Az Invitech DC10 adatközpontjában 2017 óta vehető igénybe az úgynevezett SOC szolgáltatás. A rövidítést jelentő biztonsági műveleti központ (Security Operation Center) olyan, mint egy frontvonal: nem is gondolnánk, hányféle potenciális veszélytől óvja éjjel-nappal az üzleti ügyfelek rendszereit. A tapasztalatok azt mutatják, hogy a támadások mennyisége teljes mértékben indokolja a folyamatos és magas szintű odafigyelést.

A X. kerületi Kozma utcában található DC10 egy igazi technológiai Fort Knox: a létesítmény a legkorszerűbb és legszigorúbb elvárásoknak is megfelel. Nem véletlen, hogy az adatközpontok minősítésével foglalkozó amerikai Uptime Institute hazánkban elsőként adta meg neki a TIER III minősítést - emelte ki Techpercek nevű blogjában az ICT-szolgáltató.

A koronavírus extrém kihívások elé állította a cégvezetőket

Bár még a járvány kellős közepén vagyunk, de már az üzleti életben is gyűlnek a tanulságos sztorik.

Ilyen követelményeknek megfelelő szerverpark egész Közép-Kelet-Európában mindössze három van. A biztonság olyan magas szintű, hogy a nemzetközi pénzintézetek szigorú követelményeinek is megfelel.

A TIER 3-as minősítéssel rendelkező adatközpontnak rendkívül magas, 99,999 százalékos a rendelkezésre állása. Ez úgy biztosítható, hogy minden aktív eszközből rendelkezésre áll tartalék, valamint minden ellátási útvonal, az energia, a klíma, az optikai jelátvitel redundáns, vagyis egy útvonal kiesése esetén is fennmarad az üzemkészség.

Mivel foglalkozik pontosan a SOC?

Artner Dániel

"Az eseménykezelő rendszerünk különböző alkalmazásokból, rendszerekből és eszközökből gyűjti a logokat, valamint a hálózati adatfolyamatokat, és az ott definiált szabályok, paraméterek, mélyebb összefüggések, illetve az események közötti korrelációk és a hálózati topológia alapján riasztásokat, úgynevezett offenseket generál" - sorolta Artner Dániel, a Services Operation Center menedzsere.

Az adott riasztásoknak több paramétere van, ezekből számítják ki a magnitúdóját, ami az eset komolyságát jellemzi. A magnitúdót a rendszer fontossága, megbízhatósága és az események száma alapján kalkulálják, ez a riasztás életciklusa alatt dinamikusan változhat - magyarázta a szakember.

Milyen támadásokat észlelnek időben?

  • A legnagyobb számban a tűzfal-logokból érkező tűzfalsértésekkel találkoznak. Ezek egy része olyan természetű, hogy például az egyik számítógép torrent klienst futtat, vagy olyan programot indít el, amelyet a tűzfal leállít.
  • Magas még a hibás vagy sikertelen bejelentkezések száma, ezek közül sok a hibásan mentett bejelentkezési adatokból adódik, de tényleges külső támadások is bőven előfordulnak.

A központ menedzsere elmondta, gyakori még az a típusú riasztás is, amikor a böngészőben olyan weboldalt nyit meg a felhasználó, amelyet az eseménykezelő rendszer veszélyesnek minősít. Jellemzően azért, mert malware, phishing, anonymizer vagy hasonló káros kód futott vagy fut rajta.

  • Riasztást válthat ki a kommunikáció vagy az arra tett kísérlet olyan IP-címekkel, amelyek az eseménykezelő rendszer adatbázisa szerint potenciális botnetes hálózatok lehetnek.
  • A rendszer azt is észleli, ha a hálózati port vizsgálat (portscanner) futtatását sikeres bejelentkezés követi, hiszen ez potenciális betörési kísérlet lehet.

A jellemző esetek közé tartozik még a vírustalálat, karanténba helyezett fájl, szokatlanul nagy mennyiségű admin jogosultságú bejelentkezés észlelése és sok ütemezett feladat létrehozása több hoszton.

Új hálózati modell hódít a vállalati informatikában

Az algoritmusok a hálózat optimalizálásában és menedzselésében is előrelépést hozhatnak.

Természetesen előfordulnak a túlterhelés elvén alapuló DDoS-támadások is, amelyeket a rendszer észlelni és kezelni képes, így azok nem tudják elérni a céljukat - tette hozzá Artner Dániel.

Üzemeltetési problémákat is menedzselnek

"A biztonsági aspektuson kívül még arra is felhívnám a figyelmet, hogy igen sokszor üzemeltetési problémák felderítésére is használjuk a rendszert. Ilyen lehet egy rosszul konfigurált DNS (Domain Name System), már nem élő tűzfal szabályok kiszűrése vagy bármely hasonló gond. Munkatársaink tehát folyamatosan figyelemmel kísérik a rendszerek működését, és ahol erre szükség van, azonnal beavatkoznak és megteszik a szükséges intézkedéseket" - ismertette mindennapi munkájukat az Invitech szakembere.

A teljes cikk itt olvasható.


ÉRTÉKELD A MUNKÁNKAT EGY LÁJKKAL, ÉS OSZD MEG MÁSOKKAL IS! KÖSZÖNJÜK!