Eddig főleg adatközpontok, middleware-ek, felhős rendszerek összefüggésében beszéltek róla, most egy amerikai startup a vállalati biztonság kulcselemévé tenné a hangszerelés (orchestration) fogalmát.

Egy kaliforniai startup, a Cyber Phantom most szerzett 6,5 millió dollárt egy olyan rendszer fejlesztésére, amely a különböző gyártóktól származó eszközök tevékenységét hangolja össze, és teszi a védelmi rendszer működését automatikussá. Azaz a Cyber Phantom nem egy új védelmi eszközt akar készíteni, hanem a meglévő eszközök hangszerelését biztosítaná.

Egyedi megoldások helyett szabványos integráció

Ha például egy eszköz érzékel egy malware-t, a Cyber Phantom gondoskodik arról, hogy a kódot eljuttassa egy másik gyártó elemző szoftverébe, amely megállapítja, hogy ki mállhat a támadás mögött, de addig is lefuttat egy ellenőrzést egy harmadik gyártó szoftverével, amely karanténba helyezi az esetlegesen fertőzött fájlokat.

Ezt a tevékenységet nevezi a Cyber Phantom hangszerelésnek, avagy orchestrationnek. A cég szerint a hangszerelési platformja a legtöbb nagy gyártó eszközeivel képes együttműködni.

A befektető cég egyik vezetője szerint egy ilyen rendszer előnye könnyen belátható. Ha egy vállalat belső erőforrásokból akarja megoldani a biztonsági rendszere különböző gyártóktól származó elemeinek az összehangolását, akkor nem az ún. vendor-lock-in fog számára problémákat okozni, hanem az, hogy kiszolgáltatott az összehangolást végző alkalmazottaknak – és épp egy olyan kényes területen, mint a biztonság. Ha ugyanis ezek a szakemberek elmennek a cégtől, ott áll egy olyan házilag összedrótozott valamivel, aminek a kigobozása igencsak munkaigényes és költséges lesz.

Akciók forgatókönyv alapján

A hangszerelési keretrendszer ún. playbookok alapján működik. Ezek olyan magas szintű Python szkriptek, amelyek a biztonsági műveleteket rögzítik egy terv formájában. Ha bekövetkezik egy esemény – a védelmi rendszer egyik eleme talál egy malware-t –, a Phantom ezek alapján lép működésbe, és hajtja végre automatikusan a tervben rögzített lépéseket.

Így bánik el egy malware-rel a Phantom

A termékek integrációját ún. appok segítik, melyeket a Phantom biztosít. Az integrálható eszközök köre széles: a végponti védelmi eszközöktől a tűzfalakon át a SIEM (Security Information and Event Management) eszközökig terjed. Az eszközökhöz lehet rendelni tulajdonosokat, felhasználói csoportokat. Amikor egy akcióra kerül sor, a tulajdonos kap értesítést az eseményről és a körülményekről, amely alapján ő felülvizsgálhatja az automatikus folyamatot, illetve delegálhatja a feladatot egy másik védelmi területnek. A rendszer finoman szabályozható, hogy a döntési folyamat ne lassítsa a döntési folyamatot. Erre szolgálnak például az, hogy meghatározhatók másodlagos tulajdonosok is, akik tudnak intézkedni, ha az elsődleges tulajdonos például házon kívül van.