IT bezpečnost v roce 2023: Problematika multicloudů a supply chain attack

27. 1. 2023. (redaktor: František Doupal, zdroj: Y Soft)
Dnešní aplikace již dávno nejsou monolitické jako dříve. Důvod je prozaický – nutná rychlost změn vycházející z dynamicky se měnících požadavků zákazníků a s tím spojené potřeby relativní nezávislosti vývojářských týmů, podílejících se na vývoji různých částí aplikace.

Většina moderních aplikací běží v cloudu, některé dokonce ve více cloudech, a využívá technologie kontejnerů. Taková aplikace sestává z mnoha částí – vlastního kódu aplikace, závislého kódu či knihoven, image v kontejnerech, webAPI a cloudové infrastruktury, která se v detailech často podstatně liší dle poskytovatele cloudu.

Je proto velmi těžké podobné aplikace zabezpečit. Společnost vyvíjející takovou aplikaci je závislá na dalších článcích řetězu a jak říká jedno z bezpečnostních pravidel: „Bezpečnost je tak silná, jak silný je nejslabší článek v celkovém řetězu“.

Klasické bezpečnostní nástroje neumí takovou aplikaci uchopit jako celek. Jejich použití vede ke vzniku různých seznamů bezpečnostních nedostatků, které je ale nutné korelovat a prioritizovat. To ale není vůbec jednoduchý úkol. Zejména když k tomu připočteme obecný nedostatek znalých lidí a nemožnost do hloubky obsáhnout všechny výše zmíněné technologie jedním člověkem, což řada společností ignoruje, když poptává experty s požadavky na znalosti na několik stran, nemluvě o nabízeném finančním ohodnocení.

Jak bylo řečeno výše, každá moderní aplikace, i komerční, používá open-source závislý kód nebo knihovny. Důvod je logický – proč programovat něco, když to někdo již udělal – a nedosáhnout výsledku rychleji? Z pohledu bezpečnosti ale takové rozhodnutí skrývá velké riziko – zavlečení chyb anebo rovnou malwaru do kódu aplikace. A pokud je taková aplikace nasazena do provozu, riziko se šíří dále. Pro útočníka je to velmi pohodlné – nenese žádné riziko a výsledky má zadarmo. Reputační riziko poškození dobrého jména a ztráta byznysu zůstanou jako bonus společnosti, která takovou aplikaci vyvinula. Tomuto typu útoku se anglický říká „supply chain attack“ a tento útok zažil v roce 2021 nárůst o enormních 650 %.

Autor: Miroslav Lang, security coach and advisor, Y Soft

Podobné články

Objem DDoS útoků na české firmy po měsících stagnace vzrostl

28. 3. 2024. (redaktor: František Doupal, zdroj: ComSource)
Počty DDoS útoků na české firmy i jejich celková intenzita po několika měsících stagnace v únoru trojnásobně narostly. Sice zatím ani zdaleka nedosahují objemu z loňského léta, přesto hrozby a způsobené škody neklesají. Jak totiž trend posledních měsíců jednoznačně ukázal, útoky jsou stále kvalitnější a intenzivnější útoky. Nejvíce útoků přitom již od července loňského roku míří z Ruska. Čtěte více

Ekonomika SOC: Jaká je návratnost investice do bezpečnostního centra?

28. 3. 2024. (redaktor: František Doupal, zdroj: Thein Security)
Investice do Security Operations Center (SOC) může představovat značné počáteční náklady pro mnoho organizací. V dnešní digitální éře však mohou náklady na kybernetické incidenty rychle narůst. Jak tedy vyčíslit návratnost investice (ROI) do SOC a jaká je skutečná ekonomická hodnota takového centra? Čtěte více

Podniky k přechodu na MSP služby motivují hlavně výpadky IT

27. 3. 2024. (redaktor: František Doupal, zdroj: Zebra systems)
Podle více než 60 % českých a slovenských prodejců společnosti Zebra systems, distributor je hlavní motivací zákazníků k přechodu na MSP služby nepříjemná zkušenost s výpadky IT provozu. Stále více IT dodavatelů tak nabízí svým zákazníkům vedle tradičních také MSP služby. Čtěte více
Jan Pinta, manažer rozvoje byznysu ve společnosti Thein Security

Všechny typy phishingu pohromadě

26. 3. 2024. (redaktor: František Doupal, zdroj: Thein Security)
Phishing, česky rybaření, je úspěšný nástroj útočníků při chytání oběti za účelem krádeží osobních údajů, přihlašovacích jmen a hesel, údajů z platebních karet i řady dalších věci. Slovo samotné vychází z mechanismu, kdy rybář nahodí digitální udičku a oběť na ni ochotně naskočí. Čtěte více