Ma már édeskevés, ha egy vállalat csupán hálózatának peremét védi. Rövid idő alatt sokat fejlődtek és jelentős mértékben átalakultak ugyanis a támadások, és a mobileszközök, valamint a hibrid környezetek elterjedése is nagyban növeli a kockázatokat.
Computerworld: Milyen válaszlépésekre készteti a kibervédelmet a fenyegetési környezet átalakulása?
Szuhai Gusztáv: A hálózatperem biztosítása mellett napjainkban az identitás-, vagyis a jogosultságkezelés, valamint az adatok védelme kerül előtérbe. Átlagosan 200 napra nőtt a támadások időtartama. A támadók, amint behatoltak a rendszerbe, megpróbálják eltüntetni jelenlétük nyomait, és gyors előretörés helyett "oldallépésekkel" próbálkoznak, például jogosultságok átállításával, vagy olyan információkat igyekeznek megszerezni, amelyek birtokában akár egyetlen célszemélyre szabott, valósághű adathalász e-mailt készíthetnek. Így jutottunk el a nagyot merítő adathalászattól (phishing) a célzottabb szigonyozáson (spear phishing) át a bálnavadászatig (whaling).
A kifinomult módszerekkel megszerezhető információk is mind értékesebbek - egy amerikai állampolgár személyes adatkészletének feketepiaci ára például eléri a 600 dollárt -, egyre többen pályáznak rájuk, nemcsak az alvilág, hanem az ipari és az állami hírszerzés köreiből is.
Egy szervezet ezért ma már aligha észlelheti időben, hogy támadás érte, ha védekezése nem terjed ki a felhasználói viselkedés és a hálózatforgalom mintáinak elemzésére, amihez UEBA- (user and entity behaviour analysis) és adaptív, hibrid SIEM- (security information and event management) képességekre kell szert tennie.
CW: Az Oracle milyen biztonsági megoldásokat ad ehhez?
SZG: Meglévő, hagyományos módon bevezethető jogosultság- és hozzáférés-kezelő, valamint adatbázis-biztonsági megoldásaink mellé felhőalapú kibervédelmi szolgáltatást fejlesztünk. Identitásalapú biztonsági műveleti központunk (ISOC, identity-based security operations center) különlegessége, hogy a védelem minden elemét a jogosultságkezelés összefüggésébe helyezi, és eleve hibrid, felhős és "földi" környezetre készül.
Az Oracle ISOC kibervédelmi felhőszolgáltatásainkat kapcsolja össze megoldáscsomagba, amely kiterjedten monitorozza és elemzi a hálózati eseményeket, gépi tanulásra, valamint bigdata típusú analitikára épülő képességeivel valós időben felismeri a növekvő biztonsági kockázatra utaló jeleket, és segít a téves riasztások kiszűrésében, a veszélyes fejlemények automatikus megválaszolásában. Támogatja a biztonsági szabványokat, teljes kiépítettségében így harmadik féltől származó megoldásokkal is összekapcsolható lesz - több komponenséről ez már ma is elmondható.
CW: Hogyan kapcsolódnak egymáshoz az Oracle ISOC különböző funkciókat hozzáadó elemei?
SZG: Az UEBA-képességet a házon belül és a nyilvános felhőben működő rendszereket egyaránt monitorozó SIEM-szolgáltatásunk, a Security and Monitoring Analytics (SMA) Cloud Service, valamint a felvásárolt Palerra technológiájára épülő Oracle CASB Cloud Service szolgáltatásunk fogja megjeleníteni. Utóbbival a vállalatok fényt deríthetnek az árnyékinformatika használatára, a nem Oracle-alapú felhőszolgáltatásokban is előírhatnak biztonsági szabályokat, például a jelszavak erősségére és kötelező cseréjére nézve, továbbá kiértékelhetik, hogy online viselkedése alapján ki mekkora biztonsági kockázatot hordoz: ha valaki sokszor jelentkezik be sikertelenül, más földrészekről származó IP-címeket váltogat, érzékeny fájlokat tölt fel vagy oszt meg a felhőben, gyanús linkekre kattintgat, akkor erősebb azonosítást kérhetnek tőle.
Erősíti az ISOC SIEM-funkcionalitását az Oracle saját fejlesztésű Compliance and Configuration Manager (CCM) terméke, valamint a két éve bevezetett Management Cloud Service (MCS) felhőszolgáltatása, amely az infrastruktúrától az alkalmazásokig minden technológiai rétegből gyűjt adatokat, hogy azokat elemezve gépi tanulással előre jelezze az üzemeltetésnek a meg-hibásodások kockázatát.
A CCM folyamatosan ellenőrzi, hogy a kívánt beállítások a végpontokon valóban érvényre jutnak-e, így gyakorlatilag másodpercenként auditálja a hálózatot. Mindezen elemeket az Identity Cloud Service (IDCS) helyezi a jogosultságkezelés kontextusába.
CW: Milyen ütemben gyarapodnak az Oracle ISOC képességei?
SZG: Az UEBA-t és SIEM-et magában foglaló SMA (Security Monitoring & Analytics) elkészült, várhatóan szeptembertől lesz elérhető az Oracle felhőjében. Az IDCS januárban debütált, már 1 millió felhasználója van, közöttük olyan cégek, mint a Levi Strauss és az olasz UBI bankcsoport, valamint kormányzati intézmények, például az Új-Mexikói Szociális Szolgálat. Mindkettő mikroszolgáltatás-alapú, havonta új képességekkel bővül, és év végére éri el teljes kiépítettségét. Az IDCS-hez legutóbb az Adaptive Access képességet adtuk hozzá, amely az alkalmazáselérés dinamikus ellenőrzését valósítja meg.
CASB szolgáltatásunk eredetileg nem Oracle-alapú felhőket támogatott - például az AWS-t, Google-t és az Office 365-öt -, júniustól azonban a vállalatok az Oracle Human Capital Management (HCM) Cloud, Enterprise Resource Planning (ERP) Cloud és Customer Experience (CX) Cloud Suite felhőszolgáltatásainkhoz is használhatják a fenyegetések automatikus észlelésére.
