2005 magasabb költségeket, fokozódó mobil- és kiberfenyegetéseket, bővülő személyazonosság-felügyeletet hoz
forrás Prim Online, 2004. november 19. 20:45
A Unisys informatikai biztonsági tanácsadói elmondták, hogy szerintük melyek lesznek a legfontosabb informatikai biztonsági kérdések és fejlesztések, amelyekkel a vállalatok 2005-ben szembe találják majd magukat.
Kiemelték, hogy a vállalatok a következő években világszerte földindulásszerű változásokkal fognak találkozni: egyre több integrált hálózat kapcsolja majd őket össze a partnerekkel és az ügyfelekkel; egyre több mobiltechnológiát használnak majd a munkatársak felszerelésénél, és szembe kell nézniük az üzleti és kormányzati szférát támadó kiberterroristák és kiberbűnözők elszánt erőfeszítéseivel.
Sunil Misra, a Unisys vezető biztonsági tanácsadója és kollégája, Patrick O’Kane, a Unisys Identity and Access Management Practice (személyazonosság- és hozzáférés-felügyeleti gyakorlat) vezető tervezője azt jósolja, hogy 2005-ben a következők lesznek az informatikai biztonság legfontosabb kihívásai és fejlesztései:
Misra és O’Kane további magyarázatokat is fűzött a jóslatokhoz:
1. Az alkalmazásszoftverek biztonsági problémái garanciatörvényeket kell, hogy eredményezzenek
A böngészők és operációs rendszerek gyártóit gyakran kiemelten hibáztatják a vállalati biztonság sebezhetőségéért. Az alkalmazások és a hozzájuk kapcsolódó szoftverek legalább ennyire sérülékenyek, de ezt sokkal gyakrabban hagyják figyelmen kívül. Ahogy az alkalmazások egyre közelebb kerülnek az internethez, 2005-re már csak idő kérdése, hogy mikor vezet egy adott gyártó alkalmazásai vagy adatbázis-termékei ellen indított támadás olyan kárhoz, amelynek hatására a vásárló beperli a szoftvergyártót a biztonsági rés következményeiért.
2. Az üzleti partnereket és másokat tömörítő megbízható hálózatok növekvő mértékben válnak veszélyforrássá
Ahogy a vállalatok egyre nagyobb mértékben vonnak be külső partnereket - üzleti partnereket, szállítókat és vásárlókat - üzleti hálózatukba, egyre nő az informatikai infrastruktúra és a létfontosságú üzleti információk veszélyeztetésének valószínűsége. Mivel a vállalatok arra számítanak, hogy a legtöbb kibertámadás a belső személyzettől és a külső hackerektől származik, kevesen tesznek óvintézkedéseket a partnerek vagy az ügyfelek személyzetével szemben. Pedig ezeknek az embereknek ugyanannyi indítéka lehet - ha nem több - a tisztességtelen cselekedetekre, mint a belső alkalmazottaknak.
Misra elmagyarázta, hogy a vállalatoknak változtatniuk kell a biztonsági hangsúlyokon: az egyszerű informatikai biztonságtól az infrastruktúra biztosításának és a felhasználók hitelesítésének egy sokkal programalapúbb, folyamatorientáltabb módszere felé kell elmozdulniuk - a partnerrel egyeztetett átfogó irányelvektől a műszaki védelmi megoldásokig, mint például a proxy tűzfalak vagy az egyesített személyazonosság-felügyelet. - "Röviden" - tette hozzá Misra - "a megbízható hálózatokat használó e-businessnek gyorsan át kell állnia a ’bízz bennem’ módszerről az ’igazold magad’-ra."
3. A mobilterület egyre nagyobb mértékben biztosít táptalajt a biztonsági incidenseknek
Ahogy a mobilkörnyezetek és az eszközök (például a harmadik generációs hálózatok, a mobiltelefonok és a PDA-k) egyszerre válnak egyre intelligensebbé és egyre nélkülözhetetlenebb üzleti kellékké, távolabbra tolják ki a vállalati informatikai infrastruktúra határait, mint ameddig a biztonság ma elér. A széles körben használt Bluetooth és más mobilkörnyezetek védelmi technológiái még csak most vannak születőben és a használatuk is bonyolult, ami nyitva hagyja a lehetőségeket a menet közben történő "elcsíp és megragad" (snatch and grab) típusú adatlopások előtt.
4. A kibertámadások stílusa egyre rosszindulatúbb lesz
5. Fokozódni fognak az internetes banditák szervezett támadásai
A kiberbűnözők új seregei jönnek. Elődeikkel szemben gyakran tisztán gazdasági motivációik vannak, nem félnek a következményektől, és készek a sokkal pusztítóbb támadásokra is. Misra szerint - "a kiberzsarolók mostanáig általában csak fenyegettek a károkozással - például a számítógépek merevlemezén tárolt tartalmak törlésével, vagy adatmutatók tönkretételével -, ha nem fizetnek nekik. Most azonban láthatjuk majd őket, amint nagy pusztítást végeznek, ha nem teljesítik a kívánságaikat. Felhasználnak majd egy sor támadási eszközt a szolgáltatás-elfojtásos támadástól az információ gyakorlati, rekordszintű elpusztításáig."
6. A vállalatok a megelőző jellegű "mélységi védelem" felé fordulnak majd, ahogy az üzleti igények kikényszerítik a biztonságot
A bonyolult üzleti kötelezettségek (például a megfelelés a Sarbanes-Oxley, Basel 2, HIPAA vagy Gramm-Leach-Blilely törvényeknek és más rendelkezéseknek) azt jelentik, hogy a biztonság többé nem csak a műszakiak birodalma. A biztonsági rések és az elégtelen megfelelés közötti különbség mostanra tisztán gazdasági és személyes. - "A megfeleléssel kapcsolatos felelősséggel szembenézve a vezetőség kezdi belátni, hogy a biztonság 20 százalék technológia, és 80 százalék eljárásrend. A polcról leemelt megoldások többé nem megfelelőek."
7. A hitelkimutatási intézmények egyre inkább érdekeltté válnak a személyazonosság-ellopások következményeinek felügyeletében
Sok személyazonosság-eltulajdonításnál van szó hitelkártya-számlák adatairól. A bűnözők ezekkel az adatokkal megpróbálhatnak más rendszereket - például banki vagy ügynöki számlákat - is elérni további adatok ellopására vagy más erőforrások hozzáférésének megszerzésére. A kimutatási intézményeknek segítségre lesz szükségük ahhoz, hogy olyan felhasználói személyazonosság-ellenőrzési eljárásokat találhassanak ki, amelyekkel megelőzhető, hogy a tolvajok a lopott azonosítókkal további erőforrások adataihoz férhessenek hozzá. O’Kane megfogalmazása szerint - "ha a hitelkimutatási intézmények nem vesznek részt fokozottabban a védelemben az ügyfelek tájékoztatásával és más megelőző lépésekkel, a kormányzat fog közbelépni, és elkezdi megoldani a problémát."
8. Terjedni fog a személyazonosság- és hozzáférés-felügyeleti egyesített architektúrák elfogadottsága
Az egyesített személyazonosság-felügyelet lehetővé teszi, hogy a szervezetek együttműködjenek a hitelesítési és feljogosítási szolgáltatások megosztásában. A szövetkezés ilyen módon rendkívül fontos az információk külső partnerekkel és szállítókkal, vagy a cégen belül az üzletágak között történő biztonságos megosztásában. - "2005-ben a felhasználók az egyesítést a megbízható hálózatokon belüli fokozódó veszélyek kulcsfontosságú megoldásaként fogadják majd el" - mondta O’Kane. Egy 2004 októberében lezajlott Unisys-kutatás szerint a válaszadók 37 százaléka jelezte, hogy fel fogja használni az egyesítést a következő évben. Ennek a kialakulóban lévő technológiának az elfogadottsági aránya valószínűleg tovább emelkedik az OASIS Security Assertion Markup Language 2 (SAML 2) szabvány legújabb kiadásának iparági elfogadásával.
9. A vállalatok újra átgondolják a személyazonosság- és hozzáférés-felügyelet szerep alapú hozzáférés-vezérlésének alkalmazását
A szerep alapú hozzáférés-vezérlés (Role-Based Access Control, RBAC) a felhasználói jogosultságokat (bizonyos alkalmazásokhoz) nem a személyazonosság, hanem a funkció szerint biztosítja. Az RBAC hiányában, amikor a hozzáférési jogosultságok közvetlenül egyes személyekhez kötődnek, a változtatások igen komplikáltak lehetnek.
Az RBAC használatát mostanáig a szerepek vállalati szintű meghatározásának bonyolultsága és költségei akadályozták. Egy negyvenezres létszámú, több rendszerrel rendelkező szervezetnél például akár 12 hónapot is igénybe vehetett a szerepek meghatározása. Ha azonban a 40 ezer személyt mindössze 2500 szerephez kell hozzárendelni, az nagymértékben csökkenteni képes az erőforrás-kiosztás és adminisztráció terheit. A 2004-es Unisys felmérés az RBAC egyre nagyobb ütemű elismerését igazolta. A válaszadók 32 százaléka válaszolta, hogy valószínűleg implementálni fogja a technológiát 2005-ben.
10. A virtuális címtártechnológia egyre inkább a személyazonosság-integrációs projektek stratégiai komponensévé válik
A virtuális címtártechnológia módot ad a több rendszerből származó azonosítási információk megtekintésére és összegyűjtésére anélkül, hogy fizikailag egyesíteni kellene az adatbázisokat. A virtuális címtártechnológiák jelenlegi kifejlettsége mostanra lehetővé tette az új és a hagyományos rendszerek integrálásához fontos virtuális címtármegoldások elkészítését. Egy integrált törvényszéki rendszer esetében a kerületi ügyvédi hivatal, a rendőrőrs, a büntetés-végrehajtás és a bíróság különféle számítógéprendszereket használ a különböző működési területeknek megfelelően , és mégis mindannyian hozzájutnak az összes információ saját jogosultságaiknak megfelelő virtuális nézetéhez egy ismert bűnelkövetőről.
Sunil Misra, a Unisys vezető biztonsági tanácsadója és kollégája, Patrick O’Kane, a Unisys Identity and Access Management Practice (személyazonosság- és hozzáférés-felügyeleti gyakorlat) vezető tervezője azt jósolja, hogy 2005-ben a következők lesznek az informatikai biztonság legfontosabb kihívásai és fejlesztései:
- Az üzleti partnereket és másokat tömörítő megbízható hálózatok növekvő mértékben válnak veszélyforrássá.
- A mobil terület egyre nagyobb mértékben biztosít táptalajt a biztonsági incidenseknek.
- A kibertámadások stílusa egyre rosszindulatúbb lesz.
- Fokozódni fognak az internetes banditák szervezett támadásai.
- A vállalatok a megelőző jellegű "mélységi védelem" felé fordulnak majd, ahogy az üzleti igények kikényszerítik a biztonságot.
- A hitelkimutatási intézmények egyre inkább érdekeltté válnak a személyazonosság-ellopások következményeinek felügyeletében.
- Terjedni fog a személyazonosság- és hozzáférés-felügyeleti egyesített architektúrák elfogadottsága.
- A vállalatok újra átgondolják a személyazonosság- és hozzáférés-felügyelet szerep alapú hozzáférés-vezérlésének alkalmazását.
- A virtuális címtártechnológia egyre inkább a személyazonosság-integrációs projektek stratégiai komponensévé válik.
"A biztonság mindenekelőtt üzleti kérdés" - mondta Misra. - "A biztonság azokról a befektetésekről szól, amelyeket az üzlet vezetéséhez szükséges funkciók optimalizálására teszünk, valamint az üzleti információvagyon és hírnév kockázatainak kezeléséről. 2005-ben jelentős - jogi, gazdasági és technológiai - üzleti hatásokkal rendelkező biztonsági kihívásokat láthatunk majd. A cégek olyan problémákkal szembesülnek, amelyekkel azelőtt soha, amikor koncentrált, stratégiai, általános hatású biztonsági befektetéseket kívánnak végrehajtani."
Misra és O’Kane további magyarázatokat is fűzött a jóslatokhoz:
1. Az alkalmazásszoftverek biztonsági problémái garanciatörvényeket kell, hogy eredményezzenek
A böngészők és operációs rendszerek gyártóit gyakran kiemelten hibáztatják a vállalati biztonság sebezhetőségéért. Az alkalmazások és a hozzájuk kapcsolódó szoftverek legalább ennyire sérülékenyek, de ezt sokkal gyakrabban hagyják figyelmen kívül. Ahogy az alkalmazások egyre közelebb kerülnek az internethez, 2005-re már csak idő kérdése, hogy mikor vezet egy adott gyártó alkalmazásai vagy adatbázis-termékei ellen indított támadás olyan kárhoz, amelynek hatására a vásárló beperli a szoftvergyártót a biztonsági rés következményeiért.
Ahogy Misra mondta: "2005-ben alighanem tanúja leszünk, hogy az alkalmazásszoftverek biztonsági rései miatti garanciákra vonatkozó törvényekért fognak sokan kiáltani. Ez jelentősen átalakítja majd a gazdasági egyensúlyt az alkalmazásszoftver-gyártók és a vásárlók erőviszonyai között."
2. Az üzleti partnereket és másokat tömörítő megbízható hálózatok növekvő mértékben válnak veszélyforrássá
Ahogy a vállalatok egyre nagyobb mértékben vonnak be külső partnereket - üzleti partnereket, szállítókat és vásárlókat - üzleti hálózatukba, egyre nő az informatikai infrastruktúra és a létfontosságú üzleti információk veszélyeztetésének valószínűsége. Mivel a vállalatok arra számítanak, hogy a legtöbb kibertámadás a belső személyzettől és a külső hackerektől származik, kevesen tesznek óvintézkedéseket a partnerek vagy az ügyfelek személyzetével szemben. Pedig ezeknek az embereknek ugyanannyi indítéka lehet - ha nem több - a tisztességtelen cselekedetekre, mint a belső alkalmazottaknak.
Misra elmagyarázta, hogy a vállalatoknak változtatniuk kell a biztonsági hangsúlyokon: az egyszerű informatikai biztonságtól az infrastruktúra biztosításának és a felhasználók hitelesítésének egy sokkal programalapúbb, folyamatorientáltabb módszere felé kell elmozdulniuk - a partnerrel egyeztetett átfogó irányelvektől a műszaki védelmi megoldásokig, mint például a proxy tűzfalak vagy az egyesített személyazonosság-felügyelet. - "Röviden" - tette hozzá Misra - "a megbízható hálózatokat használó e-businessnek gyorsan át kell állnia a ’bízz bennem’ módszerről az ’igazold magad’-ra."
3. A mobilterület egyre nagyobb mértékben biztosít táptalajt a biztonsági incidenseknek
Ahogy a mobilkörnyezetek és az eszközök (például a harmadik generációs hálózatok, a mobiltelefonok és a PDA-k) egyszerre válnak egyre intelligensebbé és egyre nélkülözhetetlenebb üzleti kellékké, távolabbra tolják ki a vállalati informatikai infrastruktúra határait, mint ameddig a biztonság ma elér. A széles körben használt Bluetooth és más mobilkörnyezetek védelmi technológiái még csak most vannak születőben és a használatuk is bonyolult, ami nyitva hagyja a lehetőségeket a menet közben történő "elcsíp és megragad" (snatch and grab) típusú adatlopások előtt.
4. A kibertámadások stílusa egyre rosszindulatúbb lesz
"Lehet, hogy rosszindulatból is, de sokkal inkább gazdasági érdekből, bizonyos támadók hosszú lejáratú hatásokat szeretnének kiváltani az egyszeri katasztrófák helyett" - mondta Misra. - "2005-ben számítunk az első igazán kártékony rakományt hordozó féregre vagy vírusra, amely rekordszinten változtatja meg vagy teszi tönkre az információkat. Az ennek következtében beálló probléma nem lesz egyszerű eszközökkel - például az adatok előzőleg elmentett változatának visszaállításával - orvosolható. A vállalatok számottevő időt és pénzt fognak költeni annak megkeresésére és kicserélésére, hogy mi változott. A legrosszabb, hogy ezek a gonosz támadások tönkre teszik majd az áldozatok műveleti és üzleti integritását - csökkentve a megbízhatóságot, miközben az minden eddiginél fontosabb az e-business számára."
5. Fokozódni fognak az internetes banditák szervezett támadásai
A kiberbűnözők új seregei jönnek. Elődeikkel szemben gyakran tisztán gazdasági motivációik vannak, nem félnek a következményektől, és készek a sokkal pusztítóbb támadásokra is. Misra szerint - "a kiberzsarolók mostanáig általában csak fenyegettek a károkozással - például a számítógépek merevlemezén tárolt tartalmak törlésével, vagy adatmutatók tönkretételével -, ha nem fizetnek nekik. Most azonban láthatjuk majd őket, amint nagy pusztítást végeznek, ha nem teljesítik a kívánságaikat. Felhasználnak majd egy sor támadási eszközt a szolgáltatás-elfojtásos támadástól az információ gyakorlati, rekordszintű elpusztításáig."
6. A vállalatok a megelőző jellegű "mélységi védelem" felé fordulnak majd, ahogy az üzleti igények kikényszerítik a biztonságot
A bonyolult üzleti kötelezettségek (például a megfelelés a Sarbanes-Oxley, Basel 2, HIPAA vagy Gramm-Leach-Blilely törvényeknek és más rendelkezéseknek) azt jelentik, hogy a biztonság többé nem csak a műszakiak birodalma. A biztonsági rések és az elégtelen megfelelés közötti különbség mostanra tisztán gazdasági és személyes. - "A megfeleléssel kapcsolatos felelősséggel szembenézve a vezetőség kezdi belátni, hogy a biztonság 20 százalék technológia, és 80 százalék eljárásrend. A polcról leemelt megoldások többé nem megfelelőek."
7. A hitelkimutatási intézmények egyre inkább érdekeltté válnak a személyazonosság-ellopások következményeinek felügyeletében
Sok személyazonosság-eltulajdonításnál van szó hitelkártya-számlák adatairól. A bűnözők ezekkel az adatokkal megpróbálhatnak más rendszereket - például banki vagy ügynöki számlákat - is elérni további adatok ellopására vagy más erőforrások hozzáférésének megszerzésére. A kimutatási intézményeknek segítségre lesz szükségük ahhoz, hogy olyan felhasználói személyazonosság-ellenőrzési eljárásokat találhassanak ki, amelyekkel megelőzhető, hogy a tolvajok a lopott azonosítókkal további erőforrások adataihoz férhessenek hozzá. O’Kane megfogalmazása szerint - "ha a hitelkimutatási intézmények nem vesznek részt fokozottabban a védelemben az ügyfelek tájékoztatásával és más megelőző lépésekkel, a kormányzat fog közbelépni, és elkezdi megoldani a problémát."
8. Terjedni fog a személyazonosság- és hozzáférés-felügyeleti egyesített architektúrák elfogadottsága
Az egyesített személyazonosság-felügyelet lehetővé teszi, hogy a szervezetek együttműködjenek a hitelesítési és feljogosítási szolgáltatások megosztásában. A szövetkezés ilyen módon rendkívül fontos az információk külső partnerekkel és szállítókkal, vagy a cégen belül az üzletágak között történő biztonságos megosztásában. - "2005-ben a felhasználók az egyesítést a megbízható hálózatokon belüli fokozódó veszélyek kulcsfontosságú megoldásaként fogadják majd el" - mondta O’Kane. Egy 2004 októberében lezajlott Unisys-kutatás szerint a válaszadók 37 százaléka jelezte, hogy fel fogja használni az egyesítést a következő évben. Ennek a kialakulóban lévő technológiának az elfogadottsági aránya valószínűleg tovább emelkedik az OASIS Security Assertion Markup Language 2 (SAML 2) szabvány legújabb kiadásának iparági elfogadásával.
9. A vállalatok újra átgondolják a személyazonosság- és hozzáférés-felügyelet szerep alapú hozzáférés-vezérlésének alkalmazását
A szerep alapú hozzáférés-vezérlés (Role-Based Access Control, RBAC) a felhasználói jogosultságokat (bizonyos alkalmazásokhoz) nem a személyazonosság, hanem a funkció szerint biztosítja. Az RBAC hiányában, amikor a hozzáférési jogosultságok közvetlenül egyes személyekhez kötődnek, a változtatások igen komplikáltak lehetnek.
Az RBAC használatát mostanáig a szerepek vállalati szintű meghatározásának bonyolultsága és költségei akadályozták. Egy negyvenezres létszámú, több rendszerrel rendelkező szervezetnél például akár 12 hónapot is igénybe vehetett a szerepek meghatározása. Ha azonban a 40 ezer személyt mindössze 2500 szerephez kell hozzárendelni, az nagymértékben csökkenteni képes az erőforrás-kiosztás és adminisztráció terheit. A 2004-es Unisys felmérés az RBAC egyre nagyobb ütemű elismerését igazolta. A válaszadók 32 százaléka válaszolta, hogy valószínűleg implementálni fogja a technológiát 2005-ben.
10. A virtuális címtártechnológia egyre inkább a személyazonosság-integrációs projektek stratégiai komponensévé válik
A virtuális címtártechnológia módot ad a több rendszerből származó azonosítási információk megtekintésére és összegyűjtésére anélkül, hogy fizikailag egyesíteni kellene az adatbázisokat. A virtuális címtártechnológiák jelenlegi kifejlettsége mostanra lehetővé tette az új és a hagyományos rendszerek integrálásához fontos virtuális címtármegoldások elkészítését. Egy integrált törvényszéki rendszer esetében a kerületi ügyvédi hivatal, a rendőrőrs, a büntetés-végrehajtás és a bíróság különféle számítógéprendszereket használ a különböző működési területeknek megfelelően , és mégis mindannyian hozzájutnak az összes információ saját jogosultságaiknak megfelelő virtuális nézetéhez egy ismert bűnelkövetőről.
Kapcsolódó cikkek
- A cégvezetők 87 százaléka rosszul méri fel az IT-kockázatokat
- Biztonságos hangalapú online fizetés
- Microsoft Update-nek álcázott trójai
- Check Point: webalapú biztonságfelügyeleti megoldás
- Minden negyedik internetező elárulja a jelszavát
- Még drágább az adatod
- A legextrémebb vírusok toplistája
- Négy újabb javítás a windowsos Safarihoz
- Az internet biztonsága és a serdülők
- Sikeresen támadták a Pentagon levelezőrendszerét
Cikkgyűjtő
További fontos híreink
Ingyenes digitális platform segít a tanároknak és diákoknak az érettségire való felkészülésben
2024. április 20. 11:36