ÜZLETI IT- Tartalmas, előremutató, vicces de közben halálosan komoly

EURO ONE

Hatékony kockázatkezelési megoldások ICS rendszereknél

Hunyadi Péter cikke

2021. április 08. - EURO ONE

Mind az otthoni, mind a vállalati felhasználók számára az IT biztonság fogalma kimerül az asztali gépek, okoseszközök, céges hálózatok védelmében: ne vigyék a hackerek a személyes adatainkat, ne kódolja a zsarolóvírus a fontos dokumentumainkat, s ne a mi böngészőnkön keresztül gazdagodjanak az illegális kriptobányászatra szakosodott kiberbűnözők. Pedig akadnak a világban ezeknél jóval durvább támadások is, amelyek annak ellenére is érinthetik mindennapi életünket, hogy nem közvetlenül a mi eszközeink ellen irányulnak.

blogbejegyzes-ics-01.png

Még 2010-ben történt, hogy feltehetően amerikai és izraeli forrásból egy Stuxnet nevű kártékony program – féreg – fertőzte meg az iráni bushehri atomerőművet és natanzi urándúsítót, utóbbi létesítményben túlpörgette és tönkretette a használt centrifugák 20%-át. Az akció mérföldkőnek számít a kiberbiztonságban, mert a Stuxnet-támadás után jelentősen megnövekedett az ipari irányítási rendszereket (Industrial Control Systems – ICS) fenyegető incidensek száma, melyek a legtöbb esetben az államok és a lakosság ellátása szempontjából létfontosságú rendszerek, szolgáltatások működéséért felelnek, mint a víz- és áramellátás, áru- és személyforgalmi szolgáltatások vagy épp a jelentősebb élelmiszergyártó üzemek. S ez így tán ijesztőbben is hat, mint amikor az ember a számítógépén tárolt adatok miatt aggódik.

Egy hivatalos ajánlás háttere

Cikkünk alapját az Egyesült Államok Belbiztonsági Minisztériuma (DHS) által javasolt Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies című ajánlás képezi. A kiadvány 2016-ban jelent meg a DHS alá tartozó National Cybersecurity and Communications Integration Center (NCCIC) és Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) munkacsoportok, valamint más állami és versenyszférába tartozó ipari szereplők közös munkájának eredményeként. A dokumentum nem szabvány terjedelmű, ennek megfelelően nem is részletezi aprólékosan az információkat, de összhangban van a NIST (National Institute of Standards and Technology) SP 800-82 és 800-53, valamint a NIST Cybersecurity Framework sztenderdekkel.

Célunk az ebben közzétett ipari-kiberbiztonsági kockázatkezelési ajánlások rövid bemutatása, mégpedig azért, mert - a sok kihívást rejtő ipari kiberbiztonsággal kapcsolatos - munkánk során magunk is nagyon hasznosnak találtuk az oldalain javasolt megközelítést.

Változó kihívások ICS területen és megoldásuk

A már említett 2010-es Stuxnet-támadás után, az ICS rendszerek elleni incidensek számának növekedésén túl egy másik tendencia is megfigyelhető volt az elmúlt években.

Korábban az ICS rendszerek hagyományosan teljesen elszeparált hálózatokon működtek, sajátos, zárt ipari protokollokkal. Használatukhoz egy szűk, belső kör értett csupán, így nem alakult ki igény az adatforgalom logikai védelmére, elegendő volt az ipari környezetek fizikai védelme. A termelés hatékonyságának növeléséhez fűződő érdekek azonban kimozdítják ezeket a rendszereket az izoláció biztonságából, s az üzleti hálózattal való összekötést, illetve az átláthatóságot helyezik előtérbe. Éppen ezért megjelentek a klasszikusan IT környezetben elterjedt nyitott protokollok is (IP) az ipari eszközök portfóliójában. Az ipari rendszerek így egyre inkább kitetté válnak az internet felől érkező fenyegetéseknek, miközben üzletmenet szempontjából rendkívül kritikusnak számítanak. A kihívást tetézi, hogy a magas rendelkezésre állási követelmények miatt nehezebb logikai védelmet kialakítani rajtuk.

De mi lehet erre a megoldás? Nos, mivel az izolációra többé nem lehet alapozni, továbbá az újfajta nyitott modellhez biztonsági szempontból nem zárkózott fel az ICS rendszerek technikai háttere, ezért az IT világban megszokott „hagymahéj-elven” alapuló, ipari hálózatokra szabott mélységi védelem (Defense-in-Depth) alkalmazását javasolja a tárgyalt dokumentum.

Az ajánlás ezt a mélységi védelmet egy könnyen értelmezhető keretrendszer formájában ábrázolja. A mélységi védelem egy minden információs rendszerre ráhúzható rugalmas koncepció, amely holisztikusan, mind humán, mind folyamat, mind technológiai téren (People-Process-Technology) az összes lehetséges védelmi megoldást, illetve minden támadási vektort figyelembe vesz annak érdekében, hogy a védett rendszert valóban ellenállóvá tegye.

A dokumentum a mélységi védelem koncepcióját kilenc stratégiai elemre osztja. Ezek nem különböznének egy IT rendszer esetében sem, ahogy ez az első ábrán látható.

blog1.jpg1. ábra - Mélységi védelem - Stratégiai eleme

Az ajánlás ezután a felsorolt stratégiai elemeket bontja ki, elhelyezve őket az ipari környezet kihívásai, speciális igényei között. A javasolt megoldások bevezetését támpontokkal egészíti ki, a felhasználókra bízva, hogy miként alkalmazzák azokat a saját környezetükre.

OT-irányú kockázatkezelés

A stratégiai elemek tárgyalása a Kockázatkezeléssel kezdődik. Fontos kiemelni, hogy ez nem csak egy elem a kilenc közül, hanem a többi által lefedett biztonsági tevékenység alapját képezi. Éppen ezért itt is részletesebben foglalkozom vele. Az ICS-CERT kiadványa három szintű kockázatmenedzsment modell bevezetését javasolja:

  1. Szervezeti szinten határozzák meg a vállalat minden szinten követendő kockázatkezelési kereteit és minimumát, a kockázati étvágyat és toleranciát. Az újfajta, nyitott ICS rendszerek korában ezen a szinten az ipari domain sérülékenységeinek, kockázatainak a szervezet egészére, az üzletmenet folytonosságra – sőt, a külvilágra – gyakorolt hatásait is abszolút realisztikusan kell figyelembe venni. Ehhez fontos az alsóbb szintekről származó tapasztalatok és észrevételek szem előtt tartása.
  2. Üzleti folyamatok szintjén – ami alatt ez esetben az ipari termelési folyamatokat értem – történik az OT (Operational Technology) környezetek célzott kockázatkezelési folyamata. Az ajánlás itt – és később is – kiemeli az eszközök, technológiák leltárazását, kritikusságának és kockázatainak meghatározását és a fókuszpontok, kényesebb elemek azonosítását, mint a hatékony védekezés alapját.
  3. Végül az üzemeltetési/rendszer szinten valósul meg fizikailag mindaz, amit fentebb meghatároztak. A rendszer biztonságát érintő tapasztalatok, visszajelzések innen felfelé áramolva segítenek a stratégia későbbi fejlesztésében. Az alsó két szinten történő kockázatkezelési feladatokat a dokumentum folyamatként konkretizálja, részletesen kitérve ennek egyes lépéseire, amely - miként a második ábrán látható - a második szinten a sérülékenységi és kockázati profilalkotásból, majd a technikai szinten megvalósuló kontrollok bevezetéséből, monitorozásából és fejlesztéséből tevődik össze.

blog2.png

2. ábra - Kockázatkezelési ciklus

A bemutatott kockázatkezelés menete az eszközök leltárazásával kezdődik, mivel nem tudunk hatékony védelmet kialakítani, ha nem tudjuk, mit védünk. Ahhoz, hogy később fel tudjunk készülni a lehetséges támadásokra, számba kell venni minden használt hardvert, szoftvert, háttéreszközt, ismerni kell ezeknek az egymástól való függőségi viszonyait és az információáramlás csatornáit is, majd kategorizálni kell eszközeinket a kritikusságuk alapján. Több tízéves rendszerek esetében azonban korántsem könnyű feladat a leltár kivitelezése. Ha tudjuk, mit védünk, tudnunk kell, milyen kockázatok fenyegetnek bennünket. A támadás potenciális irányaival és a sérülékenységeinkkel kapcsolatban olyan forrásokra támaszkodhatunk, mint a gyártóegységek műszaki vezetői és kezelői, külső tanácsadók, vagy olyan keretrendszerek, mint amilyen a „MITRE ATT&CK for ICS”. Munkám során én több olyan termékkel találkoztam, melyek képesek feltérképezni az ipari protokollokat használó eszközöket (akár típussal, gyártóval, konfigurációval együtt) és adatbázisokból kinyerni a konkrét verzió ismert gyengeségeit. A támadások hatásvizsgálata és valószínűségének meghatározása véleményünk szerint az egyik leglényegesebb lépés, hiszen az ipari informatikai eszközöknél egy támadás nem csupán anyagi javakban okozhat kárt, hanem emberek testi épsége, akár élete is veszélybe kerül. A hatást befolyásolja a rendszer kritikussága, az hálózat és a rajta folyó kártékony aktivitás átláthatósága és a helyreállítási képességek is. A valószínűség alakulásában szerepet játszik, hogy a rendszereket biztonsági szintre soroltuk, valamint a hozzáféréskezelés mennyire kifinomult és, hogy a szoftverek frissítve vannak-e a legutóbbi verzióra. Az eszközök leltárja és kategóriákba rendezése ennek a lépésnek is megágyazott, így a támadás lehetséges vektorait, valószínűségét és súlyosságát láthatóvá tette. Az eddigi lépésekben szerzett ismeretek birtokában leszünk csak képesek meghatározni és bevezetni a megfelelő biztonsági kontrollokat. Az ipari igényekhez szabott kontrollok lefedik a humán-jellegű intézkedéseket (pl. tudatosítás), a folyamatkialakításokat és a technikai megoldásokat. Implementáláskor érdemes a legveszélyeztetettebb – vagyis a legkritikusabb és legsérülékenyebb – rendszerelemekkel kezdeni. Az ICS rendszerek speciális igényei és technikai nehézségei miatt gyakrabban fordul elő, hogy bizonyos kockázatokat el kell fogadnunk, esetleg a legjobbnak ígérkező kontroll helyett – akár az elvártnál gyengébb – alternatívát kell keresnünk kompatibilitási problémák miatt. A mélységi védelem sokfélesége viszont ezt a nehézséget is hivatott enyhíteni.

Zárásként elmondhatjuk, hogy a jelenlegi OT technológiai fejlődés iránya és a növekvő biztonsági igények egyelőre ellentmondásban vannak egymással, ráadásul nincs egy olyan kibervédelmi „csodaszer”, amely az ipari rendszerek biztonsági és rendelkezésre állási igényeit egyaránt kielégítené. Ebből kifolyólag – a kisebb számú ipari logikai védelmi termékek mellett – létező, ismert védelmi megoldásokat kell OT környezetekhez szabnunk, legyenek azok logikai, fizikai vagy folyamat jellegű módszerek, amihez hiánypótló segítséget nyújt az ICS-CERT ajánlása, mely ingyenesen elérhető az alábbi címen: https://us-cert.cisa.gov/ics/Recommended-Practices

Forrásmegjelölés

A 2. ábra forrása: ICS-CERT, 2016. Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies, p. 8.

Még több tartalomért, videókért és rendezvényekért kövess minket a LinkedInen is, kattints ide. 

Így add el az ISMS-t menedzsmentnek

Tóth Tamás cikke

2021. április 07. - EURO ONE

 

Az előző részben is igyekeztem rávilágítani arra, hogy az ISO 27001 alapú alapuló Information Security Management System (ISMS) sokkal összetettebb dolog, mint ahogy azt a szabványok elolvasása után vagy akár egy összefoglaló videó megnézése alapján ezt elsőre gondolnánk. Az ISMS összefüggéseinek megértésénél természetesen sokkal bonyolultabb az irányítási rendszer bevezetése és működtetése, ezért nem ritka, hogy néha a tapasztaltabb információbiztonsági tanácsadók bicskája is beletörik. Egy projekt sikertelensége azonban nem jelenti feltétlen a tanácsadók hibáját, ennél sokkal árnyaltabb a kép.

 

Az ISMS bevezetés kulcsfontosságú tényezői

 

Ha egy szervezetnél különböző okokból kifolyólag felmerül az ISMS bevezetésének ötlete, három kulcsfontosságú tényezőre kell kiemelt hangsúlyt fektetni:

 

1.       a menedzsment támogatásának megszerzésére,

2.       a kezdeményezés formális projektként való kezelésére és

3.       az ISMS elemeinek, elveinek és ezek összefüggéseinek megfelelő ismeretére.

 

Jelen cikkemben a menedzsment támogatásának fontosságát és megszerzésének lehetőségét fejtem ki, az ISMS bevezetés konkrét projektmenedzsmentjére és összefüggéseire a következő cikkemben fogok kitérni.

 

A menedzsment támogatásának fontossága

 

Szinte minden információbiztonsággal foglalkozó szakember előbb utóbb találkozik a terület egyik legnagyobb kihívásával: megszerezni szervezet vezetésének támogatását, információbiztonságért való elkötelezettségét, illetve a fejlesztésekhez szükséges büdzsét. Az ISMS bevezetésénél sincs ez másképp, hiszen a menedzsment támogatása kulcsfontosságú, de ez nem feltétlen az erre vonatkozó kötelező szabványpontok teljesítése miatt van így.

 

Ahogyan az a tankönyvekben is szerepel, az információbiztonságra vonatkozó igény ideális esetekben "top down" irányú, de ide sorolhatjuk a világszerte ismert vállalatirányítási (King IV Report on Corporate Governance) és belső kontrollra vonatkozó best practice-ket (COSO Internal Control Framework) , amelyek  a "setting the tone at the top" kifejezéssel kezdődnek, amit a példamutatás és az elkötelezettség kifejezéseknek lehet megfeleltetni.

A menedzsment támogatásának és elkötelezettségének birtokában lehet jelentősebb szervezeti változásokat elindítani és végrehajtani, az ISMS bevezetése pedig ilyen: érettségi szint növekedés és bizonyos szempontból kultúra váltás. Ahhoz, hogy ez megfelelően végbe tudjon menni és illeszkedjen a szervezet igényeihez, a menedzsment aktív részvételét igénylik az elvárások megfogalmazása, célok és a kapcsolódó kockázatok meghatározása, elfogadása, a szükséges erőforrások biztosítása és nehézségek esetén a problémák eszkalációja szempontjából. Fontos kiemelni, hogy ez a támogatás az irányítási rendszer fenntartásához elengedhetetlen, de a tapasztalatok szerint a sikeres tanúsítást követően meredeken zuhanni szokott, pedig nem lehet hátradőlni.

 

Támogatás megszerzése - érték

 

A menedzsment támogatását a jól ismert, mindenhol felbukkanó haszonszempontok egyszerű ismételgetésével - pl. hatékonyság növelése, károk csökkentése, kiszámíthatóság növelése, reputáció védelme - nem lehet megszerezni. Nem azért, mert nem lennének igazak, hanem azért, mert minden második terméket vagy projektet hasonló előnyökkel próbálnak nekik eladni és az ISMS elvész ezek közt. Véleményem szerint egy ISMS projektet két dolog részletes kibontásával lehet "eladni" a menedzsment felé: az ISMS bevezetése, működtetése és a tanúsítása által teremtett értékekkel, vagyis mivel lesz jobb a szervezetnek, miért éri meg. A másik dolog az, hogy hogyan térül meg ez a befektetés, hiszen mindenki profitot akar termelni és az információbiztonságnak is ezt kell támogatnia. Ezeket az üzeneteket az általános felsővezetői információs igényeket figyelembe véve, magasszinten kell kommunikálni, a "saját nyelvükön".

 

A nemrég publikált ITIL 4 szolgáltatásmenedzsment best practice fogalmazásában az érték "valaminek vélt előnyei, hasznossága és fontossága". Az ITIL érték definíciója szubjektív, de ennek a logikája mentén össze lehet gyűjteni az ISMS bevezetés által szállított értékeket. Ezeket természetesen minden esetben az adott szervezetre kell szabni. 

 

Az ISMS előnyei közé sorolhatjuk a tanúsítás által jelentett üzleti előnyöket, mivel bizalmat kelt a potenciális üzleti partnerekben és ügyfelekben. A tanúsítás megléte egy szerződéses vagy más jogi követelmény lehet bizonyos tendereken való indulás esetén, ami a compliance nyomás növekedésével egyre gyakoribb. Példaként a Magyarországon működő autóipari beszállítók számára kifejezetten előnyös lehet az ISMS tanúsítás megléte, hiszen az autógyárak ezt jellemzően más minőségirányítási tanúsítványokkal együtt megkövetelik. Másrészt a Német Gépjárműipari Szövetség. (VDA) információbiztonsági szabványa a TISAX (Trusted Information Security Assessment Exchange) szintén ISO 27001 alapokon nyugszik, így a megfelelés egy meglévő ISMS tanúsítással jóval könnyebben megszerezhető.

 

Az (igazi) ISMS hasznos, mivel a jól bevált keretrendszer bevezetésével, szabályozás, folyamatok kidolgozásával, felelősségek meghatározásával és korszerű technológiai megoldásokkal ötvözve (pl. IDM, SOC, új generációs tűzfalak, EDR) valóban hatékonyabb információbiztonsági működést lehet elérni, amelyet a KPI-k is alátámasztanak és hitelesen igazolják mindezt a menedzsment számára is. Az ISMS hasznához hozzájárul a kockázatok kezelése is, amelyek rávilágítanak azokra a sérülékenységekre és fenyegetésekre, amelyek veszélyeztetik a szervezet működését és ezáltal a szervezeti célok elérését is. A kockázatok ismeretében azokat hatékonyan lehet priorizálni és kezelni, így csökkentve a nem várt, esetleg nagy hatással járó incidensek bekövetkezését, vagyis kiszámíthatóbb működést lehet elérni. Az előző cikkemhez hasonlóan itt is kihangsúlyozom, hogy a valós előnyök csak egy jól működő, szervezetbe illesztett, tartalommal megtöltött ISMS-nél jelentkeznek, a kizárólag a falon lógó tanúsítványú ISMS kontraproduktív.

 

Az ISMS, vagyis azon keresztül az információbiztonság fontos. A jól ismert mondás szerint "a jó hírnevet igen nehéz megszerezni, de nagyon könnyű elveszíteni". Egy súlyos információbiztonsági és kapcsolódó adatvédelmi incidens jelentősen megtépázhatja egy szervezet reputációját, amit mindenki igyekszik elkerülni, de a híreket olvasva egyre gyakrabban láthatjuk, hogy ezt nem a megfelelő úton vagy módon teszik. Nem vagyok híve a szankciókkal való ijesztgetésnek, de ha objektíven nézzük, a reputáció sérülésén túl az incidensek miatt fizetendő kötbérek, bírságok, valamint hatósági eljárások tovább mélyíthetik a problémákat, elég csak a GDPR megsértése miatt kiszabott bírságok mértékére gondolni. Azt is látni kell, hogy a compliance és anyavállalati nyomáson kívül egy korábbi információbiztonsági vagy kapcsolódó adatvédelmi incidens segíthet a támogatás megszerzésében, hogy az ismét ne fordulhasson elő.

 

Támogatás megszerzése - befektetés

 

A hitelesség érdekében azt is el kell mondani, hogy a hosszan sorolható előnyöknek ára van, hiszen egy ISMS bevezetés és fenntartás alapvetően nem olcsó projekt, de könnyű ésszerű kereteken belül megmaradni.

 

Az ISMS bevezetését és fenntartását nagyban befolyásolja a szervezet kiinduló és elvárt érettségi szintje, valamint az alkalmazandó jogszabályok és szerződéses kötelezettségek. Példaként egy létfontosságú rendszerelemként kijelölt szervezet vélhetően azért vezet be ISMS-t, hogy hatékonyan tudja teljesíteni a jogi követelményeket, ami viszont olyan követelményeket támaszthat, amit bizonyos estekben csak drága technológiai megoldásokkal lehet maradéktalanul teljesíteni, ami az ISMS projekt költségtervét fogja drágítani. Az ISMS bevezetését az információbiztonsági tanácsadók igénybevétele is drágíthatja, hiszen a szervezetek információbiztonsági szakemberei jellemzően leterheltek, ezért őket korlátozottan lehet a projektre allokálni. Másrészt gyakran az ISMS bevezetéshez szükséges kompetencia is hiányzik a szervezeknél, mert ahogy a cikk elején említettem, az ISMS összetett.

 

Szimbolikusan a mérleg egyik serpenyőjében az ISMS ITIL 4 érték definíciójára felfűzött előnyei, hasznossága és fontossága van, a másik serpenyőben pedig a CAPEX, OPEX összegét adó TCO. A mérleget ideális esetben a ROI fogja értékek oldalára fogja billenteni. Mindenki által ismert az a tény, hogy a költségeket nem lehet pontosan megtervezni és a keretet általában gyakran túl kell lépni, de a ezek tervezése mégis kiemelt fontosságú egy ISMS projekt tervezésekor és jóváhagyásakor.

 

A CAPEX, vagyis a Capital expenditure tőkebefektetést jelent. Az ISMS bevezetés CAPEX költségei elsősorban az új kontrollok bevezetése miatti eszközök, biztonsági megoldások és egyszeri licenszek beszerzésében merülnek ki. Ide sorolhatjuk még a bevezetés során igénybe vett tanácsadói költségeket, valamint a tanúsító audit (magasabb) díját és a szabványok megvásárlását is.

Az OPEX, vagyis az Operational expenditure működési költséget jelent. Működési költségekről már egy bevezetett és  tanúsított ISMS esetében beszélhetünk, amit fenn kell tartani. Az OPEX költségek tehát a kontrollok üzemeltetésének, illetve különböző havidíjas biztonsági szolgáltatások és licenszek díját, kiszervezés vagy támogatás esetén a tanácsadói díjat, illetve az éves felülvizsgálati auditok díját foglalják magukban.

A TCO, vagyis a Total Cost of Ownership a tulajdonosi költséget vagy birtoklási összköltséget jelenti, ami gyakorlatilag a CAPEX és OPEX összegéből áll elő, 3-4 évre vetítve. A TCO fogja elárulni a menedzsment számára, hogy az ISMS bevezetés és fenntartás összesen mekkora költséget fog jelenteni.

A ROI, vagyis a Return on Investment a befektetés megtérülési arányát jelenti. A ROI egy ISMS projektnél nehezen megfogható, de a teljesség kedvéért célszerűnek tartom beemelni a "képletbe". Az ISMS projektnek csak kiadásai vannak, számszerűsíthető bevételt nem igazán lehet meghatározni. Bevételt azon üzleti lehetőségek kiaknázása hozhat, amelynek feltétele, vagy kifejezett előnye az ISMS tanúsítás megléte. Bevételt ugyan nem hoz, de a hatékonyabb működéssel csökkenthetők a költségek, illetve az esetleges bírságok elmaradása és a reputációveszteség elkerülése is pozitív hatással lehet a számokra.

 

Konklúzió

A menedzsment támogatás megszerzésére nincs általános recept és gyakran nem a cikk tartalmát képző üzenet összeállítása jelenti a nehézséget, hanem annak az alkalomnak a megteremtése, ahol azt át lehet adni címzettjeinek. Nagyvállalati szinten az Audit Committe vagy Risk Committee-k formájában már megvannak ezek a fórumok, de közepes méretű vállalatoknál az információbiztonsági vezető ritkán jut be a megfelelő ajtók mögé, ha van ilyen személy. Ilyen esetekben alkalmazhatók a soft skillek és a szervezeten belüli kapcsolatok.

A következő cikkben a menedzsment támogatás megszerzését követő lépésekről, vagyis az ISMS projekt tervezéséről és annak konkrét lépéseiről fogok írni.

Három kulcspont, amelyek megalapozzák a hatékony IT üzemeltetést

Becker Zoltán cikke #adatközpont

2021. április 01. - EURO ONE

Manapság számtalan terület van, amelyek erős kihívásokkal küszködnek. Ezek egyike az IT üzemeltetés, ahol normális körülmények között is mindig akadnak idő előtti megőszülést előidéző problémák, de a COVID-19 járvány okozta bizonytalanság csak tovább fokozta ezek súlyosságát. A terjedő távmunka, az ingatag gazdasági környezet, a növekvő szakemberhiány nem egyszerűsíti az IT üzemeltetésben dolgozók életét.

adatkozpont-blog-cikk_vegleges.png

Kihívások minden szinten

A hazai helyzet sem éppen rózsás, a hozzánk forduló cégek szinte mindegyikének komoly fejtörést okoz az erőforrás- és tudáshiány. A temérdek elvégzendő feladat mellett nincs idő képzésekre, ráadásul a munkavállalók sem feltétlenül motiváltak abban, hogy ha a cég nem segít ezen a téren - nem adnak rá se pénzt, se időt -, akkor legalább önképzésbe kezdjenek. Új, modern termékekkel megismerkedni pedig nem mindig egyszerű dolog, nem mindenki születik úgy, hogy zsigerből kiigazodjon egy komplex rendszeren és azt szakértő segítség nélkül, a kisujjából kirázva legyen képes megfelelően használni. Kevés az a szerencsés, aki önerőből tud haladni a korral, ráadásul nem is feltétlenül elég, ha csak a munkaerő fejlődik, a környezetet, az eszközöket, minden hátteret naprakészen kell tartani.

Sokszor előfordul az is, hogy amikor a cégvezetés végre elhatározásra jut egy oktatási terv mellett, a bevezetést felülírják a csúfos anyagiak, vagy épp azoknak az idejével nem sikerül összhangba hozni a dolgokat, akiknek az egész képzés szólna.

Emellett a legtöbbször csak azon projektek váltanak ki reakciókat, amelyek éppen napirenden vannak. A legtöbb helyen nincs előre tervezés. Pedig egy versenyszektorban található cég üzemeltetése alapvetően nem csak a napi problémákkal, konkrét üzemeltetési feladatokkal foglalkozik. Ez egy szerteágazó, több szintes feladatkör, amelybe éppúgy beletartozik a szerverek és a hálózatok üzemeltetése, mint a helpdesk. Ha viszont ennyire sokrétű ez a terület, még fontosabbnak tűnik, hogy a munkatársak lehetőleg önképzők legyenek. Egy ilyen szakmában mindig van olyan tudás, amit újonnan kell elsajátítani. Ehhez adhat lökést a cég is, ha egy konkrét új termék használata miatt van szükség képzésre, de késztethet rá belső indíttatás is, ha például valaki úgy érzi, hogy egy monitoring rendszer sokat egyszerűsítene a napi munkán, s ezért hajlandó időt szakítani a tanulásra.

Ugyanígy felmerülhet valakiben az ötlet, hogy ideje lenne kiépíteni egy belső tudásbázist, amelyre bárki, bármikor támaszkodhat, ha visszatérő problémákat kell megoldani. Kézenfekvő egy ilyet felépíteni, hiszen a kollégák napi szinten akadnak el azonos gondokkal, például az Outlook használatával. Olykor ehhez elég egyszerűbb alapokat választani, nem kell feltétlenül a legösszetettebb rendszerben gondolkodni. A lényeg, hogy megszülessen a gondolat és aztán materializálódjon is a megoldás, esetünkben egy céges tudásbázis létrehozása.

A leghatékonyabb egyébként a proaktív üzemeltetés kiépítése. Ez nem ördögtől való dolog, egyszerűen csak arról van szó, hogy előbb kiderül egy probléma és elindul annak megoldása, mint ahogy azt a felhasználók jelzik. Ha például - maradva a példánál - az Outlookban folyamatosan visszatérő gondok adódnak több felhasználónál, akkor nem egyenként próbáljuk megoldani azt, hanem felkutatjuk a probléma gyökerét és arra keresünk gyógyírt. Egy ilyen megoldás implementálásával proaktívan előzhetjük meg az adott problémák tömegessé válását.

Három kulcspont a hatékony IT üzemeltetéshez

A fentiek alapján tehát akkor járunk jól, ha elkezdünk olyan termékeket használni, amelyek hatékonyan segíthetik a munkánkat. Ez lehet egy tudásbázis, egy monitoring eszköz, vagy mondjuk egy SCCM típusú termék, amely a távoli telepítést és menedzselést segíti. Utóbbival például rengeteg pénz, idő és energia spórolható meg, hiszen nem kell minden egyes alkalommal kicaplatni az ügyfélhez, hanem távolról intézhetők a frissítések.

Foglaljuk össze röviden, melyek azok a pontok, amelyekre odafigyelve megoldható a proaktív IT üzemeltetés bevezetése és hatékony használata.

Tudásbázis

A tudásbázis kiépítésének első lépése minden bizonnyal a dokumentáció iránti igény kialakítása. Ezután vehetünk bele olyan dolgokat a tudásbázisba, amelyek nem szerves részei egy dokumentációnak, leírásnak. Ezeket is elkezdhetjük a közös felületen összegyűjteni, rendszerezni, kategorizálni. Ehhez akad számtalan remek céleszköz, de akár egy helpdesk rendszerre is építhetünk.

Emellett szükséges, hogy felismerjék, hogy akadnak visszatérő dolgok, amelyeknek hosszútávú hatása lehet. Ezeket már alacsony szinten fel kell tudni ismerni, kigyűjteni őket, s közzétenni a tudásbázisban. Ha ez így történik, akkor nem stresszhelyzetben szembesülnek először a problémával, emellett pedig az adott hiba megoldására így több idő jut, nyugodtabban lehet átgondolni, s jobb megoldásokat lehet találni, mintha élesben kell rögtönözni, kapkodni. Még az is előfordul ilyen esetekben, hogy a körültekintőbben végiggondolt megoldások akár egyéb hibák esetében is alkalmazhatók lesznek, így egy csapásra több szinten is megkönnyíthetjük a saját dolgunkat. Ráadásul ez olyasféle önfejlesztő folyamat is egyben, amely nem csak az analitikus gondolkodást segíti, hanem a képes felhozni a szakmaiságot is, hiszen új dolgokra is fény derülhet. Kiváló tanulási alap.

Monitoring

Ez az abszolút klasszikus kulcspont. Egy jól konfigurált, megfelelően paraméterezett monitoring még azelőtt jelez nekünk, hogy a felhasználó szembesülne a hibával. Egyszerű példával élve: nem azt jelzi, hogy betelt a merevlemez, hanem már azt is, ha túlságosan lecsökkent rajta a szabad hely. Így még a háttértár teljes telítődése előtt megtehetjük a szükséges lépéseket, a felhasználó pedig ebből mit sem érzékel, ugyanúgy végezheti a dolgát, mint azelőtt.

Emellett a monitoring rendszer kiváló forrás elemzésekhez is. A visszanyerhető adatok vizsgálatával számtalan megbújó hibára, fejlesztendő területre, leendő beruházási pontokra bukkanhatunk rá, amelyek amúgy észrevétlenül megbújnának az infrastruktúra egészében, s csak későn szembesülnénk velük.

Távoli üzemeltetés

Végül szintén sokat segíthetnek a hatékony IT üzemeltetési rendszer kiépítésében a különféle távoli üzemeltetést lehetővé tévő megoldások. Ilyen például a Microsoft SCCM, de természetesen a redmondi megoldáson kívül is akad még seregnyi remek eszköz ezen a területen.

Ezek segítségével megoldható a távoli telepítés, frissítés, szoftvermenedzselés. Nem vagyunk sem helyhez, sem az adott felhasználóhoz kötve. Még csak fárasztanunk sem kell azzal, hogy az apróbb frissítésekről értesítsük, adott esetben a háttérben, észrevétlenül megoldható minden.

Mivel a kiberbűnözők a COVID-19 miatt (is) aktívabbak mint azelőtt, már nincs idő a felhasználó kénye-kedve szerint időzítgetni egy fontos biztonsági frissítés telepítését. Hosszú távon ezzel anyagi és erkölcsi szempontból is jót teszünk a céggel, hiszen manapság egy adatvesztés - s pláne egy adatlopásos esemény - mindkét szempontból képes a vállalatokat megtépázni.

Összegzésül

Az üzemeltetés tulajdonképpen egy szervezet, s ha innen nézzük, számos rétegből áll össze. Amennyiben ezek a rétegek megfelelően épülnek fel - klasszikus példa erre egy call center, egy helpdesk, a felhasználókkal foglalkozó üzemeltetők, a user adminisztrátorok, és az üzemeltető mérnökök -, akkor kialakul egyfajta összhang. Így amellett, hogy jól tudnak egymással dolgozni, tanulhatnak is egymástól, minden irányban. Ráadásul ez egyfajta karrierépítésre, fejlődésre is lehetőséget nyújt.

Emellett mindig kell, hogy legyen valaki - csoportvezető -, aki amellett, hogy végzi a munkáját, egyben felügyeli is az egészet, hogy ha esetleg valahol elakadás van, ott is sikerüljön áthidalni a kihívásokat. A döntéshozást érdemes olyasvalakire bízni, aki átlátja az egészet és tud segíteni másoknak is a döntéseik meghozatalában. Ez is egyike a fontos kulcspontoknak, amelyekkel kiépíthető a hatékony IT üzemeltetés.

Még nincs vége: digitális veszélyek, COVID-ra kihegyezve

Krékity Gusztáv cikke

2021. március 10. - EURO ONE

Tavaly közzétettünk egy statisztikákkal megtűzdelt bejegyzést arról, milyen módon használják ki a világjárvány generálta félelmet és káoszt a kiberbűnözők, hogy sikeres támadásokat hajtsanak végre világszerte. Itt olvasható. Most megjelentek a Trend Micro elemzőcsapatának legfrissebb kutatási adatai arról, miként lovagolták meg a vírusjárvány második hullámát a rosszindulatú hackerek, milyen támadási kísérletekkel igyekeztek megtéveszteni áldozataikat.

digitalis-veszelyek.jpg

Még mindig itt van velünk

Bár 2020-at már magunk mögött hagytuk, a világjárványtól sajnos nem sikerült megszabadulnunk, továbbra is hatalmas zavart okoz a vállalkozások mindennapi életében. Az üzleti műveletek fenntarthatósága miatt - a távoli munkavégzés mellett - a felhő alapú megoldások használata átlagosan 35%-kal növekedett a céges környezetekben, 2019-hez képest. Ez a szám várhatóan tovább növekszik majd a közeljövőben, hiszen a Cloud, mint megoldás, a digitális átalakulás középpontjába került.

A támadók rutinosan alkalmazkodtak a helyzethez és egyre összetettebb, bonyolultabb támadási technikákat vetettek be, ám ezeket a jól bevált módszerekbe csomagolták. Így továbbra is vezető szerephez jutottak az e-mail üzenetekben érkező támadások: Phishing, Malspam, Social Engineering, Malware vagy BEC.

A következő kimutatásokat és adatokat a Trend Micro Cloud App Security segítségével publikálta a gyártó. Ehhez különböző üzleti területen tevékenykedő és eltérő méretű cégek adatait dolgozták fel, anonim módon.

A COVID-19, mint eszköz, minden téren

Mint azt korábban már megírtuk, 2020 január és június között közel 9 millió, a COVID-19-hez kapcsolódó fenyegetést észleltek, azonban év végére már több mint 16,7 millió magas kockázatú e-mail fenyegetést detektált és blokkolt sikeresen a Trend Micro API eszköze, amelyet a Microsoft M365 második védelmi rétegeként integráltak a céges környezetekbe. Az összegző statisztikából megállapítható, hogy a támadások intenzitása növekedett, de az összetett BEC támadások száma a teljes évet figyelembe véve valamelyest csökkent. Eközben az adathalászat mértéke is érezhetően megnőtt. Az adathalászat és a megtévesztésre épülő támadások legnépszerűbb témája pedig egyértelműen a COVID-19.

1_5.jpg

A távmunka hétköznapivá válásával 50-60%-kal nőtt meg az internetszolgáltatók leterheltsége: csak Délkelet-Ázsiában több mint 40 millió ember használta életében először otthoni munkavégzésre az internetet. A home office-ra való átállással arányosan növekedett az igény a meetingek megvalósításához szükséges alkalmazások használatára, miközben a levelezés is elengedhetetlen részét képezte a munkavégzésnek, hiszen ezzel lehetett a leghatékonyabban megoldani a kapcsolattartást munkatársakkal, ügyfelekkel. Egy felmérés szerint a pandémia alatt már átlagosan napi 306,4 milliárd e-mailt küldtek és kaptak naponta a felhasználók. Sajnos az e-mailek túlnyomó része fertőzött volt, vagy rosszindulatú tartalommal érkezett.

Annak ellenére, hogy a felhős rendszerek és szolgáltatások rendelkeznek beépített fenyegetésészleléssel és blokkolási képességekkel, a Trend Micro CAS által szolgáltatott adatok azt mutatják, hogy több millió fenyegetésnek sikerült kicseleznie ezeket az integrált szűrőket.

2_4.jpg

A példa kedvéért a fenti képen jól látszik, hogy egy 10 ezer felhasználós környezetben, ahol M365 E3 integrált védelemmel rendelkezett az ügyfél és egy Cloud App Security is rendelkezésre állt második védelmi rétegként, kicsivel több mint 755 ezer magas kockázatú kártékony tartalommal rendelkező levél került blokkolásra 2020 január és december között. Ez egyébként felhasználónként körülbelül 75 kártékony levelet jelent, amelyeket az alap szűrési csomag natív védelmi szolgáltatása tisztának jelölt. Ezek alapján bizony érdemes megfontolni a rendszerekben a többrétegű védelem kialakítását, hogy sikerrel vehessük fel a harcot a támadókkal szemben.

Az adathalász támadások számának és kifinomultságának növekedése

2019-hez képest a 2020-as évben jelentős növekedést tapasztaltak az adathalász kampányok számában, amelyek a korábbi esetekhez képest kifinomultabbak, szofisztikáltabbak lettek és egyre inkább személyre szabottá váltak. Ezek a támadások jellemzően arra építenek, hogy a gyanútlan áldozatoktól egy jól felépített hamis oldalon keresztül céges belépési hitelesítő adatokat szerezzenek meg.

3_3.jpg

Csökkenő számú BEC támadások, növekvő veszteségekkel

A BEC támadások visszaesése valószínűleg a kifinomultabb technikáknak köszönhető. Bár az elmúlt évek növekedéséhez képest a BEC alapú támadások száma mostanában inkább csökkent, mégis ez a támadási forma okozta a legnagyobb veszteséget az áldozatoknál. A támadások számának csökkenésével párhuzamosan az okozott kár mértéke ugyanis növekedett az elmúlt évekhez képest. Az APWG (Anti-Phishing Working Group) nemrég tette közzé, hogy 2020 első felében egy sikeres BEC támadás átlagos költsége 54 000 USD volt, de 2020 második felére ez az összeg átlagosan legalább 80 183 USD veszteséget okozott egy sikeres támadás során. A Trend Micro publikálta, hogy 2020 során ők 317 575 BEC támadást blokkoltak összesen.

Népszerűbbek és összetettebbek lettek a rosszindulatú programok

A levelekben detektált és letiltott kártékony fájlok száma 16%-kal nőtt 2020-ban. Több, mint 1,1 millió rosszindulatú program észlelése alapján a Trend Micro azt a következtetést vonta le, hogy az ismert kártékony programok aránya 14%-kal, az ismeretlen kártékony kódok aránya pedig 17%-kal nőtt tavaly.

4_1.jpg

Összegzésül

Összességében elmondható, hogy az elmúlt évben az egészségügyi válságot nem csak az első hónapokban igyekeztek meglovagolni a támadók, hanem egész évben - kisebb-nagyobb intenzitás csökkenéssel, de - visszatértek hozzá. A BEC támadások száma csökkent, de a veszteségek ennek ellenére növekedtek a sikeres támadások által. Az elmúlt év tapasztalatai alapján elmondható az is, hogy a világjárvány idején - és még bőven azon is túl - az információbiztonságnak minden vállalkozás számára prioritást kellene élveznie, mérettől függetlenül. A vállalatok és szervezetek minden eddiginél jobban és sokkal nagyobb mértékben támaszkodnak a felhő alapú e-mail szolgáltatásokra és alkalmazásokra. A szervezeteknek mérettől függetlenül többrétegű biztonsági megoldásokkal érdemes tervezni, s megnövelni az integrált védelmi megoldások hatékonyságát a biztonság fokozása érdekében. Mindezt nem csak a levelezésnél, de a többi együttműködési platformon - például M365 Teams, Google Workspace stb. - esetében is.

Mire figyeljünk egy többrétegű védelem kiválasztása során?

Fontos, hogy a megoldások jövőbemutató technológiákat alkalmazhassanak. Így például:

  • Gépi tanulási képességek az e-mail üzenet szövegtörzsének ellenőrzésekor vagy a mellékletben található gyanús tartalom ellenőrzésénél.
  • Érdemes figyelni arra, hogy az integrált megoldás rendelkezzen saját Sandbox funkcióval, amely képes a fejlett és ismeretlen támadások ellen hatékonyabb védelmet nyújtani.
  • A megoldásnak támogatnia kell a belső levelezés ellenőrzését, hogy a BEC támadásokat sikeresen észlelje és blokkolja.
  • Támogassa és alkalmazza az optikai karakterfelismerési technikákat (OCR).
  • Támogassa az adatszivárgás detektálást és tegye lehetővé a DLP házirendek kialakításának a lehetőségét.
  • Legyen képes védelmet nyújtani az adatvesztéssel és a kártékony kódokkal szemben a felhő alapú fájlmegosztásokban (OneDrive, SharePoint, Google Drive, Dropbox stb.).
  • Kínáljon zökkenőmentes integrációt a meglévő felhőalapú beállításokkal.
  • Minimalizálja a további erőforrások bevonásának szükségességét, a fenyegetések kockázatának automatikus felmérésével.

Tavaly szeptemberben volt egy webinárunk, ahol arról beszéltem, hogyan védjük ki a támadásokat Microsoft 365 esetén. Ide kattintva elérheted a videót. 

Palo Alto Networks jóslatok 2021-re

Krékity Gusztáv cikke

2021. február 01. - EURO ONE

Két dolog egészen biztosan nem maradhat el egy új év első hónapjában: a fogadalmak és a jóslatok. Így van ez természetesen 2021-ben is, s nem kivétel ez alól az IT biztonság területe sem. A piac vezető szereplői minden januárban elkezdik kialakítani a következő hónapokra vonatkozó elképzeléseiket azzal kapcsolatban, hogy mire is számítanak, vagy épp milyen kulcsszerepet kapó trendek várhatók az adott esztendőben. Idén sem volt másképp: ahogy annak lennie kell, megérkeztek a jóslatok arról, miként képzeli el Palo Alto az új évet. Ezeket az elképzeléseket szeretnénk most megosztani veletek.

Fokozott próbatételek utáni élet

2020 meglehetősen rendhagyóra sikerült, s ennek köszönhetően vízválasztónak tekinthető az IT biztonságban is. Rengeteg új kihívással és próbatétellel szembesültünk a pandémia időszakában. Mivel a COVID-19 hatása nagy valószínűséggel a következő években is érezhető lesz, a vállalkozásoknak tovább kell gondolniuk IT, illetve azon belül IT biztonsági stratégiájukat, hogy hosszabb távon eligazodjanak az új normák között. Mivel egyre jobban függünk a technológiától, létfontosságú kérdés, hogy mennyire lesznek képesek biztosítani a vállalkozások a 2021-es digitális jövőt. De talán még ennél is fontosabb felvetés, hogy mennyire lesznek képesek biztonságosan megoldani a felmerülő kihívásokat.

Következzenek hát a Palo Alto Networks által megfogalmazott, kiberbiztonsággal kapcsolatos előrejelzések, amelyek 2021-ben befolyásolhatják a digitális világot.

IoT eszközök számának növekedése

A legfrissebb IoT biztonsággal kapcsolatos kutatások szerint a BYOD növekvő szerepének köszönhetően egyre több nem céges, üzleti jellegű eszköz kapcsolódik a belső hálózatokhoz. Jól megfigyelhető, hogy a biztonsági irányelvek az elmúlt időszakban enyhültek, hogy lehetővé váljon a dolgozók számára a kényelmesebb munkavégzés. Ez azonban azzal jár, hogy a rendszerek a végfelhasználói eszközök számának növekedésével sokkal nehezebben felügyelhetők és kevésbé átláthatók, ráadásul jelentősen megnő a biztonsági kockázat is.

Terjednek a pandémiára építő csalások

Legyen szó nagyvállalati környezetről, kis- és középes vállalkozásokról vagy épp magánszemélyekről, a pandémia idején sajnos minden szinten jóval több sikeres támadás történt, mint az elmúlt években. Immár bárkiből, bármikor lehet áldozat, nem csak egy potenciálisan kiemelt intézményből vagy szervezetből. A támadók idén is kihasználják majd a COVID-19 által generált zavaros és félelemmel teli helyzetet: számtalan elterjedt pszichológiai manipulációval hatnak az emberek kétségbeesésére. Utóbbi ugyanis nagyszerű táptalaj az adathalászathoz és a bankkártyás csalásokhoz.

Munkavállalói kimerültség

Az elmúlt időszakban csökkent a személyes találkozások lehetőségének száma és egy digitális térben történő folyamatos, csak minimális szünetekkel megszakított kommunikációra álltunk át. A digitális munkára történő váltás magával hozta, hogy új IT biztonsági oktatási programokra is felhívjuk a figyelmet. Mit jelent ez pontosan? Nos, figyelni kell például arra, hogy az emberek képesek legyenek észrevenni a szellemi fáradtság és a koncentráció csökkenésének a jeleit, s ennek kapcsán megfelelő mennyiségű szünetet tervezzenek be a megbeszélések közé. A vállalkozásoknak számolniuk kell az emberi hibatényezőkkel is. A távoli kapcsolatokat, céges erőforrás eléréseket fokozottan kell figyelni és ellenőrizni az otthoni munkavégzés során.

Terjed az 5G

Egy ideje hatalmas beruházások zajlanak a háttérben az 5G bevezetésére, s vélhetően 2021 lesz az az év, amikor a kiberbűnözők már elkezdik kihasználni az új lehetőségeket és feltérképezni azokat a módszereket amelyekkel 2022-ben már a kiépített 5G hálózatokat támadhatják. Miért 2022-ben? Leginkább azért, mert jelenleg még túlságosan csekély az 5G kihasználtsága. Azonban 2022-re jó eséllyel a piaci szereplők közel egyharmada átáll az 5G használatára Európában. Ráadásul arra is számíthatunk, hogy egyre többen vezetnek majd be 5G alapú privát hálózatokat a közeljövőben, hiszen ez remek eszköz lehet a gyorsabb és hatékonyabb munkavégzés elősegítésére.

Irány a felhő!

A közelmúltban egyre több európai vállalat kezdte megtervezni, hogy a kulcsfontosságú üzleti folyamatait miként mozgassa át felhőbe az elkövetkező évek során. A világjárvány miatt e folyamatok sok helyen rohamtempóban zajlanak és csupán néhány hónapos migrációs tervezésre alapoznak ahelyett, hogy a jelenlegi folyamatok újradefiniálására szántak volna időt. A felhőbe költözés kritikus fontosságú lépés, amelyet jól meg kell tervezni. A megvalósíthatóságot biztonsági szempontból is át kell vizsgálni, mert bár a folyamtok ugyanazok maradhatnak, ám a környezet és az információk biztonságának védelme alaposan megváltozik. A vállalkozások többsége 2021-ben már a migrációs folyamatok második szakaszának megvalósítását tervezi, hogy mielőbb kiaknázhassa a szervezet a felhő használatából származó előnyöket. A gyors migráció azonban sok esetben vezethet - vagy adott esetben a közelmúltban vezetett is - biztonsági hiányosságokhoz, s ennek következményeként egyre több felhő alapú környezetben lehet adatlopásra számítani idén.

A SOC csapatok problémáinak növekedése

2021-ben a jelentős mértékű szakemberhiány mellett a korai kiégés lehetősége is fejfájást okozhat majd. Sok SOC csapat megszokta már munkája során, hogy több forrásból, több monitoron keresztül kell kezelni egy–egy támadást és a kivizsgálási folyamatokat. Emellett azon sem csodálkoznak, hogy a biztonsági megoldások száma évről évre növekszik. A megszokás azonban nem jelenti azt, hogy ez a jó irány. Az eszközök számának növekedése több kivizsgálandó hamis riasztást generál, amelyek elfedhetik a valós veszélyeket. Az elemzők gyorsabban kifáradnak, kiégnek. A klasszikus SOC koncepciót érdemes újragondolni és elgondolkodni az automatizációs lehetőségek bevezetésén, vagy épp az ML és AI alapú megoldások alkalmazásával segíteni a SOC-ban dolgozókat, hogy proaktívak legyenek a támadókkal szemben.

Shadow IT növekedése az ipari környezetekben

Az Shadow IT, avagy az árnyékinformatika az OT környezetekben is egyre inkább jelen van. A digitalizálási folyamatok jelentősen felgyorsulnak és többnyire az elavult OT rendszereket igyekeznek összekötni IoT megoldásokkal. Az IT és OT környezetben egyaránt nagy kihívást jelent az árnyékinformatika felderítése. Az energetikai ipar egyre jobban bővíti az IoT eszközök használatát 2021-ben, de a Zero Trust megoldások is fokozatosan népszerűbbé válnak. A SOC csapatoknál egyre inkább összevonásra kerül az IT és az OT, IIoT megoldások figyelése és monitorozása.

A kiberbűnözők és a COVID kapcsolata

A bűnözők naprakészen követik az épp aktuális trendeket, híreket, amelyek segítségével egy-egy támadást felépíthetnek és sikeresen végrehajthatnak. 2020-ban ez nagyrészt a világjárvány okozta félelemre és érdeklődésre összpontosult: számos COVID-19 tartalommal ellátott BEC támadást és kampányt hajtottak végre sikeresen a rosszfiúk. Nem lesz ez másként idén sem, az egyetlen változást valószínűleg a támadások számának további növekedése és az egyre kifinomultabb módszerek jelentik majd.

Zárszóként

Így a végére következzen egy idézet, amely szerintük remekül összefoglalja a fentieket. Heider Pasha a Palo Alto Networks MEA vezetője szerint:

„A 2020-as év a globális világjárvánnyal párosulva soha nem látott módon megváltoztatta a szervezetek és az egyének életének mindennapi aspektusát, ideértve a Közel-Keleten végzett munkákat, életvitelünket és az üzleti tevékenységeket is. A következő évben a technológiai fejlődés hatására beleértve az 5G hálózatokat, a felhő és a ZTP technológiák növekedését új kihívásokat és biztonsági réseket is fogunk tapasztalni. Megfelelő kiberbiztonsági stratégiák mellett azonban az informatikai felsővezetők jól felkészülhetnek ahhoz, hogy átláthatóvá tegyék és legyőzzék az újév kihívásait.

Kövess minket a LinkedIn-en!

Megfontolandó IT biztonsági tanácsok 2021-re

Krékity Gusztáv cikke

2021. január 13. - EURO ONE

Ha nagyon finoman akarunk fogalmazni, akkor egy igen szokatlanra sikerült éven vagyunk túl 2020 hátrahagyásával. Nem csak a valóságban tomboló COVID-19 járvány, hanem a virtuális világban megjelenő - sok esetben a járvány által generált félelemre építő - rengeteg új biztonsági kockázat és fenyegetés is próbára tett mindenkit. Reméljük, azért legalább az év vége viszonylagos nyugalomban telt a többségnek és sikerült - a lehetőségekhez mérten - méltón ünnepelni és átkelni az új évbe. Ezúton is mindenkinek BÚÉK!  

Ám az ünnepnek vége, indulnak 2021 dolgos hétköznapjai, s nem is mi lennénk, ha nem azzal kezdenénk az évet, hogy néhány hasznos biztonsági tanáccsal szolgáljunk a blog olvasóinak. Merthogy ez az év szintén nem lesz egyszerű, sem a valóságban, sem a számítógépek és okoseszközök világában. Utóbbiban már csak azért sem, mert a pandémia hatására az elmúlt hónapokban a távmunka sosem látott méreteket öltött, ami jelentősen megnövelte a biztonsági kihívásokat. S így lesz ez idén is.

A biztonságos távmunka biztosítása

Szóval a tavalyi évhez hasonlóan idén is sokan dolgoznak távmunka keretein belül otthonról, amit a támadók sajnos előszeretettel kihasználnak. Az elmúlt év tapasztalatai és visszajelzései alapján elmondható, hogy a világjárvány következtében rengeteg vállalatnál döbbentek rá: hiányoznak náluk a megfelelő irányítás és a biztonságos távkapcsolat kialakításának alapjai, mert a múltban ez nem volt kiemelt szempont. Emellett számos olyan vállalat akad, amelyek ellenálltak, sőt, még mindig ellenállnak az otthoni munkavégzés bevezetésének.

Ha viszont egy vállalatánál az elmúlt évben gyorsan kellett cselekedni és megalapozni a távoli munkavégzés lehetőségét, vagy épp most fontolgatják a hosszútávú távoli munkavégzés kialakítását, akkor nagyon fontos teendő, hogy idén mielőbb meghatározzák az irányelveket, szabályokat, végrehajtási eljárásokat. A megfelelő szabályozások és eljárások lefektetésével hozzájárulhatunk ahhoz, hogy az alkalmazottak tisztában legyenek a vállalati eszközök, hálózatok használatának elfogadható módjaival, az ezzel járó felelősséggel, illetve a szervezeti elvárásokkal és folyamatokkal. A biztonságos távmunkáról már írtunk, itt találod. 

BYOD felügyelet

Manapság egy modern hálózatban, munkakörnyezetben a BYOD kezelése kritikus és kulcsfontosságú, főként az otthoni munkavégzésnél. A távoli végpontok kezelése és megfelelő védelme nélkül hatalmas kockázatot vállalunk. Így például a céges hálózatot és vállalati környezetet kiemelten veszélyeztetheti egy hiányos védelemmel rendelkező rendszer, amely VPN-t használ a vállalti hálózatok elérésére. Éppen ezért győződjünk meg arról, hogy rendelkezünk olyan eszközzel, amellyel - megfelelő ellenőrzések mellett - biztosítani tudjuk a VPN hozzáférést a vállalati tulajdonban lévő erőforrásokhoz és adatokhoz. Fontos felügyelni, hogy melyik végpontról ki és milyen erőforrásokhoz férhet hozzá a távoli munkavégzés során, hiszen egy ismeretlen BYOD eszköz használatakor nem tudhatjuk, mi lapul egy felügyelet nélküli végponton. 

Végpontvédelem

Amennyiben az elmúlt év során nem tettük, idén érdemes megfontolni egy fejlett végpontvédelmi megoldás bevezetését , mert ezáltal a támadások jelentős része még időben megállítható. Sok vállalat küzd azzal, hogy On-prem végpontvédelmet használnak, és nem tudják frissíteni a vírusvédelmi rendszert anélkül, hogy a végpont ne csatlakozna a céges hálózathoz. E probléma elkerüléséhez előnyös lehet egy jövőbe mutató felhő menedzsmenttel rendelkező, következő generációs végpontvédelmi rendszer bevezetése, hiszen így anélkül frissíthető, menedzselhető, ellenőrizhető egy végpont, hogy csatlakoznia kellene a céges VPN-hez. Végpontvédelemről szóló korábi cikkünket itt találod. 

VPN kapcsolatok biztonságos kialakítása

A bejegyzés elején említettem, hogy sok céggel találkoztunk amelyeknél hirtelen, fejetlenül kapkodva oldották meg az otthoni munkavégzéshez szükséges biztonságos távoli kapcsolat kialakítását, valamelyik - általában átgondolatlanul kiválasztott - SSL VPN megoldással. A kialakítás során számos ügyfél választotta a „get-it-work” megközelítést, s nem volt képes megfelelően biztosítani és levédeni azokat a VPN belépési pontokat, amelyekre valóban szükség lett volna a biztonságos távoli munkavégzés során. De mire is van szükség ahhoz, hogy biztonságosan tudjunk távolról a céges erőforrásokhoz és adatokhoz hozzáférni?

   Megfelelő VPN koncentrátorra vagy olyan tűzfalra, amely támogatja a szükséges VPN koncentrátori funkciókat és ellenőrizhetővé, szabályozhatóvá varázsolja a munkavégzéshez szükséges eléréseket.

   Felhasználói szerepkörök és hozzáférések kialakítására. 

   Kizárólag megbízható és ellenőrzött végpontok beengedésére a céges hálózatra, amelyeket teljes mértékben tudnunk felügyelni.

   A biztonságos távoli eléréshez legalább kétfaktoros hitelesítés bevezetésére.

Ezt a korábbi cikkünket ajánljuk ehhez a témához. 

Védelmi intézkedések validálása

Tudatában kell lennünk, hogy a védelmi intézkedések és szabályozások validálását pandémiától függetlenül is mindig el kell végezni. Számos ügyfél, IT és IT biztonsági csapat dolgozott az elmúlt évben azon, hogy olyan rendszert és védelmi megoldásokat alakítsanak ki, amellyel kellő hatékonysággal képesek megvédeni a felhasználókat. Immár legalább 9 hónapja dolgozunk otthonról, s a legtöbb új rendszer aktív részét képezi a céges infrastruktúrának, eljárásoknak. Így idén érdemes megkezdeni a vállaltoknál az újonnan bevezetett védelmi megoldások, intézkedések biztonsági felülvizsgálatát és tesztelését. Ez megvalósítható Red Team, Blue Team vagy Purple Team bevonásával annak érdekében, hogy megtudjuk, az újonnan telepített megoldások mekkora hatékonysággal képesek megvédeni a hálózatot, a távoli végpontokat és a felhasználókat. Olvasd el a korábbi bejegyzésünket a témához kapcsolódóan itt.

Tarts idén is velünk, nézd meg a videónkat. MEGNÉZEM

Kövess minket a LinkedIn-en, hogy értesülj a rendezvényeinkről.

ISMS tévhitek, avagy lássunk az ISO 27001 tanúsítványon túl

Tóth Tamás cikke

2020. november 24. - EURO ONE

Az ember azt hihetné, a szabványok pont olyan egyértelmű dolgok, mint a napfelkelte és naplemente. Mindig pontosan tudjuk, mikor, mire számíthatunk velük kapcsolatban. Pedig a helyzet korántsem ennyire egyértelmű. Itt van például a ISO 27000 szabványcsaládba tartozó 27001 szabvány, melynek megnevezése minden információbiztonsággal foglalkozó szakember számára ismerősen cseng: az első kiadása már 15 éves, a gyökerei pedig 25 évre nyúlnak vissza. Mivel az ISO 27001 világszerte ismert és meghatározó szabvánnyá vált, sokan legyintenek a neve hallatára, de valójában a mai napig számos tévhit és rossz gyakorlat él a szabvánnyal, illetve az azon alapuló Information Security Management System-mel (ISMS) kapcsolatban.

blogbejegyzes-iso.png

Egy ISMS bevezetése a szervezetek életében mérföldkő, hiszen összetett és bonyolult feladat, de mindig akadnak általános alkalmazandó lépések és közös elvek, amelyek gyakran tankönyvszagúnak hatnak. Cikksorozatunkban ezeket a lépéseket, elveket, gyakorlati tapasztalatokat kívánunk megosztani és szeretnénk eloszlatni néhány tévhitet.

Első tévhit: az ISO 27001 az IT biztonságra vonatkozik, így csak az IT-t érinti

Van két témakör, amelyeket gyakran szeretnek összemosni: az információbiztonság és az IT biztonság. Sokan az egész kérdéskört kizárólag technológiai oldalról közelítik meg. S bár kétségtelen, hogy e nézőpont az új és egyre kifinomultabb fenyegetések miatt fontos, de hiba lenne csupán erre szorítkozni.

Az ISO 27001 szabvány kontrolljainak kb. 40%-át technológiai, a maradék 60%-át pedig nem technológiai kontrollok teszik ki: szállítói kapcsolatok, felelősségek, teljesítménymérés, kockázatkezelés, vagyonelemek kezelése vagy akár a fizikai biztonság. Az ISO 27001 szabvány egy évek óta bevált keretrendszerbe foglalja a jól ismert, biztonsággal kapcsolatos people-process-technology hármast, s ebbe a csomagba tökéletesen illeszkednek az IDM megoldások, a felhőalapú szolgáltatások vagy akár az új generációs tűzfalak és a SOC.

Részben az elterjedt technológiai megközelítés táplálja a gyakori tévhitet, mely szerint az információbiztonság kizárólag az IT feladatköre. Valójában az IT üzemeltetésen kívül a fejlesztőknek, a HR-nek, a beszerzésnek, a jognak, a belső ellenőrnek (auditornak), a GDPR óta az adatvédelmi tisztviselőnek, a fizikai biztonsági személyzetnek, a felhasználóknak és nem utolsó sorban a menedzsmentnek is vannak felelősségeik.

Második tévhit: ISO 27001 tanúsítvánnyal rendelkezünk, biztonságosak vagyunk

A legtöbb szervezet elsősorban valamilyen szerződéses kötelezettség teljesítése végett, esetleg anyavállalati nyomásra vezet be és működtet ISMS-t. Az önálló elhatározás ritka, mint a fehér holló. Emiatt az ISMS bevezetések túlnyomó többségénél a falon lógó tanúsítvány a cél, s ezt a különböző sablonokkal, toolkit csomagokkal nem különösebben nehéz elérni. A megfelelés ilyen esetekben háttérbe szorítja a hatékony irányítást és a kockázatkezelést, s ennek veszélye, hogy ezzel a megközelítéssel az ISMS folyamatai, elvei nem épülnek be a szervezet folyamataiba, így nem szállíthat hozzáadott értéket.

Részben az előbbiek miatt, a tanúsítható irányítási rendszerek és más szabványoknak való megfelelés gyakran hamis biztonságérzetet ad a szervezeteknek és partnereiknek, miközben az egyszerű megfelelés korántsem egyenlő a valós, kockázatokkal arányos biztonsággal. Erre a legjobb példái a közelmúltban, a légiközlekedési iparágban végrehajtott támadások, amelyeket olyan légitársaságok is elszenvedtek, amelyek támadásban érintett rendszerei megfeleltek a - legszigorúbb információbiztonsági szabványok közé tartozó - Payment Card Industry Data Security Standard-nak (PCI-DSS). A falon talán tényleg ott lógott a tanúsítvány, de a gyakorlatban ennek vajmi kevés hasznát vették ezzel a hozzáállással.

Harmadik tévhit: nincs szükségünk kockázatkezelésre - és paradigmaváltásra -, az csupán formalitás

A falon lógó tanúsítvány esetét szembe lehet állítani a kockázatalapú- vagy akár a Governance Risk Compliance (GRC) megközelítéssel, ahol az információbiztonság valós hozzáadott értéket ad egy szervezetnek. A szórólapok már számtalan felsorolásban összegyűjtötték az ISO 27001 jellemzőit és előnyeit, de a kockázatkezelés jellemzően kimarad a listából, vagy nem kapja meg az őt megillető hangsúlyt.

Egyértelmű, hogy az ISMS fő célja az információbiztonsági kockázatkezelés kereteinek kialakítása és működtetése, ehhez viszont a legtöbb esetben paradigmaváltásra van szükség, ugyanis sok szervezetnél nem folytatnak szervezeti szintű kockázatkezelést (Enterprise Risk Management) és az információbiztonsági kockázatokat sem kezelik formális módon. Pedig az információbiztonsági kockázatok kezelése növeli a hatékonyságot, ami a kitűzött célok elérését és költségek csökkenését is eredményezheti.

A kockázatkezelés célja a bizonytalanság orvoslása, hiszen ennek köszönhetően a szervezetek kiszámíthatóbb módon működhetnek és ellenállóbbá válhatnak. Az összetett jogszabályi és iparági követelmények és a potenciális partnerek szerződéseinek hosszú információbiztonsági mellékletei sok szervezetet kihívás elé állítanak, de ezeket is be lehet, sőt, be is kell csatornázni a keretrendszerbe.

A fentiekből következik, hogy a kockázatkezelést - és az egész ISMS bevezetést, annak fenntartását - nem pusztán egy falra akasztható tanúsítványért érdemes végigvinni. Éppen ezért kell becsatornázni az aktuális kérdéseket, elvárásokat, aggodalmakat, és tartalommal megtölteni az ISMS-t. Ellenkező esetben a tévhitek tovább gyarapodnak.

Negyedik tévhit: az ISO 27001 bevezetése és fenntartása rengeteg adminisztrációval jár

Kétségtelen, az ISMS bevezetés és fenntartás adminisztrációjával és dokumentációjával kapcsolatos fenntartások részben jogosak, hiszen a dokumentált információ elve - szigorúan a kockázatkezelés és a menedzsment elkötelezettsége után - az ISO 27001 egyik legfontosabb eleme. A dokumentált információ elve biztosítja, hogy az evidenciák alapján az auditorok meggyőződhessenek az ISMS megfelelő működéséről.

E kérdést érdemes megfordítani és az érettségi szintek felől közelíteni. Akár a COBIT, akár a CMMI szerint értékeljük egy tevékenység érettségét, a dokumentáció mindenhol szóba kerül, hiszen enélkül képtelenség érettségi szintet lépni. Sajnos a dokumentáció kialakítása mindig a legkevésbé kedvelt feladatok közé tartozott, de ettől még számos előnye van. Gondoljunk csak a fluktuáció miatti tudásdeficitre, amit nem ugyan lehet teljesen kiküszöbölni, csökkenteni azonban igen!

Közhelynek tűnhet a silószerű működés, de jelen esetben is érdemes felszámolni. Ennek érdekében minden dokumentációt a szervezet már meglévő dokumentációs struktúrájába kell illeszteni, méghozzá a szervezet méretének megfelelően. Egy multinacionális nagyvállalatnak dokumentációs struktúrája persze más felépítésű, mint amit egy kkv esetében használnak. A GRC platformok (például az RSA Archer) megjelenésével bebizonyosodott, hogy ezen a területen az Excel táblázatokon túl is van élet, ami ráadásul hatékonyabb: elég csak az előkészített use case-ekre, applikációkra, vagy a többes hozzárendelésekre gondolni. Egy bizonyos szervezeti méret fölött célszerűbb ilyen GRC megoldásokat használni.

Ötödik tévhit: a sikeres ISO 27001 tanúsítás után nincs teendőnk

Milyen szép is lenne, ha a tanúsítvány falra akasztása után tényleg nem kellene többé foglalkoznunk az ISO 27001 kérdéskörével. Úgy tűnik, a többség fejében élénken él ez a tévképzet, mert - más szabványokhoz és tanúsítványokhoz hasonlóan - az ISMS-re is igaz, hogy sokszor a sikeres tanúsítást követően elhanyagolják őket. Vagyis a menedzsment elkötelezettsége drasztikusan csökken, a felelősök pedig gyakran csak az audit előtt végzik el a fenntartáshoz szükséges - egyébként szerteágazó és fontos - tevékenységeket.

A fenti megközelítés okait elsősorban arra lehet visszavezetni, hogy berögzülnek a rossz gyakorlatok, ennek következtében az ISMS-t nem sikerült megfelelően beilleszteni a szervezetbe és a folyamatokba, valamint a dokumentáció többlet terhet ró a felelősökre, ahelyett, hogy egyszerűsítené a munkájukat. Ez pedig - érthető okokból - nem különösebben motiváló.

A tanúsítás megfelelő megünneplése után a gyakorlattal ellentétben nem lehet elégedetten hátradőlni és gyönyörködni a falon lógó cetliben, hanem a bevezetés során összegyűjtött és beütemezett rendszeres ismétlődő feladatokat kell elvégezni. Miként azt korábban már leírtam: napirenden kell tartani és be kell csatornázni az ISMS-be az információbiztonsággal kapcsolatos tartalmat és kérdéseket.

Összeállítottunk egy mini oktatási anyagot a témában. TUDJON MEG TÖBBET RÓLA!

A védelem új szintje: gépi intelligencia a tűzfalakban és a hálózatbiztonságban

Krékity Gusztáv cikke

Nem kérdéses, hogy a kiberbűnözők folyamatosan - és sajnos igen hatékonyan - fejlesztik a különféle támadási technikákat, így a sikeres támadások száma évről évre növekszik. Mivel ezek a támadások igen gyors ütemben fejlődnek és egyre szofisztikáltabbá válnak, immár nagyon nehéz ellenük statikus módszerekkel és szignatúra alapú biztonsági megoldásokkal védekezni.

Ha ez még önmagában nem jelentene elég kihívást a szakembereknek, a védekezés másik nagy problémája, hogy napi szinten épülnek be a céges hálózatba új IoT eszközök, amelyek további támadási felületet nyújtanak a támadóknak és szürke zónákat hoznak létre a védelemmel foglalkozó csapatok számára.

gepi-intelligencia-a-tuzfalakban.jpg

Segít a gépi tanulás: PAN-OS 10, az iparág első ML alapú tűzfala

A gépi tanulásra (Machine Learning) képes tűzfalmegoldások lehetővé teszik, hogy ismeretlen fenyegetéseket detektálhassunk a periméteren, s ezáltal képesek legyünk növelni a hálózati biztonság szintjét, ideértve a hálózaton belül található IoT eszközök védelmének képességét is. A Palo Alto Networks ML alapú NGFW megoldása négy védekezési formát egyesít a PAN-OS 10-es verziójában. Így integráltan képes a szervezetek védekezési képességeinek erősítésében az ismeretlen fájlok és a webalapú fenyegetések akár 95%-ával szemben. Lássuk, melyik az a négy védekezési forma, amelyeket ötvöztek a hatékonyság fokozása érdekében.

Gépi tanulást használó digitális kártevők és adathalászat elleni védelem

A kiberbűnözők ma már automatizált és AI alapú eszközökhöz folyamodnak egyes támadások megvalósításához, így a szignatúra alapú megoldások egyre kevésbé nyújtanak hatékony védelmet a megelőzésben. Korábban a hálózatbiztonsági eszközök csak statikus, fix ellenőrzési pontokat használtak arra, hogy képesek legyenek a gyanús forgalom elemzésére, amit aztán egy Sandbox megoldásnak továbbítottak dinamikus elemzésre. A Palo Alto ML alapú tűzfala viszont képes in-line gépi tanulás alapú matematikai modellek futtatására a tűzfalon, amivel hatékonyabb védelmet nyújt a korábban még ismeretlen támadásokkal szemben.

Késleltetés nélküli, stream alapú szignatúra frissítés

A Palo Alto eddig is kiemelten büszke volt arra, hogy a WildFire Sandbox megoldásból nyert információknak köszönhetően az ügyfeleket 5 percenként tudták friss szignatúrákkal ellátni a hatékonyabb blokkolási képesség elérése végett. Az új operációs rendszerrel viszont - az iparágban egyedülálló megoldásként - már arra is képes a tűzfal, hogy késleltetés nélküli védelmet biztosítson. Ez annak köszönhető, hogy realtime, vagyis valós időben ad át szignatúra frissítéseket a WildFire Sandbox megoldás a tűzfalaknak a friss támadási jellemzőkről. Így a támadások sikeressége akár 99,5%-kal is csökkenthető, ami igencsak tetszetős eredmény!

Gépi tanulás alapú integrált IoT biztonság

A modern hálózatokban az IoT eszközök komoly biztonsági rizikót jelentenek védelmi szempontból, hiszen rendkívül gyorsan gyarapodik az ilyen eszközök száma, ráadásul legtöbbször teljesen védtelenül vagy épp az InfoSec tudta nélkül kerülnek a rendszerbe. A Palo Alto tűzfala immár hatékonyabbá teszi az IoT eszközök védelmét is, figyeli az anomáliákat, detektálja és menedzseli a sebezhetőségeket. Ennek köszönhetően az IoT eszközöket is nyugodtabban alkalmazhatjuk, kihasználva az általuk nyújtott üzleti előnyöket.

Gépi tanulás alapú biztonsági szabályok és házirendek kialakítása

A gépi intelligencia alkalmazásának köszönhetően a Palo Alto tűzfala hatalmas mennyiségű telemetrikai adat elemzésére lesz képes és ezen információk alapján olyan szabályok és irányelvek kialakításra tehet javaslatot, amelyekkel hatékonyabban csökkenthető a behatolási felület. Az IoT biztonsági házirend és szabályozási irányelvek ajánlásait a szakemberek megtekinthetik és elfogadhatják, ezzel sok időt megtakarítva és - nem mellesleg - csökkentve az emberi tévedések esélyét. Mindez jelentősen növeli a szabályrendszer hatékonyságát.

Összegzésül

A tűzfal továbbra is tartalmazza a hagyományos NGFW védelmi megoldásokat például az állapotfigyelő csomagellenőrzést, de fejlett biztonsági döntéseket hozhat például alkalmazás, felhasználó vagy éppen tartalom alapján is. Mint azt a bevezetőben írtuk, a gépi tanulás alkalmazása mára - az egyre kifinomultabb módszerekkel tevékenykedő kiberbűnözőkkel szemben - szinte elengedhetetlenné vált. Az eddigi aláírás alapú biztonsági megközelítés már nem képes lépést tartani a hálózaton megjelenő új eszközökkel, hiszen ezek különféle operációs rendszereket és szoftvercsomagokat futtatnak, miáltal milliónyi új veszélyt jelentenek, ráadásul korábban ismeretlen támadási felületeket nyitnak meg céges környezetben.

Az ML képességek in-line integrációja a tűzfalba hatalmas előrelépés a biztonság szempontjából. Képes matematikai modellek alkalmazásával azonosítani az ismert támadások még ismeretlen változatait, valamint számos még ismeretlen kiberfenyegetést - és “zero day” rosszindulatú programokat - akár sandbox elemzés nélkül is. A tűzfal telemetriai adatokat gyűjt a hálózatról, így megtanulhatja és felismerheti a különféle viselkedési trendeket, hogy aztán ezek alapján a megfelelő házirendeket javasolhassa a biztonság növeléséhez. E megoldások nélkül ma már szinte csak loholhatnánk a kiberbűnözők nyomában, alkalmazásukkal viszont jó esélyünk van a támadások jelentős részének megakadályozásában.

 VEGYEN RÉSZT WEBINÁRUNKON  november 12-én és tudjon meg többet erről a megoldásról!

Iratkozzon fel listánkra, hogy időben értesüljön rendezvényeinkről és cikkeinkről: FELIRATKOZOM

Kövessen minket a LinkedIn-en!

Életünk része lett a gépi tanulás, de miért és hogyan működik?

Krékity Gusztáv cikke

Az elmúlt években lassan, szinte észrevétlenül vált a gépi tanulás az életünk szerves részévé. Ott van a közlekedésben, a profi képszerkesztő szoftverekben, a biztonsági megoldásokban, vagy épp a közösségi médiában. Mert hát mi a közös tényező a Facebook hírcsatornában, az Amazon termékajánlóiban esetleg a Siri vagy Cortana hangfelismerésekben? Nos, valamilyen formában mindegyik gépi tanulást használ az adatkorreláció automatizálásra, a különböző minták felismerésére, s az újonnan megtanult adatok alapján történő automatikus változtatások kezelésére.

machine-learning.jpg

Egyáltalán mi az a gépi tanulás?

Gépi tanulásnak nevezzük, amikor egy program képes rá, hogy új információk feldolgozásával tanuljon és változtatásokat hajtson végre anélkül, hogy kifejezetten erre programoznák. A gépek automatizált módon hajtják végre az adatok szekventálását az adatsorok átfésülésével, amelyben mintákat és hasonlóságokat keresnek. Például különböző adatminták és prediktív viselkedés azonosítás alapján szabályokat kell végrehajtani a megtanult adatokkal kapcsolatos teendőkhöz. E módszer alkalmassá teszi a gépeket, hogy az új szabályokat hozzanak létre vagy a meglévőket módosítsák, sőt, továbbfejlesszék önmagukat és képesek legyenek elérni elsődleges céljukat. E célok és felhasználási módok egyaránt változatosak lehetnek:

  • A gépi tanulás segítségével gyorsabban és hatékonyabban kereshetünk útvonalakat a különféle közlekedési módokhoz.

  • Célzottabbá tehetők és javíthatók az értékesítési konverziók például különböző, az érdeklődési körünkkel megegyező termékajánlókkal vagy a termék tartalmának a vásárlási döntéshez igazításával.

  • Segítheti egy új befektetési vagy biztosítási kockázat szintjének a meghatározását.

A gépi tanulás alkalmazása és feltételei

Mielőtt egyre több helyen kezdtük el alkalmazni a gépi tanulás nyújtotta előnyöket, a felhasználóknak manuálisan kellett megadniuk a programok számára az új adatokat vagy a vonatkozó új szabálykészleteket annak érdekében, hogy bármilyen művelet végrehajtódjon. Emellett azt is el kellett dönteni, mi lesz a következő lépés az új szabályok alapján. A gépi tanulás felhasználásával viszont a program algoritmusokat vagy utasítások sorozatát hozza létre, amelyeket végrehajthat a kívánt eredmény eléréséhez. Ahelyett, hogy manuálisan kellene elemezni a rengeteg új adatot, összefüggést, mintát, algoritmusokat kell létrehozni és végrehajtani a rendszerek között.

E folyamat működésének természetesen megvannak a maga feltételei is, amelyek nélkül nem funkcionálna megfelelően. Így például az adatokat egy helyre kell összegyűjteni (Big Data), hogy a matematikai modellek alkalmazásával a gép gond nélkül hozzáférjen a döntéshozatalhoz szükséges összes releváns információhoz. Emellett meg kell találni a megfelelő struktúrát a nagy mennyiségű adat kezeléséhez, elemzéséhez, a hasonlóságok és a különböző viselkedési minták azonosítása végett.

Ekkora mennyiségű adat kezeléséhez, feldolgozásához persze elengedhetetlen a szükséges erőforrások biztosítása és a számítási kapacitás rendelkezésre állásának garantálása is.

Végül pedig szükséges egy alapvető szabályrendszer kialakítása is a matematikai modellek számára, amely képes megfelelő iránymutatásként szolgálni. Ha a fenti feltételeket biztosítani tudjuk, a gép tanulás bevezetése és alkalmazása máris elérhető közelségbe kerül.

Egyre népszerűbb a kiberbiztonság területén is

Egy olyan folyamatosan változó, képlékeny területen, mint a kiberbiztonság, a gépi tanulás szinte nélkülözhetetlen eszköz. Itt jellemző módon nehéz lépést tartani a fenyegetések és támadások állandóan növekvő számával és felvenni a harcot a támadások egyre fokozódó kifinomultságával. Mivel a kibertámadások erősen automatizálódtak az elmúlt hónapokban, az IT biztonság területén még jobban kihasználhatók az automatizálás és a gépi tanulás által nyújtott lehetőségek. Segítségükkel nagyobb az esély, hogy megelőzzük a kiberbűnözőket egy-egy támadás sikeres kivitelezésben.

A gépi tanulás segíthet az ismert fenyegetések különböző új, még ismeretlennek számító variánsainak pontos azonosításában, vagy a minták alapján a támadás következő lépéseinek előrejelzésében. Emellett kiváló lehetőséget jelent a valós idejű védelem automatikus létrehozásában és megvalósításában egy szervezeten belül. Vagyis a gépi tanulással megelőzhető a sikeres kibertámadások jelentős része, s ez a jelen helyzetben hatalmas fegyvertény. Jó ok arra, hogy komolyabb figyelmet fordítsunk e módszer a bevezetésére az IT biztonság területén.

AI és gépi tanulás témában már írtunk blog cikkeket. Itt és itt olvasható. 

 

Iratkozzon fel listánkra, hogy időben értesüljön rendezvényeinkről és cikkeinkről: FELIRATKOZOM

Kövessen minket a LinkedIn-en!

süti beállítások módosítása