Nem új, de az utóbbi időben komoly változásokon átmenő biztonsági terület a naplóállományok
elemzése. A hagyományos logelemző és biztonsági incidenskezelő (SIEM) rendszerek
a hálózatbiztonsági eszközökből származó adatokat gyűjtötték, vetették össze és
elemezték, mondja Wollner László, a HP it-biztonsági szolgáltatások üzletágának vezetője.
Nem igazán alkalmasak az üzletbiztonsági szempontok megvalósítására: egy hagyományos
SIEM-eszköz nem képes megmondani például, hogy ugyanaz a dolgozó hagyta-e jóvá
a tranzakciót, mint aki elindította, csak éppen más felhasználóként bejelentkezve.
Ezen összefüggések felderítésére olyan tudást és intelligenciát kell beépíteni
a rendszerbe, ami csak az adott szervezetnél található meg. A szükséges tudás
beépítése viszont nem triviális feladat, mert különleges eszközöket és módszereket
igényel. Az ITBN-en tartandó előadásában a HP azt mutatja be, hogy saját terméke,
az ArcSight hogyan birkózik meg ezzel a feladattal.
Másképp naplózni
Persze más gondok is vannak a naplóállományokkal. A logok általában erősen különböznek
egymástól, ezért aztán formázni kell őket, illetve a logelemző szoftvereket is
fel kell készíteni a fogadásukra, ami esetenként hosszú programozási munkát jelent.
Viszont ha az eszközt kicserélik, és megváltozik a log szerkezete, akkor a naplóállomány
értelmezhetetlen lesz, és ilyenkor újra kellene programozni a naplóelemzőt – sorolja
a nehézségeket Csinos Tamás, az RRC biztonsági üzletágának vezetője.
A fenti problémák kiküszöbölésére ajánlja az RRC a Splunk cég termékét, amely
képes ömlesztett szövegként érkező naplóállományokban keresni, és nem csak az
egyes bejegyzések pozícióját figyeli. A klasszikus hálózati eszközökön kívül például
webes (Java) alkalmazások által generált logokat is értelmezhet, ami utat nyithat
az alkalmazások felügyelete és teljesítménymenedzsmentje előtt.
A logelemző rendszerek egy másik problémájára kínál megoldást a Balabit. Az először
az ITBN-en bemutatandó HSRL (High Speed Reliable Logging) technológia rendkívül
nagy adatmennyiséget generáló naplóállományokkal is megbirkózik.
Erre egyre nagyobb szükség lesz, állítja Kiss Attila, a cég marketingigazgatója. A számítási és adattárolási kapacitások egyre inkább
a nagy adatközpontokban koncentrálódnak, ami maga után vonja az ezeket kiszolgáló
naplózó infrastruktúrák koncentrálódását is: megjelenik az igény az olyan megoldások
iránt, amelyek jóval nagyobb teljesítményt kínálnak, mint a mostani rendszerek.
Jelenlegi változatában a HSRL másodpercenként 650 ezer üzenetet tud naplózni,
mégpedig valós körülmények között, jócskán felülmúlva a piacon elérhető megoldások
teljesítményét. Ugyanakkor laboratóriumi körülmények között már az 1 millió üzenet/másodperces
határt is megközelítették.
Folytonos üzlet
Kockázatmenedzsment, üzletmenet-folytonosság – csupa olyan fogalom, amelyről
a legtöbb cég érzi, hogy szüksége lenne rá, ám a legtöbb helyen csak tessék-lássék
módon csinálják. A kockázatmenedzsment területén ennek részben magyarázata, hogy
kevés az igazán jó szoftver, állítja Márton Miklós, a Kürt kereskedelmi vezérigazgató-helyettese.
Mivel a piacon nem talált az igényeinek megfelelő terméket, a Kürt végül maga
fejlesztette ki a kockázatelemzési módszertanához illeszkedő szoftvert, amelyet
most az ITBN-en is bemutat. Alapja egy masszív adatbázis, amely tartalmazza a
teljes üzleti környezet (nem csak az informatika!) erőforrásait, folyamatait,
rendszereit és alkalmazásait. A rendszerben definiálhatók az egyes elemek közötti
kapcsolatok, az egymástól való függőség vagy a folyamatokban betöltött szerepük.
Ennek köszönhetően a rendszer nem csak pillanatfelvétel készítésére alkalmas,
kipróbálhatók különféle „forgatókönyvek”, de a tényleges változások is könnyen
átvezethetők, frissíthetők.
„Az első pofon a legnagyobb” – hangzik a Controll-IT előadásának címe, és ez
csak az első a számos LGT-idézet közül, mondja Szigetvári Péter, a cég ügyvezető igazgatója. A pofon alatt itt azt a sokkot értik, amikor egy
szervezet először szembesül olyan váratlan helyzettel, amely időlegesen megbénítja
a működését, és kiderül, hogy nincs üzletmenet-folytonossági (BCM) terv.
A magyar vállalatok többsége az informatika oldaláról közelíti meg a BCM-et,
ami a Controll-IT szerint alapvetően téves felfogásra utal: az üzleti folyamatokból
kellene kiindulni. A folyamatoknak lehetnek olyan elemei, amelyek aztán informatikai
rendszerekben végződnek, de a szervezet csúcsáról, az előállított termék vagy
szolgáltatás felől kell lefúrni infrastrukturális mélységekig. Ezt a módszert
támogatja a Controll-IT AliveIT megoldása is, amelyet olyan ügyfelek használnak,
mint a Daimler vagy az Erste Bank.
A kezdetektől biztonságosan
Nem véletlen, hogy a vállalati szoftverfejlesztések során az információbiztonság
szempontjai többnyire háttérbe szorulnak, mondja Timur Hrotko, a Cloudbreaker munkatársa. A szoftverfejlesztő azon gondolkodik, hogyan fog
jól működni a szoftver. Egy hackerszemléletű biztonsági szakember viszont egyből
azt keresi, hogyan lehet felborítani a szoftver működését, hol van benne biztonsági
rés.
Igen hasznos, ha ez a gondolkodásmód már a fejlesztési ciklus elején, az architektúra
tervezése során megjelenik a projektben. Az esetleges biztonsági rések korai felfedezésével,
a logikátlanságok kiszűrésével stabilabb, a későbbiekben sokkal kevesebb problémát
okozó szoftvert lehet előállítani. Ezért lehet érdemes összeállni egy olyan csapattal,
amelyik magával hozza a támadó fejével való gondolkodást – mint ahogy tette a
Cloudbreaker, amikor az Aegon fejlesztőivel működött együtt, hogy biztonságosabbá
tegye a vállalati szoftvereket.
A mobil funkcionalitás bűvkörében a biztonság rovására is hajlandóak vagyunk
a vállalati alkalmazásokat elérhetővé tenni az okostelefonokon és a táblagépeken
– mondja Szebellédy Balázs, a NETI Kft. kereskedelmi igazgatója. Védelmi megoldások ugyan vannak a készülékekre,
de a hagyományos logika mobilkörnyezetben sokszor csődöt mond. Ennek egyik oka,
hogy a mobilfenyegetettségeket még most sem veszik komolyan az üzemeltetők, a
másik pedig az, hogy sokszor ők maguk sem értik a készülékek működését, így tüneti
kezelést alkalmaznak.
Mobilterminál
A NETI ezért csupán egy terminálszerver végpontjaként tekint az eszközre. A vállalati
alkalmazások és a mobilkészülékek közé beiktat egy úgynevezett platformszervert,
és a két fél csak ezen keresztül tud egymással kommunikálni. A telefonokra, táblagépekre
csak egy apró klienst telepítenek, amelynek nincs más dolga, mint a platformszerverhez
kapcsolódni. Innentől kezdve a készülékből csak a ki- és bemeneti eszközökre,
illetve a mobilkapcsolatra van szükség, az alkalmazás futtatása a távolban történik,
magyarázza a működés lényegét Szebellédy Balázs. Nem kell külön megírni az alkalmazásokat
az eltérő mobilplatformokra, csak a platformszervert kell felkészíteni az újabb
és újabb végkészülékekkel és operációs rendszereikkel való kommunikációra.
Egy hüvelykujjnyi pendrive is tartalmazhat annyi bizalmas adatot, ami rossz kezekbe
kerülve a csőd szélére juttathat egy vállalatot. „A legfrissebb adatvesztési statisztikák
és események jól mutatják, hogy a vállalatoknak nemcsak biztonságos USB-meghajtókra,
hanem azokhoz kapcsolódóan teljes körű, biztonságos vállalati stratégiára van
szükségük” – mondja Kaszál Norbert, a Kingston Technology Magyarországért és Szlovéniáért felelős üzletfejlesztési
menedzsere.
A nem biztonságos és felügyelet nélküli USB-meghajtók miatti adatvesztés már
rengeteg problémát okozott a szervezeteknek. A Kingston olyan megoldást mutat
be az ITBN-en, amelynek egyik részét a nagyvállalati célra fejlesztett, FIPS minősítésű
USB-kulcsok, a másikat pedig a központi felügyeletet és a bizalmas információk
magas szintű védelmét biztosító rendszer alkotja. (X)
