A kontrollalapú eszközöknek továbbra is van helye az IT biztonsági rendszerben, de azokat egy ponton túl fájdalmas és nehéz használni, mert akadályokat képeznek az üzleti folyamatokban – mondta Scheidler Balázs, a közelmúltban 8 millió dollár kockázati tőkeinjekciót kapó BalaBit fejlesztési vezetője a Biztonságportálnak adott interjújában. (A teljes interjút egy kattintásnyira olvashatják.)

Scheidler szerint az IT-biztonsági szemléletben is be kell vezetni az agilitást, azaz le kell számolni az olyan biztonsági intézkedésekkel, amelyek nem tartanak egyensúlyt az üzletet szükségleti és a potenciális biztonsági incidens okozta károk között. Ez azonban nem merülhet ki a kockázatelemzésben, hanem olyan rendszert kell kialakítani, amiben a rugalmas szabályok merev szabályzat-végrehajtással párosulnak.

Ez a gyakorlatban azt jelenti, hogy kevesebb a kontroll, így a felhasználók gyorsabban végezhetik a mindennapi munkájukat, nem kell minden rendszerhez külön engedély. Azt kell figyelni, hogy van-e valami szokatlan a felhasználó magatartásában, és ha igen, akkor a monitorozó rendszer azonnal jelezi, és be lehet avatkozni.

Csak jól kell adaptálni, amit máshol bevált

A szakember hangsúlyozta, a viselkedéselemzésen alapuló technológiák ma már nem különlegesek, számos helyen alkalmazzák, például az elektronikus kereskedelemben és a biztonságtechnikában is.  A Gmailtől például telefonos értesítést kaphatunk, ha szokatlan helyről jelentkezünk be a fiókunkba, de a bankok is figyelik, hogy van-e szokatlan a kártyabirtokos tevékenységében (például egy órán belül Budaepsten és New Yorkban használják ugyanazt a kártyát.

Persze ez sem ad száz százalékos védelmet. "Nem vagyunk képesek 100 százalékos biztonságot garantálni, de nem is ez az elsődleges cél, hanem a tévedések számának a minimalizálása" – mondta Scheidler.

A viselkedéselemzésnek ma már komoly gyakorlata van, amit a biztonság növelésére is fel lehet használni. Az Amazon is ilyen algoritmusok alapján ajánl nekünk karácsonyi ajándékokat – hoz példát az e-kereskedelem területről a szakember. De szerinte az igazán érdekes az, hogy ezeket a más területeken már használt algoritmusokat milyen adathalmazokra alkalmazzák, és hogy milyen módon pontosíthatók a kapott eredmények (a big data IT-biztonsági alkalmazásáról itt olvashatnak). A BalaBit ehhez fel is állított egy data scientist csapatot a Blindspotter fejlesztéséhez. (A termék premierjéről egy kattintásnyira írtunk bővebben.)

A biztonság terén azonban ez a megközelítés – a BalaBit saját terminológiájában az electronic Contextual Security Intelligence (eCSI) – nem jelenti azt, hogy teljes mértékben hátat fordítanának az ellenőrző rendszerekre épülő IT-biztonságnak, hanem inkább úgy kell elképzelni, hogy azok módszertanait értelmezi újra. Az újraértelmezés egyik sarokpontja, hogy a korlátozások helyett a felhasználó kerül a középpontba, és a szabályok betartását – ebben merevnek kell lenni – folyamatos monitorozással és algoritmusokkal kényszeríti ki.

Bármilyen eszközt meg lehet figyelni

Scheidler szerint ebben a megközelítésben a BYOD (Bring Your Own Device) okozta biztonsági problémák is egyszerűbben kezelhetők. Minden eszköz – mobiltelefon, tablet, notebook vagy desktop – ugyanis csak egy hozzáférési pont, amit az azonosítói révén a felhasználóhoz lehet kötni. Így gyakorlatilag nincs jelentősége, hogy milyen típusú eszközt használ valaki a munkájához.

A teljes interjút a Biztonságportálon olvashatják.