Hírek / Sajtóközlemény Micro Focus trendek: Kibervédelem egykor és ma: a gépek forradalma Imre Bende (beiraai@gmail.com) 2020. augusztus 12. szerda „A jó hírnév felépítése húsz évbe telik, és elég egy néhány perces kiberbiztonsági incidens, hogy lerombolja.” Stéphane Nappo, francia kiberbiztonsági szakember BUDAPEST 2020. augusztus 12. A kétezres évek elején még főként vírusokkal és trójai programokkal támadták a vállalatokat a kiberbűnözők, de folyamatosan szélesedő repertoárjukban egyre szofisztikáltabb módszerek jelentek meg, köztük például az adathalászat. Ezért az informatikai rendszerek védelméről gondoskodó eszközöknek is lépést kellett tartaniuk a változásokkal. Így lett húsz év alatt a különálló elemző és monitorozó szoftverekből átfogó megoldás, amelyet ma már gépi tanulási képességek is támogatnak, hogy minden gyanús tevékenységre azonnal fény derüljön. A Micro Focus szakértői most bemutatják ezeknek az eszközöknek a teljes evolúcióját. A biztonsági információ- és eseménykezelő (Security Information and Event Management – SIEM) rendszerek régóta velünk vannak, és gondoskodnak a vállalati adatok és erőforrások védelméről. Mivel mindig új fenyegetések és támadási módszerek jelennek meg az egyszerűbb vírusoktól kezdve a túlterheléses támadásokon és a jelszavak feltörésén át az adathalász-kísérletekig, illetve a belső fenyegetésekig, a védelmi megoldásoknak is muszáj velük együtt fejlődniük. SIM és SEM, az „ősök” A SIEM kifejezést először 2005-ben használta a Gartner. Előtte, a kétezres évek elején külön működtek a biztonsági információkezelő (Security Information Management) és biztonsági eseménykezelő (Security Event Management) rendszerek. Az előbbiek a naplómenedzsment-szoftverek képességeire építve nem csupán gyűjtötték és tárolták az egyes eszközök naplóinak adatait, de a hosszú távú megőrzésre is alkalmasak voltak, illetve elemezni is tudták az adatokat, és jelentéseket készíteni belőle, összegezve a biztonsági fenyegetésekre és eseményekre vonatkozó információkat. A SEM megoldások pedig valós időben monitorozták az eseményeket, szükség esetén riasztásokat küldtek, és rávilágítottak bizonyos összefüggésekre az egyes incidensek között. Amikor ezt a két megoldást elkezdték integrálni a szoftvergyártók, azzal nagyobb kontrollt adtak az IT-biztonsági szakemberek kezébe, illetve jobb rálátást biztosítottak a különféle eseményekre. Az így létrejött rendszereket azonban egy idő után nem lehetett megfelelően skálázni, ami korlátozta a működésüket. Túl sok adat A 2010-es évek elejére megnőtt a SIEM rendszerek kapacitása, és akár már 20 ezer eseményt is képesek voltak elemezni másodpercenként. Egy idő után pont ez lett a hátulütőjük. A rendszerek nagy teljesítménye arra ösztönözte a szakembereket, hogy minden információt betápláljanak az összes rendelkezésre álló forrásból. Így viszont a túl sok adat elemzése után a végeredmény is túl sok információból állt. Míg tehát az első SIEM-megoldások rálátást kínáltak a szakértők számára az infrastruktúrában zajló, addig láthatatlan folyamatokra, a későbbi, fejlettebb eszközök pont ezt a tisztán látást vették el a temérdek adattal. A szakértők munkáját valamelyest segítette, hogy a rendszerekben meghatározhattak szabályokat, amelyekben körülírták, mi számít veszélyes jelenségnek és tevékenységnek, és ezekről riasztásokat kérhettek. Így azonnal tudtak foglalkozni a sürgős esetekkel. A folyamatosan átalakuló környezetben és a gyorsan változó fenyegetések mellett ez azonban már nem volt elég. A következő lépcső: viselkedéselemzés Az elmúlt néhány évben az előzetesen konfigurált értesítések helyett egyre nagyobb szükség lett a kockázatalapú megközelítésre. Erre nyújt lehetőséget a viselkedéselemzés (User and Entity Behavior Analytics – UEBA), amellyel előre meghatározható, milyen viselkedés számít általánosnak és természetesnek a cég infrastruktúráján belül tevékenykedő felhasználók és eszközök esetében. A rendszer pedig csak arról küld riasztást, ami ettől eltér. Akadtak olyanok, akik azt gondolták, ezek a megoldások teljes egészében le fogják váltani a biztonsági információ- és eseménykezelő rendszereket. Számos olyan eset van azonban, amely hagyományos SIEM-megoldással jobban kezelhető. Az ideális tehát az, amikor a két technológia kiegészíti egymást. Akcióban az okos SIEM A Micro Focus szakértői szerint is egyesíteni kell a SIEM és az UEBA előnyeit, ezért vásárolta fel egy éve a Micro Focus az Interset vállalatot, amely gépi tanulást is alkalmazó UEBA-megoldást fejlesztett ki. Az eszköz képes felügyelet nélküli gépi tanulást alkalmazva magától elemezni és megállapítani, milyen aktivitások számítanak megszokottnak a felhasználóknál, és melyek adnak okot gyanúra. Ilyen lehet például, ha egy munkatárs olyan, érzékeny információkat tartalmazó dokumentumokat nézeget, amelyekre nincs szükség a mindennapi munkájához, vagy nagy mennyiségű céges anyagot küld át a privát e-mail címére. Az Interset funkcióival kiegészítve a Micro Focus SIEM megoldása, az ArcSight minimális számú fals pozitív találatot ad, így a legmodernebb, „okos SIEM”-képességeknek köszönhetően a biztonsági szakembereknek csak azokkal az esetekkel kell foglalkozniuk, amelyek valóban figyelmet érdemelnek. Az eszköz ráadásul nem csupán a fenyegetések felderítését automatizálja, de a válaszreakciókat is. A Micro Focus legutóbbi felvásárlásának köszönhetően olyan képességek is elérhetők az ArcSightban, amelyek révén az képes magától megtenni a szükséges lépéseket egy incidens esetén. Például a feltört fiókokat automatikusan zárolja, SMS-ben értesíti a felhasználót, és új jelszót is generál. Micro FocusA Micro Focus a második legnagyobb szoftvervállalat Európában, és világszinten is a legnagyobbak között szerepel. Kínálata magában foglalja a korábbi Attachmate, Borland, NetIQ és Novell vállalatok megoldásait, valamint a HPE szoftveres üzletágától 2017-ben átvett technológiákat. Széles kínálatának köszönhetően a Micro Focus a vállalati infrastruktúra egészére kiterjedő megoldásokat képes nyújtani, és lehetővé teszi a szervezetek számára, hogy a már meglévő üzleti alkalmazásaikat új technológiákkal ötvözzék, fenntartva azok folyamatos és zavartalan működését. Választékában megtalálhatók terminálemulátor és egyéb megoldások, amelyek a nagygépes alkalmazások biztonságos és kényelmes használatát teszik lehetővé. Professzionális eszközökkel segíti továbbá a szoftverfejlesztési és tesztelési folyamatokat. Biztonsági portfóliója pedig a legújabb személyazonosság- és hozzáféréskezelési kihívások kezelésében támogatja a szervezeteket, illetve a biztonsági események kezeléséhez, valamint az adatok, alkalmazások és eszközök biztonságának fenntartásához kínál hatékonyan működő eszközöket. Sajtókapcsolat Jekler RudolfKommunikációs vezető+36-20-967-5565 Kovács ViolaVezető tanácsadó+36-30-510-8140