Kas tai? Eksperto įžvalgos

Tikroji kibernetinio saugumo padėties analizė: 4 dalykai, nuo kurių reikėtų pradėti

Reklama publikuota: 2022-03-21
„Blue Bridge“ Tinklų ir saugumo sprendimų skyriaus vadovas Vaidas Virbukas.
svg svg
„Blue Bridge“ Tinklų ir saugumo sprendimų skyriaus vadovas Vaidas Virbukas.

Bet kuri įmonė, turinti bent 5 kompiuterines darbo vietas, bevielį tinklą, serverį arba viešai prieinamą svetainę, į kibernetinį saugumą turėtų žiūrėti strategiškai, t. y. pradėti nuo opiausių saugumo spragų lopymo ir tik tada pereiti prie naujų saugumo sprendimų ar paslaugų įsigijimo. „Kibernetinio saugumo pamatas yra tikrosios saugumo padėties analizė. Tokia analizė leidžia susidaryti veiksmų planą, išdėstyti grėsmes pagal svarbą ir paskirstyti visada ribotus resursus taip, kad jie atneštų daugiausiai naudos“, – sako „Blue Bridge“ Tinklų ir saugumo sprendimų skyriaus vadovas Vaidas Virbukas, vienas iš specialistų, sukūrusių „Blue Bridge“ 3 saugumo žingsnių modelį.

3 saugumo žingsniai – tai kovo 21 d. startuojanti „Blue Bridge“ informacinė kampanija, kurios metu bet kurio dydžio verslas galės daugiau sužinoti apie svarbiausius kibernetinio saugumo elementus, lankytis nemokamuose seminaruose internete ir iš arčiau susipažinti su naujausių saugumo sprendimų bei paslaugų pritaikymu savo poreikiams.

1. Automatinis ir rankinis testavimai – skiriasi

Pagal „Blue Bridge“ specialistų parengtą 3 žingsnių modelį pirmasis žingsnis didesnio duomenų saugumo link – tai IT sistemų atsparumo kibernetiniams įsilaužimams įvertinimas. Paprasčiausias būdas atlikti tokį įvertinimą yra galimo įsilaužimo simuliacija. Kaip pasakoja V. Virbukas, tai, kad įsilaužimų testavimas – vienintelė priemonė, numatyta pirmajame žingsnyje, nėra atsitiktinumas. Šiuo metu rinkoje yra jau gana didelis šių paslaugų pasirinkimas, tad išsirinkti tinkamiausią gali būti sudėtinga.

Patardamas, į ką pirmiausia reikėtų atkreipti dėmesį, vertinant skirtingus pasiūlymus, V. Virbukas sako, kad, kalbant apie įsilaužimų testavimą, negalima apsiriboti tik automatiniu pažeidžiamumų skenavimu, nors tokia pagunda yra – būtent automatinio testavimo užtenka norint atitikti Bendrojo duomenų apsaugos reglamento (BDAR) ir ISO reikalavimus. Be to, automatinis testavimas yra kelis kartus pigesnis nei rankinis.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

„Vis dėlto, jeigu mūsų tikslas – ne formaliai atitikti reikalavimus, bet iš tikrųjų pamatyti dabartinę saugumo būklę, rekomenduočiau automatiniais įrankiais atliktą skenavimą apjungti su rankiniu testavimu. Iš esmės tai reiškia, kad automatinio skenavimo duomenis pertikrina specialistai, kurie ne tik nustato, kurios grėsmės tikros, bet ir išrikiuoja jas pagal svarbą. Be to, kibernetinės saugos specialistai parenka unikalius įsilaužimo įrankius ir metodus pagal kliento IT infrastuktūrą lyg tai darytų tikras nusikaltėlis. Tai leidžia parodyti praktinius kliento naudojamų saugumo sistemų trūkumus“, – paaiškina „Blue Bridge“ Tinklų ir saugumo sprendimų skyriaus vadovas.

2. Kurių IT infrastruktūros dalių testavimą rinktis?

Antras aspektas, kuris itin svarbus renkantis įsilaužimų testavimą, – jo apimtis.

 „Pavyzdžiui, „Blue Bridge“ siūlo visą IT infrastruktūrą apimantį testavimą, nes manome, kad tai – pats optimaliausias variantas, leidžiantis pamatyti organizaciją įsilaužėlių akimis“, – pastebi pašnekovas ir išvardija, kad į bendrą testavimą įeina įsilaužimo į WEB aplikacijas testavimas, išorinio tinklo perimetro, įsilaužimo iš vidinių tinklų, įsilaužimo į duomenų bazes, įsilaužimo naudojant belaidį ryšį testavimus, įsilaužimo iš/į viešosios debesijos resursus ir netgi įsilaužimo naudojant socialinę inžineriją testavimas.

„Klientams rekomenduojame bent kartą per metus atlikti visus šiuos testavimus, tačiau dėl ribotų resursų gali būti pasirinkti tik keli testavimai, pavyzdžiui, tik WEB aplikacijų arba tik išorinio ir vidinio tinklo saugumo testavimas. Tokia išeitis galima turint  nedideles galimybes, tačiau svarbu atsiminti kelis dalykus. Pirma, jeigu niekada iki tol neatlikote jokio testavimo, geriausia įsigyti kuo daugiau infrastruktūros komponentų apimantį testavimą. Antra, įsigijus vieno tipo testavimą, vėliau reikėtų atlikti ir kito tipo testavimą tokiu būdu susidarant pilnesnį saugumo paveikslą“, – pataria „Blue Bridge“ atstovas.

3. Skiriasi ir darbuotojų budrumo virtualioje erdvėje testai

Ypatingą vietą nagrinėjant organizacijos saugumą užima darbuotojų atsparumo socialinei inžinerijai testai. Būtent darbuotojai dažnai yra pažeidžiamiausia saugumo grandis ir vienintelis būdas juos apsaugoti – nuolatinis švietimas bei ugdymas. Dalis šio ugdymo ir yra socialinės inžinerijos testai. Jų metu galima pamatyti, kaip darbuotojai reaguoja į suklastotus el. laiškus su kenkėjiškų programų nuorodomis ar prašymais perduoti svarbius finansinius bei kitus jautrius duomenis.

„Jau porą metų labiausiai paplitęs fišingas (angl. phishing), kai darbuotojams el. laiškai siunčiami „iš išorės“, apsimetant finansinėms institucijoms, advokatais ir t. t., užleidžia vietą tikslingesnėms atakoms, kai taikomasi į konkrečias pareigas einantį asmenį, pavyzdžiui, vadovą, personalo specialistus, finansų direktorių. Dažnai tokie laiškai – vardiniai ir yra siunčiami prisidengiant vadovų bei kolegų vardu. Kadangi tokios atakos ruošiamos ilgiau ir kruopščiau, suklastotus laiškus sunkiau atpažinti“, – pasakoja V. Virbukas ir pabrėžia, kad šią tendenciją svarbu turėti omeny renkantis atsparumo socialinei inžinerijai testavimus bei mokymus.

„Dėl gudrėjančių kibernetinių nusikaltėlių šiandien efektyviausi atsparumo socialinei inžinerijai testai parengimai ne pagal šablonus, kuriuos paprasta atpažinti, o pagal individualius, konkrečiai įmonei pritaikytus scenarijus – taip, kaip tai vis dažniau daro kibernetiniai nusikaltėliai“, – pasakoja V. Virbukas.

4. Už saugumo testą svarbesnė tik jo ataskaita

Galiausiai, įsilaužimų testavimo nauda susijusi ir su tuo, kaip pateikiami šio testo rezultatai. „Jeigu šie rezultatai – tiesiog automatiškai sugeneruotas pažeidžiamumų sąrašas, jo nauda mažesnė nei aiškiai prioretizuotų grėsmių sąrašo. Pavyzdžiui, savo klientams siūlome ataskaitas, kuriose pažeidžiamumai pateikiami kaip rekomendacijos, kas pagreitina ir supaprastina šių rekomendacijų taikymą bei didesnio saugumo užtikrinimą. Taip pat mūsų saugumo specialistai gali patarti, kurias iš aptiktų saugumo spragų reikėtų lopyti skubiausiai“, – pasakoja V. Virbukas ir pažymi, kad prieš įsigyjant saugumo testavimą, patariama pasiteirauti, kokios apimties ir išsamumo bus ataskaita.

„Svarbiausia, kad po testo jūs tiksliai žinotumėte, ką ir po ko daryti, kokius saugumo stiprinimo žingsnius žengti bei kur pirmiausia investuoti savo laiką bei pastangas“, – akcentuoja pašnekovas.

Galimybė įvertinti organizacijos saugumą per porą minučių

Kampanijos „3 saugumo žingsniai“ metu visi norintys taip pat kviečiami atlikti testą, kuris padės įvertinti savo organizacijos saugumo lygį bei suteiks įžvalgų, kaip siekti dar didesnio saugumo. Šį testą „Blue Bridge“ komanda sukūrė vadovaudamasi savo patirtimi ir JAV nacionalinio standartų ir technologijų instituto išskirtomis kibernetines saugos kategorijomis.

 

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Rašyti komentarą 0
Ekspertas patarė, kaip apsiginti nuo „Ransomware“ atakos Verslo tribūna

76 proc. organizacijų visame pasaulyje jau patyrė „Ransomware“ atakas, parodė naujausia „Veeam“ duomenų...

Išmani Lietuva
2022.03.23
Lietuvos NT startuoliai ruošiasi plėtrai užsienyje ir naujoms investicijoms Premium

Iki šiol menkai skaitmenizacijos paliesta nekilnojamojo turto (NT) rinka tampa imlesnė technologijoms, o tai...

Inovacijos
2022.03.22
Tikroji kibernetinio saugumo padėties analizė: 4 dalykai, nuo kurių reikėtų pradėti Verslo tribūna

Bet kuri įmonė, turinti bent 5 kompiuterines darbo vietas, bevielį tinklą, serverį arba viešai prieinamą...

Išmani Lietuva
2022.03.21
Europos akys – į Lietuvos agromaisto sektorių Verslo tribūna

Žemės ūkio ir maisto sektorius turi daugybę neišnaudoto potencialo įgalinant fotonikos sprendimus savo...

Pramonė
2022.03.15
Perspektyviausi Lietuvos „edtech“ startuoliai: estus lenkiame, bet tobulėti dar yra kur Premium

Lietuvoje švietimo technologijų įmonių daugėja, o perspektyviausių Baltijos ir Šiaurės Europos startuolių...

Inovacijos
2022.03.10
Pavogtą jautrią informaciją apie save galite būti paprašyti išsipirkti patys Verslo tribūna

Sėkmingas Suomijos psichinės sveikatos klinikų tinklas „Vastaamo“ pernai rudenį patyrė didelio masto ataką.

Išmani Lietuva
2022.03.09
„ART21“: dabar – darbas ukrainiečiams, pasibaigus karui – milijono vertės paramos paketas Ukrainos atstatymui Verslo tribūna

Agromaisto inovacijų dirbtuvės „ART21“ nelieka abejingos Ukrainos tautai, kuri dabar kovoja už visos Europos...

Išmani Lietuva
2022.03.08
Karantinas atskleidė, kad organizacinė kultūra nėra vien gražus žodžių derinys Verslo tribūna

Žmogiškojo santykio reikšmę darbe visapusiškai leido įvertinti tik dalinis jų praradimas karantino...

Išmani Lietuva
2022.03.02
„Mezon“: Jonava tapo pirmuoju 5G ryšiu padengtu miestu Lietuvoje Verslo tribūna

Interneto bendrovė „Mezon“ startavo su 5G ryšio technologija. Lietuvos centre įsikūręs miestas tapo pirmuoju...

Išmani Lietuva
2022.02.24
Saugumo sprendimas, sukuriantis naudotojo paveikslą skaitmeninėje erdvėje Verslo tribūna

Šiame „Blue Bridge“ straipsnio įraše sistemų inžinierius Gintaras Grybas pasakoja apie naujos kartos saugumo...

Išmani Lietuva
2022.02.23
Tvirtesni pamatai švariųjų technologijų įmonėms: bronzinę žymą pelnęs klasteris stiprins tarptautinį bendradarbiavimą Verslo tribūna

Šalies švariųjų technologijų sektoriui dedami tvirtesni pamatai. Šiemet Lietuvos švariųjų technologijų...

Išmani Lietuva
2022.02.22
WSJ: „Intel“ – netoli 6 mlrd. USD sandorio su Izraelio puslaidininkių bendrove 1

JAV technologijų kompanija „Intel“ yra netoli susitarimo už 6 mlrd. USD įsigyti Izraelio puslaidininkių...

Inovacijos
2022.02.15
Robotikos potencialas – didžiulis, bet ant stalo pinigus Lietuvoje dar deda retas Premium

Pasaulyje investicijos į robotikos startuolius ir jų skaičius per pastaruosius metus augo kartais. Lietuvoje...

Inovacijos
2022.02.10
Lietuvos startuoliai pernai sumokėjo 50% daugiau mokesčių, įdarbino apie 5.000 naujų darbuotojų 1

Lietuvos startuoliai 2021 m. į Lietuvos biudžetą sumokėjo 191 mln. Eur mokesčių, bendras šiame sektoriuje...

Inovacijos
2022.02.08
Netolima ateitis žemės ūkio sektoriuje – anglies dioksido kreditų rinka Verslo tribūna 1

Žaliojo kurso tikslai yra neįgyvendinami be pokyčių agromaisto sektoriuje. Šiandien žemės ūkis Lietuvoje...

Išmani Lietuva
2022.02.01
Ar asmenybės bruožai turi lemti profesijos pasirinkimą? Verslo tribūna

„Intravertiškas, energingo bendravimo nemėgstantis žmogus, tapęs pardavimų vadybininku, gali įgauti...

Išmani Lietuva
2022.02.01
5 pokyčiai, kuriuos pandemija atnešė į IT sistemų pirkimą Verslo tribūna

Mažiau sistemų, veikiančių nuosavoje IT infrastruktūroje ir SaaS paslaugų bumas, atspindintis ekonomikos ir...

Išmani Lietuva
2022.01.28
„Ignitis grupės“ inovacijų guru: geriausiai apgalvotos idėjos ateina ne iš vadovų Premium

Geriausiai apgalvotos inovacijų idėjos energetikos grupėje „Ignitis grupė“ dažnai ateina ne iš vadovų, o iš...

Inovacijos
2022.01.25
Puslaidininkių investicijų upė: Taivanas vis tiek gali daugiausia Premium 5

Dėl pasaulinės puslaidininkių krizės gamintojai karštligiškai investuoja į naujus pajėgumus – skelbiama apie...

Inovacijos
2022.01.25
Šeštus metus iš eilės „CV-Online“ „Bitę“ pripažino TOP darbdaviu Verslo tribūna 7

„Bitė Lietuva“ jau šeštus metus iš eilės pelnė TOP darbdavio titulą, skelbia darbo skelbimų paieškos bendrovė...

Išmani Lietuva
2022.01.21

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku