STAP: a biztonsági eszközök új kategóriája

A szemünk láttára születik meg a biztonsági eszközök új kategóriája, amely szakít a hagyományos védelmi technológiákkal, és a fejlett fenyegetettségekre koncentrál.
 

Sokszor lehet hallani, hogy a hagyományos védelmi technológiák önmagukban már nem képesek megfelelő biztonságot nyújtani a szervezetek számára. Különösen azóta nem, amióta az úgynevezett APT (Advanced Persistent Threat) alapú támadások, vagyis a fejlett, perzisztens fenyegetettségek elkezdtek szaporodni. A célzott, többlépcsős támadások elleni védekezés azonban korántsem egyszerű feladat.

Az IDC korábban úgy határozott, hogy egy teljesen új kategóriát vezet be a biztonsági eszközök piacán, és annak fényében is értékeli a trendeket. Az új kategória neve: STAP, azaz "Specialised Threat Analysis and Protection" lett, és nagyon úgy tűnik, hogy a jövőben egyre többet fogunk hallani róla. Így aztán érdemes közelebbről megvizsgálni, hogy mit is takar valójában ez az új megközelítés.

Tradicionális technikák helyett valami más

A STAP kategóriába tartozó védelmi eszközöknek számos feltételt kell teljesíteniük. Ezek közül a legfontosabb, hogy szignatúra adatbázisok nélkül is működőképesnek kell lenniük. A hagyományos megközelítések helyett egyebek mellett sandbox technológiákat, "big data" alapú analitikai eljárásokat kell alkalmazniuk a fenyegetettségek felismeréséhez, kezeléséhez, illetve izolálásához. A kártékony kódok kiszűréséhez pedig automatizált reverse engineering vagy akár forensic jellegű elemzéseket is bevethetnek.  Ezek az eszközök működhetnek hálózati vagy végpont szinten, de kombinált megoldások is elképzelhetőek. A STAP legfontosabb célja az olyan többlépcsős (minden támadási fázisban más-más kódokra és eljárásokra épülő) támadások kiszűrése, amelyek kiberkémkedéshez, adatszivárgáshoz, valamint a vállalati IT-infrastruktúrák kompromittálódásához vezethetnek.

Phil Hochmuth, az IDC szakértője szerint alapvető fontosságú, hogy a vállalati infrastruktúrák fenyegetettség-központú, folyamatos elemzése megtörténjen, feltételezve azt, hogy az infrastruktúra bármely pontján kompromittálódhat. A szakember hozzátette, hogy a STAP-termékek a hagyományos, szignatúralapú antimalware eszközökkel, valamint a behatolásmegelőző és behatolásdetektáló (IDS/IPS) rendszerekkel együttműködve végzik a dolgukat.

Most úgy tűnik, hogy a STAP fejlődése leginkább az IDS/IPS technológiák elterjedésére hasonlít, legalábbis abból a szempontból, hogy a szervezetek kezdetben inkább csak a fenyegetettségek felismerésére, detektálására használják azokat, majd amikor meggyőződnek a kellő hatékonyságról, akkor az új technológiák már szerepet kaphatnak a megelőzésben és a támadások blokkolásában is. Vagyis a vállalatok, intézmények jelenleg még fokozott óvatossággal közelítenek a STAP-eszközök felé, de ez a jövőben változni fog.

Az IDC szerint napjainkban STAP-kategóriájú termékek többek között a Blue Coat, a Bromium, a Damballa, a FireEye, a Norman ASA, a Palo Alto Networks, a Trend Micro és a Cisco által nemrégen felvásárolt Sourefire kínálatában is megtalálhatóak. E piaci szegmens tekintetében pedig ígéretes jövő vár például a Check Point, a Fortinet, a McAfee és az EMC (RSA) cégekre, amelyek jelenleg integrált STAP-funkcionalitást biztosítanak egyes termékeik esetében.

Mit hoz a jövő?

Az IDC szerint a STAP-kategóriájú berendezések tavalyi forgalma körülbelül 200 millió dollárt tett ki, azonban a következő években jelentős fellendülés várható e piacon. Az optimistább jóslatok szerint a forgalom nagysága 2017-re elérheti az 1,17 milliárd dollárt. A kutatók úgy látják, hogy napjainkban a vállalatok egy része már elkezdett extra anyagi forrásokat biztosítani a költségvetésében a STAP-megoldásokra, és egyes esetekben ezek a beruházások nagyobb prioritást is élveznek, mint az egyéb biztonsági költések. Ugyanakkor az IDC felhívta a figyelmet arra is, hogy a gyártók, fejlesztők csak akkor lehetnek sikeresek ezen a piacon, ha folyamatosan tudják igazolni azt, hogy a megoldásaik valóban a kiberbűnözés előtt járnak, ami nem éppen könnyű feladat.