Termékek

Novell Sentinel – az elektronikus világ testőre

Korunk igénye: teljes körű biztonság megteremtése

Az igények felmerülése megteremtik a szükséges megoldásokat.”

A világ haladó országaival kapcsolatosan megállapítható, hogy a szervezetek túlnyomórészt rendelkeznek adatot előállító és tároló informatika megoldással, sőt vannak olyan területek, amelyek el sem képzelhetőek a folyamatokat támogató, azokhoz szorosan kapcsolódó un. üzleti rendszerek felhasználása nélkül. Az informatika fejlődése túl van a kezdeti lépéseken, talán az is kijelenthető, hogy lezajlottak a forradalminak nevezhető változások. Ezt követően merre találhatóak az informatikára váró megoldandó problémák?

A biztonság magas szinten történő fenntartásának, sérthetetlenségének igénye következtében a kezdeti, külső megjelenésre, a folyamatra koncentráló alkalmazások fejlesztése helyett, mára megfigyelhető, a belső folyamatokból előálló adatok, információk további felhasználásának igénye. Bizonyos szegmensek, jelentős erőforrások ráfordításával, megkövetelik a tevékenység biztonságának fenntartását, megőrzését. Ilyenek például a pénzügyi szervezetek, ahol az elmúlt években szorosabbá váló jogi szabályozások, és a belső piaci igények is ebbe az irányba terelték a fejlesztéseket. Erre jó példa a PSZÁF rendszeres vizsgálata a hazai pénzintézeteknél. Az ellenőrzések során például vizsgálják az informatika szabályozásának rendszerét, a kockázatok felmérését és kezelését, a minőségbiztosítást, a meglévő IT architektúrát, a beszerzések folyamatát, fejlesztéseket, az üzemeltetést, informatikai támogatást, az működés monitorozását illetve ellenőrzését. A hazai helyzetet jellemzően álljon itt a PSZF által végzett informatikai vizsgálatok kapcsán a vizsgált területekről és a tapasztalatokból összegyűjtve néhány gondolat:

  • Tervezés, vezetés, szervezet, szabályozás vizsgálata: stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás.
    Tapasztalatok: a vizsgált szervezetek informatikával kapcsolatos szabályzatai hiányoznak, sokszor hiányosak, nem aktuálisak.”
  • IT architektúra, beszerzés, fejlesztés, üzembehelyezés vizsgálata: mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása.
    Tapasztalatok: a/z IT architektúra nem jól dokumentált, nyilvántartási hiányosságok.”
  • Üzemeltetés, informatikai támogatás vizsgálata: fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás.
    Tapasztalatok: nem megfelelő feladat és felelősség elhatárolások, hozzáférés- és jogosultságkezelési hiányosságok, a jogosultságok kiosztása nem engedélyezett, a beállítások nem egyeznek a nyilvántartással, naplófájlok hiánya, ellenőrizetlensége, a beépített audit lehetőségek hiánya, kihasználatlansága, külsős hozzáférések lehetősége.”
  • Monitorozás, ellenőrzés vizsgálata: független ellenőrzések lebonyolítása, naplófájlok kezelése.
    Tapasztalatok: nem megfelelő kontrollkörnyezet, sok kontroll hiányosság, a belső ellenőrzés nem végez IT vizsgálatot, hiányzik a működési kockázatok rendszeres kiértékelése, a kontrollok ennek megfelelő kialakítása.”

A vizsgálatokhoz kapcsolódó szabályozás célja a pénz- és tőkepiac zavartalan és eredményes működésének elősegítse, a tisztességes verseny és az átláthatóság biztosítsa. A követelmények megfelelésének kézben tartásához szükség van a teljes szervezetre vonatkozó információk mindig az aktuális állapotnak megfelelő összegyűjtésére, kiértékelésére, a változások nyomkövetésére és azoknak a területeknek azonnali felismerésére, ahol beavatkozás szükséges. Ez olyan szervezetekre is igaz, amelyeknél a magas szintű biztonság folyamatos fenntartása követelmény és a szervezet mérete szerteágazó tevékenysége kikényszeríti az állapot és megfelelőség elvárt szinten tartásához a folyamatos információgyűjtést, elemzést.

Vajon a meglévő, folyamatosan működő üzleti rendszerek adataiból ki lehet-e nyerni olyan információkat, amelyek alkalmasak a megjelenő további igények kezelésére, és vajon milyen módszerek állnak rendelkezésre információgyűjtésre illetve az elvárt magas szintű, teljes biztonság megteremtésére?

Teljes biztonságot garantáló rendszerek

Jobb gyertyát gyújtani, mint szidni a sötétséget.”

Megfelelő szintű biztonság kiépítéséhez felhasználni kívánt eszközök és módszerek nagyban függnek a szervezet helyzetétől, milyen szegmensben helyezkedik el, milyen szabályok vonatkoznak rá, illetve szervezet méretéből adódó, a felhasználható erőforrásokkal kapcsolatos lehetőségektől. Egy kisebb, hagyományos területen mozgó szervezet számára elegendő lehet például a megfelelő tűzfalak, vírusirtók üzembeállítása, esetleg a működő alkalmazásokhoz történő hozzáférések kezelése, felügyelete, illetve bizonyos biztonsághoz kötődő rendszerek üzemeltetése. Ilyenkor a szervezetnél lévő minden alkalmazásban külön kerül beépítésre a szükséges hozzáférési szabály. Ez azonban a nagyobb szervezeteket csupán az ún. statikus kockázatoktól védi meg, nehezen alkalmazkodik a változásokhoz, így akadályozhatja az üzleti élet által megkövetelt hatékony rugalmasság elérését, esetleges további növekedést. Nagyobb szervezetek esetén a méret és a tevékenység bonyolultsága is hatással van a magas szintű, teljes biztonság megteremthetőségére. Ebben az esetben olyan információk folyamatos biztosítására van szükség amelyek a teljes IT infrastruktúra üzemképességéről, terheltségéről, biztonsági beállításainak naprakészségéről, a munkatársak hálózati aktivitásáról, valamint az adatokhoz való hozzáférésről számolnak be. A biztonságot lefedő szabályozásokat és a teljes biztonságot felügyelő rendszerek üzemeltetését úgy kell megoldani, hogy a megjelenő biztonsági incidensek kezelése is megtörténjen. Erre válaszként, az információk magas szintű biztosításával összefüggésben, sok erre specializálódott vállalkozás nyújt un. logelemző szolgáltatást. A logelemzés alkalmazásával megelőzhető számos, a nagy szervezetek üzletvitelét, működését fenyegető informatikai katasztrófa, mint pl. rendszerleállások vagy betörési kísérletek. Elengedhetetlen lehet a rendszerek optimális működésének felügyeletéhez és fenntartásához, a vállalati információs vagyont érintő visszaélésekkel kapcsolatos nyomozati munka támogatásához, valamint a biztonsági rések felderítéséhez. Az elemzési folyamatban - az automatikus előszűrési és csoportosítási munkafázisokat követően logelemzésre specializálódott szakértők veszik át a tevékenységet. Különböző módszerek alkalmazásával elvégzik a statisztikai elemzéseket, és elkészítik a katasztrófa megelőzési akcióterveket. A logelemzés mellett, kapcsolódó szolgáltatásokat is kínálnak a fizikai és humán biztonság folyamatos tesztelésére, monitorozására és fejlesztésére. Elterjedt a külső felügyeleti vizsgálatokhoz kapcsolódóan is a logelemző szolgáltatás igénybevétele. Ezen szolgáltatásokkal teljes körűen kiépíthető a megfelelő szintű biztonság rendszere. A szolgáltatás végrehajtása során a következő igényeket kell figyelembe venni:

  • Nagy mennyiségű adat fogadása egyszerre több forrásból és a hálózat minden eleméből.
  • A keletkezés pillanatában a logok feldolgozása, begyűjtése.
  • Titkosított csatorna használata az adatok begyűjtése, küldése közben.
  • A logok egy helyen történő megjelenítése, nagy mennyiségű adattárolás, az adatokhoz történő gyors hozzáféréssel.
  • Gyűjtés időpontjától független, régebbi adatok elemzésének lehetősége.
  • Keresési lehetőség, statisztikák, listák készítése előre megadott kritériumok alapján.
  • Azonnali riasztás megadott események bekövetkezésekor.

Amint látható az elemző szakemberek rendelkezésre állására, „manuális” beavatkozására ebben az esetben elkerülhetetlen. Vajon milyen megoldás adódik még ezenkívül a kívánt igények eléréséhez? Szerencsére az informatika ebben is megoldásra törekedett. A piac felismerte a követelményeket, kihívásokat és megjelentek az un. Security Information and Event Management - SIEM rendszerek, amelyek komplex rendszerbe integrálva kínálnak megoldást a teljes biztonsági rendszer üzemeltetésére, az adatok kinyerésétől kezdve, a logelemzésen keresztül a felmerülő események kezeléséig, előrejelzéséig. A megoldások előnye, hogy beépített tudásbázist alkalmaznak és ezek, a frissítéseknek köszönhetően, mindig aktuálisak, továbbá nagyon sok olyan automatizmusra kínálnak, amelyek az események kezelését támogatják, és figyelmeztetésekkel folyamatosan biztosítják a szervezet meghatározott szabályokhoz történő megfelelőségét. További előnyük integráltságukból illetve az alkalmazott technológiából adódóan, hogy a logelemzésnél ismertetésre került igényeket képesek maradéktalanul kielégíteni. A továbbiakban egy ilyen piacvezető komplex SIEM megoldás kerül bemutatásra a Novell-től, a Sentinel 6.

Sentinel – elektronikus világ testőre

Nem lehet átkelni az óceánon csupán a vizet bámulva.”

Teljes biztonság felügyeletére alkalmas Sentinel olyan összetett integrált informatikai megoldás, amely képes azonnal felismerni és jelezni a fenyegetéseket, a biztonság sérüléseit. Használatával a működés és a szabályoknak történő megfelelés folyamatosan biztosítható, elkerülhetőek az adatvesztések, jelentősen csökkennek a szervezet biztonságának fenntartására fordított költségek. Automatikusan gyűjti, folyamatosan vizsgálja, monitorozza az IT infrastruktúra eszközeiből, alkalmazásaiból, biztonsági logjaiból származó adatokat, információkat és ezekről azonnali jelentéseket, figyelmeztetéseket illetve megoldási javaslatokat biztosít a kijelölt felelős szakemberek részére.

Napjaink fejlett technológiája

SIEM rendszereknél elvárható méretezhetőség érdekében az üzenetkezelő része szabványos megközelítést használó JMS üzenetkezelőt tartalmaz, amely méretezhető, támogatja a nagy mennyiségű adat eredményes továbbítását. Az összetevők egy un. Message Bus-on (nagy teljesítményű üzenet közvetítő) keresztül kommunikálnak egymással. Központosított eseménykezelő része a külső adatforrásokhoz történő kapcsolódást segíti elő. Biztosítja az adatgyűjtők (collector-ok) konfigurálását, kezelését, monitorozását, időzítések bekapcsolását. Adatforrások a következők lehetnek: adatbázisok, operációs rendszerek, könyvtárak, tűzfalak, behatolás felismerő/megelőző rendszerek, vírusíró alkalmazások, mainfram-ek, Web és applikációs szerverek, és egyéb más eszközök, szoftver megoldások. Tartalmaz egy alkalmazás integrációt elősegítő részt, amelyben szabványos API-k használatával könnyen el lehet végezni az egyedi fejlesztésű alkalmazások integrációját a rendszerhez. Már meglévő hibajegykezelő rendszerekhez (mint a Remedy vagy a HP OpenView ServiceDesk) készült kétirányú API tesz egyszerű illesztést lehetővé. Az API webes szolgáltatásokra épül, vagyis minden SOAP-ot kezelni képes külső rendszer számára lehetőséget nyújt a Sentinel rendszer mindenre kiterjedő integrációjából származó előnyök kihasználására.

Betörés elleni védelem

Az IT infrastruktúrában ha egy sérülékeny eszköz ellen támadás indul, a Sentinel a támadás súlyosságának megfelelően riasztást hajt végre, értesíti a megjelölt szakembereket, akik azonnal reagálhatnak a magas prioritású eseményekre. Ez kiküszöböli a találgatásokat a riasztásfigyelés folyamatában és javítja az incidensekre adott válaszok hatékonyságát azzal, hogy a reakciókat a sérülékeny eszközök elleni támogatásokra koncentrálja.

Azonnali eseménykezelés

A rendszer beépített folyamatsablonokkal, eljárásokkal rendelkezik, amelyek a SANS intézet incidenskezelési irányelvei alapján lettek kialakítva. Ezek segítségével a szervezet rögtön elkezdheti a munkát, majd a tapasztalatok alapján módosíthatják a meglévő folyamatsablonokat vagy igény szerinti további eljárásokat alakíthatnak ki. Az eljárásokat az incidens-létrehozó és a korrelációs szabályok automatikusan is aktiválhatják, de kézzel is elindíthatóak egy erre feljogosított biztonsági vagy auditálási szakember részéről. A végrehajtott műveletek egy un. felülvizsgálati naplóban megtekinthetőek.

CIA szolgálatában

Az infokommunikációs forradalom a CIA működésére is hatással volt. Az új technológiák megjelenése, és az Internet használat drámai elterjedése, nagymértékben hozzájárult a szervezet működéséhez a házon belüli összetett hálózatok megjelenéséhez. A 15 hónapig tartó felmérést és tanulmánykészítést követően a CIA a Sentinel-t választotta az adatait felügyelő, komplex biztonsági rendszer kiépítéséhez. Így a szervezet hatékonyabban fókuszálhat alapfeladatainak ellátására és költség érzékenyebben képes infrastruktúra fejlesztéseit kézben tartani és adatait biztonságban tudni.

Sentinel szolgálatba állításából származó konkrét előnyök:

  • Könnyen biztosíthatóak a külső és belső ellenőrzésekhez szükséges információk: a rendszer az IT infrastruktúrában lévő eszközökből, alkalmazásokból kigyűjti és tárolja az adatokat, információkat.
  • Beépített tudásbázis, automatizmusok: a rendszer beépített tudásbázisa az eddig összegyűjtött, továbbiakban is frissítésre kerülő aktuális tudást tartalmazza, nem igényli a külső szakértők elemzői munkáját.
  • Központosított eseménykezelés: nagy mennyiségű adat fogadására képes, egyszerre több forrásból és a hálózat minden eleméből.
  • Integráltság, magas fokú biztonság fenntartása: a keletkezés pillanatában megtörténik az adatok feldolgozása és összegyűjtése, biztonsági rések felismerése, a biztonság mérhetősége.
  • Titkosított, méretezhető üzenetkezelés: titkosított, nagy teljesítményű adatcsatornát használ az adatok begyűjtésére, küldésére.
  • Adatok beszédes megjelenítése: a kinyert információkat könnyen kezelhető felületen jeleníti meg például interaktív grafikonokon keresztül.
  • Nagy teljesítményű adatcsatornák: nagy mennyiségű adattárolásra képes, alkalmazott technológiájából következően az adatokhoz gyorsan hozzáfér.
  • Visszakereshető adatok: biztosítja a gyűjtés időpontjától független, régebbi adatok elemzésének lehetőségét, például összehasonlítások során.
  • Azonnali visszajelzések a biztonság állapotáról: kiváló keresési lehetőséget biztosít, statisztikák, listák készítése előre megadott kritériumok alapján, standard jelentések a biztonságról, az előírásokkal kapcsolatos megfelelésekhez.
  • Valósidejű eseménykezelés: azonnali riasztás megadott események bekövetkezésekor, a váratlan események kezelése, fenyegetések azonnali felismerése, már a kritikushelyzet kialakulása előtt, visszakereshető, rögzített folyamatok a felmerült problémák elhárítására.
  • Események monitorozása: az események folyamatos figyelemmel kísérésével képes a megfelelőséget biztosítani.
  • Szabályokhoz történő megfelelőség biztosítása: beépített eljárások az előírásokhoz történő eltérések kezelésére, a megfelelőség fenntartására.