléggé köztudott, hogy az informatika lassan az egyik legnagyobb fogyasztóvá is vált. A jövőben szintén versenyelőny lesz egy energiahatékonyságra optimalizált vállalati alkalmazás vagy éppen a jól megválasztott és méretezett infrastruktúra.

Bekapcsolódás a hiperkonnektivitásba

Mára a nyugati világ a digitalizáció olyan szintjén áll, ahol minden résztvevő számtalan módon össze van kapcsolva, ez a kapcsolat pedig életünk valamennyi területét átszővi. Az IT-szektorban ez olyan információs rendszerek, adatok és eszközök közti digitális környezetet és interakciókat jelent, amelyeket az internet köt össze. Ez teszi lehetővé a cégek számára a valós idejű adatelérést és ezáltal azonnali döntéshozást, ami napjaink egyik legértékesebb erőforrása.

Ha a sávszélesség és a csatlakozási sebesség a mai tempóban növekszik, akkor 5-8 éven belül eljuthatunk a 6G-ig és a másodpercenkénti 1TB-ot meghaladó adatátviteli sebességig. Ez pedig új típusú technológiai és felhasználói integrációkat, illetve újfajta kommunikációs módokat hív majd életre.

Szoftverfejlesztés mesterfokon

Már régen nem csak a szoftvercégek számára elengedhetetlen a szoftverfejlesztés. A korábban említett okos eszközök elterjedésével legtöbb használati eszközünk hátterében valamilyen szoftver fut a telefonjainktól az autóinkon át az egészségügyi és sporteszközeinkig. Az a gyártó pedig, aki ezeket az eszközöket minél kevesebb külső szereplő bevonásával képes kifejleszteni, nyer. Gondoljunk csak a Teslára, amely az autóiparban úttörőként a szoftver köré építette a karosszériát, nem pedig fordítva – voltaképpen kerekeken guruló számítógépekké alakítva az autót. A szoftverre alapozó termékfejlesztés a jövőben csak még kiemeltebbé válik.

Új munkakapcsolat ember és gép között

A mesterséges intelligencia-alapú algoritmusoknak köszönhetően egyre több repetitív rutinfeladat kerül gépekhez, ami lehetővé teszi az emberek számára, hogy az összetettebb, értékesebb feladatokra koncentrálhassanak. Ez nem újdonság, az viszont igen, hogy az ember egyre több részfeladatban támaszkodik majd az algoritmusokra, hibrid munkafolyamatokat hozva létre. Jó példa erre a chatbotok által vezérelt vevőszolgálati tevékenység vagy az, amikor az üzenetküldő alkalmazások automatikus válaszokat javasolnak a korábbi beszélgetés alapján. Bár az emberi felügyelet teljes egészében talán sosem fog kiveszni az ilyen jellegű feladatokból, egyre több és egyre összetettebb technológiai segítséget kapunk hozzájuk.

Összegzés

Láthatjuk tehát, hogy a koronavírus okozta megszorítások és az egész világot fenyegető gazdasági válság még egy olyan stabil iparágat is kihívások elé állít, mint az IT. A szektorban dolgozó cégek számos fronton nehézségekkel néznek szembe, a drasztikus költségnövekedésekkel kezdve a hibrid munkarendre való áttérésen át az egyre növekvő és kifinomultabbá váló kiberfenyegetésekig. Ezekre a kihívásokra a cégek különböző megoldásokkal igyekeznek felelni, mint például: szervezeti átrendezések, munkafolyamatok kiszervezése, illetve nagyobb hangsúly fektetése a kiberbűnözés elleni védelemre.

Azonban a jelenlegi globális helyzet a nehézségek mellett számos lehetőséggel is kecsegtet az IT szektorra nézve, amelyek segíthetik az iparági szereplők felkészülését a jövőre: a zöld technológia, a hiperkonnektivitás, a szoftverfejlesztés és a mesterséges intelligencia területén történő fejlesztések mind olyan befektetések, amelyek garantáltan többszörösen meg fognak térülni. Érdemes tehát minél előbb belevágni ezen területek elsajátításába, hogy minél hamarabb piaci előnyt szerezzünk cégünknek.

 

Készüljön fel Ön is a jövőbeni kihívásokra! Információ- és IT biztonsági tudatosítás miatt keressen minket bátran az infosec@euroone.hu 
e-mail címen, kollégáink már készen állnak!

Új Európai Uniós kiberbiztonsági szabályok a láthatáron

Tóth Tamás cikke

2022. június 28. - EURO ONE

Napjainkra az IT biztonság és kiberbiztonság terén is fokozódik a compliance nyomás, ami a legtöbb szervezetet komoly kihívások elé állítja. Beszállítóként vagy partnerként mindenki szembesülhet a szerződések biztonsági mellékleteivel, valamint az ezekhez tartozó értékelő táblázatokkal. Az utóbbi időben a klasszikus pénzintézeti és létfontosságú rendszerelemeket tartalmazó ágazatokon kívül is megjelentek kiberbiztonsági tematikájú jogszabályok, ebből a legújabb a NIS 2 irányelv (NIS 2 directive, a NIS rövidítés tartalma: Network & Information Systems). Fontos kérdés, hogy a NIS 2 irányelv lesz-e az új GDPR, vagy a korábbi NIS irányelvhez hasonlóan egy közepesen ismert compliance forrás lesz a többi hasonló szabályozás közül.

nis-2-iranyelv.jpg

NIS 2 szükségessége

 A NIS 2 irányelv (hosszabb nevén: az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről, valamint az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló Európai Parlament és Tanács irányelv) megalkotása nem újkeletű kezdeményezés az Európai Unió (EU) részéről. 2016-ban megalkották a NIS irányelvet, amely az első uniós szintű kiberbiztonsági jogszabály volt azzal a konkrét céllal, hogy magasabb szintű kiberbiztonságot érjenek el a tagállamokban. Az EU saját összefoglalója alapján ugyan növekedtek a kiberbiztonsági képességek, de az előírások teljesítése nehéznek bizonyult és nem volt egységes.

2016 óta napjainkig sok dolog történt, amelyek miatt módosítani, pontosabban hatályon kívül kellett helyezni és másik jogszabállyal kellett helyettesíteni a NIS irányelvet:

  • A kiberbűnözők által elkövetett kibertámadások egyre gyakoribbak, kifinomultabbak és jövedelmezőbbek lettek, amit elsősorban az széleskörű és sikeres zsarolóvírus támadások példáján lehet szemlélni,
  • A koronavírus pandémia szinte minden ágazatban felgyorsította a digitalizációt, de ez új fenyegetésekkel, több biztonsági incidenssel, valamint új függőségekkel jár,
  • Az orosz-ukrán háború a kibertérben is zajlik, ami szintén sok gyengeségre világított rá az EU-n belül is.

A fentiek hatására az Európai Bizottság javaslatot nyújtott be a NIS-irányelv felváltására és ezáltal a biztonsági követelmények megerősítésére, az ellátási láncok biztonságának kezelésére, a jelentési kötelezettségek egyszerűsítésére és szigorúbb szabályok bevezetésére.

A "kiberreziliencia" kifejezés többször is feltűnik a NIS 2 irányelv szövegében, hiszen a jogszabály elsődleges célja ennek növelése. Kiberreziliencia alatt a kibertámadásokkal kapcsolatos ellenállóképességet értjük. 100%-os biztonság nem létezik, sajnos minden szervezetet elérhet egy-egy opportunista vagy célzott támadás. Egyedül az számít, hogy a szervezet felkészült legyen, a potenciális támadásokat időben észlelje, megfelelő és begyakorolt módon reagáljon rájuk és lehetőleg gyorsan, minimális veszteséggel vissza tudjon állni a normál működésre.

NIS 2 irányelv hatálya

A NIS 2 irányelv hatálya a tagállamokon kívül az unióban működő úgynevezett alapvető szervezetekre és fontos szervezetekre vonatkozik, ami első hallásra és olvasásra korántsem egyértelmű.

Az alapvető szervezetek (essential entities) olyan szervezetek, amelyek szolgáltatásainak kiesése vagy fennakadása, közvetlenül vagy közvetetten, átmenetileg vagy hosszútávon súlyos hatást gyakorolhat a társadalmunk gazdaságára, energiaellátására, egészségügyre, hírközlésre és kommunikációra, valamint a közigazgatás működésére. Ez nem teljesen, de nagymértékben egybevág a létfontosságú rendszerelemekkel.  A korábbi NIS irányelvnek is volt hasonló kategóriája, ott alapvető szolgáltatásokat nyújtó szervezetek megnevezést használták. A NIS 2 irányelv I. melléklete további EU-s jogszabályokra hivatkozva, taxatíve felsorolja az alapvető szervezeteket, amelyek ágazatai az alábbiak:

  • Energia (Villamos energia, Távfűtés és -hűtés, Olaj, Gáz, Hidrogén),
  • Szállítás (Légi, Vízi, Vasúti, Közúti),
  • Banki szolgáltatások,
  • Pénzügyi piaci infrastruktúrák,
  • Egészségügy,
  • Ivóvíz,
  • Szennyvíz,
  • Digitális infrastruktúra (pl. Internetkapcsolódási pont szolgáltatók, DNS-szolgáltatók, Felhőszolgáltatók),
  • Közigazgatás,
  • Világűr.

A fontos szervezetek (important entities) kategóriájába a NIS 2 irányelv II. mellékletében felsorolt ágazatokba tartozó állami és magánszervezetek tartoznak, amelyek kulcsfontosságúak a társadalmi és gazdasági tevékenységek szempontjából. A mikro- és kisvállalkozások viszont nem tartoznak az irányelv hatálya alá. A korábbi NIS irányelv a mostani fontos szervezetek kategóriáját csak a digitális szolgáltatókra vonatkozóan határozta meg, akiket a nemzeti jogban bejelentés-köteles szolgáltatóknak neveztek. A NIS 2 irányelv felsorolása alapján ez a kategória jelentősen bővült, ami meglepetést okozhat az érintett új szereplőknek, mert eddig nem voltak jellemzők a rájuk vonatkozó jogszabályi szintű IT biztonsági követelmények előírása:

  • Postai és futárszolgáltatások,
  • Hulladékgazdálkodás,
  • Vegyszerek gyártása, előállítása és forgalmazása,
  • Élelmiszer-előállítás, -feldolgozás és -forgalmazás,
  • Gyártás (NACE nemzetgazdasági áganként pl.: Számítógépek, elektronikai és optikai termékek gyártása, Orvostechnikai és diagnosztikai eszközök gyártása, Gépjárművek, pótkocsik és félpótkocsik gyártása, Máshova nem sorolt gépek és gépi berendezések gyártása),
  • Digitális szolgáltatók (Online piacterek szolgáltatói, Online keresőmotorok szolgáltatói, Közösségi hálózati szolgáltató platform szolgáltatói). 

Követelmények

A NIS 2 irányelv sajnos csalódást fog okozni azoknak, akik egy újabb teljeskörű követelmény- vagy kontroll listát várnak a szabályozástól, ugyanis a szövegben a sokak által ismert, ám annál kevésbé megfogható kifejezések szerepelnek, miszerint megfelelő és arányos technikai és szervezési intézkedéseket kell hozni a kockázatok kezelésére, figyelembe kell venni a technika állását, az intézkedéseknek biztosítaniuk kell a hálózati és információs rendszerek keltett kockázatnak megfelelő biztonsági szintjét. Intézkedések szintjén csak általános kategóriákat sorolnak fel:

  • risk analysis and information system security policies,
  • incident handling (prevention, detection, and response to incidents),
  • business continuity and crisis management,
  • supply chain security including security-related aspects concerning the relationships between each entity and its suppliers or service providers such as providers of data storage and processing services or managed security services,
  • security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure,
  • policies and procedures (testing and auditing) to assess the effectiveness of cybersecurity risk management measures,
  • the use of cryptography and encryption.

A felsorolt általános intézkedések megvalósításán túl a NIS 2 irányelv előírja, hogy a hatálya alá tartozó alapvető és fontos szervezeteknek indokolatlan késedelem nélkül értesíteniük kell az illetékes hatóságokat vagy a CSIRT-et minden olyan eseményről és észlelt kiberfenyegetésről, amely jelentős hatással van szolgáltatásaik nyújtására vagy amely potenciálisan jelentős eseményhez vezethet.

A Nemzeti Kibervédelmi Intézet (NKI) hivatalos tájékoztatása szerint az irányelv jelenlegi szövegét egyes EU-s intézményeknek még hivatalosan jóvá kell hagyniuk. A tagállamoknak ezután az irányelv hatálybalépésétől számítva 2022 májusától 21 hónap áll majd rendelkezésükre, hogy átültessék a rendelkezéseket nemzeti jogukba. Ugyanakkor kérdéses, hogy a követelményeket nemzeti szinten mennyire fogják pontosítani, hiszen a korábbi NIS irányelv esetén a bejelentés-köteles szolgáltatást nyújtó szolgáltatókra csak a hatósági regisztrációval, biztonsági események (incidensek) bejelentésével és kezelésben történő együttműködésével kapcsolatban alkottak nemzeti törvényi és rendeleti előírásokat. A nemzeti törvények és rendeletek a követelmények (a korábbi NIS irányelv megfogalmazásában biztonsági elemek) tekintetében csak visszautaltak a korábbi NIS irányelvre, egyéb pontosítás nem történt. Az alapvető szervezetekre vonatkozó követelményeket valószínűleg a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. Törvényen (Lrtv.) keresztül a fogják meghatározni, ahogy azt a korábbi NIS irányelv során is tették az alapvető szolgáltatásokat nyújtó szervezetek esetén.

Ha már eljutottunk a korábbi NIS irányelv követelményeihez (biztonsági elemek), akkor összehasonlítva a fent felsorolt NIS 2 irányelv követelményekkel azt láthatjuk, hogy jelentősen kevesebb és még általánosabb követelményeket támasztottak 2016-ban:

  • the security of systems and facilities;
  • incident handling;
  • business continuity management;
  • monitoring, auditing and testing;
  • compliance with international standards.

Szankciók

Jogi előírások nem léteznek szankciók nélkül, hiszen másképp nem lehetne őket kikényszeríteni. Így van ez a NIS 2 irányelv esetében is. Az irányelv csak a szankciók körét és az ezekkel kapcsolatos magasszintű elvárásokat (pl. arányosság elve) határozza meg, a részleteket majd a tagállamoknak kell kidolgozniuk.

A szankciók köre elég tág, ezek közül az alábbiak a legfontosabbak:

  • figyelmeztetés kiadása, ha a szervezetek nem tartják be a kötelezettségeket,
  • kötelező erejű utasítás (pl. végzés) kiadása, amelyek előírják a feltárt hiányosságok és ajánlások pótlását vagy a kötelezettségek teljesítését,
  • a szervezetek kötelezése arra, hogy a kötelezettségek be nem tartásának szempontjait meghatározott módon hozzák nyilvánosságra,
  • a szervezetek kötelezése arra, hogy tájékoztassák azon természetes vagy jogi személyeket, akiknek szolgáltatásokat nyújtanak vagy tevékenységeket végeznek, és amelyeket a jelentős kiberfenyegetés érinthet, minden lehetséges védelmi vagy helyreállítási intézkedésről, amelyet e természetes vagy jogi személyek megtehetnek a fenyegetés elhárítására,
  • közigazgatási bírság kiszabása (elvárás, hogy hatékony, arányos és visszatartó erejű legyen).

A szankciókat elemezve szembetűnő, hogy a klasszikus figyelmeztetés, kötelező erejű jogi aktus (pl. végzés) kiadása, és bírság elemeken kívül újdonság az érdekelt felek kötelező tájékoztatása.

Természetesen mindenkit a bírságok érdekelnek, amelyek pontos összegét a nemzeti jogban fogják meghatározni. A bírság kiszabásakor például figyelembe kell venni a jogsértés súlyosságát és a megsértett rendelkezések fontosságát, a jogsértés időtartama, ideértve az ismételt jogsértések elemét, ténylegesen okozott károkat. Az irányelv szerint a kiszabható bírság maximuma 10 000 000 EUR vagy a szervezet globális éves forgalmának legfeljebb 2%-a, attól függően, hogy melyik összeg a magasabb. Érdekesség, hogy a bírság mértéke megegyezik a GDPR-ban meghatározott összeggel. Kérdéses, hogy az irányelv gyakorlati alkalmazásakor is hasonló mértékű bírságokat fog-e kiszabni a hatóság.

A NIS 2 irányelv magyarországi felügyeleti hatósága valószínűleg a Nemzetbiztonsági Szakszolgálathoz tartozó Nemzeti Kibervédelmi Intézet (NBSZ NKI) lesz, mivel a korábbi NIS irányelv hatálya alá tartozó bejelentés-köteles szolgáltatók esetén is ők látják el a felügyeletet és a szervezet tölti be a nemzeti CSIRT feladatokat is.

Tanácsok a megfeleléshez

Az irányelv hatálya alá tartozó új szereplőknek jogosan merülhet fel a kérdés, hogy hogyan tovább, milyen lépéseket kell tenniük a megfelelés érdekében. A NIS 2 által felsorolt védelmi intézkedésekre – csak az elméleti keretek közt ragadva – mondhatjuk azt, hogy nincs semmi különleges bennük, ezeket mindenkinek alkalmaznia kellene, de a gyakorlat sokkal árnyaltabb.

Elsősorban azt javasoljuk, hogy az érintett szervezet – amennyiben ezt korábban nem tette meg más okok miatt – válasszon ki egy nemzetközileg elismert, széleskörben alkalmazott szabványt, keretrendszert vagy kontroll listát (pl. ISO 27001 és 27002, NIST CSF, CIS Controls v8), és társítsa (mappelje) a NIS 2 által elvárt követelményeket a szabvány követelményeihez. Erre azért van szükség, mert az említett szabványok, keretrendszerek, illetve kontroll listák tartalmazzák a követelmények teljesítéséhez szükséges háttérinformációkat és javaslatokat, ami megtölti tartalommal a NIS 2 irányelv szűkszavú felsorolását.

Ha az irányadó szabvány kiválasztása után, a szervezetnek annak alapján fel kell mérnie a jelenlegi védelmi intézkedéseit (as is állapot), ami kiváló input a későbbi kockázatelemzéshez is. Következő lépésként ajánlott priorizálni felmérés eredményeként feltárt hiányosságokat és megbecsülni a megoldásukhoz szükséges erőforrásokat, majd az elérendő helyzet (to be állapot) meghatározásával kitűzni a célokat.

Ha a szervezet bizonytalan a megfelelése tekintetében és nem tartja magát jól felkészültnek, akkor az egész kezdeményezést – a felméréstől kezdve - célszerű egy formális projektként kezelni a buktatók elkerülése érdekében. Egy – információbiztonsági szempontból is – érett szervezetnek könnyebb dolga van, az esetükben egy rövidebb belső audittal is felmérhető a megfelelési szintjük és valószínűleg kevés hiányossággal fognak majd szembesülni.

Csak javasolni tudom, hogy a felkészülési projekt célja ne a sablon dokumentáció és kockázatelemzés elkészítése legyen, hanem minden szervezetnek érdemes törekednie a tényleges megfelelés elérésére, ami értéket teremthet. Hogy miért? A cikk elején már kitértem arra, hogy a compliance elkerülhetetlen, ami egy NIS 2 megfelelési projekt eredményterméke lehet (pl. szabályzatok, eljárásrendek, kockázatelemzés, pontos és naprakész inventory-k, üzletmenet-folytonossági tervek), az más kontextusban (pl. beszállítói audit) is fontos és elvárt lehet. Ha ezeket valódi tartalommal töltik meg és ténylegesen alkalmazzák a működés során, az kétségkívül hozzájárul a szervezet ellenállóképességéhez és megmentheti a szaporodó és folyamatosan fejlődő támadásoktól.

A megfelelési projektek sok azonosságot mutatnak egy ISMS bevezetésével, ezért minden olvasónak javaslom az ISMS és GRC témában megírt cikkeink tanulmányozását.

Konklúzió

Hamarosan egy új kiberbiztonsági szabályozással több lesz, ami új kihívás elé állítja a hatálya alá tartozó szervezeteket. A NIS 2 irányelv jelenlegi szövege (fordítási hiányosságok miatt ajánlott az angol verziót olvasni) az általános elvárt intézkedésekkel támpontot ad és érthetőek a jogforrás irányvonalai, ugyanakkor számos alkalmazási részletet a nemzeti jog kidolgozása fog megválaszolni, így mindenképp ajánlott követni az ezzel kapcsolatos híreket. Véleményem szerint komolyan kell venni a szabályozást, mindenkinek fel kell készülni, ugyanakkor a hatóságokon fog múlni, hogy ez lesz-e az új GDPR. Úgy gondolom, hogy felkészülés elsődleges motivációjának nem a bírság elkerülésének, hanem a szervezet, annak érdekeinek és ügyfeleinek védelmének kell lennie. Hogy mikortól lesznek kötelező erejűek a NIS 2 elvárásai az jó kérdés, erre valószínűleg szintén a nemzeti jog fog választ adni. Érdemes viszont már most elkezdeni a felkészülést, hiszen egy nagy méretű, komplex szervezet nem tud megfelelni egyik napról a másikra.

Ha vállalatát kibertámadás éri, mindössze 1-6 órája van arra, hogy a hatóságoknak jelentse a jogsértést. Tisztában van-e vállalkozása azzal, hogy az európai uniós jogalkotók milyen típusú információkat, kompetenciákat és tapasztalatot követelnek meg ehhez a kommunikációhoz?

 Ingyenes interaktív prezentációnkat megtalálja az InfoSec Akadémiáncsatlakozz2.JPG

ICS helyett OT: küszöbön az új NIST 800-82

Hunyadi Péter cikke

Mint minden összetett területen, a kiberbiztonságban is létfontosságúak a megfelelő szabványok és szakmai útmutatások. Aki folyamatosan olvas minket, korábbi írásainkban is találkozhatott már a NIST 800-82 rev. 2 Guide to Industrial Control Systems (ICS) Security szabvánnyal, amely az ipari termelői környezetekre fókuszálva szolgál irányadó dokumentumként. De rajtunk kívül is sokan foglalkoztak már vele, hiszen megkerülhetetlen a kiberbiztonság területén.

ot-blogposzt.jpg

A NIST idén április 26-án adta ki a 800-82 szabvány új, rev. 3 verziójának publikus tervezetét, s bár a július 1-ig tartó észrevételezési szakasz során még több helyen változhat a dokumentum, az már most látszik, hogy egy aprólékosan összeállított kézikönyvet kap a kiberbiztonsági szakma.

Bővített hatókör

Az új kiadás hatóköre egyértelműen kibővült, s már a címe is elgondolkodtató: Guide to Operational Technology (OT) Security. Aki ismeri az amerikai szakirodalom szóhasználatát, tudja, hogy többnyire az ICS mozaikszó az elterjedt, ám ez szűk értelemben a gyártásvezérlési- és termelési rendszerekre használt fogalom. A 800-82 rev. 3 viszont tudatosan OT-ra íródott, méghozzá tágabb értelemben véve, ugyanis az új szabvány foglalkozik minden olyan rendszertípussal, melyek valamilyen fizikai folyamatot vezérelnek. Így a hagyományos ipari vezérlőrendszer típusok mellett helyet kapott az épületautomatizálás (Building Automation Systems), a fizikai beléptetés (Physical access control), az üzembiztonság (Safety) és az ipari Internet of Things (IIoT) egyaránt. A tervezet mindegyik rendszertípushoz szolgál referenciaábrákkal, a védelmi stratégiai elemekkel foglalkozó fejezetei pedig a kibővített hatókörnek megfelelően íródtak, miként a korábbról már ismert sérülékenység és fenyegetés könyvtárak is.

Hiánypótoló tartalmakkal kibővítve

Érdemes kiemelten is megemlíteni, a NIST Cybersecurity Framework (NIST CSF) OT alkalmazására vonatkozó kézikönyvet. Ez a terület önálló fejezetet kapott, amely tartalmaz minden CSF Function-t, az összes releváns Category-t és Sub-Category-t, méghozzá terület-specifikus útmutatóval. De ezeken felül találkozhatunk a 800-82 rev. 3 saját hozzáadott elemeivel is. A NIST CSF az egyik legelterjedtebb kiberbiztonsági keretrendszer, így e téma önálló feldolgozásával - bár már rendelkezik más szabványok kontrolljaira hivatkozó összerendelő útmutatókkal - a NIST hiánypótló munkát végzett. Már csak azért is, mert igen nagy erre az üzleti igény.

Ha már szabványok közötti kapcsolatokról beszélünk, nem mehetünk el szó nélkül a NIST 800-53 rev. 5 kontrolljaival történő összerendelést segítő fejezetek mellett sem. A kiberbiztonsági kontrollokat számba vevő 800-53 legújabb verziója az elődjénél lényegesen naprakészebb, így az új 800-82 már az ehhez való kapcsolódást segíti elő.

A NIST tehát ezúttal sokéves szabványokat frissített, válaszolva ezzel az utóbbi évek rohamosan változó kibervédelmi kihívásaira.

Az EURO ONE-nál folyamatosan követjük a szabályozási környezet alakulását, és ezekhez mérten frissítjük módszertanainkat, hogy jelenlegi és leendő ügyfeleinknek egyaránt segíthessünk ebben.

csatlakozz2.JPG

 

süti beállítások módosítása