A kontextusalapú biztonságtechnikai megoldások vezető gyártójaként ismert Balabit a közelmúltban mutatta be az aktuális Balabit CSI Reportot, és ebben azt a nemzetközi felmérését is publikálta, amely a szervezetek IT-biztonsági osztályának hatékonyságát vizsgálta. A felmérést több mint ötszáz amerikai és európai CIO, CISO és egyéb informatikai vezető bevonásával készítette a vállalat. Az egyik legérdekesebb megállapítása pedig az volt, hogy egy szervezetnél optimális esetben átlagosan hét perc áll rendelkezésre egy biztonsági riasztás kivizsgálására. Nem mindegy tehát, hogy milyen információkból kell ez idő alatt döntést hoznia egy-egy riasztás további sorsáról.
Naplóbejegyzések milliói
Napjaink IT-biztonsági rendszereinek elsődleges információforrásaként a naplóüzenetek szolgálnak, amelyek az operációs rendszerekben vagy más szoftverekben bekövetkező eseményeket rögzítik. Szervezetmérettől függően naponta több százmillió ilyen üzenet keletkezhet egy vállalatnál. A felmérés szerint ezek a szervezetek átlagosan 226 millió naplóüzenetet gyűjtenek egy nap, ami óriási számnak tűnik, de a rossz hír, hogy ez a szám sok esetben compliance-elvárásokból kifolyólag, de egy későbbi incidens felderítése érdekében sem csökkenthető. Arról nem is beszélve, hogy egy elemzés csak annyira lehet jó, amennyire az összegyűjtött adat jó, így a pontos előrejelzéshez és prevencióhoz elengedhetetlen a megbízható, nagyteljesítményű és veszteségmentes naplógyűjtés a lehető legtöbb platformról.
Természetesen az összes napló feldolgozása, elemzése óriási mennyiségű pénzt és időt emésztene fel, hiszen ezek egy meghatározó része nagyon kevés releváns információt tartalmaz. A megkérdezett szervezetek átlagosan az összegyűjtött naplóüzenetek 33 százalékát képesek feldolgozni, ami egészséges aránynak látszik, a kérdés csak az, hogy a megfelelően kiválasztott 33 százalékról van-e szó, így nagyon nem mindegy, miként szűrik, strukturálják és osztályozzák az elemzésre váró adatokat.
Ezekből a feldolgozott naplókból a SIEM rendszerek, tűzfalak, IDS, IPS és egyéb tevékenységfelügyeleti megoldások napi szinten 578 riasztást generálnak, ami kifejezetten nagy szám, figyelembe véve, hogy ezek kezelése viszonylag kis IT-biztonsági osztályra hárul. A legfontosabb kérdés azt eldönteni, hogy az IT-biztonsági rendszereiket:
a) nagyon pontosan konfigurálják, folyamatosan frissítik a szabályokat és mintákat, így kevesebb biztonsági riasztást kapnak, de egyszerűbb is felderíteni azokat;
b) vagy egy kicsit több riasztást várnak, ami több fals pozitívat is fog eredményezni (kisebb az esélye, hogy valami nem akad fenn a rostán), de ebben az esetben több ráfordításra van szükség ezek kivizsgálásához.
Mindkét megoldás lehet célravezető, de azt nem szabad figyelmen kívül hagyni, hogy átlagosan 9,2 ember dolgozik ezeknél a szervezeteknél az IT-biztonsági osztályon, akiknek ezeket a riasztásokat vizsgálniuk kell. Optimális esetben tehát (ha senki nincs szabadságon, és mindannyian a riasztásokkal foglalkoznak) 62,8 riasztás jut naponta és 7,8 óránként egy főre. Ez pedig azt jelenti (10 perces óránkénti szünettel számolva), hogy egy riasztás kivizsgálására 7 perc jut. Ennyi idő alatt kell eldönteni, hogy fals pozitív riasztásról, avagy támadásról van-e szó.
Öntanuló algoritmusok segítenek
A felmérés kitért arra is, hogy a fenti erőforráshiány miatt ezeknek a riasztásoknak átlagosan a 34 százalékát tudják csak kivizsgálni a szervezetek és ennek 18,8 százaléka bizonyul téves riasztásnak.
A Balabit szerint ezen a folyamaton a hatékonyság növelésével lehetne javítani. A minta- és szabályalapú riasztások ugyan hasznosak bizonyos területeken, de meglehetősen költségesek, és mindig csak követik a legfrissebb fenyegetéseket. A megoldást a gépi tanulásban és az öntanuló üzletiintelligencia-algoritmusokban látja, amelyek képesek betáplált szabályok nélkül is felismerni a szokatlan tevékenységeket, de ami a legfontosabb, ezekről kockázati szint alapján olyan automatikus prioritáslistát készítenek, amely lehetővé teszi, hogy a biztonságtechnikai csapatok szűk erőforrásukat a legfontosabb események kezelésére fordíthassák.
Tudjon meg többet a témáról: balabit.com/blindspotter
A felmérésről
A felmérést a San Franciscó-i RSA konferencián, a londoni Cyber Security Expón, a nürnbergi IT-SA-n, a monacói Les Assises és a budapesti ITBN konferencián 550 informatikai és informatikai biztonsági vezető bevonásával készítette a Balabit. A megkérdezettek a telekommunikációs, pénzügyi, ipari és államigazgatási szektort reprezentálják. Cégméret szerint pedig 24 százalékuk 5000-nél több, 25 százalékuk 500 és 5000 közötti, 52 százalékuk pedig 500-nál kevesebb munkatársat foglalkoztat.
