vissza a főoldalraT-Systems

IT biztonsági infrastruktúra

Az IT-biztonság rövid története a KFKI-ban

IT-biztonsági megoldásokkal a KFKI 1994 óta foglalkozik. Az akkoriban megjelenő új fenyegetettségek ellen – a vírusok mellett ilyenek voltak az Internet felől történő behatolási kísérletek – először csak magunkat próbáltuk védeni. Felismerve, hogy ezek a veszélyek ügyfeleinket szintén érintik, hamarosan telepítettük Magyarország első tűzfalait. Megalkottuk a SecurNET koncepciót, amely a biztonságtudatos hálózattervezés alapja.

Ahogy az informatikai világ egyre nyitottabbá vált, úgy lett egyre sérülékenyebb. Az új kihívásokra válaszul 1999-ben biztonsági üzletágat hoztunk létre, hogy a UNIX-os és windows-os tapasztalatainkra építve az informatikai biztonság különböző területeit céltudatosabban és hangsúlyosabban legyünk képesek kezelni.

Mára az informatikai rendszerek és a hálózati infrastruktúra életciklusának minden biztonsági elemére kínálunk megoldást: a sérülékenységek felmérésétől biztonsági politikák és szabályzatok kialakításán, az ezeket támogató eszközök szállításán és integrálásán át a biztonsági távfelügyeletig.

A KFKI által forgalmazott termékek neves hardver- illetve szoftvergyártók fejlesztései. A megoldandó problémára mindig a legmegfelelőbb megoldást próbáljuk megkeresni. Szolgáltatásaink az évtizedes rendszerintegrátori és biztonsági tapasztalatokra, a „best practice” ajánlásokra és a nemzetközileg elfogadott metodológiákra épülnek. Büszkék vagyunk arra, hogy a biztonsági terület elméletét és gyakorlatát ilyen régóta sikerrel ötvözzük munkáinkban. Tanácsadóként műszaki háttértudással és precizitással, az integrációs feladatokban pedig átlátó szemlélettel és dokumentáltan dolgozunk.

Biztonsági tevékenységünk piaci elismertségét jelzi, hogy 2005 óta minden évben megszervezzük a IT-biztonság hazai legnagyobb seregszemléjét, az Informatikai Biztonsági Napját, és ezen a multinacionális gyártók, szállítók mellett számos hazai konkurensünk is elfogadja a kiállítói, előadói részvételre vonatkozó felkérésünket.

Szakmai képességeink, minősítéseink, vizsgáink

Szakembereink, vizsgáink:

A Cisco CCIE, CCSP komplex vizsgákkal igazolt minősítései, a Symantec, McAFee, RSA, CheckPoint, Balabit és más neves security gyártók vizsgái mellett számos gyártófüggetlen képesítést is szereztünk a biztonsági területen:

  • Certified Information System Security Professional (CISSP)
  • Certified Information System Auditor (CISA)
  • Certified Information System Manager (CISM)
  • CompTIA+

Partnereink a biztonságban:

  • Cisco – Gold Partner
  • Symantec – Gold partner - Enterprise Solutions
  • McAfee– Solution Provider – Elite Partner
  • Microsoft – Certified Gold Partner, Security Solutions minősítéssel
  • EMC (RSA) – SecureWorld Access Partner
  • Check Point (Pointsec) – Authorised Reseller – Silver Partner
  • BalaBit – Support Partner
  • Attachmate (NetIQ) Partner

A felsorolt gyártók mellett rendszeres projektkapcsolatban vagyunk olyan neves gyártókkal, mint az IBM, a SUN, az Entrust, a PGP, vagy a Secude.

IT-biztonsági szolgáltatásportfoliónk

Az informatikai biztonság egyfajta mérleg, amelynek egyik serpenyőjében az üzleti és törvényi elvárások, az adatvagyon értéke, a jó hírnév áll, míg a másikban a biztonságot megvalósítani hivatott rendszerek kialakításának, üzemeltetésének költsége, illetve a szabályzatok megalkotásának és betartatásának nehézségei.

A gyors változásokat igénylő üzleti környezetben, az informatikai fenyegetettségek sokasodásával a „biztonsági mérleg” egyensúlyban tartása igen nagy feladatot ró egy-egy vállalatra, intézményre.

Célunk, hogy partnereinket az egyensúly kialakításában és folyamatos fenntartásában segítsük az üzleti folyamatok megértésével, a kockázatok felmérésével és csökkentésével. Igyekszünk rugalmasak lenni a szolgáltatásaink kialakításakor: a komplex biztonsági rendszerek megtervezését és implementálását éppúgy szép szakmai kihívásnak tekintjük, mint minőségbiztosítóként segítséget nyújtva a tendereztetéssel, a nyertes pályázó szakmai kontrollálásával járó feladatokat és felelősséget.

A valós állapot és a sérülékenységek feltárása

  • üzleti igények felmérése
  • az informatikai rendszerek felmérése
  • komplex hálózatközpontú biztonsági analízis és tanácsadás
  • etikus hack, social engineering, drótnélküli hálózatok biztonsági vizsgálata
  • alkalmazásvizsgálat és kódaudit
  • a meglévő dokumentációk, szabályzatok és üzemeltetési kézikönyvek felülvizsgálata
  • kockázatanalízis és kritériumrendszerek felállítása
  • nemzetközi ajánlásokon alapuló módszertanok (COBIT) alkalmazása a biztonsági területen szerzett gyakorlati tapasztalataink ötvözésével

Tanácsadás

  • a sérülékenységek okozta kockázatok csökkentésének alternatívái, azok költségei, erőforrásigénye
  • komplex biztonsági rendszerek tervezése
  • külső és belső hálózati szegmentáció előkészítése, tervezése és megvalósítása
  • titkosított adat- és hangátviteli megoldások tervezése
  • napló- és incidenselemzési megoldások tervezése, kidolgozása és megvalósítása
  • a felhasználói jogosultságok menedzselésére képes megoldások koncepciójának kialakítása és a lehetséges megoldás kivitelezése, bevezetése
  • segítség ellentmondásmentes, megvalósítható igényeken alapuló tenderkiírás, és az összevetést lehetővé tevő ajánlatértékelési szempontrendszer elkészítésében
  • harmadik fél általi kivitelezés szakmai minőségbiztosítása

Telepítés, integrációs tevékenység

  • biztonsági elemek telepítése, konfigurálása, finomhangolása és tesztelése
  • különböző gyártóktól származó biztonsági termékek működésének összehangolása
  • központi kliens- és szerverfelügyelet
  • oktatás

Támogatás és távfelügyelet

  • 7x24 órás helpdesk, ügyelet biztosítása
  • helyszíni vagy távoli hibaelhárítás
  • távoli üzemeltetés
  • biztonsági riasztások és incidensek kezelése
  • kihelyezett biztonsági szakértő

 

Biztonsági területek, termékek

Hálózatközeli biztonság

A KFKI piacon is elismert hálózati szakértelmét a biztonsági téren is bizonyítani tudjuk: a hálózati biztonsági termékek és szolgáltatások széles portfóliójával állunk megbízóink rendelkezésére. Ebbe a lehallgatásbiztos üvegszálas kábelezés, a virtuális LAN-ok kialakítása, a felhasználóhoz kötött hálózati azonosítás vagy a titkosított adat- és hangátvitel éppúgy beletarozik, mint a biztonságos wireless (WIFI) kommunkáció vagy a távmunka-támogatás.

Határvédelem, szegmentálás

A tűzfal az informatikai rendszer határvédelmi politikáját kikényszerítő eszköz, feladata a belső hálózat és a külvilág – speciális esetben a LAN hálózati szegmensek – között történő forgalom szabályozása, ellenőrzése, szűrése.

A tűzfaltechnológia igen régi múltra tekint vissza, ennek ellenére a mai napig képes érdekes szakmai feladatot jelenteni egy-egy komplexebb tűzfalrendszer megtervezése, a központi adminisztrálás vagy éppen különböző gyártók termékeivel való együttműködés biztosítása.

Nagyobb vagy biztonsági szempontból kritikus lokális hálózatokban szoktuk javasolni az egyes hálózatrészek egyszerű tűzfalas elválasztása helyett a komplexebb, szegmentációs technikákkal történő szeparációt. A szegmentálás lényege, hogy a különböző biztonsági szintű részrendszerek egymástól – lehetőleg ISO/OSI réteg egész mélységében – történő elválasztásával ellenőrzött, és csak a szükséges mértékű hozzáférést/adatkommunikációt biztosítunk az egyes elemek között.

Az egyes zónák közti információáramlás szűrhető, korlátozható, megfigyelhető és szabályozható megfelelő informatikai biztonsági eszközök (routerek, switch-ekbe helyezett tűzfalkártyák, önálló tűzfalak, IDS/IPS eszközök) alkalmazásával. Az ilyen szegmentációs projekt megtervezését, a költségek és a kockázatok elemzését, valamint az elképzelt megoldás kialakítását és tesztelését is végre tudjuk hajtani.

Behatolásvédelmi rendszerek (behatolásdetektálás és -megelőzés)

A külső támadások egy része ellen tűzfalakkal lehet védekezni, de a belső hálózaton történő támadások, illetve illetéktelen hozzáférési kísérletek érzékelésére és elhárítására mindenképpen szükség van behatolásérzékelő, illetve –megelőző (IDS/IPS) eszközökre.

Az ilyen rendszerek biztonsági szempontból nélkülözhetetlen információt biztosítanak a leterheléses támadásokról, a hálózaton kommunikálni próbáló trójai falovakról, a jogosulatlan belépési kísérletekről és egyéb, az alkalmazások vagy az operációs rendszer sérülékenységének kihasználására irányuló tevékenységről.

Az eszközök gyanús tevékenység érzékelése esetén képesek automatikusan beavatkozni a folyamatba (pl. adatkapcsolat megszakításával, vagy a felhasználói account felfüggesztésével) a hálózatnak valósidejű védelmet biztosítva.

A KFKI által képviselt gyártók termékei széles operációsrendszer-támogatottsággal rendelkeznek, így heterogén hálózati környezetben is implementálható teljes körű behatolásérzékelési és -védelmi rendszer. A hatékony és megbízható működéshez szükséges szabályzatok kidolgozása szintén a szolgáltatáspaletta részét képezi.

Vírusvédelem, tartalomszűrés

A hagyományos, kizárólag a kliensoldali vírusvédelemre, így a felhasználókra támaszkodó megközelítés vállalati szinten nem képes hatékonyan biztosítani a vírusmentes informatikai környezetet. Az egyre kifinomultabb, rendkívül gyorsan terjedő és sokoldalú vírusok ellen csak a többlépcsős, minden veszélyeztetett belépési pontot felügyelő rendszer nyújthat elégséges védelmet. Ezért a vírusvédelmi rendszereknél minden potenciális sérülékenységi pontot megpróbálunk lefedni a munkaállomásoktól a fájlszervereken keresztül a levél- és webforgalom szűréséig.

Bár a vírusok jelentik a legkézzelfoghatóbb fenyegetést, a tartalomszűrési funkció jól kiegészítheti a hagyományos vírusszűrést. A vírusok és egyéb rosszindulatú programok elleni védekezés mellett így lehetőség nyílik a nem kívánt, bizalmas tartalmú vagy titkosított levelek, túl nagy vagy nem engedélyezett típusú csatolt állományok ellenőrzése, a nem produktív honlapok és a webes forgalom korlátozása.

Megoldásainkban ezek beállítások központilag módosíthatók, bizonyos napszakra, vagy éppen felhasználók egy csoportjára külön érvényesíthetők, és a felhasználói manipulációktól védettek.

Központi felhasználó- és jogosultságadminisztráció (IDAM)

Minden heterogén informatikai környezetben felmerül a felhasználók adminisztrálásának, a jogosultságok átláthatatlanságának problémája. A megoldást jelentő központosításnak elsősorban erőforrás-megtakarítási és biztonságpolitikai motivációja van, de a pénzintézeti szektorban ez törvényi előírás is.

Az IDAM rendszerek bevezetése két jól elkülöníthető, önmagában is értéket létrehozó fázisból áll. Az előkészítő szakaszban mérjük fel a vállalat felhasználóadminisztrációval kapcsolatos folyamatait és szabályzatait, az informatikai rendszereket. A konszolidáció a folyamatok egységesítésével, a felhasználók jogosultsági szerepkörökbe sorolásával, az alkalmazások jogosultságprofiljainak kialakításával folytatódik. A második szakaszban történik az IDAM termék konkrét implementációja, a workflow folyamatok leprogramozása, a háttérrendszerekhez csatlakozást biztosító konnektorok és ügynökök kifejlesztése.

Elektronikus aláírás, PKI rendszerek

Az e-ügyintézés, a hiteles elektronikus dokumentumok kezelésének nélkülözhetetlen eleme az elektronikus aláírások, illetve az ezt megvalósító nyilvános kulcsú infrastruktúra (PKI) használata. Ez az infrastruktúra nemcsak elektronikus aláírások készítésére és ellenőrzésére, hanem erős azonosításra, levelek, állományok titkosítására, a dokumentum létrejöttét hitelesen igazoló időpecsételésre egyaránt használható.

A központi oldal minősíttetése – a törvényben rögzített „fokozott” vagy „minősített” szint megszerzése – a hitelesítés- és időpecsét-szolgáltató műszaki megvalósításán túl a megfelelő szabályzatokon, konzisztens dokumentációs rendszeren múlik. Ennek megfelelően komplex megoldást nyújtunk megrendelőinknek mind a piaci, mind pedig az államigazgatási szektorban az adott terület igényeit és lehetőségeit figyelembe véve: a szolgáltató központ kiépítésére, szabályozására, dokumentálására, auditáltatására igény esetén a legmagasabb, „minősített” szinten is vállalkozunk.

Távoli hozzáférés, távmunka

Az adatkapcsolatok egy részében – jellemzően a telephelyek közötti bérelt vonalas kommunikációnál vagy a távoli dolgozó internetes belépésekor – „privát”, azaz védendő hálózatrészek nyilvános hálózaton keresztül kommunikálnak.

A virtuális magánhálózatok (azaz Virtual Private Network) kialakításával el lehet érni, hogy ezek a kapcsolatok biztonságosak legyenek, az átvitt bizalmas információ ne kerüljön illetéktelenek kezébe. Virtuális magánhálózat kialakítására tehát olyan esetben van szükség, amikor a bizalmas hálózatokat úgy vagyunk kénytelenek összekötni, hogy az adat közben nem bizalmas hálózatokon is áthalad.

Megoldásainkban törekedünk a VPN-hálózatok kialakítását a többi biztonsági elemmel (pl. tűzfal, IDS/IPS, IDAM) integrálni, lehetővé téve a központosított adminisztrálást, felügyeletet.

Naplófeldolgozás, biztonsági események kezelése

A legtöbb rendszer bőséges naplóállomány készítésére konfigurálható. Különösen igaz ez a biztonsági rendszerekre. A napló rengeteg eseményéből először ki kell válogatni a biztonsági eseményeket. Az ezek közötti kapcsolatok vizsgálatával lehet biztonsági incidensre utaló összefüggéseket keresni. Ez manuális eszközökkel szinte lehetetlen feladat, különösen, ha figyelembe vesszük, hogy több rendszerből származó naplóesemények korrelációját is érdemes vizsgálni (pl. gyanús esemény a tűzfalon, majd ezt követően egy szerveren).

Az általunk kínált megoldások lehetőséget nyújtanak arra, hogy a naplófeldolgozás ne csak a log állományok rendszeres archiválását jelentse, hanem a folyamatok automatizálásával, a korrelációk programozott keresésével a biztonsági rendszer valódi eleme legyen.

Amennyiben a biztonságiesemény-kezelés ill. naplózás az üzemeltetőktől függetlenül kerül kialakításra, lehetőség nyílik – a legtöbb esetben a legmagasabb szintű jogosultsággal rendelkező – adminisztrátorok munkájának biztonsági felügyeletére. Ez rendszerint a biztonsági auditok egyik legkényesebb kérdése. A KFKI auditképes technikai és szabályozási kontrollokat kínál erre a problémára is.

Biztonsági rendszerek távfelügyelete

A biztonsági rendszerek felől érkező riasztások javarésze nem fenyegetettséget vagy támadást jelent, hanem egy-egy ritka, de veszélytelen informatikai eseményt, amely semmilyen beavatkozást nem igényel. Az igazi támadások esetén viszont gyakran csak a legsürgősebb beavatkozás mentheti meg a rendszer működésképességét vagy az abban tárolt adatok biztonságát. A nagy felelősséggel járó döntés a fenyegetettségek, sérülékenységek, rosszindulatú programok, új támadási módszerek naprakész ismeretét feltételezi.

A mai rendszerek bonyolultságára és a fenyegetettségek változási sebességére tekintettel általánosságban kijelenthető, hogy nem várható el a cég vagy szervezet informatikájának napi üzemeltetését ellátó, sokszor eleve túlterhelt szakemberektől a biztonsági kockázatok ilyen szintű ismerete.

Ezért hoztuk létre biztonsági távfelügyeleti szolgáltatásunkat, amelyben erre a feladatra specializálódott szakembereink végzik el a kockázatok elemzését, javasolnak megelőző intézkedéseket a felügyelt hálózatban (pl. patch-elés, upgrade, stb.), döntenek a riasztások kezeléséről, az azonnali beavatkozás szükségességéről.

A távfelügyeleti modelltől függően partner gyártók felügyeleti szolgáltatásait is bevonjuk a biztonsági eszközök megfigyelésébe. Ezáltal képesek vagyunk a felügyelt biztonságot a “csak riasztás” szintjétől a teljes kiszervezésig (felügyelet és menedzsment) megvalósítani.