• Magyar
  • English
Sajtóközlemények RSS feed

Naplóelemzés és incidenskezelés

Napjainkban számos nemzetközi és hazai törvény illetve ajánlás határoz meg követelményeket arra vonatkozóan, hogy milyen módon kell a szervezeteknek a különböző működési kockázataikat kezelni, csökkenteni. A működési kockázatok közé sorolhatók az informatikai kockázatok is, amelyek egyre nagyobb súllyal szerepelnek. A szervezetek informatikai biztonsági fenyegetésekre adott válaszai, illetve azok gyorsasága – az üzleti folyamatok informatikai rendszertől való erőteljes függése miatt - közvetlen hatással vannak a termelékenységre és a versenyképességre is. Ehhez olyan informatikai biztonsági megoldásokra van szükség, amelyek képesek azonosítani a biztonsági incidenseket, majd segítik a megfelelő védelmi tevékenység gyors kiválasztását és mielőbbi foganatosítását. A SIEM a „biztonsági információk és események kezelésének” angol megfelelőjéből (Security Information and Event Management) képzett rövidítés. A naplóelemző és incidenskezelő megoldások bevezetését és alkalmazását szükségessé tehetik a különböző megfelelőségi elvárások (PSZÁF, SOX, HIPAA), de a fentiek miatt racionális üzleti megfontolások is.
A jól implementált naplóelemző és incidenskezelő megoldás feladatai: hálózati és biztonságtechnikai eszközök, operációs rendszerek, adatbázisok, alkalmazások naplóinak központi gyűjtése, azokban naplóelemző és adatbányászati algoritmusokkal történő keresés, a különböző biztonsági események detektálása, közöttük korrelációk megvalósítása, és az incidensek kezelése. A fő cél, hogy a szervezet biztonsági jellemzőiről komplett, a kockázatokhoz igazított képet alakítson ki. A teljes informatikai struktúrával kapcsolatos érzékenysége lehetővé teszi, hogy a biztonsági szakemberek mindig a legkritikusabb tevékenységre fordíthassák az energiájukat.
Naplóelemző és incidenskezelő rendszer bevezetésekor az alábbi koncepcionális kérdésekre kell választ adni:

  • Milyen üzleti és biztonsági elvárások, megfelelőségi követelmények vannak?
  • Milyen esemény forrásaink vannak, azok milyen formátumban naplóznak?
  • Minden eseményt el kell tárolni, vagy definiálhatók a kritikus események, és már csak azok elküldése és feldolgozása szükséges, a naplók mentése más rendszerben megoldott?
  • Milyen időintervallumban kell megőrizni a naplókat az operatív feladatok és milyen időtartamra a későbbi esetleges visszaellenőrzések/auditok kapcsán? Milyen szolgáltatásokat kell biztosítani a tárolt adatokkal kapcsolatban?
  • Melyik piaci incidenskezelő keretrendszer alkalmas leginkább az elvárások kiszolgálására, a követelmények teljesítésére, a hosszú távú igényeket is figyelembe véve? Hogyan terjeszthető ki a megoldás?
  • Milyen előírásokat lehet hozni, amelyek egy új rendszer bevezetése esetén garantálják annak illeszthetőségét a naplóelemző és incidenskezelő menedzsment megoldáshoz?
  • Mi a napló események elemzésének elsődleges célja, mik a kritikus figyelendő események és források, kapcsolódások? A korrelált és biztonsági szempontból kritikus események kezelésére milyen incidenskezelési folyamatokat kell kidolgozni.
  • Mik az elvárt riportolási feladatok, beleértve a biztonsági, az üzemeltetői és a vezetői elvárásokat is.
  • Milyen szervezeti változtatások szükségesek a rendszer üzemeltetéséhez, támogatásához illetve az incidenskezelési folyamatok menedzseléséhez?

Naplóelemző és incidenskezelő megoldás bevezetése

Naplóelemző és incidenskezelő megoldás bevezetése a fenti kérdések végiggondolása és megválaszolása után már „könnyedén” bevezethető. Az elemzés és incidenskezelés integrálható egy meglévő központi naplógyűjtő rendszerre ráépülve, de kialakítható a központi gyűjtéssel egy időben, integrált megoldásként is.
A Noreg Kft. által forgalmazott megoldások között megtalálhatóak a naplógyűjtő rendszerek (Sentinel Log Manager, syslog-ng, QRadar) és a korrelációs képességekkel rendelkező elemző rendszerek (Sentinel, QRadar). A megoldások széleskörű platformtámogatással, beépített riportolási képességekkel rendelkeznek, és a középvállalatoktól a multinacionális nagyvállalatokig egyedi igények alapján skálázható és testre szabható rendszer alakítható ki a segítségükkel.
Ahhoz azonban, hogy egy naplóelemző és incidenskezelő rendszer bevezetésével elérjük az elvárt célt – azaz a megfelelőségi előírások teljesítését és a magasabb biztonsági szintet – fontos a rendszer bevezetést követő folyamatos hangolása, finomítása. A sikeres bevezetéshez elengedhetetlen egyrészt, hogy az egyes forrásrendszerek naplózását szakértői szinten ismerjük. Másrészt szükséges felismerni az adott rendszer támadható problémáit, hiányosságait. Mindezekhez hasznos lehet egy átfogó biztonsági szempontú megközelítés, ami segít összekapcsolni az esetleg csak különböző rendszerekből származó hiányosságok együttes kihasználásából eredő problémákat és elősegíti azok megoldását.