Növekvő kockázatok, növekvő adatmennyiség
„A NetIQ támogatásával készült kutatás szerint az elmúlt évben az észak-amerikai és európai vállalatok 71 százalékánál előfordult valamilyen biztonsági incidens. Ez a szám tavaly még 9 százalékkal kevesebb volt, a tendencia tehát azt mutatja, hogy minden vállalatnak érdemes felkészülnie a védekezésre. Száz százalékos védelem természetesen nem garantálható, de a kockázatot minimálisra csökkenthetjük, ha kész tervvel rendelkezünk olyan lehetőségekre is, hogy az esetlegesen bejutott támadókat azonnal észlelhessük és azonosíthassuk, majd haladéktalanul megtehessük a szükséges lépéseket" – mutatott rá Hargitai Zsolt, a Magyarországi Képviselet üzletfejlesztési vezetője.
Napjainkra a vállalatok nagy része már felismerte a veszélyt, ám a megelőzésre a legtöbb helyen mindössze egy biztonsági információ- és eseménykezelő rendszert vezetnek be. Ez hasznos első lépés, azonban egy ilyen megoldás óriási mennyiségű információt generál, amit a már egyébként is túlterhelt informatikai szakembereknek kell elemezniük. A NetIQ szakértői szerint az adatok analizálását az könnyítheti meg leginkább, ha a SIEM megoldásokat összekapcsolják egyéb rendszerekkel, kontextusában értelmezve az információkat.
Ki? Mit? Miért? Van rá engedélye?
Érdemes a SIEM megoldást összekötni például a vállalat személyazonosság- és jogosultságkezelő alkalmazásával. Ezzel együtt ugyanis könnyebben megállapítható, hogy az adott felhasználótól elfogadhatónak tekinthetőek-e az elvégzett tevékenységek. Például egy külsős felhasználó esetében gyanúra ad okot, ha a vállalat érzékeny dokumentumait megnyitja, lemásolja vagy továbbítja. Erre a feladatra jól használhatók a NetIQ kapcsolódó megoldásai, amelyek tökéletesen integrálhatók a biztonsági információ- és eseménykezelő rendszerrel.
Hasonlóan fontos a tevékenységek figyelése, különös tekintettel a változtatásokra: ki, mikor, honnan és pontosan mit változtatott a kritikus rendszerekben és fájlokban, és jóváhagyta-e azokat valaki. Egy profi eszköz, például a NetIQ Change Guardian képes ezt folyamatosan figyelemmel kísérni, és szükség esetén riasztást küldeni a gyanús tevékenységekről az illetékeseknek. Ezáltal a kockázatok csökkentése mellett a megfelelőség biztosítását is elősegíti a legfontosabb előírások esetén, beleértve a PCI DSS, a HIPAA/HITECH, az ISO/IEC 27001 szabványokat és az EU adatvédelmi irányelvét.
A tevékenységekhez hasonlóan kiemelkedő jelentősége van a konfigurációknak, hiszen a beállítások módosításával könnyen és akár észrevétlenül létrejöhetnek olyan biztonsági rések, amelyeken keresztül ellophatják a vállalat érzékeny adatait, vagy egyéb módon kárt okozhatnak a szervezetnek a rosszindulatú támadók. A NetIQ Secure Configuration Manager megoldást kínál erre a problémára, mivel teljes körűen felméri és folyamatosan monitorozza a konfigurációkat és a felhasználói jogosultságokat. Az ellenőrzéskor pedig figyelembe veszi az előírásokat és a saját, folyamatosan frissített adatbázisában megtalálható legjobb gyakorlatokat, majd ezeknek megfelelően szükség esetén javaslatokat tesz a beállítások módosítására. A szoftver a SIEM megoldással integrálva a védekezési stratégia integrált részévé teszi a konfigurációk figyelését is, ezáltal jelentős mértékben csökkenti a biztonsági kockázatokat.