hackrate alapítók
Bank

Egyre több veszély leselkedik a bankokra, etikus hackerek kutatják a biztonsági réseket Magyarországon

Turzó Ádám Pál
A kiberfenyegetések mértéke folyamatosan nő, ahogy egyre több, komplex szoftver és megoldás jelenik meg, az internetre csatlakoztatott eszközök száma szintén emelkedik, ami tovább növeli a támadási felületet. A kiberbiztonság növelésére Magyarországon is egyre többen veszik igénybe az etikus hackerek szolgáltatásait, akik kreatív módon képesek megtalálni a biztonsági réseket. Míg az informatikai rendszerek automatizált vizsgálata sok esetben nem tár fel akár komoly biztonsági hibákat sem, az etikus hackerek a hozzáférési korlátozásokat kikerülve érzékeny adatokhoz fértek hozzá több esetben is - állítják a Hackrate alapítói, Pózner Balázs és Molnár Levente. A szoftverek biztonsági tesztelésére fókuszáló Hackrate a platformján köti össze ügyfeleit olyan etikus hackerekkel, akik teljeskörűen képesek feltárni az informatikai rendszerekben megbúvó hibákat. A banki kiberbiztonságról október 6-ai Banking Technology konferenciánkon kiemleten lesz szó.
A banki kiberbiztonságról kimeleten lesz szó október 6-ai Banking Technology konferenciánkon, melyen Krasznay Csaba a Hackrate képviseletében vesz részt. Regisztráció és részletek itt!
Krasznay Csaba
Hackrate, NKE, Cybersecurity Advisor, Intézetvezető
Dr. Krasznay Csaba a Nemzeti Közszolgálati Egyetem docense, kutatási témája a kiberbiztonság, jelenleg az egyetem Kiberbiztonsági Kutatóintézetének intézetvezetője. A Magyary E-közigazgatástudományi E
Tovább
Dr. Krasznay Csaba a Nemzeti Közszolgálati Egyetem docense, kutatási témája a kiberbiztonság, jelenleg az egyetem Kiberbiztonsági Kutatóintézetének intézetvezetője. A Magyary E-közigazgatástudományi E Tovább

Magyarországon mennyire elterjedt az etikus hacker szolgáltatások igénybe vétele a vállalatoknál, mekkora piaca van ennek keresleti és kínálati oldalon? Ti mennyi etikus hackerrel dolgoztok? Vártok még új szakembereket a csapatotokba/a platformra?

Pózner Balázs: Tapasztalataink szerint biztonsági teszteléshez (ethical hacking) kapcsolódó szolgáltatások alkalmazása szektoronként nagy mértékben eltér. Számos tényező befolyásolja, hogy az adott vállalat hogyan priorizálja az informatikai rendszereinek védelmét. Ezen tényezők közül a bizalmas adatok mennyiségét és a szektor szabályozottságát, jogszabályi követelményeket emelném ki.

A hazai piacon találkoztunk pozitív példákkal, ahol a cég vezetésének biztonságtudatos gondolkodásmódjának köszönhetően sikeres együttműködést alakítottunk ki, amely során már számos kritikus biztonsági hiba került kijavításra. Sajnos ezek a példák a ritkábbak, és azt gondolom, hogy a jövőben sem csökken majd a sikeres hackertámadások száma. A Hackrate-nél azon dolgozunk, hogy a cégekkel olyan kapcsolatot kialakítsunk ki, ahol a fejlesztési folyamat részeként tekintenek a biztonsági tesztelésre. 

Molnár Levente: A platformunkon jelenleg több mint 1300 etikus hacker regisztrált és havonta körülbelül 100 új szakértő csatlakozik. Folyamatosan várjuk a lehetséges fiatalok és profi szakértők csatlakozását a Hackrate etikus hackereinek táborába. A legjobbaknak lehetőségük van megszerezni az „Elite” státuszt, ami egy szorosabb együttműködést jelent velünk és ügyfeleinkkel. A Hackrate csapat is bővül. Év végére tervezünk egy tőkebevonást, amiből a nemzetközi terjeszkedést és a további fejlesztéseket (elsősorban HackGATE termékünk) tudjuk finanszírozni.

Alapvetően melyek a tipikus etikus hacker szolgáltatások? Mikor érdemes egy vállalatnak teszteltetnie a rendszerét etikus hackerekkel?

Pózner Balázs: Az etikus hacker szolgáltatásainkat úgy alakítottuk ki, hogy minden esetben az ügyfél egyedi igényeire szabjuk. Ez a gyakorlatban azt jelenti, hogy az igények és az informatikai környezet megértése, a lehetőségek átgondolása után teszünk javaslatot a projekttervre. A javaslat minden esetben automatizált és manuális biztonsági tesztelést tartalmaz.

A legfontosabb új fejlesztés esetén a projekt tervezésekor a biztonsági követelményeket meghatározni és a tesztelés elvégzését is megtervezni. Számos vállalat végez biztonsági tesztelést új rendszer bevezetését megelőzően a felhasználó teszteléssel összhangban, de nem szabadna itt megállni. Mivel a rendszer folyamatosan változik, új funkciók jelennek meg, könnyű belátni, hogy a biztonsági tesztelésre is egy folyamatként szükséges tekinteni, nem pedig egy egyszeri alkalomra. A Hackrate-nél agilis fejlesztéshez igazodva a folyamatos tesztelést teszünk lehetővé cégek számára.  

Milyen hibákat tárnak fel az etikus hackerek, tudnátok említeni néhány példát az utóbbi időből?

Molnár Levente: Mivel az etikus hackerek szakmai háttere is eltérő, a feltárt biztonsági hibák is nagyon sokszínűek. Számos cég és az etikus hacker végez automatizált vizsgálatot kedvező ára és gyorsasága miatt, azonban ez hamis biztonságérzetet okozhat. A közelmúltban számos esetben bebizonyosodott, hogy míg az automatizált vizsgálat nem tárt fel egyetlen komoly biztonsági hibát sem, az etikus hackerek kreativitása révén a hozzáférési korlátozásokat kikerülve érzékeny adatokhoz fértek hozzá. Ilyen hiba volt például amikor az informatikai rendszer nem ellenőrizte vissza, hogy a felhasználó a saját jelszavát vagy más felhasználó jelszavát változtatja-e meg, ennek a biztonsági hibának a kihasználásával az etikus hacker az adminisztrátor felhasználó jelszavát is képes lett volna tetszőleges jelszóra megváltoztatni, ami az adatok kompromittálásához vezethetett volna. A legérdekesebb hibákat szinte mindig a rendszerbe épített üzleti logika kicselezésével tártuk fel.

Hogy érzitek, az utóbbi időszakban, például a háború miatt vagy a koronavírus-járvány elején látott elkapkodott digitalizációs hullám közepette, megnőtt-e a kiberfenyegetések mértéke, az incidesek száma?

Pózner Balázs: Úgy látjuk, hogy a kiberfenyegetések mértéke folyamatosan nő, ahogy egyre több, komplex szoftver és megoldás jelenik meg, az internetre csatlakoztatott eszközök száma szintén emelkedik, ami tovább növeli a támadási felületet.

A social engineeringgel végrehajtott támadásokra is fel lehet készülni etikus hackerekkel? Bármilyen eszközhöz nyúlhatnak az etikus hackerek, vagy egy vizsgálat során inkább csak bugokra, biztonsági résekre utaznak?

Pózner Balázs: A vállalatoknak többrétegű védelmet szükséges alkalmazniuk. Nem elég önmagában technológiai kontrollokat alkalmazni, ahogy a felhasználók biztonságtudatosságának növelése sem történhet önmagában. Mi a Hackrate csapatával a technológiai hibák feltárásával segítjük ügyfeleinket a biztonságos üzletmenet kialakításához.

Izgalmas kérdés, hogy az etikus hackerek hol és hogyan jutnak hozzá a szaktudásukhoz. Lehet ezt a szakmát iskolapadban tanulni? A piacon mennyire jellemző, hogy rablóból lesznek a pandúrok?

Molnár Levente: Úgy gondolom, hogy az informatikai alapokat képzés formájában javasolt elsajátítani, hiszen jó szakértővé csak stabil alapokkal válhatunk. A biztonsági teszteléshez az informatikai alapok mellett szintén fontos az „out of the box” gondolkodásmód. A tesztelési módszertanok megismerésére számos tananyag létezik könyvektől kezdve, Youtube-csatornákon át, gyakorlati tudást támogató platformokig (Avatao, HackTheBox, TryHackMe stb.). Ezzel a területtel a Hackrate blog oldalán is foglalkozunk.

Az etikus hackerek különböző háttérrel kezdenek bele a tesztelésbe, emiatt úgy látjuk, hogy egy nagyon sokszínű és befogadó közösség. Leggyakoribb háttér a szoftverfejlesztők, akik a biztonságos fejlesztés mellett a biztonsági aspektusokban elmélyedve váltak etikus hackerekké, szintén előfordul, hogy hálózati szakértőből vagy más információbiztonsági szakértőből az évek alatt a technológiák megismerésével és azok hibáinak keresésével válik valaki szakértővé.

Pózner Balázs: Ahogy rablóból pandúrrá válás jellemzően a filmekben történik, ugyanúgy a rosszindulatú hacker háttér sem gyakori a biztonsági szakértők között. Sajnos máig sok sztereotípia áll fenn, a fekete kapucnis pulcsitól kezdve egészen az éjszaka végzett illegális tevékenységekig. A Hackrate-nél kiemelt feladatként kezeljük ezeknek a sztereotípiáknak a ledöntését és a kölcsönös bizalom kiépítését a cégek és az etikus hackerek között.

A banki kiberbiztonságról kimeleten lesz szó október 6-ai Banking Technology konferenciánkon, melyen Krasznay Csaba a Hackrate képviseletében vesz részt. Regisztráció és részletek itt!
szombathely
forinteuroarolyambankjegy
tenger
praga-csehorszag-karoly-hid
orosz ukrán háború ukrajna zászló
orosz börtön stock
koppenhága_dánia_shutter
2022. október 6.
Banking Technology 2022
2022. október 18.
Portfolio Future of Finance 2022
2022. október 4.
A Masterplast sztori a tőzsdén!
2022. október 19.
Budapest Economic Forum 2022
Hírek, eseményajánlók első kézből: iratkozzon fel exkluzív rendezvényértesítőnkre!
Portfolio hírlevél
Ne maradjon le a friss hírekről!
Iratkozzon fel megújult, mobilbarát
hírleveleinkre és járjon mindenki előtt.

Ügyvédek

A legjobb ügyvédek egy helyen

Infostart.hu
Díjmentes online előadás
Hogyan működik a tőzsde, mik az alapok, hogy válaszd ki a számodra legjobb befektetési formát?
Díjmentes online előadás
Mire figyelj, ha kezdő befektető vagy!
forinteuroarolyambankjegy