Egy mederbe kell terelni a biztonsági információkat

A Microsoft kidolgozta azt a keretrendszerét, amely a jövőben a biztonsági információk megosztásának alapjául szolgálhat.
 

Már többször lehettünk szemtanúi annak, hogy egyes biztonsági cégek, kormányzati és piaci szereplők egymással olyan megállapodásokat, szövetségeket kötnek, amelyek keretében megosztják a legfontosabb a védelmi információkat. Tavaly májusban a Fortinet és a Palo Alto Networks hívta életre a Cyber Threat Alliance (CTA) szövetséget, amellyel az volt a céljuk, hogy egymásnak átadják azokat az információkat, melyek révén elősegíthetik a védekezést. Erre a szerveződésre több cég is felfigyelt, egyebek mellett a McAfee (Intel) és a Symantec is, amelyek végül úgy határoztak, hogy szerepet vállalnak a fenyegetettségek elleni közös fellépésben. Persze a biztonsági információk megosztására már korábban is több példa volt. Elég, ha csak az AlienVault Open Threat Exchange (OTX), a HP Threat Central vagy a Check Point ThreatStore Intellistore megoldásokra gondolunk, de említhetnénk az amerikai kereskedelmi cégek által létrehozott R-CISC (Retail Cyber Intelligence Sharing Center) központot is. 

Semmi sem egységes

A fenti kezdeményezések egy hátrányos jellemzője, hogy egymástól viszonylag elszigetelten működnek, és mindegyikük különféle módon teszi lehetővé az információk átadását. Ezért a Microsoft úgy gondolta, hogy ideje egységes mederbe terelni az információk megosztását, és meghatározni azokat az irányelveket, eljárásokat, amik betartásával bizonyos értelemben "szabványosabban" és hatékonyabban lehet végezni ezt a valóban fontos tevékenységet.

A Microsoft által kiadott keretrendszer azt taglalja, hogy kiknek kell vagy kellene részt venniük az információáramlásban. A szereplők között találjuk a kormányzati szerveket, a kritikus infrastruktúrák üzemeletetőit, a vállalatokat, az informatikai, valamint a biztonsági cégeket és nem utolsó sorban a biztonsági kutatókat. Közöttük kell megteremteni a megfelelő adatcserét. A keretrendszer kitér a megosztandó információk körére is: incidensek részletei, fenyegetettségek leírása, kihasznált sérülékenységek, elemzések és legjobb gyakorlatok. 
Adatvédelmi korlátok

A Microsoft elgondolása szerint a védelmi információk megosztását több szinten kell megvalósítani, de ezek között természetesen lehetnek átfedések. Beszélhetünk nemzetközi, nemzeti és regionális adatcseréről, amit besorolhatunk szektorspecifikus és általános érdeklődésre számot tartó kategóriákba. Ugyanakkor bármilyen típusú információmegosztásról legyen szó, egy dolgot mindig szem előtt kell tartani. Mégpedig az adatvédelem kérdését. Az információk átadása során - akár az incidensek vagy az érintett adatok körének ismertetésekor - nagyon könnyen felvetődhetnek olyan esetek, amikor vissza kell fogniuk magukat a szervezeteknek, hiszen e tevékenységükkel sem szeghetik meg a jogszabályi, illetve az adatvédelmi előírásokat. Akkor sem, ha emberek közötti információcsere történik, és akkor sem, amikor a biztonsági rendszerek között automatikusan áramolnak az adatok.