Ha Önnek is komoly aggályai vannak az IT-biztonsággal kapcsolatban, adunk egy reális áttekintést a veszélyekről, valamint néhány hasznos tippet annak érdekében, hogy megvédhesse cégét a hasonló támadásoktól.

Ismét célkeresztben a céges asztali gépek

Az olyan rosszindulatú kódok, amelyek blokkolják a hozzáférést az adatokhoz, vagy akár az egész géphez, a fájlok titkosításával, sokaknak biztosítanak könnyű pénzszerzési lehetőséget és korlátlan média-figyelmet. De arra is jók, hogy behozzák a közbeszédbe a biztonsági stratégiák kérdését, miközben a WannaCry olyan óriáscégekre csapott le, mint a Renault, a Deutsche Bahn, vagy a FedEx, a Petya új verziója pedig eljutott számos orosz és ukrán bankba, a Maerskhez és a WPP-hez.

És ez többé már nem ‘csak’ az asztali gépekről szól. Kevesebb publicitást kaptak, de a mobil eszközök és – rendszerek szintén támadások áldozataivá váltak: tarolt például a Fusob, a Svpeng, vagy a SMALL, hogy csak néhányat említsünk.

Az üzleti mobilitás sincs többé biztonságban, és a sebezhetőségek túlmutatnak a gyenge végpontokon: hiszen a munkára használt személyes eszközök céges adatokhoz férnek hozzá, illetve ilyeneket tárolnak.

Felülvizsgált stratégiák a vállalati biztonság témakörében

A széleskörű támadások számos céget késztettek arra, hogy felülvizsgálják biztonsági stratégiájukat, ami a felhasználók kontrollját, az átláthatóságot, az IT szerepét, és az általános tájékozottságot illeti, különösen annak fényében, hogy egyre több vállalati szoftvernek fejlesztik ki a mobil verzióját.

A veszélyek tehát tagadhatatlanul léteznek, és a következő területeken még sok a tennivaló:

• A munkaerő egyre inkább mobillá válik, de ez nem jár együtt feltétlenül nagyobb tapasztalattal a céges adatok védelmét illetően.
• A munkahelyen használt eszközök számát és típusait nyilván kell tartani, ahogy azt is, hogy ezek az eszközök hogyan kezelik az adatokat.
• Át kell gondolni az IT-részleg prioritásait: biztonsági intézkedéseket léptetni életbe, és továbbképezni a felhasználókat.
• Elemezni kell az adatvesztés lehetséges hatásait az üzletre.

A fent említett megelőző intézkedéseket kívül a védelemről is gondoskodni kell. Ehhez például az antivírus szoftverek fejlesztői is hozzáteszik a részüket azzal, hogy felkészülnek a gyakoribb segítségnyújtásra, és egyre jobban terjeszkednek a mobil térben.

A Symantec nemrégiben két felvásárlás kapcsán is bekerült a hírekbe: az egyik az izraeli Skycure megvétele volt (a cég prediktív fenyegetettség-meghatározással foglalkozik), a másik pedig a Fireglass-szal kötött üzlet (böngésző-izolációs technológia, amely megakadályozza a rosszindulatú kódok terjedését).

A VMWare a Trend Micróval állt össze, hogy nagyobb védelmet tudjon nyújtani a mobil támadások ellen. Ezt úgy tudja megtenni, hogy nagyobb rálátást biztosít az IT-adminisztrátoroknak az – egyre növekvő – hálózatra, könnyebben beazonosíthatóvá teszi a fenyegetéseket, és segíti a megalapozottabb döntéshozatalt az alapján, amit megmutat.

Hogyan tegyük időtállóan biztonságossá a mobil üzleti appokat?

Az első lépés annak elfogadása, hogy minden cég veszélyeztetett: akár nagy, akár kicsi, akár vannak terepmunkásai, akár nincsenek, és akármilyen operációs rendszert is használnak. Ezen felül bizonyos szinten minden alkalmazás is veszélyeztetett.

Ezután még kell értenünk, hogy jelenleg milyen típusú és milyen szintű védelemmel rendelkezünk, így fogjuk megtudni, hogy mi hiányzik, és támadás esetén így fogunk tudni gyorsabban reagálni.

Fókuszban a felhasználói viselkedés

Amikor a mobil appok által használt adatok védelméről van szó, a felhasználói viselkedés kulcsfontosságú. Ebből a szempontból az Y-generáció inkább veszélyeztetett.

Egy biztonságtechnikai továbbképzéssel megismertetheti az alkalmazottakkal a legjobb gyakorlatokat, mint amilyen az általuk használt appok rendszeres frissítése, és a nyilvános vezeték nélküli hálózatokon való adattovábbítás biztonságossá tétele.

A legjobb üzleti mobil appok rendszeresen frissítik magukat a nagyobb védelem érdekében, de ennek a funkciónak a működését nem árt ellenőrizni.

Az alkalmazások ellenőrzése

Ahogy az applikációk egyre inkább átveszik az uralmat a korszerű munkahelyeken, integrációjuk is egyre fontosabbá válik. A vírusirtó szoftver, a mobil eszköz-menedzsment (MDM) , vagy az üzleti mobilitás-menedzsment (EMM) mind együtt kell működjön a támadások leállítása és a maximális biztonság érdekében.

Azok a megoldások, amelyek az adat helyétől függetlenek, mint például a hozzáférési jogok és többszintű azonosítás apponkénti beállítása, általában jól működnek.

Ezeknek a módszereknek a sikeres kombinációja cégenként változhat, de a cél világos: megfelelni a biztonságos alkalmazással szemben támasztott 5 legfontosabb követelménynek. Ezek pedig a következők:

• Biztonságos kód. A fejlesztők titkosítást, auditokat, ellenőrzéseket, teszteket, jóváhagyási láncokat alkalmaznak azért, hogy megakadályozzák a rosszindulatú kódok megjelenését.
• Biztonságos adatok. Az adatok megfelelő és naprakész titkosítása védelmet nyújt a rosszindulatú felhasználás ellen.
• Biztonságos hozzáférés. A szerep-alapú hozzáférés extra biztonsági réteget képez a jelszavak mellett.
• Biztonságos kommunikáció. A mobil app és a back-end megfelelő titkosítási és azonosítási protokollokon keresztül kell, hogy kommunikáljon (például SSL/TLS).
• Biztonságos külső szolgáltatók. Minden egyes szolgáltató kockázatát meg kell határozni, és át kell nézni a kockázatkezelési programjukat.  

Ha tisztában vagyunk az iparági sztenderdekkel, legjobb megoldásokkal, és a felhasználók által okozott tipikus problémákkal, amelyek befolyásolhatják a biztonságot, máris hatalmas lépést tettünk az üzleti mobil alkalmazásaink biztonságossá tételének folyamatában.

The post Mobil ransomware támadások: Mentsük meg az üzleti appokat a rosszindulatú kódoktól! appeared first on Scolvo.

Az ügyfelek általában túlbecsülik a mobil alkalmazások üzleti használatának kockázatait, míg a fejlesztők inkább alulbecslik azokat. A tanácsadó feladata pedig, hogy mindkettővel találkozzon félúton. Ahhoz, hogy ez sikerüljön, tudnia kell, melyek azok az iparági sztenderdek, legjobb gyakorlatok, és a felhasználók által generált problémák, amelyek hatással lehetnek a biztonságos működésre.

[/spb_text_block] [spb_image image=”17750″ image_size=”full” frame=”noframe” caption_pos=”hover” remove_rounded=”yes” fullwidth=”no” overflow_mode=”none” link_target=”_self” lightbox=”no” intro_animation=”none” animation_delay=”200″ width=”1/1″ el_position=”first last”] [spb_text_block animation=”none” animation_delay=”0″ simplified_controls=”yes” custom_css_percentage=”no” padding_vertical=”0″ padding_horizontal=”0″ margin_vertical=”0″ custom_css=”margin-top: 0px;margin-bottom: 0px;” border_size=”0″ border_styling_global=”default” width=”1/1″ el_position=”first last”]

Egy vállalati mobil alkalmazást sokféle módon lehet biztonságossá tenni, és legtöbbször ezen módszerek valamilyen kombinációja vezet az igazán biztonságos eredményre.

A stabil IT-biztonsági irányelvekhez való igazodás, vagy még inkább, egy mobil biztonsági keretrendszerbe való illeszkedés mindenképpen jó kezdet. Ezután következik a mobil alkalmazásokra vonatkozó konkrét kockázatok felmérése, valamint azon megoldások megtalálása, amelyekkel a mobil munkafolyamat minden elemének biztonsága kontroll alatt tartható.

A megelőzés és a védelem egyaránt fontos: ennek a koncepciónak az alapjairól már volt szó egy korábbi SCOLVO blogposztban. Ezúttal pedig bemutatjuk azokat a főbb ellenőrző pontokat, amelyeken a mobil megoldásnak át kell tudni haladnia ahhoz, hogy biztonságosnak minősítsük.

1. Ellenőrző pont: A kód biztonságos

Az abszolút minimum, ami elvárható egy mobil alkalmazás-fejlesztőtől, hogy biztonságos kódokat használjon. A fejlesztés során számos lépéssel biztosítható, hogy semmilyen ártalmas kód ne kerülhessen be a rendszerbe a folyamat egyetlen pontján sem, akár kódvisszafejtés, akár hamisítás, akár más úton.

Ha a kód titkosítva van, akkor aligha lesz elérhető a rosszakarók számára. Az auditok, szemlék, penetrációs vizsgálatok, és biztonsági szakértő jóváhagyásától függő verzió-megjelenések tovább fokozhatják a védelmet és segítik a sebezhetőségek miharabbi felfedezését.

Ha egy kód publikus, a hibái támadási felületté válhatnak és az applikáció maga módosítható lesz. Ezzel a vállalkozás azt kockáztatja, hogy felhasználói esetleg a módosított verziót töltik le, és maguk is támadási célponttá válnak.

2. Ellenőrző pont: Az adat biztonságos

A vállalati alkalmazások esetében az adat, amely gyakran érzékeny, és jelentős üzleti értékkel bír, a felhasználók készülékein van tárolva. A fejlesztőknek különleges titkosítási algoritmusokat kell használniuk (a SCOLVO például az elliptikus görbe-módszerre esküszik), hogy megvédjék ezeket az adatokat az illetéktelen használattól.

Az is fontos, hogy a titkosításra használt algoritmus naprakész legyen, hiszen csak így tud maximális biztonságot adni: a jó fejlesztő csapatok állandóan figyelik a legújabb trendeket és legjobb gyakorlatokat minden iparágban, hogy ki tudják választani a leghatékonyabb biztonsági megoldásokat.

A mobil eszközök és alkalmazások révén történő adatvesztés egy olyan fenyegetés, amit illik komolyan venni. A Lookout és a Ponemon Institute tanulmányából kiderül, a mobil adatokkal való visszaélés akár több mint húszmillió dolláros veszteséget is jelenthet egy cégnek, ami különösen nagy rizikó annak fényében, hogy a vállalatok kétharmadának már van ilyen visszaéléssel kapcsolatos tapasztalata.

3. Ellenőrző pont: A hozzáférés biztonságos

Mindannyian tudjuk, hogy a jelszavak milyen gyenge védelmet is jelenthetnek: rengeteg felhasználó nincs tisztában a veszélyekkel, amelyet bizonyos szokásaiból, vagy éppen magukból az eszközökből fakadnak. Ennek ellenére a nem professzionális jelszókezelés ellen titkosítási módszerekkel lehet védekezni, vagy ami még jobb, funkciótól függő hozzáférések kialakításával, amely egy további biztonsági réteget képez azáltal, hogy csak a felhasználó munkájához feltétlenül szükséges információt engedi látni. A különböző profilokat pedig egy Identity Access Management rendszerrel lehet kezelni.

A Gemalto Breach Level Indexe szerint az identitáslopás a leggyakoribb visszaélés, jelenleg 58 százalékát teszi ki az összesnek, és ez az arány egyre nő.

A jó hír viszont, hogy a kicsi, de kompetens csapatok is megóvhatják üzleti felhasználóikat a bukástól, ha a megfelelő eszközöket használják, és az érzékeny adatokat konfigurációs fájlokban titkosítják. Ezen kívül a biztonsági beállításokat alapértelmezésben maximális védelemre állítva is sok támadás kivédhető.

4. Ellenőrző pont: A kommunikáció biztonságos

A mobil app és a backend-rendszerek vagy harmadik fél által nyújtott szolgáltatások közötti kommunikációt szintén megfelelő titkosítással és hitelesítéssel kell biztosítani. Az általánosan alkalmazott protokoll egy egyszerű hitelesítés SSL/TLS titkosítással kombinálva, míg a fejlesztési környezetet tanúsítvány-kibocsátók bevonásával lehet biztonságosabbá tenni.

5. Ellenőrző pont: A külső szolgáltatások biztonságosak

Abban, hogy egy alkalmazás tudja kivédeni vagy legyőzni a rosszindulatú támadásokat, kulcsfontosságú szerepe van a külső partnereknek, legtöbbször a felhő-alapú infrastruktúra-szolgáltatóknak. Mivel ezek természetes célpontjai a visszaéléseknek, a fejlesztőknek tudniuk kell, hogy milyen biztonsági, illetve kockázatkezelési programot alkalmaznak. (A SCOLVO az Amazon Web Services-t választotta, amely Németország egyik vezető infrastruktúra-szolgáltatója, megfelel a legelismertebb tanúsítványok kritériumainak, és rendszeresen auditálják a működését.)

A fejlesztőknek azt is fel kell mérniük, hogy egy-egy ilyen szolgáltatóval való szerződés milyen kockázatokat rejt, attól függően, hogy milyen érzékenységű adatokhoz férnek hozzá, különösen mivel a velük kapcsolatba hozható visszaélések az utóbbi időben 22 százalékkal növekedtek, a PwC adatai szerint. Továbbá a hirdetések és az analitika is megfelelő terepet biztosít a rosszindulatú támadásoknak, mivel általában a szokásosnál nagyobb adatforgalommal járnak.

Megfelelő megoldás lehet a kockázatok csökkentésére az ilyen aktivitások mellőzése, és az alapfunkciókhoz való visszatérés, de nem mindig ez a legjobb út. Az alkalmazás működésének rendszeres ellenőrzése és az adatok más tárhelyekre való lementése révén a fejlesztők megvédhetik a szervezet a támadásoktól, vagy időben kijavíthatják a sebezhetőségeket.

[/spb_text_block]

The post 5 ellenőrző pont a biztonságos mobil üzleti alkalmazás felé vezető úton appeared first on Scolvo.

Világszerte egyre több céghez jut el az üzenet, hogy a digitalizáció és a mobilizáció elkerülhetetlen, mi pedig üdvözöljük azokat a nagyléptékű változásokat, amit ez magával hoz. Természetesen az út kihívásokkal teli, de minél felkészültebb valaki, annál nagyobb az esélye, hogy sikeresen használhatja ki az új technológiák előnyeit.

[/spb_text_block] [spb_image image=”17772″ image_size=”full” frame=”noframe” caption_pos=”hover” remove_rounded=”yes” fullwidth=”no” overflow_mode=”none” link_target=”_self” lightbox=”no” intro_animation=”none” animation_delay=”200″ width=”1/1″ el_position=”first last”] [spb_text_block animation=”none” animation_delay=”0″ simplified_controls=”yes” custom_css_percentage=”no” padding_vertical=”0″ padding_horizontal=”0″ margin_vertical=”0″ custom_css=”margin-top: 0px;margin-bottom: 0px;” border_size=”0″ border_styling_global=”default” width=”1/1″ el_position=”first last”]

Első kihívás: Sebesség

Most, amikor a korai befogadók már leléptek a színről, ideje minden más vállalkozásnak is elköteleznie magát a digitalizáció mellett. Egy tavalyi McKinsey felmérés adatai szerint egyes iparágak kiemelkedőek ezen a téren, és itt nem is annyira az adatvagyon digitalizálására kell gondolni, mint inkább a digitális folyamatok és interakciók gyorsabb kialakítására és nagyobb létszámú digitális munkaerő alkalmazására.

Nem meglepő módon az egyik ilyen vezető iparág a technológiai, de a média, a pénzügyi szektor, és a professzionális szolgáltató szegmens szintén az élvonalban van. Az itt működő cégek munkaereje 13-szor elkötelezettebb a digitális technológiák iránt, vagyis ennyivel több esélyük van arra, hogy a termelékenységét ezen eszközök által javítsák.

A cégek nem csak digitalizálnak, hanem sokan a mobil megoldások elsőségében is hisznek. Vagyis az új munkafolyamatokat elsőként mobilra adaptálják. Ez a trend viszont azt hozza magával, hogy sokkal több mobil alkalmazásra van szükség (a piac ezen szegmense várhatóan öt éven belül duplájára nő), ezért a fejlesztési ciklusoknak is gyorsabbnak kell lenniük. Azok a folyamatok, amelyeket nem lehet mobilizálni, még mindig automatizálhatók.

Második kihívás: Biztonság

Ahol érzékeny adatok keletkeznek, ott mindig lesz esélye egy külső támadásnak. Szerencsére nem csak a bűnözők eszköztára fejlődik. Azok a mobil eszközök, amelyekkel üzletileg kritikus információhoz lehet hozzáférni, két módon is védhetők: egy vállalati mobilitás-menedzsment (EMM) eszközzel, vagy pedig az egyes eszközök védelmével, esetleg a kettő kombinációjával. Választhatunk, hogy melyik passzol a legjobban a cégünkhöz, de homokba dugni a fejünket biztosan nem érdemes. Egy mobil adatlopás akár 26 millió dollárjába is kerülhet a cégnek.

Harmadik kihívás: Új eszközök

Nincs értelme küzdeni ellene: az alkalmazottak így is, úgy is behozzák majd saját személyes eszközeiket (mobilokat, tableteket, és egyre több hordható eszközt) a munkahelyre, ugyanakkor a következő pár évben ez már a legkisebb problémának fog számítani. A tárgyak internete (IoT) sokkal nagyobb volumenű kihívás elé állítja a cégeket: a várhatóan 30 milliárd hálózatba kötött eszköznek is szüksége lesz megfelelő üzleti alkalmazásokra, akárcsak a többinek. És ahhoz, hogy a kontroll továbbra is nálunk maradjon, komplex platformokra és egy erős kiszolgáló infrastruktúrára is szükség lesz.

A technológiai kihíváson túl arra is szükség lesz, hogy ezeknek az eszközöknek megfelelő helyet találjunk a vállalati folyamatokban. Jó hír, hogy ha ez sikerül, akkor jutalmul még nagyobb termelékenység-növekedésre és még több költségcsökkenésre számíthatunk.

Negyedik kihívás: Új felhasználói elvárások

Azoknak a felhasználóknak, akik a digitális korral együtt nőttek fel (ma már a munkavállalók többsége ide tartozik), komolyabbak az elvárásaik a digitális eszközökkel szemben – náluk már csak a digitális bennszülött generáció igényesebb. Nem véletlen, hogy az utóbbiak munkavállaló korba érése elég nagy sokkot okozott, hiszen egyre több eszközhöz vártak el hozzáférést, az eszközöktől pedig egyre több funkciót, de ami még ennél is fontosabb, problémamentes felhasználói élményt.

Tudjon meg többet arról, hogyan előzheti meg a vállalati mobilizáció kudarcát: töltse le angol nyelvű tanulmányunkat!

[/spb_text_block]

The post 4 kihívás a vállalati mobilitásban 2017-ben appeared first on Scolvo.