Előadásom bevezetőjében röviden bemutatok néhány információbiztonságot érintő problémát, és ezzel összefüggésben vázolom azokat a külső és belső kényszerítő körülményeket, amelyek az egyes vállalatokra hatással lehetnek a kockázatkezelés és ezen belül az incidenskezelés területén.

A mai információbiztonsági körülmények között minden vállalati informatikai rendszernek elengedhetetlen része kellene hogy legyen egy jól működő incidenskezelő alkalmazás. Az informatikai rendszereket, ezen belül a hálózatokat sokféle külső támadás éri, melyek ellen különféle védekezési módszereket alkalmaznak, elsősorban megelőző és detektáló típusúakat. Az általam bemutatni kívánt megoldás detektáló típusú. Ahhoz hogy az incidenseket detektálni lehessen, meg kell határozni, hogy melyek a kritikus rendszerek amelyeket figyelni kell, és ki kell jelölni azokat a digitális nyomokat, naplóállományokat, logokat, amelyeket össze kell gyűjtenünk.

A különböző vállalati rendszerek naplóadatai egyre szélesebb körben állnak rendelkezésre. Megfelelő feldolgozással és elemzéssel hatékonyan állíthatók elő ezekből jelzések/figyelmeztetések/riasztások a külső/belső támadásoktól a visszaéléseken keresztül a csalások felderítéséig, illetve gyűjthetők információk a törvényi, biztonsági és egyéb szabályozási megfelelőségről.

A digitálisnyom-elemző rendszer feladata a különböző informatikai rendszerek által rögzített „digitális nyomok” összegyűjtése, a nyomgyűjtés felügyelete és ellenőrzése, majd a forrásadatok feldolgozásával a rendellenességek feltárása, esetleges fenyegetések, visszaélések felderítése, az ilyen típusú események megelőzésének támogatása a rendszerek használata során felderíthető rejtett összefüggések elemzésével, az időben elhúzódó folyamatok összetett vizsgálatával.

Célszerű a digitálisnyom-elemző rendszer bevezetésének tervezésekor egy olyan szemléletet követni, amely szerint a különböző — akár nem informatikai jellegű — rendszerek releváns eseményeit egy közös eseménytérben képezzük le, amelyet aztán automatikus, informatikai módszerekkel is lehet értelmezni, és a kapott eredményeket a felhasználók által értelmezhető és tovább feldolgozható formában is meg lehet jeleníteni.

Előadásomban egy ilyen rendszer működési elvét, tipikus felépítését, felhasználási lehetőségeit, előnyeit és bevezetési módszertanát ismertetem.

Előadásvázlat:

- Bevezetés

- Incidenskezelés a kritikus rendszerek mentén

- Digitális nyom fogalma

- Digitálisnyom-elemző működési elve

- Logikai és fizikai felépítése

- Működési folyamatok

- Előnyei

- Rendszerbevezetés és üzemeltetés problémái