A legjobb védekezés nem a támadás – Külső-belső védelem a NetIQ-tól, minden esetre

A NetIQ támogatásával készült 2015 Cyberthreat Defense Report kutatás szerint a vállalatok közel háromnegyedénél előfordult valamilyen biztonsági incidens 2014-ben. A NetIQ szakértői szerint a teljes védelem érdekében célszerű kiegészíteni a SIEM rendszereket olyan további lehetőségekkel, amelyek megkönnyítik az összegyűjtött adatok elemzését és értelmezését.

A NetIQ Novell SUSE Magyarországi Képviselet közzétette a NetIQ támogatásával készült 2015 Cyberthreat Defense Report kutatás eredményeit, valamint ismertette a támadások kivédéséhez ajánlott stratégiáját. A NetIQ szakemberei szerint napjainkban már nem elég a peremvédelem kialakítása, hasonló figyelmet kell fordítani az infrastruktúrán belül zajló folyamatokra. A vállalatok úgy dolgozhatnak ki mindenre kiterjedő védekezési tervet, ha a biztonsági információ- és eseménykezelő (SIEM) megoldások funkcionalitását kiegészítik egyéb lehetőségekkel, beleértve a tevékenységek és konfigurációk figyelését, valamint a személyazonossági és jogosultsági információk összehangolt kezelését.

Növekvő kockázatok, növekvő adatmennyiség

„A NetIQ támogatásával készült kutatás szerint az elmúlt évben az észak-amerikai és európai vállalatok 71 százalékánál előfordult valamilyen biztonsági incidens. Ez a szám tavaly még 9 százalékkal kevesebb volt, a tendencia tehát azt mutatja, hogy minden vállalatnak érdemes felkészülnie a védekezésre. Száz százalékos védelem természetesen nem garantálható, de a kockázatot minimálisra csökkenthetjük, ha kész tervvel rendelkezünk olyan lehetőségekre is, hogy az esetlegesen bejutott támadókat azonnal észlelhessük és azonosíthassuk, majd haladéktalanul megtehessük a szükséges lépéseket" – mutatott rá Hargitai Zsolt, a Magyarországi Képviselet üzletfejlesztési vezetője.

Napjainkra a vállalatok nagy része már felismerte a veszélyt, ám a megelőzésre a legtöbb helyen mindössze egy biztonsági információ- és eseménykezelő rendszert vezetnek be. Ez hasznos első lépés, azonban egy ilyen megoldás óriási mennyiségű információt generál, amit a már egyébként is túlterhelt informatikai szakembereknek kell elemezniük. A NetIQ szakértői szerint az adatok analizálását az könnyítheti meg leginkább, ha a SIEM megoldásokat összekapcsolják egyéb rendszerekkel, kontextusában értelmezve az információkat.

Ki? Mit? Miért? Van rá engedélye?

Érdemes a SIEM megoldást összekötni például a vállalat személyazonosság- és jogosultságkezelő alkalmazásával. Ezzel együtt ugyanis könnyebben megállapítható, hogy az adott felhasználótól elfogadhatónak tekinthetőek-e az elvégzett tevékenységek. Például egy külsős felhasználó esetében gyanúra ad okot, ha a vállalat érzékeny dokumentumait megnyitja, lemásolja vagy továbbítja. Erre a feladatra jól használhatók a NetIQ kapcsolódó megoldásai, amelyek tökéletesen integrálhatók a biztonsági információ- és eseménykezelő rendszerrel.

Hasonlóan fontos a tevékenységek figyelése, különös tekintettel a változtatásokra: ki, mikor, honnan és pontosan mit változtatott a kritikus rendszerekben és fájlokban, és jóváhagyta-e azokat valaki. Egy profi eszköz, például a NetIQ Change Guardian képes ezt folyamatosan figyelemmel kísérni, és szükség esetén riasztást küldeni a gyanús tevékenységekről az illetékeseknek. Ezáltal a kockázatok csökkentése mellett a megfelelőség biztosítását is elősegíti a legfontosabb előírások esetén, beleértve a PCI DSS, a HIPAA/HITECH, az ISO/IEC 27001 szabványokat és az EU adatvédelmi irányelvét.

A tevékenységekhez hasonlóan kiemelkedő jelentősége van a konfigurációknak, hiszen a beállítások módosításával könnyen és akár észrevétlenül létrejöhetnek olyan biztonsági rések, amelyeken keresztül ellophatják a vállalat érzékeny adatait, vagy egyéb módon kárt okozhatnak a szervezetnek a rosszindulatú támadók. A NetIQ Secure Configuration Manager megoldást kínál erre a problémára, mivel teljes körűen felméri és folyamatosan monitorozza a konfigurációkat és a felhasználói jogosultságokat. Az ellenőrzéskor pedig figyelembe veszi az előírásokat és a saját, folyamatosan frissített adatbázisában megtalálható legjobb gyakorlatokat, majd ezeknek megfelelően szükség esetén javaslatokat tesz a beállítások módosítására. A szoftver a SIEM megoldással integrálva a védekezési stratégia integrált részévé teszi a konfigurációk figyelését is, ezáltal jelentős mértékben csökkenti a biztonsági kockázatokat.