A vállalati rendszerek működtetésében ma már elengedhetetlen az ügyfelek, a cégek és a partnerek közötti minél gyorsabb, és biztonságosabb kapcsolattartás és adatcsere. Ez a nyilvános API-k (Application Programming Interface-ek) számának exponenciális növekedésével jár. Az API-k teszik elérhetővé az alkalmazás adatokat a kapcsolódó felek, eszközök és szolgáltatások számára, így több tízezer webes és felhőszolgáltatást, mobil- és IoT eszközt kötnek össze, és általuk valósítható meg a zökkenőmentes gépi kommunikáció (machine-to-machine, M2M) is.
Az M2M technológia elterjedésével egyre nagyobb az igény a szigorú biztonságra is
Az M2M technológiát már minden jelentős szektorban alkalmazzák világszerte, az üzleti szférától az ipari vállalatokon át az egészségügyi, telekommunikációs és kormányzati rendszerekig, mivel javítja a szervezetek működési hatékonyságát, új üzleti lehetőségeket és versenyelőnyt teremt a vállalatok számára, amellyel értéknövelt szolgáltatásokat hozhatnak létre. Erre a technológiára épül mind az Internet of Things (IoT), mind az Ipar 4.0 trend, de ide tartozik a felhőszolgáltatások és a különböző alkalmazások kommunikációja is. A gépi kommunikáció és annak automatizálása azonban folyamatos kihívások elé állítja a biztonsági szakembereket, mivel a támadások egyre inkább ezt a nehezebben kontrollálható területet használják kiskapunak a vállalati rendszerhez való bejutáshoz.
Mi okozza a biztonsági kihívást az API-k és az M2M technológia használatában?
Amellett, hogy a gépi kommunikáció biztonságossá tételéhez ugyanazokat az általános biztonsági módszertanokat kell alkalmaznunk mint minden vállalati hálózatban (tikosítás, hitelesítés, hozzáférés-ellenőrzés, biztonságos protokollok használata, tűzfal és IDS használata, firmware frissítések, rendszeres biztonsági auditok és pentesting, folyamatos monitoring), az alábbi három főbb problémaforrást is figyelembe kell vennünk:
1. Elhanyagolt API fejlesztés: a meglévő és jelentős mennyiségben újonan keletkező API-k már egy kezelhetetlen, kontrollálhatatlan rendszert alkotnak, amely ellehetetleníti hogy a vállalatok akár az alapvető OWASP követelményeket lefedjék.
2. Túl gyorsan fejlődő API-k: nincs elegendő idő a tesztelésre, így az esetleges sérülékenységek felfedezésénél egy rendkívül gyors hibajavításra van szükség az üzletmenet folytonosságának biztosításához.
3. Külsős (3rd party) API-k: a harmadik fél által biztosított API-k mindig kiemelt kockázatot jelentenek a vállalati rendszerben, ezek megfelelő kontrolljára és felügyeletére nem elegendő a naplózás, fontos, hogy egyedi szabályokat tudjunk kikényszeríteni a biztonságtól az üzleti logikáig.
A Balasys megoldása az M2M kommunikáció biztonságossá tételére vállalati környezetben
A Balasys kifejezetten az API-k menedzselésére és az M2M kommunikáció biztonságossá tételére fejlesztette ki Proxedo API Security megoldását egy olyan biztonsági átjárót, amellyel a szervezetek teljeskörűen menedzselhetik API integrációjukat. A hazai fejlesztésű, EU-s adatvédelmi (GDPR) és Zero Trust alapelveknek megfelelő megoldás, a PNS fejlesztéséhez a Balasys IT Zrt. a CARINEX Kft-vel konzorciumban 484,3 millió forintot meghaladó vissza nem térítendő támogatást nyert el az NKFI Kis-, közép- és nagyvállalatok KFI tevékenységének támogatása című pályázati kiíráson.
A Balasys megoldásának egyedisége abban rejlik, hogy egy transzparens proxy technológiára épül, amelynek segítségével lehetőség nyílik az összes API-kérés validálására és átfogó tartalomelemzésre még a titkosított csatornák esetében is. Segítségével finomhangolható az egyes szolgáltatásoknak akár API hívásonként történő engedélyezése, valamint széleskörű lehetőséget biztosít testre szabható, dinamikus biztonsági szabályok alkotására is.
Az Proxedo API Security olyan mértékű rugalmasságot biztosít, amely elősegíti az üzletmenet folytonosságának támogatását, valamint olyan magas fokú biztonságot eredményez, amely megfelel a legmagasabb szintű pénzügyi megfelelőségi előírásoknak is, mint a PSD2, PCI-DSS és a NIS2.
Rendszerek és emberek: a CIO választásai egy új magyar felmérés tükrében
"Nehéz informatikusnak lenni egy olyan cégben, ahol sok az IT-s" – jegyezte meg egy egészségügyi technológiákat fejlesztő cég informatikai vezetője, amikor megkérdeztük, milyennek látja házon belül az IT és a többi osztály közötti kommunikációt.
Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni
A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak