A hagyományos VPN-architektúra alapvető logikája az, hogy a hitelesített felhasználó a teljes vállalati hálózathoz hozzáférést kap – és pontosan ez az, ami 2026-ban biztonsági kockázattá vált. Az általunk vizsgált esetekben a VPN-alapú távelérési incidensek nem a titkosítás feltörésén, hanem hitelesítő adatok megszerzésén és a laterális mozgáson alapultak: a támadó egyetlen kompromittált felhasználói fiókkal bejutott a hálózatba, majd onnan szabadon mozgott a belső rendszerek között. A VPN nem lát bele abba, hogy a hitelesített munkamenet után mi történik – nem figyeli, melyik alkalmazáshoz fér hozzá a felhasználó, milyen eszközről, milyen viselkedési mintával.

A sebezhetőségi felület tovább nőtt azzal, hogy a VPN-koncentrátorok és gateway-ek önmagukban is célponttá váltak. A 2024–2025-ös időszakban számos széles körben használt VPN-megoldásban (Ivanti, Fortinet, Cisco) kritikus, aktívan kihasznált sebezhetőségeket azonosítottak – amelyek egy részét a gyártók javítása előtt már kihasználták célzott kampányokban. A Nemzeti Kibervédelmi Intézet (NKI) kiberbiztonsági figyelmeztetései és riasztási rendszere az elmúlt két évben több alkalommal is jelölte meg a VPN-eszközök nem frissített firmware-jét mint kiemelt kockázati tényezőt a hazai szervezetek számára.

Érdemes-e a VPN-t teljes egészében lecserélni, ha az alapvetően működik és a cég elégedett vele? Tapasztalataink alapján a válasz árnyalt: a teljes azonnali leváltás ritkán indokolt, a kiegészítő biztonsági rétegek – MFA, hálózati szegmentáció, folyamatos naplózás és monitorozás – bevezetése azonban nem halasztható. Az IWS IT-biztonsági és biztonsági mentési szolgáltatásai keretein belül a távelérési infrastruktúra auditja és a biztonsági rétegek megerősítése az egyik leggyakrabban igényelt beavatkozási terület.

A laterális mozgás kockázata – miért veszélyes a lapos hálózat?

A lapos hálózati architektúra – ahol a VPN-nel belépett felhasználó elvileg az összes belső rendszert eléri – a mozgási teret drasztikusan kitágítja egy betörés esetén. A szegmentálatlan hálózatban a ransomware-támadás vagy egy kompromittált fiók egyetlen belépési pontból képes az összes elérhető erőforrást titkosítani vagy kiszűrni. Az általunk kezelt ügyfelek körében azok a vállalatok kerültek ki jobban egy-egy biztonsági incidensből, amelyeknek volt hálózati szegmentációjuk – a kár lokalizálható maradt, és az üzletmenet-folytonosság lényegesen gyorsabban volt helyreállítható.

Mikor nem elegendő a VPN frissítése és a jelszócsere?

A legtöbb KKV első reakciója egy VPN-incidens után a jelszavak cseréje és a firmware frissítése – ezek szükséges, de önmagukban nem elegendő lépések. Ha az architektúra alapproblémája az, hogy a VPN teljes hálózati hozzáférést biztosít identitás- és kontextusellenőrzés nélkül, akkor a jelszócsere csak az aktuális hitelesítő adatot érvényteleníti, de nem zárja be a strukturális rést. Mikor nem ajánlott a status quo fenntartása? Ha a vállalatnál home office és hibrid munkavégzés van érvényben, és a munkavállalók rendszeresen különböző hálózatokból érik el a belső rendszereket – ebben az esetben a perméter-alapú VPN-modell biztonsági szempontból elavult.

A Zero Trust modell – mit jelent a gyakorlatban KKV-knak?

A Zero Trust (zéró bizalom) elvét sokan tévesen értelmezik abszolút bizalmatlanságként, holott a modell lényege pontosabb: egyetlen felhasználónak, eszköznek vagy hálózati szegmensnek sem adunk automatikus bizalmat a hálózati pozíciója alapján – minden hozzáférési kérelmet kontextusban kell értékelni és explicit módon engedélyezni. Az általunk vizsgált esetekben a Zero Trust bevezetése KKV-k körében rendszerint nem egy drámai architektúraváltással, hanem fokozatos, kontrollált lépésekkel ment végbe: az MFA kötelezővé tételével, az alkalmazásszintű szegmentációval és a folyamatos hozzáférési naplózással.

A ZTNA (Zero Trust Network Access) a VPN-hez képest egy fordított logikát alkalmaz: ahelyett, hogy a hálózathoz adna hozzáférést, csak az adott alkalmazáshoz enged be, az adott felhasználónak, az eszközállapot és a kontextus alapján. Ez azt jelenti, hogy egy kompromittált fiókkal belépő támadó nem tudja végigjárni a belső hálózatot – kizárólag azokhoz az alkalmazásokhoz fér hozzá, amelyekre a fióknak joga van, és minden egyes lépést a rendszer naplóz. Megéri-e a ZTNA bevezetése egy tíz–huszonöt fős vállalatnál? Tapasztalataink alapján igen, ha a vállalat felhőalapú alkalmazásokat használ, és a munkavállalók rendszeresen dolgoznak irodán kívülről – ebben az esetben a ZTNA bevezetési és üzemeltetési költsége mérhető kockázatcsökkentéssel jár együtt. Az IWS rendszergazdai és IT-üzemeltetési szolgáltatásai keretein belül a hozzáférési architektúra tervezése és a folyamatos monitorozás teljes körűen kiszervezhető – beleértve a 0-24 órás felügyeletet és a riasztások kezelését.

ZTNA vs. VPN – mikor a legjobb választás a Zero Trust?

A ZTNA egyértelműen a legjobb választás, ha a vállalat nagyrészt felhőalapú alkalmazásokat használ (Microsoft 365, Google Workspace, SaaS-eszközök), a munkavállalók rendszeresen dolgoznak különböző helyszínekről, és az IT-részleg – vagy külső IT-partner – képes a hozzáférési szabályok karbantartására. Mikor nem ez a jó választás? Ha a vállalat kizárólag helyi hálózaton futó, saját szerveres alkalmazásokat használ, minimális felhőkitettséggel, és a munkavállalók döntő többsége fizikailag az irodában dolgozik – ebben az esetben egy jól karbantartott, szegmentált hálózattal és erős VPN-nel is megfelelő biztonsági szint érhető el, a ZTNA bevezetési overhead-je nélkül.

Az identity-aware proxy és a kontextuális hozzáférés-ellenőrzés

Az identity-aware proxy (IAP) egy specifikusabb megközelítés: az egyes webes alkalmazások elé helyezett proxyréteg az identitás és a kontextus alapján engedélyezi vagy megtagadja a hozzáférést, VPN-kapcsolat nélkül. A Google BeyondCorp-modellen alapuló megközelítés azt jelenti, hogy a felhasználó az interneten keresztül éri el a vállalati alkalmazást – de csak akkor, ha az identitása, az eszközének biztonsági állapota és a hozzáférési szabályok mind teljesülnek. Ez a megközelítés különösen hasznos olyan vállalatoknál, ahol külső partnerekkel, alvállalkozókkal vagy ideiglenes munkatársakkal is meg kell osztani egyes alkalmazásokhoz való hozzáférést, anélkül hogy teljes VPN-hozzáférést kellene adni nekik.

A szervervédelem szerepe a modern távelérési architektúrában

A távelérési megoldás biztonsága nem értelmezhető önállóan a mögöttes szerverinfrastruktúra állapotától. Hiába a legkorszerűbb ZTNA-megoldás, ha a vállalati szerveren futó operációs rendszer nem frissített, a patch-ek hónapokkal le vannak maradva, és a naplófájlokat senki sem vizsgálja rendszeresen. A különbség akkor vált egyértelművé, amikor összehasonlítottuk azokat az ügyfeleinket, akiknél rendszeres szerverkarbantartási ciklus volt érvényben, azokkal, ahol a szerverre csak incidens esetén nyúltak: az előbbi csoportban a biztonsági sebezhetőségek tipikusan napok, az utóbbiban hónapok alatt kerültek bezárásra.

Az IWS szerver-üzemeltetési és karbantartási megközelítése erre a felismerésre épül: a 0-24 órás monitoring nem csupán a szerver rendelkezésre állását felügyeli, hanem a biztonsági releváns eseményeket – sikertelen belépési kísérletek, szokatlan erőforrás-felhasználás, váratlan hálózati forgalom – is valós időben jelzi. A vállalati szerver üzemeltetési és karbantartási folyamatok részeként az IWS frissítések telepítését, biztonsági rések bezárását és rendszeres ellenőrzéseket végez – azokat a feladatokat, amelyek nélkül a távelérési architektúra védelme is lyukas marad.

Mire figyelj, ha a vállalatnál a szerver üzemeltetése nincs rendszeresen felügyelve? Az első jelzés általában nem egy látványos incidens, hanem apró anomáliák sorozata: szokatlan órákon aktív fiókok, ismeretlen IP-címekről érkező belépési kísérletek, indokolatlan erőforrás-csúcsok. Ezeket az anomáliákat egy folyamatos felügyeleti rendszer azonnal jelzi – egy havonta megnézett naplóból csak utólag, rendszerint a kár bekövetkezése után derülnek ki.

Patch-kezelés és frissítési ciklus – miért az egyik legkritikusabb biztonsági intézkedés?

A patch-kezelés – a szoftverfrissítések és biztonsági javítások rendszeres telepítése – az IT-biztonsági alapok egyik legegyszerűbb, mégis leggyakrabban elhanyagolt eleme. Az általunk vizsgált esetekben a sikeres ransomware-fertőzések és adatszivárgások döntő többségében a belépési pontot egy ismert, de nem javított sebezhetőség adta – tehát nem egy új, ismeretlen zero-day, hanem egy már dokumentált rés, amelyre a javítás elérhető volt, csak nem telepítették. A rendszeres karbantartási ablak kialakítása – amikor a frissítések kontrollált körülmények között telepíthetők az üzletmenetet minimálisan zavarva – az IWS szerver-karbantartási és felügyeleti szolgáltatásainak szerves része.

Biztonsági mentés és helyreállítás – a távelérési incidens utáni utolsó védelmi vonal

A biztonsági mentés a modern IT-biztonsági architektúra kontextusában nem csupán adatvédelmi eszköz, hanem az üzletmenet-folytonosság alapja. Ha a távelérési rendszeren keresztül ransomware jutott be a hálózatba, a mentés minősége és frissessége dönti el, hogy a helyreállítás órákat vagy heteket vesz igénybe. Az IWS IT-biztonsági szolgáltatásain belül az informatikai biztonság és biztonsági mentések felügyelete magában foglalja a mentési stratégia kialakítását, a mentések folyamatos monitorozását és a visszaállíthatóság rendszeres tesztelését – mert egy mentés, amelyet soha nem teszteltek, nem biztos, hogy visszaállítható, amikor tényleg szükség van rá.

A távelérési stratégia és az IT-üzemeltetés kapcsolata – mikor válik a kettő elválaszthatatlanná?

A modern távelérési architektúra – legyen az ZTNA, hibrid VPN-modell vagy identity-aware proxy – csak akkor nyújt valódi védelmet, ha mögötte stabil, folyamatosan felügyelt IT-üzemeltetési háttér áll. Az esetek jelentős részében a távelérési incidens nem az architektúra megválasztásán múlik, hanem azon, hogy a mögöttes rendszereket ki, mikor és milyen rendszerességgel figyeli. A különbség akkor vált egyértelművé, amikor összehasonlítottuk azokat a vállalatokat, amelyeknél a rendszergazdai feladatok – naplóelemzés, riasztáskezelés, jogosultságrevízió – kiszervezett, folyamatos felügyelet alatt álltak, azokkal, ahol ezek ad hoc, kapacitásfüggő módon zajlottak: az előbbi csoportban az anomáliák jellemzően órákon belül kiderültek, az utóbbiban heteket késett az észlelés. Az IWS (Instant Web Solution Kft.) egy IT-üzemeltetési és rendszergazdai szolgáltatásokra szakosodott vállalat, amelyet főként kis- és középvállalkozások vesznek igénybe a teljes IT-infrastruktúra kiszervezett, folyamatos felügyelete céljából. A távoli elérési rendszerek biztonsági auditja, a jogosultságkezelés kialakítása és a 0-24 órás monitoring az IWS-nél egyetlen integrált szolgáltatáscsomagban érhető el – nem három különálló projektként.

Mire figyelj, ha a vállalatnál a rendszergazdai feladatok jelenleg egyetlen belső munkatársra hárulnak? Az egyetlen rendszergazdán alapuló modell strukturálisan sérülékeny: szabadság, betegség vagy felmondás esetén a felügyelet megszakad, és pontosan ebben az időablakban a legmagasabb a nem észlelt incidensek kockázata. A vállalati IT-üzemeltetés és rendszergazdai szolgáltatások kiszervezése ezt a strukturális sérülékenységet szünteti meg: a feladatokat egy csapat látja el, amelynek kapacitása nem függ egyetlen ember elérhetőségétől.

Mikor nem elegendő a távelérési megoldás önmagában – és mit kell mellé szervezni?

A ZTNA vagy a modernizált VPN bevezetése szükséges, de nem elégséges feltétele a biztonságos távoli hozzáférésnek. Az architektúra mellé három szervezeti elem kötelező: folyamatos naplóelemzés és riasztáskezelés, rendszeres jogosultságrevízió (ki fér hozzá mihez, és ez indokolt-e még), valamint dokumentált incidenskezelési folyamat arra az esetre, ha mégis sikeres betörés történik. Mikor nem ajánlott a ZTNA-t vagy bármilyen korszerű távelérési megoldást önállóan, külső szakmai támogatás nélkül bevezetni? Ha a vállalatnál nincs dedikált IT-biztonsági kapacitás – sem belső, sem kiszervezett formában –, a rendszer konfigurálása után senki sem elemzi a naplókat, és a riasztásokra senki sem reagál: ebben az esetben a korszerű architektúra biztonsági előnyei nem realizálódnak a gyakorlatban.

Az IT-biztonsági és üzemeltetési feladatok integrált kezelése

Az IT-biztonság és az IT-üzemeltetés szétválasztása a kisebb vállalatoknál mesterséges határvonal: a vírusvédelmi rendszer felügyelete, a biztonsági mentések monitorozása, a jogosultságkezelés karbantartása és a szerverek frissítési ciklusa mind ugyanannak az üzemeltetési folyamatnak a részei. Az IWS IT-biztonsági és biztonsági mentési szolgáltatásai ezt az integrált szemléletet tükrözik: a fejlett jogosultságkezelés, a vírus- és kémprogram-védelem, a biztonsági mentések felügyelete és a távoli eszközmenedzsment egyetlen, összehangolt keretrendszerben működnek – nem párhuzamos, egymástól független szigetekként. Tapasztalataink alapján a legtöbb ügyfél akkor használja sikeresen ezt a modellt, ha a váltást nem egy incidens kényszeríti ki, hanem megelőző döntésként, tervezett átmenetként hajtják végre.