Napjaink folyton megújuló információbiztonsági fenyegetettségeivel nagyon nehéz tartani a lépést, különösen olyan módon, hogy az azokra való reagálás időben megtörténhessen. Ezért egyre inkább felértékelődik a korai riasztórendszerek szerepe.

Rendszeresen olvashatunk olyan fenyegetettségekről, amelyek kockázatot jelentenek a hálózatokra, a számítógépekre és a mobil eszközökre. Ugyanakkor ezek a veszélyforrások csak a jéghegy csúcsát jelentik, hiszen évente több millió kártékony kód, több ezer sérülékenység, és megannyi új vagy továbbfejlesztett támadási módszer jelenik meg. Ahhoz, hogy ezek megfelelő módon és kellő időben legyenek kezelhetők, sok információra van szükség, amik beszerzése korántsem egyszerű feladat.

Egy vállalat informatikai vagy biztonsági csapata dönthet úgy, hogy saját erőből próbálja biztosítani azt, hogy jól informált legyen a fenyegetettségek vonatkozásában. A szakemberek feliratkozhatnak egyes gyártók biztonsági hírleveleire, böngészhetik az internetes fórumokat stb. Ez azonban nem lesz elégséges ahhoz, hogy a védelem valóban megalapozott és naprakész információkra épüljön. Egyrészt a reagálási folyamatokhoz későn vagy hiányosan érkezhetnek meg az információk, másrészt azok elemzése kellő emberi erőforrás hiányában nem fog hatékonyan megtörténni. Mindez pedig ahhoz vezet, hogy a kockázatok nem lesznek megfelelően priorizálhatók és kezelhetők.

Van megoldás!

Amikor egy vállalat vagy intézmény rádöbben arra, hogy a biztonsági információk áradatával, vagy éppen annak hiányával már nem tud mit kezdeni – és ezáltal súlyosan veszélyezteti a rendszereinek épségét –, akkor nem halogathatja tovább azon technológiák és szolgáltatások bevezetését, amik a korai riasztások, illetve a védelmi intelligencia területére vezetnek.

A korai riasztórendszerek célja, hogy a védelmi információk – általában globális szintű – gyűjtésével, elemzésével és összekapcsolásával elősegítsék az incidensek megelőzését vagy az azokra adandó válaszreakciók meghozatalát. Ezáltal egy olyan jellegű információforrást biztosítanak, amely a védelem több szintjén szerephez juthat.

Milyen egy jó korai riasztó?

A korai riasztásokat biztosító megoldások mögött az esetek többségében nagyon kiterjedt infrastruktúrák dolgoznak. Az ilyen szolgáltatásokat biztosító cégek zöme különálló adatközpontok révén gyűjti a különféle termékeiből, szenzoraiból, monitorozó hálózataiból származó adatokat, amit nagy kapacitást igénylő feldolgozás követ. E művelet nem kizárólag a fenyegetettségek önálló elemzésére terjed ki, hanem az azok közötti kapcsolatok feltérképezésére, a leginkább érintett, potenciális szektorok (célpontok) megállapítására és a szükséges védelmi teendők meghatározására is. Emellett nélkülözhetetlen az ezerszámra érkező fenyegetettségek veszélyességi kategóriákba történő besorolása, és azok priorizálása. Amennyiben ezeknek a szempontoknak egy riasztórendszer megfelel, az komoly segítséget jelenthet a szervezeteknek.

A legjobb korai riasztók további sajátossága, hogy azok nem kizárólag a szoftveres és a hardveres sebezhetőségekre terjednek ki, hanem a kártékony programokra, sőt akár az APT (Advanced Persistent Threat ) típusú fenyegetettségekre is. Vagyis a védelmi információkat több biztonsági terület lefedésével biztosítják.

Az évek során a korai riasztást biztosító technológiák sokat fejlődtek, és némely gyártó már egész komoly kiegészítő szolgáltatásokat nyújt. Így például fontos szempont lehet a választás során, hogy az adott szolgáltatás mennyiben támogatja a megfelelőségi követelményeket, illetve az auditok lefolytatását.

Természetesen a korai riasztórendszerek esetében is lényeges szempont, hogy azok milyen módon szabhatók testre, milyen gyors reagálást biztosítanak, illetve hogyan integrálhatók az adott szervezet védelmi infrastruktúrájához. Nyilván célszerű arra törekedni, hogy a riasztások feldolgozása és kezelése lehetőleg automatizált legyen. Persze a manuális beavatkozások teljesen nem küszöbölhetők ki, hiszen például egy sérülékenység felfedezésekor a patch managementhez kialakított folyamatokat nem lehet egy csapásra felülírni, és ezzel veszélyeztetni a rendelkezésre állást. Ugyanakkor a figyelem azonnal ráirányulhat a legjelentősebb és leggyorsabb megoldást megkövetelő problémákra.

Összefogás nélkül nem megy

A biztonsági cégek többsége már felismerte, hogy vannak olyan esetek, amikor célszerű összefogni a riválisokkal. Az elmúlt év során több szerveződés, kezdeményezés indult, amelyek mind azt a célt szolgálták, hogy a védelmi információk megosztása minél hatékonyabbá váljon. Az egyik ilyen szövetség a Fortinet és a Palo Alto Networks közös kezdeményezése, a CTA (Cyber Threat Alliance), amely a biztonsági vállalatokat igyekszik összefogni. A szövetséghez az Intel Security és a Symantec is csatlakozott.

Emellett azonban iparági mozgolódások is megfigyelhetők. A Target adatvédelmi incidensét követően például az amerikai kereskedelmi cégek tavaly létrehozták a biztonsági információk megosztását ellátó R-CISC (Retail Cyber Intelligence Sharing Center) központot. Ugyancsak ezeknek a kezdeményezéseknek a sorába illeszkedik a Microsoft idén februárban bejelentett keretrendszere, amely a redmondiak várakozása szerint "szabványosítaná" és hatékonyabbá tenné az információcserét.

Ha ezek a trendek folytatódnak, akkor a közeljövőben további hasonló kezdeményezésekkel fogunk találkozni, amelyek végső soron a cégek, a szervezetek és a felhasználók nagyobb fokú biztonságát szolgálják majd.

A szerző a Biztonságportál főszerkesztője.