We value your privacy

We use cookies to enhance your browsing experience, serve personalized ads or content, and analyze our traffic. By clicking "Accept All", you consent to our use of cookies.

Customize Consent Preferences

We use cookies to help you navigate efficiently and perform certain functions. You will find detailed information about all cookies under each consent category below.

The cookies that are categorized as "Necessary" are stored on your browser as they are essential for enabling the basic functionalities of the site. ... 

Always Active

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

No cookies to display.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

No cookies to display.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

No cookies to display.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

No cookies to display.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

No cookies to display.

Kiberbiztonság – ha nincs képesítés, jöhet a gépesítés

by · Published · Updated

Az igazi kiberbiztonság az, ha arra készülünk, ami jön, nem pedig arra, ami legutóbb történt.”

Neil Rerup IT-biztonsági szakértő

A kibertámadások száma világszerte folyamatosan nő, a kiberbiztonsági szakemberek száma viszont nem tart lépést a fenyegetések erősödésével. Mit lehet tenni ilyenkor? A NetIQ szakértői szerint a leggyorsabb megoldás, ha gépi analitikával pótolják a hiányzó űrt.

Egy idei elemzés szerint nemzetközi szinten a vállalatok kétharmadánál hiányzik a megfelelő kiberbiztonsági szaktudás. Az ISACA jóslatai szerint 2019-re körülbelül kétmillióval kevesebb szakember lesz ezen a területen, mint amennyire szükség lenne. Ennek hatására megugrott az IT-biztonsági képzések kínálata, egyelőre azonban úgy tűnik, hogy a támadások száma még mindig gyorsabban nő, mint ahogyan a szervezetek védekezési képessége fejlődik.

A szakértői közösségekben természetesen keresik a megoldást az egyensúly javítására, illetve az utánpótlás bővítésére. Egyes kezdeményezések a nők szerepét kívánják növelni a területen, hiszen egy 2017-es jelentés szerint a kiberbiztonsági szakmában mindössze 11 százalék a nők aránya, ráadásul ez a szám 2013 óta változatlan. Ennek a törekvésnek a része többek között, hogy a jövő évtől az amerikai cserkészlányok különféle kiberbiztonsági próbák és feladatok teljesítéséért is szerezhetnek új jelvényeket.

Géped, uram, ha szolgád nincs!

Hosszú távon mindenképpen sokat számít az új szakértők képzése és bevonása, rövid távon azonban az is óriási előnyökkel jár, ha a vállalatok a biztonsági analitikát terjesztik ki a gyanús tevékenységek azonosításához. Az ilyen jellegű elemzési módszereket már évtizedek óta használják a pénzügyi iparágban a csalások azonosítására, a kiberbiztonságban azonban csak az utóbbi években kezdték el alkalmazni.

A biztonsági analitikának két fő területe van. A felhasználói viselkedés elemzése (User Behavior Analytics – UBA) során azokat a gyanús tevékenységeket keresik, amelyek a rosszindulatú felhasználókra, illetve a feltört fiókokkal visszaélő kiberbűnözőkre utalnak. A hálózati analitika (Network Analytics) segítségével pedig a kártevő szoftverekkel fertőzött hosztokat próbálják feltérképezni.

Ezek a biztonsági elemzések alkalmasak arra, hogy a „front line” elemzők számára jól hasznosítható és értelmezhető adatokat hozzanak létre belőlük. Ha az erőforrások hiánya okozza a kihívást, a technológiát kell arra utasítani, hogy biztosítsa a szakembereknek mindazt, ami a támadók megfékezéséhez szükséges.

Az analitikusokat gyakran elárasztják az értesítések, ami rengeteg időt és energiát emészt fel, és elvonhatja a figyelmet az igazán fontos történésekről. A NetIQ SIEM (biztonsági információ- és eseménykezelő) megoldásában, a Sentinelben ezért vezették be nemrégiben a Threat Response Dashboardot, amely képes csoportokba rendezni az értesítéseket státusz, illetékes személy vagy prioritás alapján. Az informatikai szakemberek így fontossági sorrend alapján kezelhetik a saját felelősségi körükbe tartozó eseményeket, mielőtt esetleg a kevésbé fontos incidensekkel kezdenének el foglalkozni.

Árulkodó nyomok felfedése

A SIEM technológiákkal integrált analitika ráadásul számos esetben megfelelő kiindulópontokat biztosíthat az elemzők számára, és a felderítési folyamatok során kiiktathat rengeteg, találgatáson alapuló munkát.

A naplóadatok például a legtöbb esetben tartalmazzák a „mit” és „hol” kérdésekre adható válaszokat, a „ki” azonban ritkán jelenik meg a felderítések során. Egy malware fertőzésnél viszont kritikus fontosságú, hogy tudjuk, mely felhasználó(k) van(nak) kitéve veszélynek. Az analitika segítségével sokkal egyszerűbben és gyorsabban megtalálhatók az adott eseményért felelős, pontosan beazonosítható felhasználók. Ha kiegészítik a biztonsági események információit a felhasználók és rendszergazdák egyedi személyazonossági adataival, az sokkal részletesebb betekintést nyújt abba, melyik felhasználó hol és mikor fért hozzá a rendszerhez.

A NetIQ megoldásai pontosan ezt teszik lehetővé: az Identity Manager személyazonosság-kezelő rendszer integrálható a SIEM megoldással, így az egyes tevékenységek hozzárendelhetők a felhasználókhoz. Ez fontos és jól használható adatokkal bővíti a rendelkezésre álló információk körét, nagyobb rálátást biztosít az infrastruktúrában zajló folyamatokra és tevékenységekre, és elősegíti a proaktív védekezést.

Az analitika egyéb módon is csökkentheti az elemzőkre nehezedő munkamennyiséget, így például a megfelelő kontextus biztosításával. Ha a fenyegetésekre vonatkozó információkat egyesítik egy adott biztonsági esemény adataival, és ezeket megfelelően vizualizálják is, az gyorsabb áttekintést kínál, továbbá olyan kapcsolatokra is rávilágíthat, amelyek elsőre nem tűnnek egyértelműnek. Mindez pedig felgyorsíthatja a válaszlépéseket egy támadás esetén.

Tags: