Osnovni korak u osiguravanju bezbednosti informacionog sistema jedne kompanije jeste poznavanje infrastrukture i prepoznavanje njenih slabosti, što nije uvek jednostavan zadatak. Zato COMING ima rešenje u vidu usluge skeniranja ranjivosti i analize sistema.

Više nije pitanje hoće li neko postati meta cyber napada, nego kada. Statistika kaže da se hakerski napadi dešavaju na svakih 39 sekundi, što je 2.215 napada u toku dana! Prosečno vreme otkrivanja proboja u sistem bilo je u 2019. godini čitavih 206 dana, dok su 43% meta cyber napada činila baš manja preduzeća. Procena istraživača kaže da je ljudski faktor bio uzrok za 95% uspešnih napada. Najskoriji napadi na TV N1 i JKP Informatika iz Novog Sada govore da se i srpske firme lako mogu naći na meti napadača.

Naš cilj je da učinimo sve što je u našoj moći da takvi napadi budu neuspešni, a da bi se rizik umanjio implementira se nekoliko nivoa sigurnosti. Iako možda zvuči očigledno, prvi i osnovni korak jeste poznavanje sopstvene infrastrukture i njenih slabosti. Kada tačno znamo čime raspolažemo i gde su „rupe“, lako možemo preduzeti i odgovarajuće aktivnosti. Međutim, usled konstantnih dnevnih aktivnosti inženjera zaduženih za IT infrastrukturu, podatak da zapravo većina kompanija ima problema da baš ovo ustanovi ne predstavlja veliko iznenađenje.

Šta je ranjivost?

Govorimo o skeniranju ranjivosti, ali šta je zapravo ranjivost IT sistema? Ranjivost je slabost uređaja ili aplikacije koju napadač može da iskoristi i nanese štetu sistemu. To može biti starija verzija aplikacije ili zaboravljeni otvoreni port. Nismo uvek svesni svih ranjivosti, a to i nije baš tako lako postići u velikim, dinamičnim sistemima. Sem toga, hakeri velikom brzinom nalaze nove načine da zaobiđu sigurnosna rešenja i iskoriste ranjivosti trenutnih verzija operativnih sistema i aplikacija. Ovo je naročito problematično u organizacijama koje imaju ogroman broj servera i radnih stanica, ili testnu i razvojnu infrastrukturu koju treba zaštititi jednako kao i produkcionu. Nedovoljan broj ljudi u IT sektoru, a naročito u security timovima, čest je slučaj.

Fundamentalna stvar za svaku organizaciju jeste da obezbedi svoju infrastrukuturu i aplikacije, kako bi sačuvala svoj i integritet svojih korisnika koji koriste te resurse. Ne postoji administrator koji može tvrditi da na poruku „A new version of this software has been published. Do you want to update now?” nikada nije kliknuo „Remind me later“. Zbog upgrade procedure koju poštuje kompanija i zbog velikog broja servera koje jedan administrator održava, dešava se da to „later“ bude mnogo kasnije ili ne bude nikada. Poznati su primeri ranjivosti za koje vendor izbaci patch nakon mesec dana, a nakon više godina čitamo u vestima kako je u napadima na nekoliko hiljada sistema iskorišćena baš ta ranjivost. Na žalost, često se tek tada postavlja pitanje bezbednosti i ulaganja u nju. Do tog trenutka čini se kao da je bezbednost nešto što predstavlja trošak, kako finansijski, tako i u vremenu koje bi joj inženjeri posvetili.

COMING je prepoznao ovaj problem i zato je svoj security fokus, pored implementacije dobro poznatih preventivnih bezbednosnih rešenja, usmerio i ka pružanju usluge u vidu skeniranja ranjivosti i analize sistema.

Rapid7

Rapid7 je globalni lider u razvijanju rešenja za bezbednost informacija, skeniranje ranjivosti, penetration testiranje, testiranje bezbednosti aplikacija i u drugim oblastima povezanim sa sigurnošću. Svetski konsultantski giganti za oblast bezbednosti, poput firme Frost & Sullivan, prepoznali su Rapid7 kao vodećeg provajdera u analizi i automatizaciji bezbednosti. U 2018. godini Rapid7 je dobio nagrade za najbolju security kompaniju i najbolje anti-phising rešenje. InsightVM je 2017. godine nagrađen kao najinovativnije rešenje za skeniranje ranjivosti, a 2018. za najbolje na tržištu. Iz tih razloga COMING je odabrao upravo Rapid7 kao rešenje za analizu bezbednosti i skeniranje ranjivosti.

InsightVM

Odabrali smo da u ovom tekstu fokus stavimo na InsightVM, rešenje za skeniranje ranjivosti. Dve glavne komponente koje ga čine su Security Console i Scan Engine. Security Console je centralna konzola iz koje se vrše sva podešavanja. Na njoj se definišu uređaji koje želimo da skeniramo, bira se način skeniranja, zakazuje ili izvršava skeniranje, definišu polise, kreiraju izveštaji itd. Scan Engine je komponenta koja komunicira sa samim serverima i izvršava skeniranje. Ovo razdvajanje funkcija omogućava da InsightVM odlično radi u hibridnim arhitekturama.

Proces skeniranja počinje određivanjem aktivnih uređaja na mreži. Ovo otkrivanje uređaja može biti obezbeđeno slanjem ICMP, ARP, TCP i UDP paketa ili uz pomoć integracije sa vCentrom, što omogućava da InsightVM dinamički prati promene na virtuelnoj infrastrukturi. Kako bi se prikazala najpreciznija slika stanja IT sistema, preporuka je da Scan Engine ne bude ograničen firewall pravilima.

Nakon otkrivanja uređaja pokreće se skeniranje, kojim se detektuju verzije operativnih sistema i aktivni servisi. Za svaki od detektovanih softverskih paketa vrši se skeniranje ranjivosti definisanih u okviru polise koja najviše odgovara potrebama kompanije. Nakon završetka skeniranja, Scan Engine šalje podatke centralnoj konzoli.

Svi rezultati prikazuju se u okviru centralne konzole, koja uz pomoć custom dashboard-a i izveštaja pruža stvarnu sliku o stanju IT infrastrukture. CVSS scoring sistem omogućava prikaz jasnih rezultata, koji olakšavaju administratorima da spoznaju rizike svog sistema i odrede prioritete u rešavanju problema. Pomoću API funkcionalnosti administratori mogu lako da automatizuju celokupni rad InsightVM-a. Security Console i Scan Engine mogu se instalirati na Windows (Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016) ili Linux okruženju (Ubuntu, Red Hat Enterprice Linux Server, CentOS7). Memorija i storidž zavise od količine uređaja koji su predviđeni za skeniranje. Konkretno, za skeniranje do 5.000 uređaja za Security Console je potrebno 16 GB memorije i 1 TB storidža, a za Scan Engine 8 GB memorije i 100 GB storidža.

Kako vam COMING može pomoći da zaštitite svoje sisteme?

Odgovarajući tip arhitekture i usluge može se odabrati u zavisnosti od potreba same kompanije. Samim tim, korisniku je na raspolaganju da odabere on-premises appliance ili samo uslugu skeniranja. Appliance se preporučuje u sredinama gde je imperativ da podaci ne izlaze iz kompanije i gde administratori žele potpunu kontrolu nad intervalom i parametrima skeniranja.

COMING usluga skeniranja ranjivosti idealna je za kompanije koje nemaju dovoljno infrastrukturnih, inženjerskih ili finansijskih resursa na raspolaganju. U ovom slučaju predviđeno je da se svi podaci čuvaju na sigurnom mestu u COMING cloud-u, čime se obezbeđuje da podaci ne napuste Srbiju. U dogovoru sa korisnicima, njihovim inženjerima mogu se dati ograničena administratorska prava, a rezultati skeniranja mogu se automatski uklanjati sa sistema kako bi se osigurala maksimalna privatnost korisnika.

Jasna Miletić i Strahinja Soskić
COMING

The post RAPID 7 INSIGHTVM: KOLIKO SMO ZAPRAVO RANJIVI? appeared first on Business&IT.

U svakom broju časopisa „Business & IT“ COMING se trudi da vas upozna i sa novostima iz oblasti zaštite podataka o ličnosti. Za ovaj broj odabrali smo temu koja među privrednim subjektima i dalje često predstavlja nepoznanicu, a koja podrazumeva obaveze koje po novom Zakonu o zaštiti podataka o ličnosti moraju biti ispunjene.

Naime, po uzoru na GDPR, Zakon o zaštiti podataka o ličnosti Republike Srbije uveo je u naš pravni sistem novi institut – lice za zaštitu podataka o ličnosti ili Data Protection Officer (DPO), kako GDPR naziva ovo lice. Svojim delovanjem u okviru kompanije ovo lice ima ključnu ulogu u obezbeđivanju usklađenosti poslovanja u ovoj oblasti.

Kome je neophodan DPO?

Zakon o zaštiti podataka o ličnosti predviđa da su rukovalac i obrađivač dužni da odrede lice za zaštitu podataka o ličnosti u sledećim slučajevima:

• Ako se obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja;
• Ukoliko se osnovne aktivnosti rukovaoca i obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koja se podaci odnose;
• U slučaju da se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.

U svim drugim slučajevima određivanje lica nije obavezno, ali je izrazito preporučljivo, zbog kompleksnosti poslovanja, visokog rizika da podaci budu kompromitovani, zbog obaveza koje kompanije imaju u vezi sa obradom podataka o ličnosti, ali i zbog toga što imenovanje DPO-a predstavlja odraz nivoa poslovne kulture jedne organizacije.

Za nepoštovanje obaveza koje se tiču određivanja lica za zaštitu podataka o ličnosti predviđena je kazna u visini od pedeset hiljada do dva miliona dinara. Iako novčane kazne koje ZZPL predviđa možda nisu u visini kazni koje predviđa GDPR, te se o njima ne priča sa toliko straha kao o kaznama u EU regulativi, gubitak reputacije i poverenja na tržištu mogu da dovedu do posledica fatalnih za poslovanje, kako u EU, tako i u Srbiji.

Ko može biti DPO?

Zakon pred rukovaoce i obrađivače stavlja samo načelni zahtev (na žalost, možda) da se lice za zaštitu podataka o ličnosti određuje na osnovu stručnih kvalifikacija i stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza koje ZZPL za tu dužnost predviđa, bez preciziranja koje bi to kvalifikacije i sposobnosti bile.

Položaj lica u poslovnoj hijerarhiji treba da bude takav da osigura nezavisnost u vršenju dužnosti, da obezbedi da DPO za rad odgovara direktno rukovodstvu kompanije, a lice zbog obavljanja posla ne može da bude kažnjeno, niti mu može biti otkazan ugovor o radu. Bitno je istaći i da se imenovanjem DPO-a odgovorno lice u pravnom licu ne oslobađa odgovornosti za zakonitost radnji obrade.

Nezavisan položaj lica za zaštitu podataka znači da, primera radi, tu dužnost ne bi mogao da obavlja rukovodilac marketinga, službe za ljudske resurse, rukovodilac službe za IT (što je u praksi čest slučaj), tj. niko čija pozicija podrazumeva da određuje svrhe i načine obrade podataka, da lice ne bi bilo u sukobu interesa, a uvek imajući u vidu specifičnosti organizacije.

Što se tiče opisa dužnosti, zakon predviđa da lice za zaštitu podataka o ličnosti najmanje ima obavezu da:

• Daje mišljenja i savete vezane za zakonske obaveze;
• Prati primenu propisa kod rukovaoca i obrađivača, uključujući i pitanja podele odgovornosti i kontrole;
• Daje mišljenje o proceni uticaja na zaštitu podataka o ličnosti, tj. DPIA analizi;
• Sarađuje sa poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti i predstavlja kontakt tačku za saradnju sa tom institucijom.

Lice bi trebalo da bude dovoljno stručno da adekvatno razume nacionalni i evropski zakonodavni okvir koji se tiče zaštite podataka o ličnosti, da bude upućeno u savremene informacione tehnologije, da bude dovoljno stručno da razume šta znači sigurnost obrade podataka, kao i da razume poslovanje kompanije i poslovne procese u njoj.

Kako je lice dužno da sagledava i rizik koji se odnosi na radnje obrade, kao i da daje mišljenje o proceni uticaja, bilo bi dobro da poznaje i problematiku i mehanizme upravljanja rizicima. DPO je u praksi i prva tačka komunikacije sa licima čiji se podaci obrađuju, kao i ključna osoba u upravljanju incidentima koji se tiču podataka o ličnosti, te bi i ovi zadaci trebalo da budu uzeti u obzir prilikom izbora lica.

Zakon predviđa da lice za zaštitu podataka o ličnosti može obavljati ove poslove i na osnovu ugovora, te ove zahtevne aktivnosti možete poveriti saradniku van kompanije. U poveravanju ovih aktivnosti treba, takođe, poći od zahtevanih kompetencija lica, te od činjenice da lice za zaštitu podataka treba da bude utoliko potkovanije znanjem i iskustvom što je obrada kompleksnija, da bi moglo da se pouzdano brine o usaglašenosti.

Pojedinac ili tim stručnjaka?

Iako zakon ne precizira, tumačenjem odredaba gde se govori o „licu“ i posmatrajući obavezu nezavisnosti u vršenju dužnosti i vezanosti odgovornosti za najviši nivo rukovodstva (informacije sa web stranice poverenika: https://www.poverenik.rs/sr), zaključuje se da je lice za zaštitu podataka o ličnosti uvek isključivo jedna osoba, tj. jedno fizičko lice, čiji podaci se nakon imenovanja dostavljaju povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti. Naravno, nije problem da na ovim poslovima bude angažovan tim stručnjaka, od kojih je jedno lice određeno kao lice za zaštitu podataka o ličnosti.

Kako DPO treba da poseduje raznovrsna stručna znanja i veštine, angažovanje tima saradnika može da bude i velika prednost.

COMING-ov tim ima iskustvo u oblasti zaštite podataka o ličnosti u finansijskom, proizvodnom, sektoru transporta i drugim sektorima, te može pružiti pouzdanu DPO uslugu. COMING DPO tim se sastoji od pravnika sa iskustvom u oblasti zaštite podataka o ličnosti, stručnjaka za poslovne procese i ISO standardizaciju, te jakog inženjerskog tima, sastavljenog od security, sistem i mrežnih inženjera.

Dinamičnost i kompleksnost oblasti zaštite podataka o ličnosti zahtevaju znanje, iskustvo i dodatno angažovanje već opterećenih kapaciteta, a COMING DPO as a Service koncept vam omogućava da se u poslovanju fokusirate na svoje osnovne aktivnosti, a da brigu o poslovima zaštite podataka o ličnosti prepustite stručnjacima.

Saradnja se zasniva na fleksibilnom modelu, gde se sa klijentom procenjuju potrebe i zahtevi organizacije, te se kroz spoj pravnog i IT znanja i iskustva i najsavremenijih praksi pravi plan rada koji bi obezbedio najbolje rezultate i usaglašenost poslovanja. Fleksibilan model podrazumeva da neko od članova našeg tima može da bude određen za lice za zaštitu podataka o ličnosti ili da se pruža stručna podrška licu koje je već određeno iz redova zaposlenih.

Višnja Crnogorac
COMING

The post ZAŠTITA PODATAKA O LIČNOSTI: DATA PROTECTION OFFICER AS A SERVICE appeared first on Business&IT.

Globalno cyber security tržište dostiglo je na početku 2019. godine vrednost od 131,3 milijarde američkih dolara, izdvajajući se kao jedan od najvećih tehnoloških sektora. Vrednost ovog tržišta beleži godišnju stopu rasta od 48% i očekuje se da do 2026. dostigne vrednost od čitavih 289,8 milijardi dolara.

Kompanije i pojedinci nikada nisu bili izloženiji cyber napadima. Broj napada koji se događaju na dnevnom nivou raste eksponencijalno, a isto važi i za njihovu raznovrsnost. Samo u prvih devet meseci 2019. godine zabeležena su 5.183 „uspešna“ napada, koji su rezultirali kompromitovanjem 7,9 milijardi zapisa podataka. Ukupna šteta od cyber napada dostići će 2021. godine 6 milijardi dolara.

Pored ogromnih finansijskih gubitaka koji su posledica cyber napada, oslanjanje na compliance stvara lažnu sliku o bezbednosti unutar kompanija. Istraživanje o cyber napadima koje je sproveo IBM security pokazuje da je u 2019. godini kompaniji bilo potrebno prosečno 6 meseci da identifikuje prodor, a da je 95% svih bezbednosnih propusta prouzrokovano ljudskom greškom.

Ko je u opasnosti?

Razumevanje top menadžmenta o ranjivosti na nivou kompanije, o važnosti pen testiranja (penetration testing) i proaktivnog pristupa sprečavanju sigurnosnih proboja faktor je koji će presudno oblikovati digitalne kompanije u bliskoj budućnosti.

Ipak, i pored sigurnosnih proboja koji se događaju svakodnevno i gubitaka koji usled njih nastaju, vlasnici malih i srednjih kompanija i dalje se vode geslom „Neće baš nas.“ Iako postoji više razloga zbog kojih oni misle da njihove kompanije napadačima i nisu tako interesantne, praksa pokazuje da je situacija sasvim drugačija.

Osnovni razlog zbog kog vlasnici malih i srednjih preduzeća žive u uverenju da nisu na meti napadača je to što smatraju da oni ne poseduju informacije koje su napadačima od značaja, a ovakvo razmišljanje posledica je prakse da se u javnosti gotovo isključivo govori o sigurnosnim probojima koje su doživele velike kompanije. Međutim, mali i srednji biznisi i te kako poseduju informacije i podatke koji su napadačima interesantni. Kao i velike kompanije, i oni prikupljaju informacije svojih korisnika, svojih zaposlenih ili koriste bankarske sisteme koji su za napadače uvek atraktivna meta.

Pen testiranje kao imperativ

Kao najveća prednost evolucije iz defanzivnog u ofanzivni security izdvaja se mogućnost kompanija da koriste crowd source znanje koje im je ranije bilo nedostupno. Okretanje kompanija ofanzivnom pristupu bezbednosti u prvi plan stavlja penetration testere, koji postaju prva i najbitnija linija odbrane.

U većini kompanija zaštita se danas zasniva uglavnom na korišćenju antivirus softvera, što predstavlja defanzivni pristup bezbednosti. Penetration testeri trenirani su da idu korak dalje. Stavljajući se u ulogu napadača i koristeći pojedine open-source alate, testeri oponašaju napade koji bi mogli predstavljati realnu opasnost za kompanije.

Nedostatak security profesionalaca na globalnom nivou odražava se, takođe, i na srpskom i širem regionalnom tržištu. Uz to, porast broja tehnoloških kompanija na domaćem tržištu generiše ogroman obim posla za security inženjere, koji ne mogu da zadovolje toliku potražnju. Pored problema u vidu nedostatka ljudstva, obim podataka koji danas cirkulišu prevazilazi mogućnosti za kontinuiran monitoring sistema, koji je imperativ penetration testera u cilju pronalaženja ranjivosti. Kako bi se prevazišla ova dva izazova, kao jedino rešenje nameće se automatizacija procesa pen testiranja.

Security kompanije koje su razvile ili razvijaju alate koji služe za automatizaciju procesa pen testiranja shvatile su automatizaciju ovog procesa kao prirodnu evoluciju i jedini način da kompanije u budućnosti ostanu bezbedne. Nemogućnost kontinuiranog praćenja sistema, korišćenja crowd-sourced znanja i učenja iz prethodnog iskustva usled loše strukturiranih izveštaja problemi su koji se mogu rešiti isključivo korišćenjem sveobuhvatnih i skalabilnih alata korišćenih od strane penetration testera.

Trickest metodologija

Eksponencijalni rast obima podataka koji se prikupljaju, čuvaju i obrađuju zahteva sistematičan pristup i konstantan monitoring, što je dovelo do toga da manuelna obrada podataka i neskalabilna rešenja više ne zadovoljavaju potrebe tržišta. Metodologija kojom kompanija Trickest pristupa svojim klijentima razvijena je kroz dugogodišnje iskustvo testiranja bezbednosti najvećih svetskih kompanija, kao što su GitHub, Snapchat, PayPal, Uber i Twitter kroz bug bounty programe. Zasniva se na paketu usluga koje klijentima obezbeđuju sveobuhvatan uvid u bezbednosne propuste, predlog rešenja, kao i potencijalni trening za zaposlene, koji u toku svog rada mogu u velikoj meri da povećaju ukupnu bezbednost organizacije.

Prvi korak u procesu penetration testiranja predstavlja prikupljanje informacija od strane Trickest inženjera. Cilj penetration testera i data inženjera u ovoj fazi je razumevanje sistema i okruženja. Sledeća faza podrazumeva pristupanje infrastrukturi i identifikovanje potencijalnih ranjivosti. Ova faza pravi razliku između ofanzivnog i defanzivnog pristupa bezbednosti. U toku ove faze inženjer pristupa napadu iz perspektive napadača, bez prethodnog znanja i uvida u mrežu, a za cilj ima da ukaže na realne ranjivosti koje eksterni napadač može da pronađe. Koristeći podatke prikupljene u prethodnim fazama, razvija se plan napada.

Takav napad za cilj ima pristup sistemu ili podacima organizacije, a plan i egzekucija prilagođavaju se svakoj organizaciji ponaosob. Nakon inicijalnog pristupa vrši se niz modifikacija napada, koje za cilj imaju da napad učine malicioznim i pronađu dodatne propuste. U toku napada prikupljaju se i čuvaju svi pronađeni propusti, koji služe za generisanje izveštaja koji se klijentu isporučuje kao sveobuhvatan prikaz rezultata istraživanja. Pored pronađenih propusta, izveštaj sadrži i predloge rešenja problema, kao i metode implementacije istih.

Poslednja, ali ne manje važna faza u okviru kompleksnog penetration testing procesa predviđa mogućnost da Trickest inženjeri održe trening za zaposlene, tokom kojeg ih upoznaju sa rezultatima testa i daju smernice za otklanjanje propusta.

Saradnjom do bolje sigurnosti

Kompanije COMING i Trickest započinju zajedničku saradnju kako bi korisnicima omogućile pružanje sveobuhvatne procene bezbednosti. Procena bezbednosti podrazumeva detaljnu analizu, kako ranjivosti aplikacija, tako i propusta na samoj IT infrastrukturi. Pregledom da li su ispoštovane dobre prakse za konfiguracije uređaja, dodelu prava pristupa i monitoringa sistema utvrđuje se rizik kojem je kompanija izložena. Ovom saradnjom dobija se red team / blue team analiza, koja predstavlja optimalnu varijantu penetration testa, pošto jedina može dati kompletnu sliku stanja sistema.

Nenad Zarić
Trickest
trickest.com

The post PEN TESTING: DA LI JE VREME ZA NAPAD NA SEBE? appeared first on Business&IT.

U vreme ubrzanog razvoja modernih informacionih tehnologija nema kompanije koja na njih može ostati imuna, bilo da je njeno poslovanje usmereno na IT delatnost ili ne. Agilnost, fleksibilnost i efikasnost koje su ove tehnologije donele rapidno menjaju principe poslovanja. Zaposleni više ne moraju da rade iz svojih kancelarija, podaci se nalaze na najrazličitijim platformama, a brzo, takoreći instant dobijanje usluge postalo je standard. Ovo donosi sa sobom i nove izazove. Svaki menadžer ima za cilj da poveća produktivnost zaposlenih, tako da je neophodno imati na raspolaganju brz i pouzdan pristup svim potrebnim aplikacijama. Sigurnost je još jedna ključna komponenta na koju savesne kompanije ne smeju zaboraviti. Cyber kriminal je u konstantnom porastu, a posledice kompromitovanja mogu ozbiljno narušiti operativnost i reputaciju kompanije.

Identity Access Management (IAM) je bezbednosni mehanizam koji može u značajnoj meri pomoći kompaniji da odgovori na ove izazove. IAM je predstavljen kroz različite funkcionalnosti koje mogu obezbediti bolju sigurnost i efikasnost pristupa kompanijskim resursima, kao i lakše i brže promene u vezi s korisničkim nalozima i njihovim pravima pristupa.

Zbog širokog spektra mogućnosti, odličnih rezultata testiranja koja smo sproveli i zbog velikog broja zadovoljnih korisnika, COMING je odabrao da u svoj portfolio uvrsti i Okta IAM rešenje. Okta je cloud servis koji ima mogućnost integracije sa velikim brojem aplikacija. Pored više od 6.500 aplikacija koje se trenudno nude u katalogu, pomoću SAML, OpenID Connect-a ili SWA može se obezbediti i integracija sa custom aplikacijama. Korišćenjem specifičnih agenata može se obezbediti sigurna enkriptovana komunikacija prema svim internim komponentama u kompaniji, kao što je npr. Active Directory, bez potrebe da se kreiraju propuštanja u firewall-u ili da se uspostavlja VPN tunel. Zbog inovativnosti na polju Access Management-a, Okta je prepoznata kao ubedljivi lider od strane analitičara kompanija Gartner i Forrester Wave.

U borbi protiv ljudskog faktora

IT ulaže kontinuiran napor da zaštiti sistem kompanije od mogućih napada implementiranjem novih security rešenja ili unapređenjem sigurnosnih procedura. Ipak, uprkos svim akcijama koje se preduzimaju, ljudska greška ostaje ključni faktor koji napadač iskorišćava za kompromitovanje sistema.

IAM rešenja smanjuju rizik na ovom polju u vidu kontrole korisničkog pristupa. Njihovim korišćenjem administratori dobijaju mogućnost da na jednom mestu vrše sve dodele korisničkih prava, kao i njihove revizije. Pored upravljanja pravima pristupa, administratori mogu da na jednostavan način dodatno povećaju sigurnost korišćenjem MFA (Multi-factor Authentication) mehanizma. Pored obaveznog dodatnog faktora, autentifikacija se može i zabraniti ako se ne ispunjavaju određeni kriterijumi. Jedan od primera je zabrana u slučaju pokušaja pristupa sa nepoznate mreže, uređaja ili lokacije. Pored toga, mogu se definisati i drugi parametri koji ukazuju na sumnjiv pristup, poput detekcije network anonymizer-a ili nemoguće putne destinacije.

Gledano iz ugla korisnika, pristup svim resurima kompanije je dosta brži i lakši. Da bi korisnik pristupio željenim aplikacijama potrebno je da unese svoje kredencijale, koje prati i obavezan dodatni faktor, koji korisniku preko Okta aplikacije stiže na njegov telefon. Uspešno ulogovan korisnik dobija listu svih aplikacija za koje ima prava pristupa. Odabirom željene aplikacije on dobija automatski pristup, bez potrebe da ponovo unosi svoje kredencijale.

Pored lakšeg i bržeg pristupa, ova procedura poboljšava i sigurnost, samim tim što korisnik više nema potrebu da kreira veći broj lozinki. Ovim su eliminisani problemi koji se mogu javiti kada korisnici koriste istu lozinku na više sistema, kreiraju slabe lozinke koje ipak zadovoljavaju kompleksnost koju je kompanija propisala, dele lozinke sa kolegama ili ih čuvaju na nesigurnim mestima, kao što je memorisanje u browser-u, pisanje na papirima ili čuvanje u neenkriptovanim fajlovima.

Brže promene u sistemu

IAM rešenja nisu retkost ni u organizacionom kontekstu. Okta se može lako integrisati sa domen kontrolerima i HR platformama, poput SAP-a ili Bamboo-a, čime se olakšava upravljanje pravima zaposlenih. Na ovaj način se na jednom mestu vrši svo upravljanje koje se tiče naloga i lako se može sagledati ko ima kakva prava pristupa. Česta je primena ovakvog rešenja i za onboarding/offboarding zaposlenih, gde se na jednom mestu nalog kreira ili briše i oduzimaju ili dodaju prava na svim aplikacijama koje jedna kompanija koristi. Samim tim, smanjuje se opterećenje helpdesk inženjera i otklanja se mogućnost zaostatka prava usled problema sa komunikacijom između HR-a i IT-ja.

Za firme koje pružaju servis i korisnicima koji nisu zaposleni u kompaniji posebno može biti zgodna integracija aplikacije sa IAM-om u slučaju potrebe za promenom ličnih podataka ili zaboravljene lozinke. Davanje korisnicima mogućnosti da sami načine izmene podiže njihovo zadovoljstvo, ubrzava proces izmene i smanjuje opterećenje administratora sistema.

Most prema developerima

U doba kada se korisničke aplikacije ne nalaze samo u data centru kompanije, nego se dosta često koriste i različiti cloud servisi, kakvi su Office 365 ili Dropbox, dobra IAM rešenja moraju imati mogućnost da odgovore i na ove potrebe. Okta je u stanju da omogući korišćenje hibridne i multi-cloud arhitekture, bez potrebe kreiranja rupa u firewall-u ili VPN tunela za svaku aplikaciju. Ovim se postiže pružanje servisa preko jednog identity provajdera, kao i jednaka sigurnost svih korisničkih aplikacija, bez obzira na njihovu lokaciju.

Pored problema lokacije aplikacija, sistem inženjeri i developeri susreću se i sa problemom zaštite API-ja, koji je prisutan kod većine savremenih aplikacija. API tokeni, koji se najčešće koriste, pružaju zaštitu u smislu autentifikacije, ali im nedostaje mogućnost autorizacije, korišćenje najmanjih privilegija (least privileges) i univerzalno upravljanje. Okta omogućava centralizovanu kontrolu pristupa API-ju različitih aplikacija, čime je znatno olakšano i dodeljivanje odgovarajućih prava nad njima. Pored problema sa pravom pristupa, sigurnost se dodatno može povećati integracijom sa dvofaktorskom autentifikacijom.

Glavna prednost Okta platforme ogleda se u njenoj modularnosti. U zavisnosti od potreba kompanije i problema koji je potrebno rešiti, mogu se odabrati različiti security moduli. U tekstu smo akcenat stavili na samo neke od mogućih primena ovog rešenja, a COMING vam stoji na raspolaganju da zajedno dođemo do jedinstvenog scenarija i tehničkog rešenja koje bi bilo prilagođeno vama.

The post OKTA – MENADŽMENT IDENTITETA I UPRAVLJANJE PRISTUPOM appeared first on Business&IT.