Network Intelligence – előtérben a proaktivitás

A fenti mondattal kezdte előadását Paul de Laat, a Network Intelligence Közép- és Észak-Európáért felelős igazgatója. „Az informatikai biztonság természetesen ma már nem csak egy részleg feladata, és nem az a kérdés, hogy be fog-e következni a rendkívüli esemény, csupán az, hogy mikor.”

Éppen ezért fontos a hálózati események folyamatos nyomon követése, naplózása, és az információk elemzése, értékelése. Egy hálózatban tipikusan sok gyártó rengetegféle berendezése működik egymás mellett, amelyek csak úgy ontják magukból a naplófile-okat. Ez az adattömeg nagyon sok értékes információval szolgál a hozzáértő elemző számára, az adatforgalom változásából például nyomon követhető, ha egy vírus vagy féreg aktivizálódik a hálózatban, vagy hogy melyik port van kitéve kívülről jövő támadásnak, és így tovább. A naplófile-ok kézi elemzése azonban rengeteg munkaerőt köthet le, és lehetnek belső összefüggések, amelyeket emberi munkával gyakorlatilag lehetetlen észrevenni.

A Network Intelligence a Security Event Management (SEM) piac célhardver gyártója, 2001. óta létezik kifejezetten erre a célra kifejlesztett megoldása. A Security Event Management feladata: a hálózat minden pontjáról, minden há-lózati eszközről összegyűjteni, elemezni, kezelni és tárolni a naplófile-okat. Az elemzés során a SEM alkalmazás nem csak az egyedi eszközök forgalmát és eseménynaplóit vizsgálja, hanem a beépített intelligenciával a belső összefüggéseket is, különválasztja a fontos és kevésbé fontos eseményeket, priorizálja a teendőket. A beépített korrelációs szabályokkal nyomon tudja követni egy rendkívüli esemény terjedését, figyeli a hálózat egyes eszközeinek egymásra gyakorolt hatását. A naplófile-ok mélyebb elemzése lehetőséget ad arra, hogy probléma vagy gyanús jel esetén azonnali riasztást kapjon hálózat üzemeltetője. Másik fontos funkciója a beépített nagyszámú (több mint 700) előre definiált statisztika és elemzés, amely gombnyomásra, akár előre időzített módon kapnak meg a megfelelő munkatársak. Így a hálózatüzemeltetés minden reggel 8-kor megkaphatja például annak a 20 routernek a listáját, ahol a legtöbb hiba lépett fel, a webszerver üzemeltetője pedig azt, hogy melyik volt az a 20 IP-cím, amelyről a legtöbb sikertelen behatolási kísérlet történt.

A SEM eszközök, a rendszerben elfoglalt szerepük miatt kiemelt jelentőségűek, hiszen egy, a megelőzésre koncentráló biztonsági rendszert nem lehet elképzelni olyan eszköz nélkül, mely képes volna minden védelmi eszköz össze-hangolására, felügyeletére, koordinált üzemeltetésére. A Network Intelligence számos információval is segíti ügyfeleit, például a naplófájlok információtartalmának kiértékelésében vagy egy új fenyegetés fellépése esetén a megfelelő ellenintézkedések meghozatalában. A Network Intelligence mintegy ötven gyártó termékét „ismeri”, ezek mindegyikéhez tartalmazza a logfile-ok értékelési kulcsait is. Amennyiben a berendezés számára ismeretlen új eszköz kerül beépítésre a hálózatba, egy speciális fejlesztő készlet segítségével ezekre is fel-készíthető a rendszer.

A Network Intelligence Security Event Management eszköze egy nagyon egyszerűen telepíthető célhardver, nincs szükség hosszadalmas telepítésre, beállításra, egy nagyobb szervezet esetén is 2-3 nap alatt teljes funkcionalitással üzembe helyezhető. A rendszer többféle méretben létezik, a hálózatba kötött eszközök, a felhasználók és a riasztások számától függően lehet választani az eszközök közül, a legnagyobb megoldás akár másodpercenként 300.000 esemény kezelésére is alkalmas.

Egy SEM eszköz kiválasztásánál számos tényezőt kell figyelembe venni. A Gartner elemzői szerint ezek: egyszerű telepítés, jelentős beruházási költség-csökkentés, a különböző törvényi és audit követelményeknek való megfelelés, proaktivitás támogatása. A Network Intelligence ezeket szem előtt tartva alakította ki termékeit, amelyek nyers formában tárolják a logfile-okat, mellyel kielégíti a bankok és az államigazgatás magas biztonsági és hitelességi igényeit, a rájuk vonatkozó jogszabályi követelményeket.

„Amikor a Security Event Management témaköréről beszélünk, akkor lát-nunk kell az egész jéghegyet. Ami felül van és nyilvánvaló, az az adatgyűjtés, korrelációelemzés, jelentéskészítés és riasztás, valamint az eszköz ára. Ugyanakkor a felszín alatt számos más tényező is megbúvik, ami nagyban meghatározhatja a végső beruházás költségeit. Gondoljunk az adatok tárolási költségére (ami más rendszerekben 15-20-szor több), a járulékos hardverek (szerverek, tárolók) költségeire, az adatbázis frissen tartásának, a személyzet és a működtetés költségére. […]” – mondta Veszely Balázs, a Telindus kereskedelmi igazgatóhelyettese.