Az IT biztonság folyamatos harckészültséget kíván
Azok az idők rég elmúltak, amikor elég volt egy vírusirtót és egy tűzfalat telepíteni, és ezzel meg is oldottuk céges hálózatunk védelmét
Ma már egyre többen tisztában vannak vele, hogy az IT rendszerek ellen irányuló támadások mennyisége és kifinomultsága miatt ennél jóval összetettebb biztonsági megoldásokra van szükség. Ám a kulisszák mögé pillantva még így is meglepő lehet, hogy a professzionális védekezés mennyire hasonlóvá vált egy folyamatosan vívott háborúhoz. A korszerű védelmi vonal működéséről Vaspöri Ferencet, az Invitech Solutions technológiai szaktanácsadóját, IT biztonsági szakértőjét kérdeztük.
Mennyire tartják fontosnak a cégek az informatikai biztonságot?
Láthatóan egyre inkább tisztában vannak azzal, hogy ez a terület kiemelt figyelmet érdemel. Az Allianz egy 2016-os felmérésében felsővezetőket kérdezett arról, mit tartanak a legnagyobb kockázatnak a cégükre nézve, és az IT biztonság a harmadik helyen szerepelt. Ennek megfelelően foglalkoznak is vele, de az ideális az lenne, ha a biztonság az IT stratégiában is megjelenne.
Ha valaki profi védelmet szeretne az informatikai rendszereinek, mi a legnagyobb kihívás, amivel szembe kell néznie?
Leginkább az, hogy a megfelelő védelemhez nagy apparátus szükséges. Az évek során a cégek a saját szaktudásuknak, kapacitásuknak, biztonsági kockázataiknak megfelelően kiépítettek valamekkora kapacitást ezeknek a feladatoknak az ellátására. Ugyanakkor azt tapasztaljuk, hogy még a biztonságra sokat áldozó bankoknál is kevés az ember a megfelelő védelemhez.
További létszámbővítésre lenne szükség?
Nem csak arra: szemléletváltásra is. Az IT biztonsági feladatokat jellemzően az IT kapja meg, márpedig ennek a csapatnak az alapvető feladata az üzleti folyamatokat nyújtó rendszerek üzemeltetése. A biztonsági szempontok bevezetése, alkalmazása egy másik nézőpont. Ugyanakkor a cégek zöme nem engedheti meg magának, hogy egy külön security csapatot is fenntartson.
Mitől speciális, mennyiben más ez a tevékenység?
A védvonal felépítésének sosincs vége. Nem úgy működik, hogy veszek egy tűzfalat, és ezzel letudtam a tennivalókat. 7/24-es szolgálatról van szó: olyan emberek kellenek, akik csak ezzel foglalkoznak, akik tapasztalattal és aktuális információkkal rendelkeznek, ami alapján meg tudják előzni a támadásokat.
Milyen jelek utalhatnak egy közelgő támadásra?
Sokféle típusú támadás van, ezért mindegyiknél más és más lehet a detektálás és a megelőzés módja. Például egy zsarolóvírus úgy jut be a céges hálózatba, hogy egy hasznosnak tűnő állományt csatoltak egy emailhez, a felhasználó pedig ennek megnyitásakor hozzájárul a fájl futtatásához. A káros program pedig titkosítja az adott gépen vagy a hálózaton elérhető fájlokat és “váltságdíjat” kér ennek feloldásáért. Mi az Invitech Solutionsnél detektálni tudjuk, ha ilyen üzenet érkezik, és proaktívan jelezzük az ügyfél felé, továbbá akár a dolgozók információbiztonsággal kapcsolatos tudatosságát oktatás keretén belül fejlesztjük, hogy tudják, hogyan viselkedjenek, amikor hasonló e-maillel találkoznak.
Ugyanígy időben észlelni tudunk például egy túlterheléses támadást, és a beérkező, mesterségesen megnövelt forgalmat átirányítjuk, aminek köszönhetően a megcélzott szerverek továbbra is működnek - a látogatók akár észre sem veszik a támadást.
Megfigyeljük és elemezzük a naplóállományokat, és ha valami szokatlan történik, akkor arra reagálunk. Ez egy folyamatos, erőforrásigényes csapatmunka.
Mit tehetnek azok a cégek, akiknek erre nincs kapacitásuk?
Egyre többen látják be, hogy ezt a típusú tevékenységet érdemes kiszervezni. Mi éppen azért hoztuk létre az Invitech Solutionsnél a Security Operational Centert, mert így egy helyen, aggregáltan, egy felkészült csapattal, a nap 24 órájában, a hét minden napján tudjuk monitorozni, elemezni és elhárítani az ügyfeleink rendszereit fenyegető veszélyeket. Mindezt szolgáltatásként lehet tőlünk igénybe venni, és nagy érdeklődés mutatkozik iránta.
Egy saját vállalati csapattal szemben számos előnnyel rendelkezünk. Például rendszeresen kapunk információkat arról, milyen típusú támadások zajlanak a régióban, így ezekre kiemelten tudunk figyelni. Több ügyfelünk arra panaszkodik, hogy bár ők is kapnak hasonló jelentéseket például az anyavállalatuktól, de ezek jellemzően az amerikai piacra készültek, ezért nem a helyi viszonyokat tükrözik.
Fontos, hogy már a támadások megindulása előtt befoltozzuk a lehetséges biztonsági réseket, amelyek az operációs rendszerekben, a szoftverekben vagy éppen a wifi eszközökben jelentkeznek. Ha pedig mindennek ellenére mégis betörnének a hálózatba, akkor a lehető leggyorsabban elhárítjuk a veszélyt, továbbá a végére járunk, hogy a jövőben hogyan lehet megelőzni egy hasonló támadást.
Kele Károly, a Security Operational Center incidenskezelőjének vezetője szerint a támadások mennyisége teljes mértékben indokolja a folyamatos odafigyelést.
Legjellemzőbbek az alacsony kockázatú malware-ek és vírusok, amelyek általában adatlopással próbálkoznak, továbbá a zsarolóvírusok. Ezekből átlagosan 2-3 érkezik hetente.
Folyamatos fenyegetést jelentenek a túlterheléses támadások, melyek száma akár a napi 50-100-at is elérheti.
A sérülékenységekről napi 3-4 alkalommal küldenek értesítést a különféle külső szoftvergyártó, illetve beszállító partnerek. Ezekben jellemzően napi 10-15 ilyen jellegű biztonsági résről számolnak be.
A Security Operational Center a naplófájlok elemzése alapján a potenciális belső fenyegetésekről is kap riasztást, ezek száma akár napi 10 és 40 között is mozoghat.
Mindezeken felül a SOC munkatársai még rendszeres rutinfeladatokat is végeznek, ilyen a folyamatos patch management, az adatbáziskezelők, hálózati eszközök és különféle szoftverek frissítése.
Bővebben érdekli az adatközpontok témája?
Olvasson tovább!
Amikor döntésre kerül sor, üzleti megrendelőként nem egyszerű egy ajánlatban szereplő összes technológiai paramétert sorra venni, azokat összehasonlítani különböző ajánlatokban, és ez alapján partnert választani. Ebben segít az adatközpontok biztonsági szintjét osztályozó minősítési rendszer.
Tovább a bejegyzésre >>> TIER minősítés: egy adatközpont biztonsági fokozatai
Az adatközpontok speciális létesítmények, melyeket kifejezetten nagy kapacitásokkal rendelkező, professzionális szerverfarmok elhelyezésére és üzemeltetésére alakítanak ki. Fő funkciójuk nem más, mint hogy a rengeteg számítógép folyamatosan, leállás nélkül, biztonságosan működjön. Ehhez a következő szempontoknak kell egyszerre megfelelni.
Tovább a bejegyzésre >>> Érthetően az adatközpontokról