IT bezpečnost v roce 2023: Problematika multicloudů a supply chain attack

27. 1. 2023. (redaktor: František Doupal, zdroj: Y Soft)
Dnešní aplikace již dávno nejsou monolitické jako dříve. Důvod je prozaický – nutná rychlost změn vycházející z dynamicky se měnících požadavků zákazníků a s tím spojené potřeby relativní nezávislosti vývojářských týmů, podílejících se na vývoji různých částí aplikace.

Většina moderních aplikací běží v cloudu, některé dokonce ve více cloudech, a využívá technologie kontejnerů. Taková aplikace sestává z mnoha částí – vlastního kódu aplikace, závislého kódu či knihoven, image v kontejnerech, webAPI a cloudové infrastruktury, která se v detailech často podstatně liší dle poskytovatele cloudu.

Je proto velmi těžké podobné aplikace zabezpečit. Společnost vyvíjející takovou aplikaci je závislá na dalších článcích řetězu a jak říká jedno z bezpečnostních pravidel: „Bezpečnost je tak silná, jak silný je nejslabší článek v celkovém řetězu“.

Klasické bezpečnostní nástroje neumí takovou aplikaci uchopit jako celek. Jejich použití vede ke vzniku různých seznamů bezpečnostních nedostatků, které je ale nutné korelovat a prioritizovat. To ale není vůbec jednoduchý úkol. Zejména když k tomu připočteme obecný nedostatek znalých lidí a nemožnost do hloubky obsáhnout všechny výše zmíněné technologie jedním člověkem, což řada společností ignoruje, když poptává experty s požadavky na znalosti na několik stran, nemluvě o nabízeném finančním ohodnocení.

Jak bylo řečeno výše, každá moderní aplikace, i komerční, používá open-source závislý kód nebo knihovny. Důvod je logický – proč programovat něco, když to někdo již udělal – a nedosáhnout výsledku rychleji? Z pohledu bezpečnosti ale takové rozhodnutí skrývá velké riziko – zavlečení chyb anebo rovnou malwaru do kódu aplikace. A pokud je taková aplikace nasazena do provozu, riziko se šíří dále. Pro útočníka je to velmi pohodlné – nenese žádné riziko a výsledky má zadarmo. Reputační riziko poškození dobrého jména a ztráta byznysu zůstanou jako bonus společnosti, která takovou aplikaci vyvinula. Tomuto typu útoku se anglický říká „supply chain attack“ a tento útok zažil v roce 2021 nárůst o enormních 650 %.

Autor: Miroslav Lang, security coach and advisor, Y Soft

Podobné články

ALSO Czech Republic oživí úspěšný projekt Power Platform Club, který umožní partnerům vytvářet byznysové aplikace pro jejich klienty

28. 11. 2023. (redaktor: Reseller Magazine OnLine, zdroj: ALSO Czech Republic)
Od 6. prosince budou probíhat pravidelná měsíční setkání Power Platform Clubu. Přední odborníci na tvorbu aplikací společnosti Microsoft, které zlepšují řízení procesů ve firmách, se zde podělí o své know-how s partnery z České republiky a Slovenska. Partneři se také dozvědí, jak automatizovat práci pomocí AI asistenta Microsoft Copilot. Čtěte více

Během 82 % útoků s chybějící telemetrií kyberzločinci vypnuli nebo smazali protokoly

1. 12. 2023. (redaktor: František Doupal, zdroj: Sophos)
Studii Active Adversary Report for Security Practitioners společnosti Sophos zjistila, že telemetrické záznamy chyběly u téměř 42 % zkoumaných útoků. V 82 % z těchto případů kyberzločinci telemetrii vypnuli nebo vymazali, aby po sobě zametli stopy. Čtěte více

Dell Technologies Forum 2023 se zabývalo (nejenom) umělou inteligencí

30. 11. 2023. (redaktor: František Doupal, zdroj: Dell Technologies)
Každoroční technologická akce Dell Technologies Forum se letos uskutečnila 22. listopadu v pražském O2 Universu. Akce se zúčastnilo přes tisíc profesionálů i nadšenců, které zajímají nové technologie a jejich využití pro podporu firemního růstu. Čtěte více

Predikce vývoje kybernetických hrozeb na rok 2024: AI a kyberzločin ve formě služby

28. 11. 2023. (redaktor: František Doupal, zdroj: Fortinet)
Společnost Fortinet představila predikci vývoje hrozeb na rok 2024 sestavenou týmem expertů z laboratoří FortiGuard Labs. Predikce popisuje novou éru pokročilého kyberzločinu, zkoumá vliv umělé inteligence a její využití k útokům, informuje o nových trendech v oblasti bezpečnostních hrozeb a radí, jak mohou organizace zvýšit svoji kolektivní vůči hrozbám. Čtěte více