Prémium

Biztonságos az Ön vállalatának IT rendszere? (x)

Portfolio




Az elmúlt napokban ismét középpontba került az információ védelem, a vállalati információk biztonsága. Sok vezetőben felmerül ilyenkor a kérdés, vajon a saját hálózatuk mennyire van védve az illetéktelen kezektől. Ma már a különböző auditálási megoldások révén erre mindenki könnyen választ kaphat - állítja interjúnkban Kaiser László, a SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. vezető tanácsadója.

Mire jó pontosan az auditálás és milyen auditációs eljárások vannak?



Az auditálás vizsgálatot, állapotfelmérést jelent, melynek célja, hogy a megbízók pontos képet kapjanak rendszereik állapotáról, terhelhetőségéről, korlátairól, veszélyeiről, skálázhatóságáról, lehetőségeiről, és előnyeiről. A vizsgálatok során felszínre kerülnek a rendszer hiányosságai, a hibák meghatározhatóvá válnak, a különösen nagy rizikót magukban hordozó kulcspontok napvilágra kerülésével pedig a későbbi kockázatok és kárértékek minimalizálódnak.

Minden rendszer más és más, különböző rendszerek auditálásánál a módszerek különbözhetnek és azok súlyozása is változhat. Különbözhet a módszer például két hálózati biztonsági auditálás végzésekor. A végső eredmények szempontjából nem mellékes, hogy egy-egy teszteléskor milyen szerepkörben - egy alkalmazottnak, vagy éppen egy profi hackernek bőrébe bújva - történik a vizsgálat. Ebben az esetben a legfontosabb különbség az auditálás megkezdése előtt rendelkezésre bocsátott információk mennyisége között van, amely rendkívül fontos az életszerűségi szimuláció szempontjából, továbbá elengedhetetlen a rizikó analízis valós eredményeinek kikalkulálásához.

Mikor mondhatjuk azt, hogy egy informatikai rendszer valóban biztonságos?

Sikeres biztonságról akkor beszélhetünk, ha a támadásra (az adatok megszerzésére) ráfordítandó költség közel akkora vagy nagyobb, mint a megszerzendő információk értéke. A támadás elhárítására elköltött pénz pedig nem haladja meg a védett információk értékének ésszerű hányadát. A cél a "Lehető legnagyobb biztonság a lehető leghasználhatóbb módon" megvalósítása.

Milyen lépései vannak egy hagyományos auditálási folyamatnak?

A Network audit első lépésként maga a teljes rendszer kerül átvilágításra, megvizsgáljuk a hálózat lehallgathatóságának, szeparáltságának, csomag-hamisíthatóságának a lehetőségét, ellenőrizzük a hálózat jogosultsági szintjeit. Ezt követi a Multi host scanning, az adott hálózat összes elemének általános ellenőrzése, az érintett gépek szolgáltatásai hibáinak felderítése.

Természetesen vannak kiemelt szerepű hálózati egységek, amelyek speciális vizsgálatot igényelnek. Ebbe a vizsgálatba tartoznak az adatbázis, az adminisztrációs, a fájl, és a nyomtató szerverek, továbbá a forgalomirányító eszközök (routerek), külső- és belső tűzfalak, authentikációs, proxy, és cache szerverek.

Miben különböznek ettől az alternatív auditálási módszerek?

Az alternatív auditálási módszerek gyakorlatilag a valós élet jelenségeit szimulálják, s éles teszt alá veszik a rendszert. Az ilyen típusú teszteket jellemzően a rendszer hagyományos auditálása előtt kell elvégezni. A Penetration Test lényege, hogy a biztonsági réseket kihasználva ún. betörés történjen az informatikai rendszerbe Ennél a műveletnél a legfontosabb az, hogy a tesztelést végző szakember nem rendelkezhet semmilyen segítséggel (Full Ethical Hacking). A módszer lényege, hogy az adott rendszerről nincs előzetes információ, így annak támadásakor csupán a szakmai felkészültségre lehet hagyatkozni. Amennyiben már ennél a módszernél be lehet jutni a célrendszerbe, akkor szinte bizonyos, hogy megfelelő szakmai tudás birtokában bárki képes erre.
Ezzel gyakorlatilag teljesen hasonló módszer az Ethical Hacking, az egyedüli kivétel, hogy itt a Megbízó olyan alapvető információt nyújt rendszeréről, melyet egyébként némi utánajárással a szakemberek is meg tudnának szerezni, de ezzel kiiktatja a kutatómunkát, ami időt jelent. Fontos tudni, hogy e szolgáltatás keretében olyan információ nem kérhető el, ami ne lenne könnyedén megszerezhető.

A Loyalty Test során a támadás már nem kívülről - az Internetről - érkezik, hanem a Megbízó egyik alkalmazottjának számítógépéről. A vizsgálat célja ugyanis az, hogy a vállalati hierarchiában egy teljesen átlagos szinten lévő alkalmazott, vagy az adott objektumba bejárással rendelkező egyén egy magára hagyott számítógépen megfelelő számítógépes tudással a belső hálózatról milyen - esetenként titkos - adatokat képes megszerezni. A kivizsgálás a teljes belső hálózat auditálására kiterjed, az eredmények alapján pedig lehetőség van a belső hálózat optimális kialakítására.

Mire kell még figyelnie a vállalati vezetőknek a rendszer auditáltatása során?

A belső hálózat auditálásának egy speciális változata a Victim Test, amely során az érintett gépek nem olyan szempontból kerülnek átvilágításra, hogy azok milyen mértékben adnak lehetőséget külső támadásokra, hanem olyan szempontból, hogy az adott a gépekről hogyan lehet további támadásokat indítani harmadik személyek gépeire.

A Victim Test-et érdemes a rendszer auditálást követően elvégezni, mivel a rendszer ilyen irányultságú gyenge pontjainak kimutatásában sokat segíthet az auditálás során megszerzett információ. Köztudott, hogy különböző kereskedelmi szoftverek segítségével - hibás beállítások esetén - oly módon lehet kapcsolatot létesíteni egy másik géppel, hogy az eredeti támadó rejtve marad a célpont előtt. Egy vállalat megítélését nagyban ronthatja, ha olyan hír kerül napvilágra mely szerint az ő hálózatából törték fel mások szervereit. Még az sem csökkenti túlzott mértékben a történtek megítélését, ha kiderül, hogy az illető cég csupán egy köztes áldozat volt. Az ilyen hibák többségében emberi mulasztásból születnek, leggyakrabban olyan cégeknél, melyek informatikailag gyorsan fejlődnek vagy területileg széttagoltak.

(X)
Kiszámoló

Bankkártya helyett fizess gyűrűvel

Írtam a Curve-ről egy update cikket nemrég. Akkor vettem észre, hogy a Curve lehetőséget ad a bankkártyán és mobiltelefonon kívül számos egyéb fizetési lehetőségre is. Amikor megjelent a Pa

RSM Blog

A HR hatása az M&A ügyletekre

Az emberi erőforrásokkal összefüggő kérdések és kockázatok megértése egy tranzakciós folyamat során általában a második legfontosabb lépés egy tranzakciós célpont értékelésekor. A H

FRISS HÍREK
NÉPSZERŰ
Összes friss hír
Szép csendben nagy változás jön a Szép-kártyáknál!

Vezető modellező/ pénzügyi modellező

Vezető modellező/ pénzügyi modellező
Díjmentes előadás

Kisokos a befektetés alapjairól, tippek, trükkök a tőzsdézéshez

Előadásunkat friss tőzsdézőknek ajánljuk, összeszedünk, minden fontos információt arról, hogy hogyan működik a tőzsde, mik a tőzsde alapjai, hogyan válaszd ki a számodra legjobb befektetési formát.

Díjmentes előadás

Hogyan vágj bele a tőzsdei befektetésbe?

Mire kell figyelned? Melyek az első lépések? Mely tőzsdei termékeket célszerű mindenképpen ismerned?

Portfolio hírlevél

Ne maradjon le a friss hírekről!

Iratkozzon fel mobilbarát hírleveleinkre és járjon mindenki előtt.

Kiadó modern irodaházak

Az iroda ma már több, mint egy munkahely. Találják meg most cégük új otthonát.

Agrárszektor Konferencia 2024
2024. december 4.
Graphisoft - Portfolio Construction Technology & Innovation 2024
2024. november 27.
Mibe fektessünk 2025-ben?
2024. december 10.
Property Awards 2024
2024. november 28.
Hírek, eseményajánlók első kézből: iratkozzon fel exkluzív rendezvényértesítőnkre!
Ez is érdekelhet
1500-ubm