Kiberbiztonsági keretrendszer segíti a védekezést
Elérhetővé vált annak a biztonsági keretrendszernek a végleges kiadása, amely a Fehér Ház felkérésére készült az elmúlt egy év során.Egy évvel ezelőtt Barack Obama elnök arra utasította az amerikai Nemzeti Szabványügyi és Technológiai Intézetet (NIST - National Institute of Standards and Technology), hogy dolgozzon ki egy olyan biztonsági keretrendszert, amely iránymutatóként szolgálhat a kiberinfrastruktúrák által biztosított létfontosságú szolgáltatások épségének megőrzéséhez. Ebből a szempontból a kritikus infrastruktúrák, a banki, szállítási és telekommunikációs rendszerek is a figyelem középpontjába kerültek. Végül azonban egy olyan dokumentum született, amely nemcsak a legnagyobb intézmények és vállalatok számára lehet előnyös, ugyanis minden szervezetnek tartogat megfontolandó tanácsokat.
A keretrendszer kialakításában több száz biztonsági szakértő vett részt. Az előzetes kiadásokhoz megannyi észrevétel érkezett, amelyek részben be is kerültek a dokumentumba. A végleges változat végül tartalmazza mindazon alapvető védelmi intézkedéseket, mechanizmusokat, amelyek alkalmazásával a rendszerek támadásokkal szembeni ellenálló képessége növelhető, miközben jobban átláthatóvá és mérhetővé válik a biztonság.
Nem maradtak el a kritikák
A 41 oldalas keretrendszernek a dicséretekből és a kritikákból is kijutott. Ez pedig elsősorban arra vezethető vissza, hogy sokszor nem volt megfelelően tisztázott a dokumentum szerepe és célcsoportja. Több kritika látott napvilágot azzal kapcsolatban, hogy a keretrendszer túl homályosan fogalmaz, és így nem képvisel igazi értéket. Ennek kapcsán Harriet Pearson szakértő, aki maga is részt vett az iránymutatások összeállításában, azt nyilatkozta, hogy a keretrendszer elsősorban a felsővezetők számára szól, például az igazgatóknak, a biztonsági főnököknek, az auditorok vezetőinek, és mindazoknak, akik egy adott szervezeten belül felelnek a biztonságért. Véleménye szerint a keretrendszer választ adhat például egy biztonsági vezetőnek a következő kérdésre: "Honnan tudhatom, hogy amit csinálok az elégséges-e?". A szakember azt is hangsúlyozta, hogy a dokumentum ugyan nem tartalmaz technológiai javaslatokat, azonban az irányítási feladatokra és a védelmi intézkedésekre rámutat.
Andrew Wild, a Qualys biztonsági vezetője szerint a keretrendszer alapvetően egy szép munka, és jól rávilágít arra, hogy a szervezeteknek miként kellene alkalmazniuk a kockázatközpontú megközelítést a biztonság fokozása érdekében. Ugyanakkor azt is mondta, hogy ez a dokumentum sem lesz csodaszer a problémák kezelésében. Elvégre a legtöbb biztonságért felelős szakember eddig is átlátta, hogy miként kellene megvédenie a rábízott rendszereket. A baj inkább az erőforrások hiányával van, ugyanis a felsővezetők sokszor nem biztosítanak megfelelő körülményeket a védelem kialakításához. "Hogyan segíthet egy keretrendszer a védelem megerősítésében, ha az erőforrások nem adottak?" - tette fel a kérdést Wild.
A keretrendszer
Az új keretrendszerben szó van az alapvető védelmi feladatokról, a megvalósítási lehetőségekről és a kiberbiztonsági stratégiákhoz, tervekhez kötődő integrálási kérdésekről. A magját azok a tevékenységek adják, amelyek különféle kategóriákba (eszközmenedzsment, hozzáférés-szabályozás, fenyegetettségelemzés,...) és alkategóriákba sorolhatók. A legfontosabb feladatok között a következőket említi: azonosítás, védelem, felismerés, reagálás és helyreállítás. E teendők más ajánlások kapcsán is sokszor előtérbe kerülnek, de ez azért sem meglepő, mert az NIST a keretrendszerének összeállításakor igyekezett már meglévő szabványokra támaszkodni, és megtalálni az azok közötti egyensúlyt. Így például az egyes biztonsági teendők részletezése nem is történt meg mély szinten, ehelyett a szerzők nemes egyszerűséggel egyéb előírásokra vonatkozó hivatkozásokat illesztettek a dokumentumba.
Forrás: NIST
"A keretrendszer nem helyettesíti vagy cseréli le a szervezetek által jelenleg is alkalmazott üzleti vagy kiberbiztonsági kockázatmenedzsment folyamatokat, hanem sokkal inkább kiegészíti azokat" - hangsúlyozták a szerzők. Egyben hozzátették, hogy az új ajánlások révén a vállalatok, intézmények a jelenlegi folyamataik mentén azonosíthatják a kockázatokat, és ilyen módon erősíthetik a kockázatmenedzsmentet.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.