We value your privacy

We use cookies to enhance your browsing experience, serve personalized ads or content, and analyze our traffic. By clicking "Accept All", you consent to our use of cookies.

Customize Consent Preferences

We use cookies to help you navigate efficiently and perform certain functions. You will find detailed information about all cookies under each consent category below.

The cookies that are categorized as "Necessary" are stored on your browser as they are essential for enabling the basic functionalities of the site. ... 

Always Active

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

No cookies to display.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

No cookies to display.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

No cookies to display.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

No cookies to display.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

No cookies to display.

Kibervédelem egykor és ma

by · Published · Updated

light bulbs sketched on chalkboard Many small ideas make a big one

A gépek forradalma

A jó hírnév felépítése húsz évbe telik, és elég egy néhány perces kiberbiztonsági incidens, hogy lerombolja.”

Stéphane Nappo, francia kiberbiztonsági szakember

A kétezres évek elején még főként vírusokkal és trójai programokkal támadták a vállalatokat a kiberbűnözők, de folyamatosan szélesedő repertoárjukban egyre szofisztikáltabb módszerek jelentek meg, köztük például az adathalászat. Ezért az informatikai rendszerek védelméről gondoskodó eszközöknek is lépést kellett tartaniuk a változásokkal. Így lett húsz év alatt a különálló elemző és monitorozó szoftverekből átfogó megoldás, amelyet ma már gépi tanulási képességek is támogatnak, hogy minden gyanús tevékenységre azonnal fény derüljön. A Micro Focus szakértői most bemutatják ezeknek az eszközöknek a teljes evolúcióját.

A biztonsági információ- és eseménykezelő (Security Information and Event Management – SIEM) rendszerek régóta velünk vannak, és gondoskodnak a vállalati adatok és erőforrások védelméről. Mivel mindig új fenyegetések és támadási módszerek jelennek meg az egyszerűbb vírusoktól kezdve a túlterheléses támadásokon és a jelszavak feltörésén át az adathalász-kísérletekig, illetve a belső fenyegetésekig, a védelmi megoldásoknak is muszáj velük együtt fejlődniük.

SIM és SEM, az „ősök”

A SIEM kifejezést először 2005-ben használta a Gartner. Előtte, a kétezres évek elején külön működtek a biztonsági információkezelő (Security Information Management) és biztonsági eseménykezelő (Security Event Management) rendszerek. Az előbbiek a naplómenedzsment-szoftverek képességeire építve nem csupán gyűjtötték és tárolták az egyes eszközök naplóinak adatait, de a hosszú távú megőrzésre is alkalmasak voltak, illetve elemezni is tudták az adatokat, és jelentéseket készíteni belőle, összegezve a biztonsági fenyegetésekre és eseményekre vonatkozó információkat. A SEM megoldások pedig valós időben monitorozták az eseményeket, szükség esetén riasztásokat küldtek, és rávilágítottak bizonyos összefüggésekre az egyes incidensek között.

Amikor ezt a két megoldást elkezdték integrálni a szoftvergyártók, azzal nagyobb kontrollt adtak az IT-biztonsági szakemberek kezébe, illetve jobb rálátást biztosítottak a különféle eseményekre. Az így létrejött rendszereket azonban egy idő után nem lehetett megfelelően skálázni, ami korlátozta a működésüket.

Túl sok adat

A 2010-es évek elejére megnőtt a SIEM rendszerek kapacitása, és akár már 20 ezer eseményt is képesek voltak elemezni másodpercenként. Egy idő után pont ez lett a hátulütőjük. A rendszerek nagy teljesítménye arra ösztönözte a szakembereket, hogy minden információt betápláljanak az összes rendelkezésre álló forrásból. Így viszont a túl sok adat elemzése után a végeredmény is túl sok információból állt. Míg tehát az első SIEM-megoldások rálátást kínáltak a szakértők számára az infrastruktúrában zajló, addig láthatatlan folyamatokra, a későbbi, fejlettebb eszközök pont ezt a tisztán látást vették el a temérdek adattal. A szakértők munkáját valamelyest segítette, hogy a rendszerekben meghatározhattak szabályokat, amelyekben körülírták, mi számít veszélyes jelenségnek és tevékenységnek, és ezekről riasztásokat kérhettek. Így azonnal tudtak foglalkozni a sürgős esetekkel. A folyamatosan átalakuló környezetben és a gyorsan változó fenyegetések mellett ez azonban már nem volt elég.

A következő lépcső: viselkedéselemzés

Az elmúlt néhány évben az előzetesen konfigurált értesítések helyett egyre nagyobb szükség lett a kockázatalapú megközelítésre. Erre nyújt lehetőséget a viselkedéselemzés (User and Entity Behavior Analytics – UEBA), amellyel előre meghatározható, milyen viselkedés számít általánosnak és természetesnek a cég infrastruktúráján belül tevékenykedő felhasználók és eszközök esetében. A rendszer pedig csak arról küld riasztást, ami ettől eltér. Akadtak olyanok, akik azt gondolták, ezek a megoldások teljes egészében le fogják váltani a biztonsági információ- és eseménykezelő rendszereket. Számos olyan eset van azonban, amely hagyományos SIEM-megoldással jobban kezelhető. Az ideális tehát az, amikor a két technológia kiegészíti egymást.

Akcióban az okos SIEM

A Micro Focus szakértői szerint is egyesíteni kell a SIEM és az UEBA előnyeit, ezért vásárolta fel egy éve a Micro Focus az Interset vállalatot, amely gépi tanulást is alkalmazó UEBA-megoldást fejlesztett ki. Az eszköz képes felügyelet nélküli gépi tanulást alkalmazva magától elemezni és megállapítani, milyen aktivitások számítanak megszokottnak a felhasználóknál, és melyek adnak okot gyanúra. Ilyen lehet például, ha egy munkatárs olyan, érzékeny információkat tartalmazó dokumentumokat nézeget, amelyekre nincs szükség a mindennapi munkájához, vagy nagy mennyiségű céges anyagot küld át a privát e-mail címére. Az Interset funkcióival kiegészítve a Micro Focus SIEM megoldása, az ArcSight minimális számú fals pozitív találatot ad, így a legmodernebb, „okos SIEM”-képességeknek köszönhetően a biztonsági szakembereknek csak azokkal az esetekkel kell foglalkozniuk, amelyek valóban figyelmet érdemelnek. Az eszköz ráadásul nem csupán a fenyegetések felderítését automatizálja, de a válaszreakciókat is. A Micro Focus legutóbbi felvásárlásának köszönhetően olyan képességek is elérhetők az ArcSightban, amelyek révén az képes magától megtenni a szükséges lépéseket egy incidens esetén. Például a feltört fiókokat automatikusan zárolja, SMS-ben értesíti a felhasználót, és új jelszót is generál.

Tags: