A v\u00e1llalkoz\u00e1sok fenyeget\u00e9skezel\u00e9s\u00e9re hat\u00e1ssal vannak a glob\u00e1lis trendek, a gazdas\u00e1gi lassul\u00e1st\u00f3l kezdve a kiberkock\u00e1zatokkal kapcsolatos n\u00f6vekv\u0151 tudatoss\u00e1gig.<\/p>\n
Hogyan befoly\u00e1solj\u00e1k a glob\u00e1lis v\u00e1ltoz\u00e1sok a biztons\u00e1gi valid\u00e1ci\u00f3t \u00e9s pentesztel\u00e9st?<\/p>\n
Ezt a k\u00e9rd\u00e9st igyekszik megv\u00e1laszolni a Global Surveyz Research \u00e1ltal k\u00e9sz\u00edtett, az Egyes\u00fclt \u00c1llamok, az Egyes\u00fclt Kir\u00e1lys\u00e1g \u00e9s Nyugat-Eur\u00f3pa 300, legal\u00e1bb C-szint\u0171 poz\u00edci\u00f3ban l\u00e9v\u0151, t\u00f6bb mint 1000 alkalmazottat foglalkoztat\u00f3 v\u00e1llalat\u00e1n\u00e1l dolgoz\u00f3 vezet\u0151 visszajelz\u00e9s\u00e9n alapul\u00f3 jelent\u00e9s, amely \u00e1tfog\u00f3 k\u00e9pet fest a pentesztel\u00e9s mai helyzet\u00e9r\u0151l.<\/p>\n
A legfontosabb meg\u00e1llap\u00edt\u00e1sok:<\/p>\n
\u2022 A szervezetek m\u00e9g mindig nagy ar\u00e1nyban tapasztalnak jogs\u00e9rt\u00e9seket.<\/p>\n
\u2022 A pentesztel\u00e9s m\u00e1r nem csak a jogszab\u00e1lyi megfelel\u00e9sr\u0151l sz\u00f3l.<\/p>\n
\u2022 Az etikus hackercsapatot (Red Team) foglalkoztat\u00f3 v\u00e1llalatok ar\u00e1nya egyre n\u00f6vekszik.<\/p>\n
A gazdas\u00e1gi lassul\u00e1s ellen\u00e9re, amelyet a vil\u00e1gj\u00e1rv\u00e1ny, a glob\u00e1lis ell\u00e1t\u00e1si hi\u00e1ny \u00e9s az Ukrajn\u00e1ban zajl\u00f3 konfliktus okozott, a v\u00e1llalatok nem lehetnek el\u00e9gedettek a kiberbiztons\u00e1ggal. A Check Point Research friss jelent\u00e9se szerint a kibert\u00e1mad\u00e1s sz\u00e1ma 2022-ben 38%-kal n\u0151tt az el\u0151z\u0151 \u00e9vhez k\u00e9pest, \u00e9s szervezetenk\u00e9nt \u00e1tlagosan heti 1168 t\u00e1mad\u00e1st regisztr\u00e1ltak.<\/p>\n
Az elm\u00falt k\u00e9t \u00e9vben a szervezetek megd\u00f6bbent\u0151 88%-a sz\u00e1molt be arr\u00f3l, hogy valamilyen kiberincidens t\u00f6rt\u00e9nt n\u00e1luk, \u00e9s ez a tendencia tov\u00e1bbra sem mutatja a lassul\u00e1s jeleit. Mivel a k\u00f6lts\u00e9gvet\u00e9seket mindenhol cs\u00f6kkentik, l\u00e9tfontoss\u00e1g\u00fa, hogy a kiberbiztons\u00e1g tov\u00e1bbra is kiemelt priorit\u00e1s maradjon.<\/p>\n
A bizonytalans\u00e1g ellen\u00e9re a szervezetek 92%-a n\u00f6veli IT-biztons\u00e1gi k\u00f6lts\u00e9gvet\u00e9s\u00e9t, 86%-a pedig a penetr\u00e1ci\u00f3s tesztel\u00e9si k\u00f6lts\u00e9gvet\u00e9s\u00e9t. A kutat\u00e1sban r\u00e9sztvev\u0151 v\u00e1llalatok k\u00f6r\u00fclbel\u00fcl egyharmada tervezi, hogy ezeket a k\u00f6lts\u00e9gvet\u00e9seket t\u00f6bb mint 10%-kal n\u00f6veli.<\/p>\n
\u00dagy t\u0171nik, hogy a biztons\u00e1g k\u00e9rd\u00e9s\u00e9t komolyan veszik \u00e9s elismerik azt az \u00e9rt\u00e9ket, amelyet a CISO-k \u00e9s a biztons\u00e1gi szak\u00e9rt\u0151k ny\u00fajtanak.<\/p>\n
Nem is olyan r\u00e9gen, ha megk\u00e9rdezt\u00fcnk egy biztons\u00e1gi vezet\u0151t, hogy mi volt a legf\u0151bb oka a penetr\u00e1ci\u00f3s tesztek elv\u00e9gz\u00e9s\u00e9nek, azt mondt\u00e1k, hogy a szab\u00e1lyoz\u00e1si megfelel\u00e9s. M\u00e1ra azonban a jogszab\u00e1lyok \u00e1ltal vez\u00e9relt gyakorlatok helyett a biztons\u00e1g \u00e1ltal vez\u00e9relt gyakorlatok ker\u00fcltek el\u0151t\u00e9rbe. A biztons\u00e1gi vezet\u0151k szerint a pentesting legfontosabb motiv\u00e1ci\u00f3i a k\u00f6vetkez\u0151k:<\/p>\n
\u2022 A biztons\u00e1gi ellen\u0151rz\u00e9s \u00e9s valid\u00e1ci\u00f3 sz\u00fcks\u00e9gess\u00e9ge<\/p>\n
\u2022 A kiberbiztos\u00edt\u00e1si k\u00f6vetelm\u00e9nyek teljes\u00edt\u00e9se<\/p>\n
\u2022 Egy t\u00e1mad\u00e1s potenci\u00e1lis k\u00e1r\u00e1nak felm\u00e9r\u00e9se<\/p>\n
A penetr\u00e1ci\u00f3s tesztel\u00e9st motiv\u00e1l\u00f3 okoknak ilyen ir\u00e1ny\u00fa v\u00e1ltoz\u00e1sa egy\u00e9rtelm\u0171en jelzi a kiberbiztons\u00e1gi \u00e1gazaton bel\u00fcli n\u00f6vekv\u0151 \u00e9retts\u00e9get \u00e9s a t\u00e1mad\u00f3i szempontok meg\u00e9rt\u00e9s\u00e9t. A biztons\u00e1gi vezet\u0151k ma m\u00e1r be\u00e9p\u00edtik a strat\u00e9gi\u00e1jukba a pentestinget.<\/p>\n
A biztons\u00e1gi vezet\u0151k sokf\u00e9le kock\u00e1zattal sz\u00e1molnak, de az egyik, ami miatt k\u00fcl\u00f6n\u00f6sen agg\u00f3dnak, az \u00fczletmenet folytonoss\u00e1g\u00e1nak megszakad\u00e1sa.<\/p>\n
A szoftverek \u00e9s alkalmaz\u00e1sok folyamatos friss\u00edt\u00e9sei mellett a pentesztel\u00e9sre is gyakran kell sort ker\u00edteni a teljes biztons\u00e1g \u00e9rdek\u00e9ben.<\/p>\n
M\u00e9gis, a v\u00e1laszad\u00f3k 45%-\u00e1t riasztja az \u00fczleti alkalmaz\u00e1sok vagy a h\u00e1l\u00f3zat le\u00e1ll\u00e1sa a pentesztel\u00e9s sor\u00e1n. Ez megakad\u00e1lyozza \u0151ket abban, hogy n\u00f6velj\u00e9k a penetr\u00e1ci\u00f3s tesztel\u00e9sek gyakoris\u00e1g\u00e1t. A pentesztel\u00e9si gyakoris\u00e1g n\u00f6vel\u00e9s\u00e9nek m\u00e1sik akad\u00e1lya a k\u00e9zi pentesztel\u0151k hi\u00e1nya.<\/p>\n
A szervezetek t\u00f6bbet szeretn\u00e9nek tesztelni, de nincsenek meg hozz\u00e1 a sz\u00fcks\u00e9ges eszk\u00f6z\u00f6k.<\/p>\n
Ez\u00e9rt fontos az automatiz\u00e1l\u00e1s, amely v\u00e9gtelen sz\u00e1m\u00fa forgat\u00f3k\u00f6nyv tesztel\u00e9s\u00e9t teszi lehet\u0151v\u00e9 an\u00e9lk\u00fcl, hogy a h\u00e1l\u00f3zatot vesz\u00e9lyeztetn\u00e9.<\/p>\n
A pentesztel\u00e9s ir\u00e1nti n\u00f6vekv\u0151 ig\u00e9ny ellen\u00e9re egyes szervezetek m\u00e9g mindig k\u00fczdenek a munka elv\u00e9gz\u00e9s\u00e9vel. A felm\u00e9r\u00e9s szerint a szervezeteknek mind\u00f6ssze 15%-a v\u00e9gez automatiz\u00e1lt pentesztel\u00e9st, mik\u00f6zben 39% manu\u00e1lis teszteket futtat, 42% pedig harmadik f\u00e9lt\u0151l sz\u00e1rmaz\u00f3 szolg\u00e1ltat\u00e1st vesz ig\u00e9nybe. 18% egy\u00e1ltal\u00e1n nem futtat penteszteket.<\/p>\n
A penetr\u00e1ci\u00f3s tesztel\u00e9s automatiz\u00e1l\u00e1sa seg\u00edthet \u00e1thidalni ezeket a hi\u00e1nyoss\u00e1gokat. Az automatiz\u00e1l\u00e1s lehet\u0151v\u00e9 teszi a folyamatos \u00e9s hat\u00e9kony tesztel\u00e9st, mivel nem t\u00e1maszkodik a k\u00e9zi tesztel\u0151kre, \u00e9s gyorsan lefut, elker\u00fclve az \u00fczleti folyamatok megszakad\u00e1s\u00e1t.<\/p>\n
J\u00f3 h\u00edr, hogy 2023 v\u00e9g\u00e9re v\u00e1rhat\u00f3an a biztons\u00e1gi vezet\u0151k majdnem mindegyike rendelkezik majd h\u00e1zon bel\u00fcli v\u00f6r\u00f6s csapattal. 67%-uk m\u00e1r most is rendelkezik ilyennel, 29%-uk pedig tervezi ezt. Ezek a csapatok seg\u00edthetnek a pentesting hat\u00f3k\u00f6r\u00e9nek \u00e9s sebess\u00e9g\u00e9nek n\u00f6vel\u00e9s\u00e9ben is.<\/p>\n
A kiberbiztons\u00e1g ter\u00e9n m\u00e9g mindig a m\u00e9lys\u00e9gi v\u00e9dekez\u00e9s a legelterjedtebb strat\u00e9gia. A szervezetek 92%-a alkalmazza ezt a megk\u00f6zel\u00edt\u00e9st.<\/p>\n
A kibert\u00e1mad\u00e1sok gyakoris\u00e1ga m\u00e9gis azt mutatja, hogy ez a strat\u00e9gia, illetve annak megval\u00f3s\u00edt\u00e1si m\u00f3dja nem hat\u00e9kony. Penteszteket p\u00e9ld\u00e1ul a legt\u00f6bb szervezet legjobb esetben is csak negyed\u00e9vente egyszer v\u00e9gez. A szervezetek fele pedig \u00e9vente csak egyszer vagy k\u00e9tszer.<\/p>\n
Ez azt jelenti, hogy a legt\u00f6bb szervezet nem teszteli el\u00e9gg\u00e9 a v\u00e9delm\u00e9t ahhoz, hogy megtudja, hogy a biztons\u00e1gi strat\u00e9gi\u00e1ja hat\u00e9kony-e.<\/p>\n