Komplex támadások felismerése eseményelemzéssel

A Click Security egy viszonylag fiatal, amerikai cég, amely az informatikai biztonságot elsősorban adatelemzési oldalról közelíti meg. A 2009-ben alapított vállalat egyik tulajdonosa az a Marc Willebeek-LeMair, aki korábban a 3Com műszaki igazgatójaként vált ismertté. Egyik társa pedig Brian Smith, aki 2001-ben a TippingPoint alapítói között volt. A két elismert szakember azzal a céllal hozta létre a Click Security-t, hogy egy kicsit más szemszögből közelítsék meg a védelmi kérdéseket. Az első jelentősebb termékük az ASAP (Automated Security Analytics Platform) nevet kapta.

Az ASAP feladata, hogy a védendő hálózatokban a különböző hálózati és biztonsági eszközök, szerverek, illetve egyéb informatikai eszközök folyamatos megfigyelésével adatokat gyűjtsön és elemezzen. A megoldásnak alapvetően olyan támadásokat kell felismernie, melyek többféle technika révén tudják kifejteni a hatásukat. Ilyen eset lehet az, amikor egy támadónak valamilyen módon sikerül megkerülnie a tűzfal által jelentett védelmet, ugyanakkor a hálózati adatforgalomban mégis olyan árulkodó nyomokat hagy, amik összességében kártékony tevékenységekre utalhatnak. Ezeket a nyomokat kell összeszedegetnie az ASAP-nak, és értékelnie azokat.

Az ASAP alapvetően a naplók gyűjtésével valamint elemzésével foglalkozik, és a legfontosabb célja, hogy felismerje az események közötti kapcsolatokat, korrelációkat. Amennyiben ezek alapján úgy ítéli meg, hogy valamilyen kockázati tényező fenyegeti a rendszert, akkor jelzi azt az illetékes személyeknek, és bizonyos körülmények között be is avatkozik az eseményekbe. Például amikor egy támadó brute force módszerekkel próbál feltörni egy felhasználói fiókot, akkor az ASAP a rövid időn belül történő behatolási kísérletekre felfigyel, és szükség esetén teljes mértékben letiltja a célkeresztbe állított fiókot.

Az ASAP alapvetően két komponensből épül fel. A DMU-k (Data Mining Unit) végzik az adatgyűjtést és az információk továbbítását az úgynevezett MPU (Module Processing Unit) felé, amely az adatfeldolgozást, –elemzést valamint a kockázatok értékelést szolgálja.

A fentiek alapján elmondható, hogy az ASAP nagyon sok szempontból hasonlít a SIEM (Security Information and Event Management) eszközökre, azonban Brian Smith határozottan cáfolta, hogy egy újabb SIEM-megoldással akarnának piacra lépni. Smith szerint ugyanis egy új védelmi kategóriát képvisel a termékük, amely nemcsak a központi naplókra épít, hanem a fenyegetettségek felismeréséhez számos egyéb technológiát és szolgáltatást is alkalmaz.

Az ASAP várhatóan áprilisban válik elérhetővé szélesebb körben is. Addig a cég a termék tesztelését végzi néhány vállalat bevonásával.