IDC IT Security Roadshow - Konferencia a biztonságról

Az IDC IT Security Roadshow fő célja, olyan fórum életre keltése, melynek keretein belül a vezetők értékelhetik, elemezhetik és megvitathatják a szervezetek számára optimális IT-biztonsági megoldásokat és az ezekhez kacsolódó legfontosabb kérdéseket. A budapesti konferencia egyik támogatója és résztvevője a Microsoft; a vállalat rövid és hosszú távú céljai között kiemelt szerepet kap a minden eddiginél biztonságosabb termékek és rendszerek kifejlesztése.

Az IDC a világ vezető IT-iparági elemzéssel és piackutatással foglalkozó cége. A vállalat piaci trendeket jelez előre, üzleti stratégiákat, technológiát és piaci szereplőket elemez az IT, az eBusiness, az Internet és a telekommunikáció területén. Átfogó kutatást kínál helyi tartalommal a több mint 50 országban tevékenykedő 700-nál több piacelemzőn keresztül. Ügyfelei között megtalálhatók a világ vezető IT-szervezetei, eBusiness-cégei és a pénzügyi világ képviselői is.

Az IDC IT Security Roadshow Central and Eastern Europe 2003 című konferenciasorozata ideális fórumot teremt az informatikai biztonság kockázati tényezőinek és az ebbe való stratégiai befektetésekkel járó lehetséges előnyök alaposabb megismeréséhez. A konferencia résztvevői, előadói nemzetközi és a hazai IT piac legjelentősebb gyártó- és szolgáltató cégeinek felsővezetői, informatikai szakemberek és az IDC neves elemzői. A résztvevők vezetői szintről vizsgálva ismerhetik meg az IT biztonsági kérdéseket, eszközöket, trendeket és technológiákat, úgymond üzleti környezetbe helyezve azokat.

Az üzleti biztonság és különösen az információ biztonság kérdésköre visszatérő témája a sajtónak, és gyakorta foglalkoztatja az informatikai igazgatókat, IT menedzsereket és mindazokat a vezetőket, akik felelősek a vállalat kockázati tényezőinek felügyeletéért. E kérdéskör vállalaton belüli mélyreható vizsgálatakor az IT biztonság gyakran egy olyan eszköznek tűnhet csupán, amellyel üzleti veszteségeket próbálunk elkerülni, s amely meg nem térülő költségeket von maga után. Mindezek ellenére, a megfelelő biztonsági megoldás bevezetése nyújthat ennél jóval többet is, hozzáadott értéket biztosíthat, s akár a bevételeket is növelheti. Az IDC előrejelzései szerint a teljes világszintű informatikai biztonsági piac (beleértve a hardvert, a szoftvert és a szolgáltatásokat) 2006-ra eléri majd a 45 milliárd USD-s szintet - erősítve ezzel az IT biztonság fontosságának felismerését világszerte.

A Microsoft 2002-ben több mint 200 millió dollárt fektetett be a Windows biztonságának javításába, és még többet az egyéb termékek biztonságával kapcsolatos munkába. Ezek azonban csupán a "Megbízható Számítástechnika" névre keresztelt program megvalósításának első lépései.

A számítástechnikai iparban betöltött vezető szerepe miatt a Microsoft felelősséggel tartozik azért, hogy segítsen ügyfeleinek a megbízhatóság problémáinak kezelésében, hogy ne kelljen választaniuk a biztonság és a használhatóság között. Ahogyan a számítógépes hálózatok elleni támadások egyre kifinomultabbakká válnak, sok területen - mint például a digitális jogok kezelése, a nyilvánoskulcs-kriptográfia, weboldal-hitelesítés, valamint megnövelt hálózati és PC-védelem - kell újításokat bevezetni, hogy a felhasználók biztonságosan kezelhessék adataikat.

A Microsoft által meghirdetett Megbízható Számítástechnika, az áram-, víz- és telefonszolgáltatáshoz hasonlóan, elérhető, megbízható és biztonságos. A fejlett világban biztosra vehetjük az áram- és vízellátást; a telefonszolgáltatást adottnak vesszük szigorúan bizalmas üzleti tranzakcióink végrehajtásához, és számítunk megbízhatóságára. A számítástechnika ettől még nagyon messze áll - kezdve a felhasználókkal, akik nem hajlandók új alkalmazásokkal bővíteni rendszerüket, mert attól tartanak, hogy az egész felborul, egészen a vállalatokig, amelyek lassan fogadják el az e-businesst - mivel a jelenlegi platformok nem ütik meg a kívánt biztonsági mércét.

Ennek ellenére a számítástechnika máris sokak életének fontos része. Tíz év múlva pedig szinte minden tevékenységünk elválaszthatatlan és nélkülözhetetlen eleme lesz. Egy ilyen világban a Microsoft és a számítástechnikai ipar csak akkor lehet sikeres, ha megteremti a Megbízható Számítástechnika platformját.

A Megbízható Számítástechnika négy alappillére a megbízhatóság, a biztonság, az adatvédelem és az üzleti tisztesség. A "megbízhatóság" a mai számítástechnikai gyakorlatban alapvető elvárás. Többet jelent pusztán egy megbízható szoftvernél, átfogja az ügyfélkapcsolatok minőségjavításának egészét. Alapja, hogy a számítógépes rendszer szükség esetén bármikor üzemképes és a felhasználó által elvárt szinten teljesít.

A "biztonság" alapkövetelmény a mai rendszerek kiépítésében. A támadásoknak való ellenállását jelenti, és hogy a rendszer és az adatok titkossága, sérthetetlensége és hozzáférhetősége egyaránt védett. A Microsoft megkezdte fejlesztőinek és munkatársainak átképzését a célból, hogy biztonságosabb kódokat írjanak, és még a termékek szállítása előtt megtalálják a sebezhető pontokat. A támadási felületek csökkentése érdekében alapbeállításként "biztonságosan" szállítja a cég a termékeit, amely azt jelenti, hogy a legmagasabb biztonsági beállítások kerültek alapbeállításra. Ezen felül a magánszemélyek és a kisebb cégek automatikusan követhetik a biztonsági javítócsomagok megjelenését a Windows Update automatikus frissítések segítségével, a nagyobb vállalatokat pedig a 2002-ben bemutatott Systems Management Server 2.0 SUS Feature Pack segíti a javítócsomagok követésében.

Az "adatvédelem" jegyében a Microsoft célja az, hogy nagyobb kontrollt biztosítson az egyénnek személyes információi felett. A cég négy területen erősíti az adatvédelmet: adatvédelem a tervezésben, adatvédelem az alapbeállításokban, adatvédelem a telepítésben, valamint a kommunikáció területén. A Tisztességes Információkezelési Gyakorlatok (Fair Information Practices) folyamatosan tájékoztatják a vevőket és lehetővé teszik számukra a személyes információik kontrollálását. E gyakorlatok segítenek az adatok nem kívánt gyűjtése, felhasználása, terjesztése, vagy az adatokhoz való nem kívánt hozzáférés elleni védekezésben.

Az "üzleti tisztesség" azt jelenti, hogy az iparágunkon belüli cégek felelősséget vállalnak ügyfeleikért, és segítik őket abban, hogy üzleti problémáikra megoldást találjanak, a problémákat termékeikkel, szolgáltatásaikkal, illetve az ügyfelekkel való együttműködésük során oldják meg. A Microsoft mindig egyértelműen cselekszik; ügyfelei és a nyilvánosság felé nyitott, tisztességes és tiszteletteljes, igényeikre odafigyel.

A megbízható számítástechnikai környezet megvalósítása a Microsoftnál több lépésben történik:
Biztonság a tervezésben: 2002. elején a Microsoft leállította 8500 Windows-mérnök fejlesztő munkáját, hogy a vállalat 10 hetes intenzív biztonsági képzést tartson számukra, és elemezzék a Windows kódbázisát. A veszélymodellezési folyamat arra oktatta a programmenedzsereket, programfejlesztőket és programtesztelőket, hogy úgy gondolkodjanak, mint a támadók. A veszélyelemzés során megtalálták a Windows biztonsági programjában azonosított vírusok felét.

Minimalizálta a biztonsághoz kapcsolódó kódok mennyiségét a támadásnak kitett termékekben, valamint, hogy hatékonyabbá tette a nagyobb kódrészletek tesztelését. Annak optimalizálása érdekében, hogy mely tesztet a tervezési ciklus mely pontján kell futtatni, a Microsoft olyan rendszert fejlesztett ki, amely a programban végrehajtott változások alapján prioritást állít fel az alkalmazásra vonatkozó teszteket illetően. A rendszer képes arra, hogy több millió sornyi forráskódot tartalmazó hatalmas programokon működjön, és néhány percen belül eredményt produkáljon. Korábban ez órákat vagy napokat vett igénybe.

A Microsoft biztonsági felülvizsgálatainak terjedelme a szoftvergyártók között példa nélküli. A gyenge pontok kiküszöbölése olyan termékekkel történik, mint pl. a Windows XP Service Pack 1. A Visual Studio .NET-et hihetetlenül alaposan átvizsgálták tervezési, veszélymodellezési és biztonsági szempontból, és a következő hónapokban más olyan termékek is piacra kerülnek, amelyek keresztül mentek a megbízható számítástechnika biztonsági felülvizsgálati ciklusán: a Windows Server 2003, az SQL és az Exchange Server következő verziói, valamint az Office 11.

Jelenleg olyan Windows PC platformú hardver/szoftver architektúrán dolgozik a vállalat (eredeti kódneve "Palladium"), amely a sok "gyenge láncszem" kiküszöbölésével növelni fogja a számítógépes rendszerek integritását, titkosságát és adatbiztonságát.

Alapbeállításban biztonságos: A támadási felületek csökkentése érdekében a Microsoft már alapbeállításként "biztonságosan" szállítja termékeit, amely azt jelenti, hogy a legmagasabb szintű biztonsági beállítások kerültek alapbeállításra. A vásárlók ezt a változást a Windows XP Service Pack 1-től kezdődően élvezhetik, amely esetében a megosztási jogok a "teljes hozzáférés" szintjéről a "csak olvasás" szintjére módosultak, illetve a tűzfal konfigurációja alapbeállításként bekapcsolt állapotba került. Az alapbeállítások, illetve a különböző modulok mellett a vásárlónak lehetősége van szabadon letölthető biztonsági eszközökkel (pl.: Internet Information Services lockdown - Internet információs rendszerek zárolása) az alapvető biztonsági szinttel megegyező minőségű szintre állítani már meglévő alkalmazásait. A Windows Server 2003-hoz hasonló termékek a jövőben is folytatják majd a támadási felületek csökkentésének irányvonalát.

Biztonságos üzemeltetés: Annak érdekében, hogy a vásárlók a termékeket biztonságosan tudják telepíteni és karbantartani, a Microsoftnak megfelelő eszközöket és részletes iránymutatást kell biztosítania. Az elmúlt év folyamán a Microsoft kiegészítette és továbbfejlesztette biztonsági eszközeit. A magánszemélyek, illetve a kisebb cégek automatikusan követhetik a biztonsági javítócsomagok megjelenését a Windows Update (Windows frissítés) automatikus frissítésének segítségével. Az elmúlt évben pedig bemutatta a Software Update Services (SUS - szoftverfrissítési szolgáltatások), valamint a Systems Management Server 2.0 SUS Feature Pack-et, melyek a nagyobb vállalkozásokat segítik a javítócsomagok követésében. A társaság kihozta a Microsoft Baseline Security Analyzer-t is, mely kikeresi a hiányzó biztonsági javítócsomagokat, figyelmeztet a gyengére állított biztonsági jellemzőkre, és tanácsokat is ad a felhasználó számára a feltárt hiányosságok megszüntetésére. A Microsoft elkészítette a Windows 2000, illetve az Exchange 2000 átfogó dokumentációját, melynek segítségével biztosítható, hogy a vásárló a terméket a megfelelő biztonsági jellemzőkkel telepíti és konfigurálja.

Kommunikáció: Annak érdekében, hogy az ügyfelek a biztonsági kérdésekről szélesebb körű tájékoztatást kapjanak, a Microsoft számos jelentős változtatást vezetett be az elmúlt év folyamán. 2002-ben a vásárlók visszajelzései alapján láthatóvá vált, hogy a biztonságtechnikai hírlevelek, bármennyire is hasznosak a profi számítástechnikusok számára, mégis túl részletesek az átlagos felhasználóknak. Az ügyfelek kiemelték továbbá azt is, hogy szeretnék a különböző biztonsági javítócsomagok közötti különbségeket tisztábban látni, hogy eldönthessék, melyiket kívánják alkalmazni, illetve azt milyen prioritással szükséges használni. Mindezek eredményeképpen a Microsoft a szakma szakértőivel együttműködve kialakította a biztonságtechnikai hírlevelek komolyságának skáláját, illetve a professzionális számítástechnikai hírlevelek mellett elindította az átlagos felhasználóknak szóló hírleveleket is, mely jobban illeszkedik a vásárlók informatikai tudásának szintjéhez. A visszajelzések eredménye továbbá az is, hogy elindult a felhasználói biztonságtechnikai hírlevelekre figyelmeztető e-mail szolgáltatás is. 2003-ban a Microsoft lehetővé teszi vásárlói számára, hogy csupán az általuk választott egyedi hírleveleket kapják majd meg. A közvetlen kapcsolattartás, illetve a vásárlói tájékoztatási fórumokon (pl.: CSO Forum) történő részvétel segítségével a Microsoft javítani kívánja átfogó ügyfél kommunikációját.