Hogyan kerülhetünk közelebb öt kérdéssel a hatékony kiberbiztonsághoz
2014. július 17.
Az informatikai hálózatok növekvő jelentősége, az egyre összetettebb fenyegetések, valamint a szabályozói környezet változása és az IT biztonsági szakemberek hiánya miatt egyre több cég keres külső megoldást biztonsági problémáira. A Gartner előrejelzése szerint az IT-biztonsággal kapcsolatos outsourcing költések 2017-re elérik a 24,5 milliárd dollárt, ami a 2013-as szintnek több mint kétszerese lesz.
Leginkább a vállalaton belüli biztonsági ismeretek, a költségvetés és az üzleti célok alapján választhatjuk ki, hogy kiberbiztonságunkat milyen mértékben bízzuk külső szolgáltatóra. Amikor e megoldás mellett döntünk, az alábbi öt kérdés segíthet a megfelelő szolgáltató kiválasztásában:
1. Milyen típusú telemetrikus adatokra támaszkodhatunk?
A szimpla topológia ábra vagy naplózási adatok nem elegendőek. Más adatok, mint például a protokoll metaadatok – közvetlenül a hálózaton áthaladó csomagokból kinyerve az adatokat – elegendő betekintést nyújtanak a manapság népszerű watering hole, vagy az adathalász támadások folyamatába. A HTTP metaadatok beemelése a telemetria sablonba tehát hasznos információkkal támogathatja a webes támadások felismerését. A nagyobb mennyiségű adat segítségével a szolgáltató is hatékonyabb védelmet nyújthat a támadások ellen.
2. Hogyan történik az adatok elemzése?
Az egyszerűbb adatelemző modellek, mint a naplózási adatok és a biztonsági szabályok összehasonlítása, nem elegendőek, főleg ha nem is valós időben történnek. A valós idejű adatelemző megoldások nem csak a vállalaton belül nélkülözhetetlenek a nagy mennyiségű adat kezeléséhez, hanem a közösségi alapú fenyegetések globális elemzése során is. Az ilyen magas szintű elemzés nem a támadók számára érthető és elkerülhető szabályokra épül, hanem egy prediktív és dinamikus statisztikai modellre, amely képes azonosítani a felhasználói hálózatokban a rendellenes viselkedést és más támadást generáló (Indicators of compromise - IoC) tényezőket. Egy nagy pontosságú adatelemző megoldás használata jelentősen javítja az észlelések pontosságát.
3. Hol tárolják az adatokat és hogyan történik a védelem?
Fontos tudni, hogy az adatokat helyben, a biztonsági szolgáltató (MSSP) adatközpontjában vagy a felhőben tárolják-e. Annak fényében, hogy milyen típusú adatokról van szó, továbbá a vállalatra milyen szabályzók vonatkoznak, illetve a szolgáltató (MSSP) milyen garanciát vállal, végig kell gondolni, hogy melyik a legmegfelelőbb megoldás. A döntésbe be kell vonni a műszaki mellett a jogi és üzleti szervezetet is.
4. Milyen jelentést kapunk?
Az adatok fontosak, de azokat értelmezni, és ha szükséges, akkor ennek alapján cselekedni is kell. Meg kell bizonyosodni arról, hogy a kapott adatok összefüggésükben értelmezhetőek és relevánsak. Így arra a fenyegetésre koncentrálhatunk, amelyik a legnagyobb veszélyt jelenti szervezetünk számára. Az idő fontos tényező akkor, amikor célzott, fejlett támadással nézünk szembe. Fontos előre tudni, hogy a szolgáltató egy további vizsgálatokat igénylő és gyakran felesleges riasztásokat eredményező hosszú eseménylistát produkál, vagy már leellenőrzött, nagy megbízhatóságú információkat képes biztosítani számunkra.
5. Hogyan védekezhetünk az ismeretlen, nulladik napi támadások ellen?
Ahhoz, hogy eredményesen felismerjük és kivédjük a nulladik napi támadásokat, túl kell lépnünk a hagyományos point-in-time (PIT) megközelítésen. A hálózatokat ma már folyamatosan monitorozni kell és szükség esetén alkalmazni kell a védelmi megoldásokat. Az észlelési telemetrikus adatok, a prediktív elemzés és a statisztikai modell együtt képes felismerni a szinte észrevehetetlen anomáliákat, és segítenek azonosítani a különösen veszélyes támadásokat is.
Kapcsolódó cikkek
- Potenciális nemzetbiztonsági veszélynek tartják Kínában az iPhone-okat
- Tagadja az Apple, hogy az iPhone nemzetbiztonsági kockázatot jelentene
- A Cisco továbbfejlesztette az ASA tűzfalcsaládot
- Kínában potenciális nemzetbiztonsági veszélynek tartják az iPhone-okat
- Kínában harcot hirdettek az online terrorizmus ellen
- FBI: hatalmas kihívás az állami kibernetikai bűnözés elleni harc
- Washington kínai katonai hackereket gyanúsított meg üzleti kiberkémkedéssel
- Kibertámadás érte a belga külügy informatikai rendszerét
- Magyarországon ezres nagyságrendű weboldalt érint a feltárt biztonsági rés
- Az amerikai kormány figyelmeztetése a Heartbleed programhibával kapcsolatban