Teszteléssel erősítik a privát és céges kiberbiztonságot

Napjainkban komoly kihívást jelent a magán- és üzleti életünk védelme, adataink biztonsága folyamatos figyelmet kíván. A felmérések alapján a gyerekek is egyre korábban - akár már 6 éves kortól - kezdik el használni az internetet. Megannyi alkalmazást, játékot, programot használunk mindennapi életünk során, ezért válik égető kérdéssé saját és gyermekeink digitális identitásának védelme. Lássuk, hogy 2022 derekán milyen módszerekkel és eszközökkel segíthetik a kiberbiztonságot a teszteléssel foglalkozó szakemberek!

Elöljáróban csak annyit: nem véletlen, hogy sok cég foglalkozik manapság a különböző platformok, alkalmazások, fejlesztések tesztelésével a biztonsági szempontok fókuszba állításával is. A biztonsági tesztelés egy folyamatosan változó és egyre komolyabb eszközöket felsorakoztató szakterület a tesztelésen belül. Az eligazodást segítve a következőkben sorra vesszük a kapcsolódó piaci szegmenseket, valamint rövid betekintést nyújtunk az iparági trendekbe.

Jól szegmentálható a biztonsági tesztelés piaca

Amikor a biztonsági tesztelésről van szó, alapvetően egy igen jól, logikus szempontok alapján lehatárolható piacról beszélünk. Ezt a speciális IT-iparágat a tesztelés típusa, a vizsgált rendszer telepítésének módja valamint a végfelhasználói terület alapján is szegmentálhatjuk. Íme, az egyes kategóriákba tartozó legfőbb szegmensek.

Típus szerint:

Alkalmazásbiztonsági tesztelés
Hálózatbiztonsági tesztelés
Eszközbiztonsági tesztelés
Social Engineering
Egyéb

Telepítési mód szerint:

Lokális
Felhő alapú

Végfelhasználó-terület szerint:

Egészségügy
IT és távközlés
Kiskereskedelem és e-kereskedelem
Oktatás
Egyéb

Felértékelődő terület, folyamatosan bővülő lehetőségek

A biztonsági tesztelési piac értéke 2020-ban 5,36 milliárd amerikai dollár volt, 2026-ra pedig várhatóan már eléri a 22,9 milliárd dollárt. A 2021-26-os előrejelzési időszak 27,2 százalékos éves növekedést prognosztizálnak a területen.

Az elképesztő mértékű fejlődés hátterében egyrészt az IoT-eszközök, másrészt pedig a BYOD (Bring Your Own Device) folyamatos terjedése áll, ami egyértelműen serkenti a biztonsági tesztelés piacának növekedését. Mivel az IoT-hez csatlakoztatott eszközök mindennapi életünk szerves részévé válnak, kulcsfontosságú, hogy ezeket az eszközöket teszteljék, illetve azokkal kapcsolatban meghatározzák a biztonsági minimumot.

A mobileszközök és az IKT (ICT) térhódításával a különböző kormányzati és állami vállalatok az információs infrastruktúra-szolgáltatásoktól függenek. Ez a függőség azonban számos üzleti vállalkozás számára sebezhető tényezővé vált a növekvő kiberbiztonsági fenyegetések miatt. A vállalatok (és országok) többsége felismeri, hogy a kiberfenyegetés az egyik legkomolyabb gazdasági biztonsági kihívás, amellyel szembe kell nézniük.

Egyre nyilvánvalóbb, hogy a hagyományos módszerek – például a kártevőirtó szoftverek – már nem elegendőek az érzékeny információk biztonságban tartásához. A megoldás érdekében számos haladó vállalat saját kiberbiztonsági stratégiával erősíti meg érzékeny információinak védelmét, a stratégiában pedig kiemelt szerepet kapnak a biztonsági tesztelési (ST) eszközök. Ezeket a különböző rendszerek sérülékenységeinek azonosítására és a hibák kijavítására használják.

Mit hozhat a jövő a biztonsági tesztelésben?

Ezen a ponton érdemes idézni Erik Rutkens kiberbiztonsági szakértőt, aki a szakterületen tapasztalható trendeket különböző szempontok szerint vizsgálta és ezek alapján tett kísérletet arra, hogy előre tekintsen a várható jövőbe. A Qbit Eurofins Cyber Security alapítója és CEO-ja így látja a következő éveket:

Digitális átalakulás és az ellátási lánc komplexitása. Az ellátási lánc komplex vizsgálata, kezelése egyre nagyobb szerepet játszik a biztonsági kérdéseket illetően is. A fejlesztési modellek folyamatosan megújulnak, a vállalkozások pedig egyre erősebben függenek a harmadik féltől származó szolgáltatásoktól. Az előrejelzések már 2020-ra azt jósolták, hogy a SaaS (software as a service) uralja majd a működés 73%-át a szervezetekben, a tesztelést pedig holisztikusabb megközelítéssel kell majd alkalmazni.
SecOps és beépített biztonság. Az integrált biztonsági megoldások egyre fontosabb követelményként jelennek meg mind az ügyfelek elvárásait, mind a különböző minőségbiztosítási szabályozásokat illetően. A rendszerfejlesztés ennek megfelelően DevOps, majd DevSecOps (SecOps) lépésekben végezzük. A Gartner már évekkel ezelőtt azt prognosztizálta, hogy a fejlesztőcsapatok 80%-a lényegében SecOps munkafolyamatokat használ majd, ezért ennek elősegítésére új megoldásokat kell kidolgozni.
Sebezhetőségi vizsgálatok. A bűnözők akkor sikeresek, ha egy lépéssel meg tudják előzni a kiberbiztonsági szakembereket. A tesztelés tehát létfontosságú: nem szabad réseket hagyni a rendszereken. A megelőzéshez szükséges, egyre növekvő erőforrások miatt a proaktív sebezhetőségi tesztelések és a behatolási tesztelések „make-or-break” tényezővé válnak az iparágban.
Megfelelőségi tesztelés. A megfelelőségi tesztelést illetően a legjelentősebb változások 2019-ben következtek be, nagyrészt az EU GDPR-szabályozásának köszönhetően. Az új adatszabályozás kiterjedt és összetett, ezért új kihívások elé állította a szervezeteket és a tesztelőket. A kihívások közül sokra még keresik az ideális megoldásokat.
Az IoT tesztelése. A dolgok internete talán az a terület, ahol jelenleg a legnagyobb a biztonsági hiányosság. A fogyasztói IoT-termékek alulvédettek, és a fenyegetésekkel kapcsolatos felhasználói ismeretek hiányosak, a biztonsági tudatosság gyenge. Nem szabad alábecsülni az IoT-eszközök veszélyeit, mivel azok komoly kockázatokat jelenthetnek mind a végfelhasználók, mind pedig az internet egésze számára.

Erik Rutkens az előbbiek kapcsán egyszerűen úgy fogalmaz: a biztonság létszükséglet. A jó kiberbiztonsági megoldások megvédik az ügyfeleket az adatlopástól, megvédik a hardvert és a szoftvert a kritikus sérülékenységektől; és megóvják a szervezeteket attól, hogy az egyre szigorúbb szabályozások gátat szabjanak a fejlődésüknek. A kiberbiztonság megteremtésének első és legfontosabb lépése a megfelelő biztonsági tesztelés, és ahogy a biztonság iránti igény folyamatosan növekszik, a legjobb tesztelési megoldások iránti igény is növekedni fog.

Források:

Szerző:
Szenfner János

Süti	Időtartam	Leírás
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	11 hónap	Ezt a sütit a GDPR Cookie Consent plugin állítja be. A süti az "Analytics" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás tárolására szolgál.
cookielawinfo-checkbox-functional	11 hónap	A cookie-t a GDPR Cookie Consent plugin állítja be a "Funkcionális" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás rögzítésére.
cookielawinfo-checkbox-necessary	11 hónap	Ezt a sütit a GDPR Cookie Consent plugin állítja be. A cookie a "Szükséges" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás tárolására szolgál.
cookielawinfo-checkbox-others	11 hónap	Ezt a cookie-t a GDPR Cookie Consent plugin állítja be. A cookie-t a "Egyéb" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás tárolására használják.
cookielawinfo-checkbox-performance	11 hónap	Ezt a sütit a GDPR Cookie Consent plugin állítja be. A cookie a "Teljesítmény" kategóriába tartozó cookie-k felhasználói hozzájárulásának tárolására szolgál.
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	munkamenet	A süti tárolja és azonosítja a felhasználó egyedi munkamenet-azonosítóját a felhasználói munkamenetek kezelése érdekében a weboldalon. Ez egy munkamenet cookie, és törlődik, amikor az összes böngészőablak bezárásra kerül.
viewed_cookie_policy	11 hónap	A cookie-t a GDPR Cookie Consent plugin állítja be, és arra szolgál, hogy tárolja, hogy a felhasználó hozzájárult-e a cookie-k használatához. Nem tárol semmilyen személyes adatot.

Süti	Időtartam	Leírás
_fbp	3 hónap	Ezt a sütit a Facebook állítja be, hogy a weboldal meglátogatása után hirdetéseket jelenítsen meg a Facebookon vagy a Facebook hirdetésekkel támogatott digitális platformon.
_ga	1 év 1 hónao 4 nap	A Google Analytics által telepített _ga cookie kiszámítja a látogatói, munkamenet- és kampányadatokat, valamint nyomon követi a webhely használatát a webhely analitikai jelentése számára. A cookie névtelenül tárolja az információkat, és egy véletlenszerűen generált számot rendel az egyedi látogatók felismeréséhez.
_ga_*	1 év 1 hónap 4 nap	A Google Analytics ezt a sütit az oldalmegtekintések tárolására és számolására állítja be.
_gat_gtag_UA_*	1 perc	A Google Analytics ezt a sütit egy egyedi felhasználói azonosító tárolására állítja be.
_gid	1 nap	A Google Analytics által telepített _gid cookie információt tárol arról, hogy a látogatók hogyan használják a webhelyet, miközben egy elemzési jelentést is készít a webhely teljesítményéről. Az összegyűjtött adatok között szerepel a látogatók száma, a látogatók forrása és az általuk anonim módon meglátogatott oldalak.
_hjFirstSeen	30 perc	A Hotjar ezt a cookie-t az új felhasználó első munkamenetének azonosítására állítja be. Egy true/false értéket tárol, amely azt jelzi, hogy a Hotjar először látta-e ezt a felhasználót.
_hjSession_*	30 perc	Az aktuális munkamenet adatait tartalmazó süti. Ez biztosítja, hogy a munkamenetablakon belüli későbbi kérések ugyanahhoz a Hotjar munkamenethez tartozzanak.
_hjSessionUser_*	1 év	A Hotjar ezt a cookie-t az új felhasználó első munkamenetének azonosítására állítja be. Egy true/false értéket tárol, amely azt jelzi, hogy a Hotjar először látta-e ezt a felhasználót.
CONSENT	2 év	A YouTube ezt a cookie-t a beágyazott youtube-videókon keresztül állítja be, és anonim statisztikai adatokat regisztrál.
last_pys_landing_page	7 days	PixelYourSite plugin sets this cookie to manages the analytical services.
last_pysTrafficSource	7 days	PixelYourSite plugin sets this cookie to manage the analytical services.
pardot	soha	A pardot cookie akkor kerül beállításra, amikor a látogató Pardot-felhasználóként van bejelentkezve. A süti aktív munkamenetet jelez, és nem nyomkövetésre szolgál.
pys_first_visit	7 days	PixelYourSite plugin sets this cookie to manage the analytical services.
pys_landing_page	7 days	PixelYourSite plugin sets this cookie to manages the analytical services.
pys_session_limit	1 hour	PixelYourSite plugin sets this cookie to manage the analytical services.
pys_start_session	session	PixelYourSite plugin sets this cookie to manage the analytical services.
pysTrafficSource	7 days	PixelYourSite plugin sets this cookie to manage the analytical services.

Süti	Időtartam	Leírás
fr	3 hónap	A Facebook ezt a cookie-t azért állítja be, hogy a felhasználók viselkedésének nyomon követése révén releváns hirdetéseket jelenítsen meg a felhasználóknak az interneten, olyan webhelyeken, amelyek Facebook pixel vagy Facebook közösségi plugin funkcióval rendelkeznek.
VISITOR_INFO1_LIVE	5 hónap 27 nap	A YouTube által a sávszélesség mérésére beállított süti, amely meghatározza, hogy a felhasználó az új vagy a régi lejátszófelületet kapja-e meg.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	munkamenet	Az YSC cookie-t a Youtube állítja be, és a Youtube oldalakon beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_hjIncludedInSessionSample_3420684	2 perc	Annak meghatározására szolgál, hogy egy felhasználó szerepel-e a webhely napi munkamenet-korlátja által meghatározott adatmintavételezésben.
pbid	6 months	Leírás nélkül.