Incidens vagy esemény?

Kutatás a védelmi események szénakazlában

Az informatikai biztonság kézben tartása napjainkban minden eddiginél nagyobb felelősséget jelent. Egy tipikus vállalat számos védelmi eszközt működtet abban a reményben, hogy biztonsága növekszik, ám az ilyen eszközök által létrehozott, mindent elöntő adatáradat kezelése újabb gondot jelent. Egyre gyakoribbak és összetettebbek a támadások, gyakorta felderítetlenek is maradnak, mialatt a védelmi problémák következtében beálló üzleti veszteség növekszik. Az incidens és az esemény két igen eltérő dolog.
Az események száma még egy közepes méretű vállalatnál is közel tízmillióra rúg évente. Egy ekkora adatállomány végigválogatása pedig komoly feladatot jelent. Meg kell tehát találni az események szénakazlában a védelmi incidenseket jelentő "tűket".

A vállalatnál működő, a rendszereket és a hálózati forgalmat vizsgáló védelmi eszközök gyanúsnak tűnő tevékenység észlelésekor jeleznek. Eseménynek nevezzük a rendszerben vagy a hálózaton megfigyelhető bármely történést. Ilyenből a legtöbb vállalatnál naponta sokezernyi adódik. A mindennapos eseményekre jó példa a hibás vagy túl hosszú hálózati csomag, illetve az elrontott felhasználói bejelentkezés.

A munka nehezét a ténylegesen gondot okozó események kiválogatása jelenti. Az eltorzult csomagok általában ártalmatlanok, de egyes esetekben káros hatásuk is lehet, például átmenetitár-túlcsordulásos támadást jelezhetnek. Az elrontott bejelentkezés lehet támadási kísérlet, de egyszerű melléütésből is eredhet. Tehát további összefüggések ismerete szükséges annak eldöntéséhez, hogy van-e valamilyen beavatkozást igénylő probléma, és ha igen, mit kell tennünk. A csupán az események felügyeletére összpontosító cégek nem ismerik fel az összefüggéseket, a hamis találatokra pazarolják az időt, és általánosságban véve az "utánlövésekkel" vannak elfoglalva, ebből eredően pedig működésük zűrzavaros.

Incidensek

Az incidens egy vagy több, az elfogadható kockázati mérték megtartása érdekében beavatkozást és lezárást igénylő védelmi eseményből, körülményből áll. Míg gyakran történnek olyan események, amelyek egyenként szemlélve elszigeteltnek és összefüggéstelennek tűnhetnek, az incidensek összefüggést teremtenek az események között. Így a rendszer biztonsági felelősei észlelhetik a veszélyt jelentő fenyegetéseket, és szükség esetén közbeléphetnek.

Az incidensek két csoportba sorolhatók. Egyrészt előfordulhatnak jelentős, az üzletet veszélyeztető és beavatkozást igénylő fenyegetések, másrészt pedig olyan, nap mint nap előforduló helyzetek, amelyek csak elhanyagolásuk esetén jelentenek veszélyt az üzletmenetre. Az egy vagy több eseményből álló incidensre példa a nagymértékű vírus- vagy féregfertőzés, a szolgáltatás megszakítása, a rendszerhez vagy annak adataihoz való jogosulatlan hozzáférésre tett kísérlet, a szolgáltatásmegtagadtató támadás, a nyilvános FTP-szolgáltatással való visszaélés, a tulajdonos tudomása, rendelkezése vagy hozzájárulása nélküli változtatások a rendszer hardverében, szoftverében, illetve támadásérzékeny alkalmazások futtatása a rendszeren.

Hatékony incidenskezelés

Néha együtt kell szemlélni a sok, egymáshoz kapcsolódó eseményt (támadást, sérülékenységet, szabályzatsértést) ahhoz, hogy felfedezzük az incidenst. Az incidensközpontú látásmód által a szakemberek behatárolhatják az érintett rendszerek számát, megtudhatják érintettségük mértékét a titkosság, az épség és a rendelkezésre állás szempontjából. Felmérhetik az üzletmenet érintettségét, vagyis az incidensnek az érintett rendszerre gyakorolt hatását annak üzleti értéke szerint, és az incidens kezelésének más eseményekkel szemben - a szükséges beavatkozás sürgőssége alapján - elsőbbséget adhatnak.

Ma már nem az a kérdés, hogy vajon találkozunk-e incidenssel, hanem hogy az mikor következik be. Az incidensközpontú látásmód a védelem kézben tartásának összetett és fárasztó feladatait teszi egyszerűbbé. Naponta nagy tömegű védelmi esemény jelentkezik a kiterjedt hálózattal rendelkező vállalatoknál. A teljes bejövő adatmennyiség kézben tartásának legjobb módja a védelmi eljárások által keletkező információknak a hálózati rétegekben, valós időben, összesítetten és összefüggéseiben történő áttekintése. Ezt a célt valósítja meg az incidensmenedzser. A Symantec Incident Manager például összevonja a több gyártótól származó, különféle termékek által jelzett védelmi eseményeket. Felismeri a fontossági sorrendet, és az incidenseket azok lezárásáig nyomon követi, így a cégek valós lépéseket tehetnek támadható felületeik csökkentése érdekében.

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció