Az évtizedes IT-biztonsági megoldások hatékonysága folyamatosan romlik, eljutottunk oda, hogy a szigetszerűen működő tűzfalak, antivírus eszközök egy-egy szofisztikált támadásnak már képtelenek önmagukban ellenállni. A bűnszervezetek által pénzelt hackerek jellemzően digitális pénzre utaznak, jelszóhalász támadásokkal sok százezer e-mailcímen keresztül kutatják fel áldozataikat. A statisztika az ő oldalukon áll – ekkora merítésből óhatatlanul is találnak olyanokat, akiknek megszerzett jelszava nem csupán postafiókjához lesz jó, hanem akár sokkal kritikusabb (vállalati) rendszerekhez is hozzáférést biztosít.

Ki jár előbbre egy lépéssel?

Sajnos ma már nem az a kérdés, hogy ki, hanem hogy mikor lesz valaki áldozat. Csendes Balázs, az IBM Security Systems Biztonsági Intelligencia részlegének közép-európai vezetője szerint évente nagyjából duplázódik a támadások száma és az okozott kár mennyisége. Elengedhetetlen tehát az olyan, IT-biztonságban járatos cégek segítsége, mint az Inter-Computer-Informatika Zrt. Hiszen az esetenként akár több tízmilliós veszteséget is okozó biztonsági incidensek a titkosszolgálatok számára is nehezen hozzáférhető dark weben szerveződnek. Már annyira specializálódtak, hogy akár hibátlan nyelvi változatokkal azokat a nemzeteket is sikeresen támadják, melyek eddig bízhattak kicsinységük „védelmében” – a gépi fordítással küldött phishing próbálkozások ideje lejárt.

A támadók a legkisebb erőbefektetéssel megtámadható célpontokat keresik. Megszereznek egy felhasználói fiókot, ennek segítségével jutnak be egy-egy rendszerbe. Ezt követően felmérik a cégeken belül levő értékes célpontokat, majd összegyűjtik az adatokat, és végül kijuttatják a védett(nek hitt) környezetből. Csendes Balázs szerint egy komolyabb támadást a cégek többsége csak hónapokkal később veszi észre. A felismerést követően a „takarítás” pedig akár további hónapokig is eltarthat, még a leginkább biztonságosnak gondolt pénzintézetek esetében is.

Információkoncentráció

Szerencsére van megoldás a problémára: ez az IBM Premier Business Partnere, az Inter-Computer- Informatika Zrt. által is ajánlott Biztonsági Intelligencia. A különböző IT-védelmi rendszerek által előállított, emberi erővel átláthatatlan mennyiségű információ egyetlen, központi helyen történő, algoritmizált feldolgozása védheti megbízhatóan és hatékonyan az IT-biztonsági rendszereket.

A siker kulcsa az értékelési és riasztási rendszer kialakításában rejlik. A hétköznapi logelemző rendszerek továbbfejlesztéséből született SIEM (Security and Event Management) megoldásokat is meghaladó képességekkel bír az IBM QRadar, mely önállóan képes felmérni egy-egy incidens kritikusságát. Többek között olyan tényezőket vesz figyelembe ennek során, mint a hálózati komponensek sérülékenységei, a munkaállomások aktuális hálózati viselkedése, vagy a tűzfalak, behatolásérzékelők, vírusvédelmi eszközök naplóinak adatai.

Ezek kiértékelésével dönt az emberi beavatkozás szükségességéről – napi szinten jellemzően legfeljebb pár darab riasztás születik, amik azonban azonnali intézkedést igényelnek. Képes különbséget tenni egy, a szükséges patch-ekkel ellátott szerver elleni – várhatóan sikertelen – támadás és egy munkaállomás által eddig nem látogatott IP/FTP-cím között felpörgő adatforgalom között. Míg az előbbivel kapcsolatban csak szükségtelen zajt generálna egy riasztás, az utóbbi incidens nagy bizonyossággal adatszivárgást jelez.

Központi agy, emberi támogatással

Az IBM QRadar valós időben képes akciótervet készíteni a kritikus feladatokról. Passzív megoldásról van szó, mely nem állítja le a támadást, hanem azt határozza meg, hol kell beavatkozni. Központi konzolból felügyelhető Biztonsági Intelligenciájának köszönhetően a modern biztonsági műveleti központ (Security Operations Center, SOC) alapja.

Az Inter-Computer-Informatika Zrt. révén elérhető megoldás magáénak tudhatja az IBM X-Force biztonsági kutatólaboratóriumának támogatását. A több mint 270 millió végpontból származó mintavételezés révén folyamatosan beáramló információk szinte valós időben kerülnek kiértékelésre, így egy-egy új típusú támadásról alig néhány óra alatt elkészülhet az azt leíró mintázat, melyet az ügyfelek automatikusan használatba is vehetnek.

További előnye, hogy az IBM QRadar használatának elsajátítása nem igényel extrém mély biztonsági ismereteket. A Biztonsági Intelligencia megfelelő üzemeltetéséhez az IBM három tanfolyam során gyakorlatilag bárkit fel tud készíteni, aki rendelkezik releváns hálózati ismeretekkel. Egyszerre kínál tehát megoldást az IT-szektor két kihívására: a magas szintű tudással bíró emberi erőforrás szűkösségére és a kifinomult, folyamatosan változó támadások megbízható kivédésére.