Big data szakértővé képzik az IT-biztonsági szakértőket? Ha nem is erről van szó, de az adatelemzés felértékelődik az új szemléletű IT-biztonsági megoldásokban – állítja alábbi írásában Kiss Attila, a Balabit International komunikációs vezetője, aki tevőleges részese volt a cég új terméke, a BlindSpotter fejlesztésének.

Az informatika minden jel szerint elérkezett egy olyan érettségi szintre, amikor megszűnik önmagában érdekesnek lenni, és az egyetlen elismert célja a társadalmi hasznosság lesz. Egyre kevésbé számít tudományos-cirkuszi attrakciónak, egyre több ember használja készég szinten, és egyre kevésbé nézik el neki a gyerekbetegségeit.

Kis késéssel, de ez a jövő vár az informatikai biztonságra is. Egyszerűen használható, mindenki számára érthetően működő informatikai-biztonsági rendszerekre van szükség, amelyek használatához nincs szükség IT mérnökökre. Ez a világ rendje, hiszen az autókat sem gépészmérnökök vezetik, és a biztonsági monitorokat sem villamosmérnökök figyelik napi 24 órában.

A biztonságtechnika két útja

Újra fel kell találnunk tehát az informatikai biztonságot az alapoktól építkezve. Kezdjük azzal a közismert ténnyel, hogy két alapvető út létezik, ha biztonságtechnikáról beszélünk. Az első a passzív eszközök építése, amelynek legősibb példái a falak és rácsok. A falak építése nem igényel bonyolult technológiát, ahogy az üzemeltetésükhöz sincs szükség különösebb mennyiségű szürkeállományra. Ha jól működnének, nem is lenne probléma az informatikai biztonsággal.

De nem működnek jól. A falak ugyanis azokat is akadályozzák, akiket nem kellene, miközben közel sem nyújtanak megfelelő szintű biztonságot. A biztonság ugyanis elsősorban arról szól, hogy tudjuk, mi történik, és van lehetőségünk beavatkozni. Nem véletlen, hogy a várfalakon mindig voltak őrök, azokon belül pedig fegyveresek. Egy üres vár könnyű préda, akármilyen vastagok és magasak is a falak.

A második út tehát a megfigyelés és szükség esetén a beavatkozás.

A való világban a társadalmak e két út egy jól kiegyensúlyozott kombinációját alkalmazzák. Gondoljunk csak bele, hogy ugyan az ékszereinket elzárva tartjuk, a kertünket már nem vesszük körül elektromos kerítéssel vagy áthatolhatatlan betonfallal. Inkább bekamerázzuk a házat, és a riasztót bekötjük a rendőrségre. Mondjuk ki bátran: pontosan azért van válságban az IT-biztonság, mert szinte kizárólag passzív kontrolleszközökkel operál, és nem képes valós időben látni, hogy mi történik a hálózaton.

Sokasodnak a zavaró tényezők

Az IT biztonsági szakembereknek ettől függetlenül is számos informatikai trend okoz kínzó fejfájást. A legfontosabb talán az outsourcing, amelynek keretében a szerverek külső üzemeltetőkhöz kerülnek, vagy átveszi a szerepüket egy cloud alkalmazás. Ilyenkor a szervereket üzemeltető rendszergazdák nagy része is kikerül a szervezetből.

És ha ez még nem lenne elég, a vállalat vezetői gátlástalanul használják a privát mobil kütyüiket a legérzékenyebb adatok eléréséhez. És ők csak a kezdet! Hiszen mindenki szívesen dolgozna a saját eszközéről otthonról vagy a repülőtérről, de gyakran még az irodában is elővennék a tabletjüket egy meetingen.

Mi marad így a megvédendő vállalati hálózatból szerverek, rendszergazdák és asztali gépek nélkül? Kizárólag felhasználók és adatok. És a bajok sorának még itt sincs vége!

A szervezeteknek ugyanis egyre ellentmondásosabb elvárásaik vannak a biztonsággal kapcsolatban. Egyik nap sokallják a kontrollt, és több rugalmasságot kérnek a nagyra törő terveik megvalósításához. Másnap viszont számon kérik az elégtelen biztonsági szintet. És még csak nem is hibáztathatjuk őket, hiszen az új technológiák és üzleti modellek gyors adaptációja kulcsfontosságú a versenyképesség szempontjából, mint ahogy ezek sérülékenysége az egyik legjelentősebb üzleti kockázat is egyben. Kemény dió! Szerencsére van megoldás.

Ismerd meg az ellenségedet!

Mielőtt azonban lelőnénk a poént, tegyünk egy kis kitérőt, és ismerjük meg az ellenségünket! Először is szembe kell néznünk a ténnyel, hogy manapság a másik oldalon olyan egyének állnak, akik rendelkeznek megfelelő tudással, motivációval, anyagi erőforrásokkal és idővel, hogy megmásszák az őrizetlenül álló falakat, és ellopják az adatainkat.

Lássunk néhány egyszerű példát! Vajon hányszor fordul elő naponta a világban, hogy egy értékesítő munkahelyet vált, és nem viszi magával az összes ügyféladatot? Vajon mennyi időbe telik betörni egy nagyobb vállalathoz, ahol az alkalmazottak 78 százaléka megnézni, mi van a pendrive-on, amit az irodaház előtt promóciós céllal osztogat két hosztesz? Az a szintén teljesen átlagos vállalat is érdekes eset, ahol az alkalmazottak 44 százaléka a céges jelszavát használja webes regisztrációkhoz. És ez csak a jéghegy csúcsa.

Ma még megtehetjük, hogy félrenézünk. Ma még elnézik nekünk a tényt, hogy ha valaki egy kicsit is akarja az adatunkat, akkor a milliókért felépített és üzemeltetett rendszereink, amelyek egyébként naponta akadályozzák a kollégáinkat a munkában, semmit nem érnek. A világ azonban változik. Aki jól érzi magát a langyos vízben, amiben ül, az ne is olvasson tovább, mert bár van megoldás, az nem egy újabb csoda kütyü, amit bedugunk és minden rendben lesz.

Új nézőpont kell!

A megoldás az, hogy az IT biztonsági osztályoknak egyre inkább örző-védő szakemberekként kell gondolkodniuk és egyre kevésbé informatikai mérnökként. Még az is előfordulhat, hogy a fizikai biztonságot és az informatikait egy osztályba kell szervezni.

Informatikai biztonsági őrökre van szükség, akik lankadatlanul figyelnek, a gyanús eseteket közelebbről is szemügyre veszik, és ha kell, azonnal beavatkoznak. Ezeknek a felelős szakembereknek az első elvárásuk az lesz, hogy valós időben szeretnék látni, mi történik a hálózaton. Ők nem fognak megelégedni havi compliance riportokkal. Nekik nem lesz elég, hogy unatkozó tinédzserek által használt 123 közismert támadásmintát felismer a rendszer. Ők mindent tudni akarnak, és majd eldöntik, hogy mi az, amivel foglalkoznak.

És ha ezt megkapták, akkor sokkal kevesebb falra lesz szükség. A belső felhasználóknak pedig elég lesz egy írott szabályzat a megfelelő szankciókkal, hogy ne kövessenek el csúnya dolgokat.

A mindent látó szemeké a jövő

A jövőben tehát a megfigyelés felértékelődik, egyúttal utólagos elemző eszközből a prevenció legfontosabb kellékévé válik. Ahhoz, hogy ez megvalósulhasson, a monitoring eszközöknek is fel kell nőniük a feladathoz. A sok adat ugyanis, amit a monitoring során összegyűjtünk, még nem egyenlő a tudással.

Ahhoz, hogy a kettő közelítsen egymáshoz, a monitoring eszközöknek a lényeget kell megmutatniuk. A fontos momentumokat. A szokatlan, gyanús és kockázatos eseményeket. A biztonsági őrök tudják: ha a felmondás előtt álló takarító, aki eddig kis táskával járt munkába, az utolsó napján egy hatalmasra tömött hátizsákkal készül távozni, az gyanús. Azt is tudják, hogy ha a pénzügyes kolléganő kártyájával éjszaka egy szakállas férfi próbál belépni a céghez, az több mint gyanús. Valami ilyesmit kell nyújtania a jövő monitoring rendszereinek is.

A biztonság mint big data probléma

Kiss Attila
kommunikációs vezető,
Balabit International

Képzeljünk el egy eszközt, ami big data elemzéssel egyéni és szegmensprofilokat építve feltérképezi, hogy mi a megszokott tevékenysége a felhasználóknak egyénileg vagy valamely szervezeti funkció részeként, de figyel a beosztásra, életkorra vagy például az alkalmazott nemére is.

Ráadásul egy a szociális hálózatokhoz hasonló elemzés segítségével az is kideríthető, hogy a kollégák kikkel és milyen adatokkal szoktak közvetlenül vagy közvetve együtt dolgozni. Az az információ is rendelkezésre áll, hogy ki mióta áll alkalmazásban a cégnél, milyen asztali gépe van, és mi a gépkocsijának a rendszáma.

Mindezen adatok figyelembevételével a magatartáselemző rendszer képes kockázatelemzést végezni, és kérdés nélkül rámutatni azokra az eseményekre, amiknek érdemes jobban utánanézni.

Természetesen ezek csak az alapelvek. A megoldáshoz számos technikai részletet kell kidolgozni. Egy sor folyamatot például automatizálni kell, hogy az emberi tévedést, például a szubjektív döntéseket a lehető legjobban ki lehessen küszöbölni. Meg kell oldani, hogy a döntések az eseményekhez közel kerüljenek, és akkor még az eltérő adatforrások és az erőforrás-szükséglet problémájáról nem is beszéltünk. Amellett, hogy elképzeltünk egy ilyen rendszert, közel egy éve dolgozunk azon, hogy a technikai aprómunkát is elvégezzük.