IT biztonság - számokban

forrás Prim Online, 2004. február 2. 12:50
A KFKI Csoporthoz tartozó ICON Számítástechnikai Rt. közzétette az általa üzemeltetett menedzselt biztonsági szolgáltatás 2003-as statisztikai adatait. Ezek szerint az általuk működtetett távfelügyeleti rendszerben 32.961.540 (nem tévedés, majdnem 33 millió) biztonsági, és azt esetleg érintő esemény történt. A hazai informatikai fenyegetésekről készített tételes beszámoló számos következtetéshez ad támpontot.

A biztonság különös fogalom, kicsit az egészséghez hasonlítható. Legalábbis annyiban, hogy csak saját hiányával magyarázható, amíg van, észre sem vesszük - kezdte beszámolóját Keleti Arthúr, az ICON biztonságtechnikai üzletágának igazgatója. Szükség van olyan statisztikai kimutatásokra, amelyek igazolják, hogy nem véletlenül kell megelőző intézkedéseket tenni, valamint a fejlesztésekhez további ismeretek szerezhetőek a rendszerezett adatokból.

Tavaly a napi átlagban is több, mint 90 ezer eseményből a távfelügyeleti rendszer által automatikusan végzett előszűrést követően megmaradt, biztonsági szempontból érdekes üzenetek száma 230.730 volt tavaly. Ebből a távfelügyeleti rendszer előszűrő modulja további szelektálás során 318 eseményt talált feldolgozásra érdemesnek. Ezek közül már viszont 240 eset - immáron emberi mérlegelést követően - valóban kezelendő biztonsági eseménynek minősült, melyekről (a szerződések értelmében) az ügyfeleket értesítették is. Ez a 240 esemény a következő típusokból állt:

- 16 db kritikus biztonsági esemény, (komoly, DDOS-os támadás, hacker tevékenység, minden hónapra átlagban jut 1 vagy 2 db)

- 125 db közepes, figyelmeztető biztonsági esemény (ezek azért veszélyesek, mert közel állnak a kritikushoz, vagyis nyomozni kell)

- 94 db alacsony szintű biztonsági esemény

- És végül a "csak" informatív szintű biztonsági események, ezekből öt darab volt a tavalyi évben.

A statisztikai adatok nagy számából látható, hogy a több tízmillió riasztási eseményből emberi erővel nem lehet kiválogatni a valódi veszélyeket, ezért a biztonsági rendszerekben mindenképpen szükség van az előszűrő funkcióra. Csak ennek van olyan hatékonysága, hogy 240 valódi támadást csupán 318 feldolgozásra ajánlott eseményből kell kiválogatni, nem pedig harminc millióból. (Lehetne persze további szűrőket is beépíteni, sőt, a hatékonyság további növelése érdekében kell is, de minden lépést csak fokozott körültekintéssel kell megtenni, hiszen itt is az "inkább 10 vakriasztás, mint egy figyelmen kívül hagyott valódi" elve kell, hogy érvényesüljön.)

További figyelemreméltó adat, hogy a biztonsági rendszer, illetve az ICON Rt. ügyeletes munkatársai minden hónapban kénytelenek voltak felvenni a harcot egy két hackerrel, és/vagy DDOS-os támadással is. A vállalatokat érő támadások valósak, a védelem komoly erőpróbát jelent az informatikusok számára, az erre szakosodott szolgáltatók is csak egy aprólékosan beállított szűrőrendszerrel láthatják el hatékonyan feladatukat.