Zero-day sérülékenység, zero-day támadás; az IT-biztonsággal kapcsolatos fogalomrendszer folyamatosan bővül. Az elmúlt években sokszor lehetett olvasni ezekről. Ezek a fogalmak olyan biztonsági fenyegetettséghez kapcsolódnak, amikor valamely rendszer biztonsági hiányosságát kihasználandó, a támadók még a biztonsági rés publikálása előtt elkészítik és alkalmazzák a támadó szoftverkódot.

Mindez persze szorosan köthető ahhoz, hogy "gyorsuló világban élünk". Ezekben az esetekben gyors beavatkozásra, szinte azonnali reakciókra van szükség. De hát ilyen az egész világ: instant kakaó, nescafé, pillanatragasztó… és még sorolhatnám: azaz a hétköznapokban is számos helyen találkozunk olyan termékekkel, amelyek gyakorlatilag azonnali megoldásokkal szolgálják ki a fogyasztót.

Agilitás az üzletben – agilitás az IT-ben

A felgyorsult világ az ITszervezetektől is elvárja, hogy egyre rövidebb reakcióidővel legyenek képesek reagálni az üzleti szereplők igényeire és a környezeti kihívásokra. A szoftverfejlesztés terén a „gyors reagálás” igénye életre hívta az agilis fejlesztési módszertanokat, és segítette térhódításukat.

Régebben a hagyományos vízesés modellre épülő fejlesztési módszertanok alkalmazása esetén egy gondos és alapos (és egyben időigényes) specifikációs szakaszt követően a fejlesztő elvonult kifejleszteni a szoftvert. Majd amikor végzett, a rendszer méretétől függően pár hét vagy pár hónap elteltével, átadta a leszállított terméket tesztelésre. Ha a specifikáció nem volt elég pontos, akkor jelentős mértékű fejlesztési munka válhatott feleslegessé, és lehetett kezdeni az elejétől az egészet.

Márpedig tudjuk jól, gyakran az üzleti igények is csak nagy vonalakban kerülnek meghatározásra. Pontatlanok, nem eléggé átgondoltak, és bizony sokszor menet közben is megváltoznak. Ilyen környezethez jobban illenek az agilis módszertanok, ahol néhány hetes szakaszokra (ún. sprintekre) van lebontva a feladat. Így jóval hamarabb lehet ellenőrizni, hogy a leszállított termék(rész) megfelel-e az üzleti elvárásoknak. Ha nem, akkor a korábbinál lényegesen gyorsabban lehet beavatkozni, s kevesebb energia vész kárba.

A fejlesztés és a projektmenedzsment módszertanai mellett a fejlesztők kialakították azokat az eszköztárakat, amelyek lehetővé teszik számukra, hogy ténylegesen gyorsan és hatékonyan dolgozzanak. Egyre elterjedtebbek azok az ún. rapid fejlesztői eszközök, amelyekkel legószerűen lehet építkezni a szoftverek fejlesztésekor.

Vagyis a szoftverfejlesztési ipar kialakította azokat a KÉPESSÉG-eket, amelyek lehetővé teszik, hogy gyorsan reagáljanak az igényekre.

Gyors reagálású infrastruktúra

Az IT-infrastruktúra területén is találkozhatunk olyan technológiákkal, amelyek a gyors reagálási képességek kialakulására utalnak.

Bő egy évtizede egy új rendszer bevezetéséhez a működési környezetet a következő módszerrel alakították ki. Először is hosszabb-rövidebb időt szántak a tervezésre és méretezésre. Utána megrendelték a szervereket. Türelmesen kivárták azt a 6-8 hetet, amíg a gépeket legyártották és leszállították. Utána végre megtörténhetett a telepítés.

Egy ilyen rendszernek azonban komoly korlátai voltak. Ha például megkeresték az IT-vezetőt, hogy egy projekthez egy héten belül kell egy tesztkörnyezet, akkor vakarhatta a fejét, hogyan hasítja ki a meglévő erőforrásokból az erre fordíthatót. Ugyanis csak a meglevő eszközökkel gazdálkodhatott.

Itt a virtualizáció segített kialakítani a gyors reagálás képességét. Ha szükség volt egy új szerverre, pár órán belül lehetett produkálni egy működő (virtuális) szervert.

A virtualizációnak is volt azonban egy érdekes evolúciója: kezdetben a cégek elsődlegesen a saját tulajdonban levő eszközeiken vehették igénybe ezeket a KÉPESSÉG-eket, de – értelemszerűen – a fenti hardverbeszerzési procedúrát nem tudták megspórolni. Ha azonban megvolt a hardver, egyből a megfelelő KÉPESSÉG-ek birtokába került az IT-szervezet.

Manapság pedig itt a felhő, amely már a hardver beszerzéshez szükséges időtartamot is kiiktatja a folyamatból. Pár kattintás (meg egy bankkártya), és máris létrehoztuk a szükséges szerverkörnyezetet a megfelelő felhőszolgáltatónál..

Egyszerre mindent akarni

Takács Tibor CIO, Magyar Fejlesztési Bank

1997 óta dolgozik különböző vállalatok IT-vezetőjeként. Többek között volt a Paksi Atomerőmű, a LAPKER CIO-ja is. 2010-től a Kopint Datorg projektmenedzsre, majd a NISZ Zrt. igazgatója. 2008-tól a Vezető Informatikus Szövetségének elnöke, majd több éven át alelnöke. 2015 augusztusában nevezték ki a Magyar Fejlesztési Bank CIO-jának.

IT-vezetőként napi szinten tapasztalom, hogy az üzleti területek egyre gyorsabb reagálást, egyre gyorsabb megoldásokat várnak el. Közelmúltbeli élményem, hogy egy szoftverfejlesztési projekt kezdeményezésekor olyan projektjavaslatot terjesztettek az üzleti terület képviselői a  menedzsment elé, melyben a rendszerterv elkészítésének és a szoftverfejlesztés befejezésének a dátuma megegyezett. A legfurcsább az, hogy mindez nem elírás volt. Ők tényleg így is gondolták!

Megfogalmazták a "zero-day IT" iránti igényt. Vagyis mire végig gondolják, kitalálják, hogy mit is szeretnének, addigra az legyen is készen, legyen kifejlesztve! Mai népszerű kifejezéssel élve: kimaxolták az agilitást.

A zero-day IT-szervezet nem utópia. Ahogy a fenti példákból is látható, az IT-ipar már számos területen ki is alakította a maga "gyors reagálású" megoldásait. Ezek alkalmazásához az szükséges, hogy az IT-szervezetek ténylegesen is felvértezzék magukat a megfelelő KÉPESSÉG-ekkel. Mert minden ezen fog múlni.

Az IT-vezetők akkor tudnak eredményesen reagálni a zero-day jellegű üzleti igényekre, ha kellő figyelmet fordítanak arra, hogy a csapatuk milyen kompetenciákkal rendelkezik, illetve rendelkezik-e a megfelelő KÉPESSÉG-ekkel, köztük a legfontosabbal, az azonnali reagálás készségével. Ha nem, akkor érdemes mihamarabb nekilátni a terület fejlesztésének, mert a zero-day IT-hoz szükséges tudás sajnos nem szerezhető meg egyik pillanattól a másikra.

A cikk a Vezető Informatikusok Szövetsége támogatásával készült.