CPX 2010: iránymutatások a biztonság útvesztőihez

A Check Point minden év tavaszán megrendezi a CPX 2010 konferenciáját, amelynek korántsem csak az a célja, hogy a partnerek vagy a leendő ügyfelek érdeklődését felkeltse a védelmi technológiák iránt. A CPX jelentősége abban rejlik, hogy a Check Point általában e konferenciájának keretében mutatja be a közeljövő legmeghatározóbb termékeit, valamint vázolja azokat a fejlesztési terveit, amelyekből nemcsak a cég vízióira lehet következtetni, hanem arra is, hogy az egész IT-biztonsági piac merre halad.

A rendezvény első részében a Check Point vezetői elsősorban arra igyekeztek felhívni a közönség figyelmét, hogy napjainkban az informatikai biztonság olyan komplexé vált, hogy nem ritka, amikor tizenötnél több, különféle védelmi megoldás alkalmazására van szükség egy-egy szervezetnél. Mindez azt is jelenti, hogy a különböző fenyegetettségekre reagálni képes, rengeteg technikai eszköz között nem könnyű megtalálni a biztonsághoz vezető utat. És akkor még nem is beszéltünk az implementációs és az üzemeltetési nehézségekről. Természetesen mindez felveti a biztonsági megoldások egységesítésének és konszolidációjának fontosságát is, hiszen ezzel nemcsak a védelemre fordított kiadások csökkenthetők, hanem a rendelkezésre álló erőforrások felhasználása is optimalizálhatóvá válik.

A Check Point úgy látja, hogy a valóban hatékony biztonságmenedzsmenthez számtalan tényező megléte szükséges. Ezek közül az egyik legfontosabb, hogy a biztonsági rendszer ne akadályozza az értékek előállítását, azaz minimális befolyást gyakoroljon az üzleti folyamatokra. Emellett a bevezetendő védelmi megoldásoknak gyors integrációt kell biztosítaniuk, és lehetővé kell tenniük, hogy a szervezetek az üzleti tevékenységeiket a lehető leggyorsabban és legbiztonságosabban tudják az online világ felé elérhetővé tenni. Természetesen mindez kompromisszumokkal jár, de amennyiben sikerül kiválasztani a megfelelő technikai eszközöket a rendszerek és az adatok megóvásához, akkor a biztonságmenedzsment is hatékonyabbá válik.

A konferencia bevezető elődadásai után következtek az igazán érdekes bejelentések. A biztonsági cég egyrészt a korábbról már ismert védelmi megoldásaihoz készült fejlesztéseit ismertette, másrészt új frontokat is nyitott a különféle fenyegetettségek elleni küzdelemben. A legjelentősebb újdonságok az adatszivárgás-megelőzés valamint az alkalmazás- és hozzáférés-szabályozás területeit érintik. Mielőtt azonban ezek ismertetésére rátérnénk fontos megemlíteni, hogy a Check Point a meglévő eszközeihez – különösen az UTM-berendezéseihez – újabb firmware fejlesztéseket is bejelentett, amelyek segítségével egyszerű, szoftveres frissítéssel sikerült elérni az eddigi eszközök teljesítményének további fokozását.

DLP: új harcmezőre lépett a Check Point

Az elmúlt években egyre több szervezetnél történtek adatszivárgásokra visszavezethető események, amelyek arra hívták fel a figyelmet, hogy a külső, internet felől leselkedő veszélyek mellett a belső fenyegetettségek ellen is fel kell lépni. A kockázatok csökkentése azonban korántsem egyszerű feladat, hiszen egy vállalatnál számtalan csatornán történhet adatszivárgás. Ráadásul mindez sokszor nem is szándékosan következik be. Elég, ha csak azokra az esetekre gondolunk, amikor egy-egy üzleti információkat tartalmazó e-mail a címzett hibás megadásának következtében rossz postafiókba landol. A Check Point felmérése szerint az adatszivárgásoknak a 90 százaléka nem szándékos cselekményekre vezethető vissza, vagyis az ilyen jellegű adatbiztonsági incidenseknek mindössze a 10 százaléka következik be a vállalati biztonsági szabályok tudatos megszegésével. Ebből az is következik, hogy ha a felhasználókat sikerül idejében figyelmeztetni egy potenciális adatszivárgásra, akkor azzal nagyon sok kár és kellemetlenség válik megelőzhetővé, miközben a felhasználói biztonságtudatosság is fokozható lesz. A Check Point CPX 2010-en bemutatott DLP-megoldása pedig pontosan a prevencióra helyezi a hangsúlyt.

A Check Point a DLP-technológiájának kifejlesztésekor azt tartotta szem előtt, hogy a számítógépek alapjában véve a különféle minták felismerésében, illetve a kifejezések kiértékelésben hatékonyak, azonban a tartalmak értékelésében és az azok közötti összefüggések feltérképezésében az emberi tényező sokkal relevánsabban jelenik meg. Amennyiben e tényezőket sikerül összehangolni, akkor a felismerés helyett a megelőzés kerülhet előtérbe, miközben a hamis riasztások száma nem fog emelkedni.

Egy DLP-nek számos biztonsági folyamatot kell leképeznie annak érdekében, hogy az valóban megfelelően legyen alkalmazható a vállalati környezetekben. Technikai támogatás nélkül egy biztonsági esemény kezelése hosszadalmas folyamat, ami nem is biztos, hogy eredményre vezet. Ennek során elemezni kell az eseményt, meg kell keresni a felelősöket, vezetői vizsgálatokat kell kezdeményezni, meg kell hozni az incidenssel kapcsolatos döntéseket, és ha még ezután az illetékes személyeknek marad idejük, akkor a döntéseket érvényre is kell juttatni. A tapasztalat az, hogy egy ilyen folyamat sokszor megszakad, ezért a későbbi, hasonló incidensek elleni immunitás sem alakul ki. A Check Point DLP lehetőséget ad arra, hogy a szervezeteknél alkalmazott folyamatoknak, workflow-knak megfelelően a nemkívánatos események felismerésétől a szabályok kikényszerítéséig bezárólag le lehessen fedni a védelmi feladatokat.

A Check Point DLP alapvetően egy háromszintű struktúrát követ. A rendszer magját a MultiSpect nevű motor adja. Ehhez olyan összetevők kapcsolódnak, amelyek egyrészt biztosítják a policy menedzsmentet, másrészt képesek a teljes hálózaton a szabályok kikényszerítését elvégezni. A MultiSpect egy érdekes komponens, ugyanis alkalmas több forrásból származó adatok közötti korrelációk felállítására. Alapesetben 600 fájlformátum vizsgálatát látja el, és 250 előre definiált adattípus felismerésére képes. Az adattípusok köre természetesen bővíthető. A Check Point DLP a Software Blade architektúra részeként valamint dedikált hálózati eszköz formájában is elérhetővé vált.

Megkerülhetetlenül felvetődik a kérdés, hogy a Check Point nem rukkolt-e elő későn a DLP-termékével, hiszen számos riválisa már régebb óta van jelen ezen a piacon. A választ erre a kérdésre nehéz megadni, ugyanis az előrejelzések szerint a DLP-piacon tapasztalható aktivitás az elkövetkező években még biztosan fennmarad, sőt tovább fokozódhat. Annyi bizonyos, hogy a Check Point terméke a jelenlegi ügyfeleinek körében – főleg az integrációs képességek miatt – az egyik legesélyesebb befutó lehet egy DLP-megoldás kiválasztásakor, de az egyszerűbb bevezethetőség miatt egyéb esetekben is képes lehet megszorongatni a riválisait. Azt pedig kíváncsian várjuk, hogy a cégnek a következő években mekkora részesedést sikerül kihasítania ebből a piacból.

Megregulázott alkalmazások, felügyelt felhasználók

A CPX 2010 konferencián egy másik kiemelt téma a felhasználói felügyelet valamint az alkalmazásszabályozás területét ölelte fel. A Check Point előadója a téma felvezetésekor megemlítette, hogy az internetes alkalmazások és szolgáltatások szaporodásával biztonsági szempontból nagyon nehezen lehet lépést tartani. Ezek a felhasználók körében nagyon népszerű szolgáltatások (mint amilyen például a YouTube vagy a Facebook) több tényező miatt is károssá válhatnak egy szervezet életében. Egyrészt csökkentik a produktivitást, másrészt jelentős sávszélességet emésztenek fel, harmadrészt nagyon komoly kockázatot rejtenek a vírusok terjedése miatt. A Check Point szerint – főként technológia adottságok miatt – ezen webes alkalmazások szűréséhez a hagyományos IP-alapú védelmi technológiák valamint az URL-alapú ellenőrzési eljárások sokszor nem elegendőek. Gyakran előfordul az is, hogy a felhasználóknak egyedi módon kell kiosztani a webes szolgáltatásokhoz való jogosultságokat, vagy csoportok alapján kell szabályozni a hozzáféréseket.

A Check Point által kifejlesztett alkalmazás- és felhasználókezelés egy olyan alkalmazáskönyvtáron alapul, amelynek segítségével 4500 különféle szoftver valamint 50 ezer, közösségi hálózatokon keresztül elérhető widget felügyelete válik lehetővé. Az alkalmazáskezelés azonban ennyiben nem merül ki, ugyanis az ehhez kapcsolódó megoldások tulajdonképpen az összes Software Blade-hez kapcsolódnak. Például a tűzfal blade-ben nemcsak IP címeket, portokat, stb. lehet beállítani, hanem azt is, hogy az Active Directory-ból származó felhasználók, illetve azok csoportjai hozzáférhetnek-e a YouTube-hoz, a Twitterhez, stb. Emellett az alkalmazásszabályozás a SmartEvent blade-hez is szorosan kapcsolódik, aminek köszönhetően a központosított eseménykezelés a védelem e területére is kiterjeszthetővé válik.

Tanulságok

A londoni CPX 2010 konferencia legfontosabb tanulsága, hogy az IT-biztonságnak az egyre komplexebb fenyegetettségek ellenére el kell mozdulnia az egyszerűség irányába. A számtalan dedikált biztonsági eszköz nehézkes, erőforrásrabló menedzselhetősége egyre inkább kezd rávilágítani arra, hogy a jövőben azok a védelmi megoldások juthatnak kulcsfontosságú szerephez, amelyek integráltan képesek működni, segítenek a biztonsági infrastruktúrák konszolidálásában, ugyanakkor naprakész módon tudják megóvni a rájuk bízott értékeket.