Interjú Erdész Mártonnal, a Quadron IT biztonsági rendszermérnökével
Minden hálózati eszköz, szerver, alkalmazás és operációs rendszer folyamatosan naplózza saját működését, beleértve a felhasználói tevékenységeket, a hálózati kapcsolatokat és a rendszerállapotot. Ezek az eseménynaplók időrendben rögzítik a rendszer különböző eseményeit, például a felhasználói bejelentkezéseket, fájlmódosításokat, és a hibákat vagy figyelmeztetéseket.
A logelemzés alapvetően azt jelenti, hogy egy informatikai rendszer naplózza a tevékenységeit—kicsit olyan, mint egy napló, de itt nem személyes élményekről, hanem működési adatokról van szó. Képzeld el, hogy minden, ami egy rendszerben történik, azt egy naplóban rögzítjük időrendi sorrendben. Például, hogy egy felhasználó mikor lépett be a rendszerbe, mit változtatott, majd mikor lépett ki. A logelemzés során ezeket az adatokat gyűjtjük össze és dolgozzuk fel úgy, hogy azok ne csak egy sor száraz adat legyenek, hanem értelmezhető, olvasható információvá váljanak. Ennek segítségével grafikonokat, kimutatásokat, és riportokat készíthetünk, amelyek fontosak a vezetőség számára a döntéshozatalhoz. Ez tehát egy fontos szegmense a kiberbiztonságnak, mivel segítségével nyomon követhető, hogy pontosan mi történik a rendszerben, és ezáltal időben észlelhetők az esetleges biztonsági incidensek.
Milyen típusú ügyfelek keresik meg a Quadront a logelemzés területén, és hogyan segít a cég ezeknek a különböző igényeknek megfelelni?
Ügyfeleink minden stádiumban lehetnek, amikor megkeresnek minket: vannak, akiknek még egyáltalán nincsen logelemzőjük, másoknál már kész a rendszer, és olyanok is akadnak, akik valahol félúton elakadtak. Ilyenkor nekünk kell beavatkoznunk, hogy elinduljon a használat. Amikor semmi sincs, az a legegyszerűbb helyzet számunkra; ekkor bemutatjuk az Elastic Search lehetőségeit, ami az alapja gyakorlatilag minden jelenleg létező logelemző rendszernek. Az Elastic Search ingyenes verziója is kiválóan alkalmas a legtöbb igény lefedésére, míg a fizetős verzió további kényelmet nyújt már kiépített rendszerek esetén. Az Elastic Search további előnye, hogy kiválóan dokumentált; nincs szükség különösebb előismeretekre, bármilyen kérdés esetén könnyedén tájékozódhat az ember online forrásokból.
Milyen típusú információkat tudnak nyújtani a logelemzés által készített riportok, és milyen belátásokat nyerhetnek az ügyfelek ezekből?
A logelemzés révén készült riportok és kimutatások többféle hasznos információt tartalmaznak az ügyfeleink számára. Egyik fontos terület a belső hálózatok monitorozása, ahol havi riportokban összegzünk minden lényeges eseményt. Ebből a riportból kiderül, hogy az ügyfél végpontvédelmi rendszere milyen támadásokat hárított el, és melyek azok, amelyeket nem sikerült megakadályozni. Ezenkívül bemutatjuk azokat a belső kapcsolatokat és sérülékenységeket, amelyek kihasználhatók lehetnek a támadók által. Továbbá egyes riportokban olyan specifikus információkat is képesek vagyunk nyújtani, mint például egy adott felhasználó tevékenységei a rendszeren belül. Megmutathatjuk, hogy ki mikor lépett be, mit változtatott a biztonsági beállításokon, amiből az ügyfelek képesek visszaellenőrizni és auditálni az eseményeket. Például felismerhetik, hogy egy már nem aktív hozzáférési jogosultsággal rendelkező személy, mint például ‘Sanyi’, éppen milyen változtatásokat hajtott végre, ami felhívja a figyelmet a belső biztonsági résekre.
Lehet a logelemzés szolgáltatás egyszeri, vagy ez inkább folyamatos szolgáltatás?
Van lehetőség egyszeri kiépítésre, amikor a rendszer elkészítése után nincs további kapcsolat, de az a jellemzőbb, hogy a kiépítést követően supportot is biztosítunk. Az ügyfelek gyakran igénylik a folyamatos támogatást, mert itthon nem áll rendelkezésre elég Elastic Search szakértő.
Havi rendszerességgel készítünk riportokat. Ebben az esetben az én feladatom, hogy elküldjem a riportot a sérülékenységekkel, és az ügyfél feladata, hogy intézkedjenek a javítások megtételéről, de természetesen nyitottak vagyunk arra, hogy ezen a területen is bővítsük szolgáltatásainkat, ha az ügyfelek igénylik.
Mi teszi különösen vonzóvá a Quadron szolgáltatásait az Elastic Search támogatása terén?
A Quadron szolgáltatásai kiemelkednek a személyre szabott támogatás és a rugalmas beállítási lehetőségek révén. Az egyik legnagyobb előny, hogy az Elastic Search egy ingyenes, on-premise megoldás, ami azt jelenti, hogy a szerverek a cég területén helyezkednek el, biztosítva a teljes adatkontrollt és biztonságot. Ez különösen fontos a magas biztonsági követelményeket támasztó ügyfelek számára. Emellett nincs korlátozás arra vonatkozóan, hogy hány rendszert lehet integrálni, ami nagyobb szabadságot és skálázhatóságot nyújt a felhasználók számára. A Quadron továbbá azon kevés szolgáltatók közé tartozik Magyarországon, amely kiterjedt támogatást nyújt az Elastic Search használata során, ami különösen értékes lehet azok számára, akik már ezt a platformot használják.
Az Elastic Search ingyenes verziója rendkívül előnyös a logelemzés terén, mivel nincsenek korlátok az adatmennyiségre nézve. Felhasználók tetszőleges mennyiségű rendszeradatot és logot dolgozhatnak fel korlátok nélkül, még az ingyenes verzió használata során is. Ez teszi különösen vonzóvá azok számára, akik nagy adatmennyiségek elemzését szeretnék megoldani költséghatékonyan.
Milyen gyakori hibákat szoktak elkövetni a cégek a logelemzési rendszerek használata során?
Egyik leggyakoribb hiba, hogy a cégek drága és költséges rendszereket telepítenek, amelyeket aztán nem használnak ki teljes mértékben, vagy egyszerűen elhanyagolják. Ez pazarlásra vezet, mind pénzügyileg, mind erőforrás-szempontból. Egy másik jellemző probléma az, hogy bár beruháznak egy magas képességű eszközbe, és rendelkezésre áll hozzá szakember is, ha ez az ember távozik a vállalattól, a rendszer kezelését gyakran elhanyagolják.
Emellett sok cég nem használja ki a loggyűjtő rendszerek teljes potenciálját; csak az alapvető funkciókat használják, anélkül, hogy mélyebben elemeznék az adatokat, vagy integrálnák őket más biztonsági protokollokkal. Ez különösen veszélyes lehet, mert a logadatok elemzése kulcsfontosságú lehet a biztonsági incidensek előrejelzésében és megelőzésében. A logelemzés lehetőséget ad arra, hogy a cégek proaktívan kezeljék az esetleges biztonsági réseket, ami jelentősen növelheti az adatbiztonságot és csökkentheti a támadások kockázatát.