Egy közepes vagy nagy cég hálózatában a szerverek, tűzfalak, routerek és egyéb eszközök másodpercenként ezer vagy akár több tízezer eseményt, naplófájlt produkálnak.
Az adatok elemzése fontos információval szolgálhat a rendszer biztonságáról, és számos szervezetnél - például banknál, adóhatóságnál, állami szervezetnél - törvényi kötelezettség az adatok megfelelő tárolása. Egyre nagyobb hangsúlyt kap a Security Event Management, azaz a biztonsági eseményinformációk kezelése, tárolása és elemezése, amelyre a Telindus partnere, a Network Intelligence mutatta be a Gartner piackutató által "vezetőnek" minősített megoldását.
"Amire biztosan számíthatunk, az a halál, az adó, a vírusok és a férgek" - kezdte előadását Paul de Laat, a Network Intelligence Közép- és Észak-Európáért felelős igazgatója. "Az informatikai biztonság természetesen ma már nem csak egy részleg feladata, és nem az a kérdés, hogy be fog-e következni a rendkívüli esemény, csupán az, hogy mikor."
Éppen ezért fontos a hálózati események folyamatos nyomon követése, naplózása és az információk elemzése, értékelése. Egy hálózatban tipikusan sok gyártó rengetegféle berendezése működik egymás mellett, amelyek csak úgy ontják magukból a naplófájlokat. Ez az adattömeg nagyon sok értékes információval szolgál a hozzáértő elemző számára, az adatforgalom változásából például nyomon követhető, ha egy vírus vagy féreg aktivizálódik a hálózatban, vagy hogy melyik port van kitéve kívülről jövő támadásnak, és így tovább. A naplófájlok kézi elemzése azonban rengeteg munkaerőt köthet le, és lehetnek belső összefüggések, amelyeket emberi munkával gyakorlatilag lehetetlen észrevenni.
A Network Intelligence a Security Event Management (SEM) piac vezető célhardver gyártója, 2001 óta létezik kifejezetten erre a célra kifejlesztett megoldása. A Security Event Management feladata: a hálózat minden pontjáról, minden hálózati eszközről összegyűjteni, elemezni, kezelni és tárolni a naplófájlokat. Az elemzés során a SEM alkalmazás nem csak az egyedi eszközök forgalmát és eseménynaplóit vizsgálja, hanem a beépített intelligenciával a belső összefüggéseket is, különválasztja a fontos és kevésbé fontos eseményeket, priorizálja a teendőket. A beépített korrelációs szabályokkal nyomon tudja követni egy rendkívüli esemény terjedését, figyeli a hálózat egyes eszközeinek egymásra gyakorolt hatását. A naplófájlok mélyebb elemzése lehetőséget ad arra, hogy probléma vagy gyanús jel esetén azonnali riasztást kapjon hálózat üzemeltetője. Másik fontos funkciója a beépített nagyszámú (több mint 700) előre definiált statisztika és elemzés, amely gombnyomásra, akár előre időzített módon kapnak meg a megfelelő munkatársak. Így a hálózatüzemeltetés minden reggel 8-kor megkaphatja például annak a 20 routernek a listáját, ahol a legtöbb hiba lépett fel, a webszerver üzemeltetője pedig azt, hogy melyik volt az a 20 IP-cím, amelyről a legtöbb sikertelen behatolási kísérlet történt.
A SEM eszközök, a rendszerben elfoglalt szerepük miatt kiemelt jelentőségűek, hiszen egy, a megelőzésre koncentráló biztonsági rendszert nem lehet elképzelni olyan eszköz nélkül, mely képes volna minden védelmi eszköz összehangolására, felügyeletére, koordinált üzemeltetésére. A Network Intelligence számos információval is segíti ügyfeleit, például a naplófájlok információtartalmának kiértékelésében vagy egy új fenyegetés fellépése esetén a megfelelő ellenintézkedések meghozatalában. A Network Intelligence mintegy ötven gyártó termékét "ismeri", ezek mindegyikéhez tartalmazza a logfájlok értékelési kulcsait is. Amennyiben a berendezés számára ismeretlen új eszköz kerül beépítésre a hálózatba, egy speciális fejlesztő készlet segítségével ezekre is felkészíthető a rendszer.
A Network Intelligence Security Event Management eszköze egy nagyon egyszerűen telepíthető célhardver, nincs szükség hosszadalmas telepítésre, beállításra, egy nagyobb szervezet esetén is 2-3 nap alatt teljes funkcionalitással üzembe helyezhető. A rendszer többféle méretben létezik, a hálózatba kötött eszközök, a felhasználók és a riasztások számától függően lehet választani az eszközök közül, a legnagyobb megoldás akár másodpercenként 300 000 esemény kezelésére is alkalmas.
Egy SEM eszköz kiválasztásánál számos tényezőt kell figyelembe venni. A Gartner elemzői szerint ezek: egyszerű telepítés, jelentős beruházási költségcsökkentés, a különböző törvényi és audit követelményeknek való megfelelés, proaktivitás támogatása. A Network Intelligence ezeket szem előtt tartva alakította ki termékeit, amelyek nyers formában tárolják a logfileokat, mellyel tehát - versenytársaival szemben - kielégíti a bankok és az államigazgatás magas biztonsági és hitelességi igényeit, a rájuk vonatkozó jogszabályi követelményeket.
"Amikor a Security Event Management témaköréről beszélünk, akkor látnunk kell az egész jéghegyet. Ami felül van és nyilvánvaló, az az adatgyűjtés, korrelációelemzés, jelentéskészítés és riasztás, valamint az eszköz ára. Ugyanakkor a felszín alatt számos más tényező is megbúvik, ami nagyban meghatározhatja a végső beruházás költségeit. Gondoljunk az adatok tárolási költségére (ami más rendszerekben 15-20-szor több), a járulékos hardverek (szerverek, tárolók) költségeire, az adatbázis frissen tartásának, a személyzet és a működtetés költségére. Mindezeket figyelembe véve a Network Intelligence ma a legjobb választás" - mondta Veszely Balázs, a Telindus kereskedelmi igazgatóhelyettese.