A szövetségi információvédelmi törvény (FISMA) értelmében a szövetségi ügynökségeknek mindenre kiterjedő adat- és információrendszer-védelmi programot kell kialakítaniuk, dokumentálniuk, illetve megvalósítaniuk. Az egészségbiztosítási hordozhatósági és elszámolási törvény (HIPAA) előírja, hogy a közegészségügyben és a biztosítóknál védeni kell a betegek információit. Ezek az előírások a nemzetközi szervezeteket is érintik. Az Európai Unió adatvédelmi irányelve szerint az EU minden egyes tagállamában törvényt kell hozni a személyes információkat tartalmazó hálózatok, rendszerek és adatok titkosságának, valamint épségének ellenőrzéséről.

Részben ezeknek a kormányzati és szakmai irányelveknek köszönhetően a vállalati javak és adatok titkossága, épsége és hozzáférhetősége már nem csupán technikai kérdés, hanem fontos üzleti feladat is. Hogy még bonyolultabb legyen a helyzet, a mozgó alkalmazottaknak, a partnereknek, a beszállítóknak és a távolban dolgozó személyzetnek a cég adataihoz megbízható, bármikor és bárhonnan mĹąködő vezetékes, illetve vezeték nélküli hozzáférésre van szükségük.

Nem kérdéses, hogy ezeknek a problémáknak a leküzdésében az informatika egyre nagyobb hangsúlyt fektet a védelmi technikára, és egyre többet költ a hálózatok védelmére. A Yankee Group szerint 2004-ben a cégek világszerte körülbelül 12,9 milliárd dollárt költöttek az információvédelemre. Ezzel egy időben a megóvandó adatok értéke tovább nő, így a hatékony óvintézkedések bevezetése feltétlenül szükséges. Azonban sokan nem tudják, hogy a valóságban mennyire biztonságos a hálózatuk. Nem tudnak lépést tartani a különböző védelmi megoldások által rájuk zúdított adatáradattal, és nem tudják felhasználni azokat az egyes mĹąveleteikhez.

Erre egy lehetséges megoldás a védelmi eseménykezelés (SEM). Az autó mĹąszerfalához hasonlóan áttekintést biztosít az informatikusoknak arról, hogy mi történik a védelem terén, ideértve a szabályok értékelését, betartását és a sérülékenység felmérését. Az SEM technológiája összefüggésbe hozza a hálózatszerte észlelt támadásokat, a célba vett vagyon értékét, és segít abban, hogy eldönthessük, melyik incidensre kell összpontosítani. Nyilvánvaló, hogy egy e-kereskedelmi szervert érő támadással fontosabb foglalkozni, mint egy PC-re irányulóval. Az ilyen jellegĹą események kezelése tulajdonképpen az az ablak, amelyen át az információvédelmi csoport látja a védelem állapotát.

EgyszerĹąség, méretezhetőség és védelmi információk

Az SEM-rendszer nem csupán a naplófájlok gyĹąjtéséről szól. Ahhoz, hogy hatékony legyen, három alapvető összetevőre van szüksége: az egyszerĹąségre, a méretezhetőségre és az elegendő védelmi információra. Ha ez nem valósul meg, akkor csupán egy lesz a többi, gondozandó alkalmazás közül.

A hasznos védelemkezelő megoldás telepítésének a lehető legegyszerĹąbbnek kell lennie. Az egyszerĹą, magától értetődő kezelőfelület segíti a vevőket a leglényegesebb, hasznosítható információkhoz való hozzájutásban.

Egy nagyvállalat esetében a méretezhetőség is fontos szempont. Az SEM-megoldásoknak kezelniük kell a víruselhárítást, valamint az olyan "zajos", másodpercenként események százait felügyelő termékeket, mint például a tĹązfalak vagy a behatolást észlelő eszközök.

A víruselhárító által felismert vírustól vagy féregtől a tĹązfal által észlelt FTP-kapcsolatig bármi lehet esemény. Azt, hogy mit jelzünk eseményként, gyakran az előre felállított szabályok határozzák meg. Egy tĹązfalszabály például elutasíthatja az összes FTP-kapcsolatot. Ha a rendszer azt észleli, hogy valaki FTP-protokollal próbál kapcsolatba lépni vele, a mĹąveletet elutasítja, és feljegyzi. Ez az esemény nem létfontosságú, hacsak a rendszer nem arról értesít éppen, hogy ilyesmi percenként százszor történik. A védelmi eseménykezelés elősegíti, hogy a legfontosabb dolgokra összpontosíthassunk.

Egy átlagos tĹązfal másodpercenként 150 eseményt jelez. Ez önmagában is nyomasztónak tĹąnik, hát még ha megszorozzuk ezt a nagyvállalatoknál telepített tĹązfalak számával. Lehet, hogy az informatikai részleg egyedül nem képes kezelni a helyzetet. A behatolást észlelő termékek jellemzően 25-50 eseményt jeleznek másodpercenként, a víruselhárítás pedig 1000 víruselhárító szerverenként nagyjából 100-at. Az informatikai részleg azonban könnyen kezelheti ezt a folyamatos információáradatot, ha ebben méretezhető védelmi eseménykezelő rendszer segíti.

A védelmi információk kritikus fontosságúak bármely védelmi eseménykezelő rendszerben. Az információk összehasonlíthatóvá teszik, hogy mi zajlik a saját rendszerben, és mi a nagyvilágban. Ezzel segítenek a szervezeten belüli védelmi eseményekkel kapcsolatos azonnali döntésben.

A védelmi eseménykezelés három módon segíthet ennek az információnak a kezelésében:

• SzĹąrés - kiszĹąri az eseményeket, és felismeri az informatikai részleg számára érdekteleneket.
• Csoportosítás - felismeri a vállalatnál történő hasonló eseményeket, és azokat egy eseménnyé vonja össze. Az SEM elősegíti, hogy a rendszergazdák felismerhessék a különböző védelmi adatcsoportok közötti kapcsolatokat.
• Összefüggés-keresés - összeveti egymással az egyes eseményeket, és összekapcsolt eseményként adja tovább. Például a víruselhárító által észlelt féreg és a behatolásérzékelő rendszer által észlelt ismertetőjegy együtt egy összefüggésbe hozott eseményértesítést eredményez.

Az adatok értelmezése és kezelése

Nehéz dolog az eseményekkel egy időben tudomást szerezni arról, hogy mi is történik a hálózaton. Akinek vannak különféle védelmi eszközei a hálózatban, az tudja, hogy időbe telik rendet vágni a milliónyi esemény adatáradatában, és időben rálelni a legfontosabb, beavatkozást igénylő problémákra. Emellett olyan képzett alkalmazottakra is szükség van, akik képesek ezeket az adatokat értelmezni, függetlenül attól, hogy az események tendenciáit kell-e elemezni, vagy ki kell-e válogatni a fontosakat a lényegtelenek özönéből.

A klasszikus helyzet: van egy csomó különálló védelmi elem külön-külön kezelőfelülettel. Az idő sürget, hiszen a védelmi incidensek nem várják meg, amíg a személyzet rájuk bukkan. Ha a hálózat határán nem tudjuk együttesen figyelni az eseményeket, könnyen megeshet, hogy az orrunk előtt törnek be a vállalat szerverére, vagy egy összetett veszélyforrás jut át a hálózatunkon. Az SEM-technikával mód nyílik a víruselhárítók, behatolásérzékelők, tĹązfalak és sérülékenységkezelő termékek összevonására. Ezért minél hatékonyabban tudnak a védelmi eseménykezelő termékek beépülni más gyártók elterjedt termékeibe és eljárásaiba, annál hatékonyabb lesz a megoldás.

Egyes védelmi eseménykezelő rendszerek hálózat- és rendszerkezelő megoldásokkal is együttmĹąködnek. Az informatika így egységesebb és teljesebb képet kap arról, hogy mi történik a vállalatnál, irányíthatja a személyazonosság, a hozzáférés, illetve a konfiguráció kezelését, valamint a felhasználók védelmét. Az is fontos, hogy az informatika összeköthesse a segítségnyújtó rendszerekkel az incidenskezelést, a riasztásokat és az értesítéseket, hogy így időben tudják megoldani a problémákat.

Nehéz dolog manapság kézben tartani a vállalat védelmét a különböző szállítóktól származó, össze nem férő, integrációt és együttmĹąködő-képességet nélkülöző termékekkel. Ebből következően a rendszer nagymértékben bonyolult, és drága az üzemeltetése. A rendszergazdák rengeteg időt töltenek el olyan fölösleges feladatokkal, amelyeket a hálózat védelmének összetett volta kényszerít ki. A jelenlegi gazdasági helyzetben fokozott az igény arra, hogy kevesebb ráfordítással többet produkáljunk. Az SEM-technológia segíthet abban, hogy az értékesebb tevékenység végzése érdekében mentesíteni tudjuk a szakszemélyzetet e fölösleges tevékenység alól, aminek eredménye pedig a vállalat jobb és előrelátóbb védelme lesz.