Az Invitech DC10 adatközpont egy technológiai Fort Knox

Az Invitech DC10 elnevezésű adatközpontjában – ami a X. kerületi Kozma utcában található - 2017. óta ajánl ügyfelei számára SOC (Security Operation Center) szolgáltatást is. A SOC olyan, mint egy frontvonal: nem is gondolnánk, hányféle potenciális veszélytől óvja éjjel-nappal az ügyfelek rendszereit. Posztunkban betekintünk a kulisszák mögé.

Mit tud az adatközpont?

A legkorszerűbb és legszigorúbb elvárásoknak is megfelel, nem véletlen, hogy az ilyen létesítmények minősítésével globálisan foglalkozó amerikai Uptime Institute hazánkban elsőként adta meg neki a TIER III minősítést.

Ilyen követelményeknek megfelelő létesítmény egyébként egész Közép-Kelet-Európában mindössze három van. A biztonság olyan magas szintű, hogy a nemzetközi pénzintézetek igényeit is képes kielégíteni. Az ilyen minősítéssel rendelkező adatközpont rendkívül magas rendelkezésre állású: 99,999%. Ez úgy biztosítható, hogy minden aktív eszközből rendelkezésre áll tartalék, valamint minden ellátási útvonal, az energia, a klíma, az optikai jelátvitel redundáns, vagyis egy útvonal kiesése esetén is fennmarad az üzemkészség.

Miért van szükség a SOC-ra?

Ahogy korábban Vaspöri Ferenc, az Invitech Solutions technológiai szaktanácsadója a Techpercek blognak elmondta, a Security Operational Centert azért hozták létre, mert így “aggregáltan, egy felkészült csapattal, a nap 24 órájában, a hét minden napján tudjuk monitorozni, elemezni és elhárítani az ügyfeleink rendszereit fenyegető veszélyeket”. Hozzátette: a megfelelő védelemhez nagy apparátus szükséges, ami sokszor még a bankoknál sem áll rendelkezésre, ezért is nagy érdeklődés mutatkozik az Invitech SOC szolgáltatására.

Mivel foglalkozik pontosan a SOC?

Artner Dániel, az Invitech ICT Services Operation Center menedzsere blogunk kérdésére elmondta, hogy az incidensek keletkezésének számos oka lehet: “Az eseménykezelő rendszerünk különböző alkalmazásokból, rendszerekből, eszközökből gyűjti a logokat, valamint a hálózati adatfolyamatokat és az ott definiált szabályok, paraméterek, mélyebb összefüggések, az események közötti korrelációk és a hálózati topológia alapján riasztásokat (offensek) generál”.

Az adott offense-nek több paramétere van, ezekből számítják ki a magnitúdóját, ami az eset komolyságát jellemzi. A magnitúdót a rendszer fontossága, megbízhatósága és az események száma alapján kalkulálják, és az offense életciklusa alatt dinamikusan változhat - magyarázta a szakember.

Artner ismertette: “Az offenseknek van élettartamuk is. A kezdetük az a pillanat, amikor a megfigyelt események száma, számossága eléri a beállított ingerküszöböt. Ha ezek az események már nem tapasztalhatók, akkor először a prioritás csökken, később inaktívvá válik a riasztás. Ez pedig azt jelenti, hogy ha ugyanez az esemény vagy eseménylánc ismét bekövetkezik, arról már egy új riasztás jön létre.

Üzemeltetési problémákat is menedzselnek

„A biztonsági aspektuson kívül még arra is felhívnám a figyelmet” - mondja Artner Dániel -, „hogy igen sokszor üzemeltetési problémák felderítésére is használjuk a rendszert: ilyen lehet egy rosszul konfigurált DNS, már nem élő tűzfal szabályok kiszűrése vagy bármely hasonló gond. Kollégáink tehát folyamatosan figyelemmel kísérik a rendszerek működését, és ahol erre szükség van, azonnal beavatkoznak és megteszik a szükséges intézkedéseket” - ismerteti mindennapi munkájukat Artner.

Milyen támadásokat fülel le a SOC?

A szakembert arról is kérdeztük, mik azok az incidensek, támadások, amik előfordulnak a SOC napi munkája során. Elmondta, hogy a legnagyobb számban a tűzfallogokból érkező tűzfalsértésekkel találkoznak. Ezek egy része olyan természetű, hogy például az egyik számítógép torrent klienst futtat, vagy olyan programot indít el, amit a tűzfal leállít. Magas még a hibás vagy sikertelen bejelentkezések száma, amik közül sok a hibásan mentett bejelentkezési adatokból adódik, de tényleges külső támadások is bőven előfordulnak.

Artner Dániel elmondta, gyakori még az a típusú riasztás is, amikor a böngészőben olyan weboldalt nyit meg a felhasználó, amit az eseménykezelő rendszer adatbázisa alapján veszélyesnek minősít - jellemzően azért, mert malware, phishing, anonymizer vagy hasonló káros kód futott vagy fut rajta. Riasztást válthat ki a kommunikáció vagy az arra tett kísérlet olyan IP-címekkel, amelyek az eseménykezelő rendszer adatbázisa szerint potenciális botnetes hálózatok lehetnek. A rendszer azt is észleli, ha a hálózati port vizsgálat (portscanner) futtatását sikeres bejelentkezés követi, hiszen ez potenciális betörési kísérlet lehet. A jellemző esetek közé tartozik még a vírustalálat, karanténba helyezett fájl, szokatlanul nagy mennyiségű admin jogosultságú bejelentkezés észlelése, és sok ütemezett feladat létrehozása több hoszton. Természetesen előfordulnak a túlterhelés elvén alapuló DDoS-támadások is, amelyeket a rendszer észlelni és kezelni képes, így azok nem tudják elérni a céljukat - mondta el Artner Dániel.

A tapasztalatok azt mutatják tehát, hogy a támadások mennyisége teljes mértékben indokolja a folyamatos odafigyelést, a fenyegetések elhárításán túl pedig a SOC munkatársai még fontos rutinfeladatokat is elvégeznek az ügyfelek számára, komoly terhet véve le a vállukról.