Több adat, nagyobb vizibilitás, nagyobb biztonság!

2018.11.21

Egy biztonsági szolgáltatóközpont nagyon sok terhet le tud venni az ügyfél válláról. Azt azonban nem szabad hinni, hogy elég megrendelni a szolgáltatást, és onnantól kezdve hátra lehet dőlni.

Óriási piaci igényeket elégítenek ki a biztonsági szolgáltatóközpontok (security operations center, SOC). A vállalatokat, szervezeteket egyre több és egyre kifinomultabb támadás fenyegeti, miközben az ezek elhárításához értő szakemberekből nagyobb hiány van, mint valaha. Egy SOC – mint például a CTRL, a T-Systems Magyarország hazánkban úttörőnek számító központja – ezen segít: begyűjti az ügyfél rendszereiből az IT biztonsági események kimutatására alkalmas adatokat, azokat kiértékeli, korrelálja, és ha incidensre utaló jelet észlel, a SOC munkatársai értesítik, riasztják az ügyfelet. (Alapesetben az incidensek elhárítása, az ügyfél szakembereinek feladata.)

„Már ebből is kiderül, hogy a SOC szolgáltatásait nem úgy kell értelmezni, mint az internetelérést, amit csak megrendelek, bekötik, és utána használom”, árnyalja a képet Komli József, a CTRL SOC vezetője. A szolgáltatás beszerzése még csak egy kezdet, az út eleje. Ez azt jelenti, hogy az ügyfél elindul egy úton, ahol rövid távon is már magasabb biztonsági szintre kerül vállalata, de minél tovább halad, annál magasabb fokú védettséget élvez.

Ehhez viszont az ő folyamatos együttműködésére is szükség lesz. A szolgáltatásnak van egy bevezető szakasza, amelynek során felmérik az ügyfél meglévő rendszereit, folyamatait és kockázatait, és ezek mentén kialakítják az ügyfél számára legmegfelelőbb védelmi forgatókönyveket. A szolgáltatás bevezetése során a rendszerek működését mérik fel, és állítják be azokat a határétékeket, melyek elválasztják a legitim, normális működést az incidensekre utaló jelektől. Csak ezen információk birtokában lehet kialakítani olyan hatékony incidenskezelési rendszert, amely az ügyfél számára is kezelhető mennyiségű riasztást generál, hogy az ügyfélnek valóban csak a releváns, kockázatos eseményekre kelljen fókuszálni.

Nyilvánvaló, hogy minél nagyobb vizibilitást - releváns adatot - kap a SOC a rendszereket illetően, annál nagyobb hatékonysággal tudja majd azonosítani a biztonsági incidenseket. Adott esetben, ha csak a tűzfalak naplóállományaiból dolgoznak, akkor csak annyi beazonosítható, hogy egy gép a belső hálózatról sorozatosan próbálkozik kifelé irányuló kommunikációs kérésekkel, melyet a tűzfal megtagad. Ha rendelkezésre állnak a konfigurációs adatbázis (CMDB) adatok, az is kiderül, hogy az adott gép egy felhasználói munkaállomás vagy a vállalati weboldalt kiszolgáló szerver. Ha hozzáférnek olyan adatokhoz is melyek leírják, hogy az adott gépen milyen folyamatok futnak, akkor meg tudják mondani, hogy az adott kommunikáció azért van, mert egy szoftver frissíteni próbálja magát vagy éppen azért mert egy botnet kommunikációs próbálkozást fedeztek fel. „Ügyfeleink eltérő mélységben biztosítják számunkra a rálátást, pedig a incidensek detektálása nagyságrendekkel tud nőni, illetve a beavatkozás is sokkal könnyebbé és gyorsabbá válik a teljes kép ismeretében. Minél több adat áll rendelkezésre, annál hatékonyabb és pontosabb a SOC munkája és ami még fontosabb, annál nagyobb biztonságban vannak az ügyfél rendszerei”, mondja Komli József, hozzátéve, hogy a vállalat erős implementációs csapata az esetleges rendszerfejlesztési igényeket is könnyen, gyorsan meg tudja valósítani.