Az Invitech DC10 adatközpontjában 2017 óta vehető igénybe az úgynevezett SOC szolgáltatás. A rövidítést jelentő biztonsági műveleti központ (Security Operation Center) olyan, mint egy frontvonal: nem is gondolnánk, hányféle potenciális veszélytől óvja éjjel-nappal az üzleti ügyfelek rendszereit. A tapasztalatok azt mutatják, hogy a támadások mennyisége teljes mértékben indokolja a folyamatos és magas szintű odafigyelést.
A X. kerületi Kozma utcában található DC10 egy igazi technológiai Fort Knox: a létesítmény a legkorszerűbb és legszigorúbb elvárásoknak is megfelel. Nem véletlen, hogy az adatközpontok minősítésével foglalkozó amerikai Uptime Institute hazánkban elsőként adta meg neki a TIER III minősítést – emelte ki Techpercek nevű blogjában az ICT-szolgáltató.
Ilyen követelményeknek megfelelő szerverpark egész Közép-Kelet-Európában mindössze három van. A biztonság olyan magas szintű, hogy a nemzetközi pénzintézetek szigorú követelményeinek is megfelel.
A TIER 3-as minősítéssel rendelkező adatközpontnak rendkívül magas, 99,999 százalékos a rendelkezésre állása. Ez úgy biztosítható, hogy minden aktív eszközből rendelkezésre áll tartalék, valamint minden ellátási útvonal, az energia, a klíma, az optikai jelátvitel redundáns, vagyis egy útvonal kiesése esetén is fennmarad az üzemkészség.
Mivel foglalkozik pontosan a SOC?
„Az eseménykezelő rendszerünk különböző alkalmazásokból, rendszerekből és eszközökből gyűjti a logokat, valamint a hálózati adatfolyamatokat, és az ott definiált szabályok, paraméterek, mélyebb összefüggések, illetve az események közötti korrelációk és a hálózati topológia alapján riasztásokat, úgynevezett offenseket generál" – sorolta Artner Dániel, a Services Operation Center menedzsere.
Az adott riasztásoknak több paramétere van, ezekből számítják ki a magnitúdóját, ami az eset komolyságát jellemzi. A magnitúdót a rendszer fontossága, megbízhatósága és az események száma alapján kalkulálják, ez a riasztás életciklusa alatt dinamikusan változhat – magyarázta a szakember.
Milyen támadásokat észlelnek időben?
– A legnagyobb számban a tűzfal-logokból érkező tűzfalsértésekkel találkoznak. Ezek egy része olyan természetű, hogy például az egyik számítógép torrent klienst futtat, vagy olyan programot indít el, amelyet a tűzfal leállít.
– Magas még a hibás vagy sikertelen bejelentkezések száma, ezek közül sok a hibásan mentett bejelentkezési adatokból adódik, de tényleges külső támadások is bőven előfordulnak.
A központ menedzsere elmondta, gyakori még az a típusú riasztás is, amikor a böngészőben olyan weboldalt nyit meg a felhasználó, amelyet az eseménykezelő rendszer veszélyesnek minősít. Jellemzően azért, mert malware, phishing, anonymizer vagy hasonló káros kód futott vagy fut rajta.
– Riasztást válthat ki a kommunikáció vagy az arra tett kísérlet olyan IP-címekkel, amelyek az eseménykezelő rendszer adatbázisa szerint potenciális botnetes hálózatok lehetnek.
– A rendszer azt is észleli, ha a hálózati port vizsgálat (portscanner) futtatását sikeres bejelentkezés követi, hiszen ez potenciális betörési kísérlet lehet.
A jellemző esetek közé tartozik még a vírustalálat, karanténba helyezett fájl, szokatlanul nagy mennyiségű admin jogosultságú bejelentkezés észlelése és sok ütemezett feladat létrehozása több hoszton. Természetesen előfordulnak a túlterhelés elvén alapuló DDoS-támadások is, amelyeket a rendszer észlelni és kezelni képes, így azok nem tudják elérni a céljukat – tette hozzá Artner Dániel.
Üzemeltetési problémákat is menedzselnek
„A biztonsági aspektuson kívül még arra is felhívnám a figyelmet, hogy igen sokszor üzemeltetési problémák felderítésére is használjuk a rendszert. Ilyen lehet egy rosszul konfigurált DNS (Domain Name System), már nem élő tűzfal szabályok kiszűrése vagy bármely hasonló gond. Munkatársaink tehát folyamatosan figyelemmel kísérik a rendszerek működését, és ahol erre szükség van, azonnal beavatkoznak és megteszik a szükséges intézkedéseket" – ismertette mindennapi munkájukat az Invitech szakembere.