Te tudod, hogy mi történik a céges gépeken?
Egy korábbi cikkünkben a Panda Security végpontvédelmi és -analitikai szolgáltatásairól volt szó. Az volt a cél, hogy átadjuk technológia miben segítheti a rendszergazdák, az adatbiztonsággal foglalkozó szakemberek, és nem utolsó sorban a cégvezetők munkáját, de végül más vizekre eveztünk a téma kapcsán, és a GDPR felől közelítettek a reakciók. Mindez még május 25 előtt volt, így érthető, hogy ez került a fókuszba, de hogy tisztább képet kapjunk az eredeti kérdésben, megkerestük Bardócz Gyulát, a Panda kereskedelmi vezetőjét.
Sysadminforum.hu: Csapjunk is mindjárt a közepébe. Konkrétan mi a Panda Advanced Reporting Tool?
Bardócz Gyula:
Ez a kérdés ennél sokkal komplexebb választ igényel, ezért, ha megengeditek, egy kicsit messzebbről indítanám a választ. A KKV szektorban a cégvezetők és sok esetben még az IT-sok sincsenek tisztában azzal, hogy valójában mi is történik a végpontokon. Ennek hiányában már a szabályozások bevezetése is nehézkes lehet, hiszen, ha nincs elég információ a kezükben, nincsenek támpontjaik, és nem tudnak reagálni a történésekre, a megelőzésről nem is beszélve. Erre a problémára a Panda Security egy olyan eszközt kínál, amely cégmérettől függetlenül is hasznos lehet, mert alapvető fontosságú információkat tesz elérhetővé mind a vezetők, mind az informatikusok számára arról, hogy mi történik a céges gépeken. Például olyan fontos kérdésekre ad választ, hogy ki nyitott meg érzékeny adatokat, és mi történt vele. Ez utóbbi pl. kiemelt jelentőségű lehet és nem csak egy esetleges incidens során.
SY.F: Kinek és pontosan mire jó ez a termék?
B.GY:
Ez egy végponti SIEM rendszer. Security Information and Event Manager alatt egy olyan rendszert értünk, amelynek a célja a hálózatban található végpontok által generált események és figyelmeztetések valós időben történő naplózása. Ezekből az eseményekből lehet azután az igényeknek megfelelő lekérdezéseket, szűréseket készíteni, hogy csak a releváns információk jelenjenek meg. Elő lehet írni a szabályzatban, hogy ki és milyen fájlokhoz férhet hozzá, vagy milyen alkalmazásokat használhat, sőt, alkalmazhatunk erre technológiai megoldásokat is, de hogyan ellenőrizzük azt, hogy a szabályzatot betartják, vagy hogy pl. megfelelően lett-e beállítva a jogosultságkezelés? Nagyon leegyszerűsítve arra való a Panda Advanced Reporting Tool, hogy lehetőséget biztosít az átláthatóságra és nyomon követésre.
A felhasználói kört tekintve nem csak a KKV-k, hanem nagyobb vállalatok is használják a Panda Advanced Reporting Tool-t. Vannak olyan nagyvállalatok is, akik használnak egyéb SIEM rendszert is (pl. QRadar), és a már meglévő rendszerbe integrálják ezeket a logokat. Így még több összefüggés alapján tudnak riasztásokat beállítani.
SY.F: Az előző cikkünkben a legvitatottabb pont az volt, hogy hogyan kapcsolódik a szoftver a GDPR megfeleléshez. Te mit gondolsz erről?
B.GY.
A GDPR alapvetően azért született, hogy az EU állampolgárainak személyes adatait megfelelően kezeljék, tárolják és bár nem írja elő azt, hogy az érintett cégeknél ilyen típusú eseményeket monitorozni kell, vagyis ezek hiányában is megfelelhet egy cég a szabályozásnak, mégis érdemes elgondolkodni azon, hogy mi a cél? Megfelelni a szabályozásnak fontos, de az is, hogy a cégnél tárolt adatok, információk védettek legyenek. Ezt sokan még mindig nem veszik elég komolyan.
A riportokból sokkal könnyebb eljutni addig a pontig, ahol szivároghatnak, vagy sérülhetnek az adatok. Ez az, ami a meglátásunk szerint ez GDPR szempontból is sokat segíthet, hiszen a szabályzat szerint a személyes adatok szivárgását 72 órán belül (egyes esetekben már 24 órán belül) kötelező bejelenteni a hatóságoknak. Könnyű belátni, hogy amennyiben nincs eszközünk a monitorozásra, információnk sem lesz elegendő, és így kérdéses, hogyan tud egy cég megfelelni a szabályozásnak.
SY.F: A tapasztalatok szerint mely funkciók „jöttek be” leginkább az ügyfeleknek?
B.GY:
Az a tapasztalat, hogy egyre több mindenre használják azok, akik megismerik. Néhány hasznosnak tartott funkciót sorolok, Van közte olyan, mellyel pl.
- könnyen kimutatható, ha feltűnően sokszor fut egy ismeretlen, vagy olyan alkalmazás, amiről tudjuk, hogy nem kellene ennyiszer futnia, vagy a céges policy-val ellentétes a használata. (AplicationControl/Executed Application, Installed és Executed Vulnerable applications)
- Látható, hogy van-e a gépeken nem megfelelően frissített alkalmazás, és hogy ezeket használják-e.
- Az is egyszerűen kimutatható, ha egy alkalmazás túl nagy adatforgalmat generál (ami lehet esetleg kártevő, torrent kliens, stream szolgáltatás, stb…). Ez a funkció a kimenő és bejövő adatokat szétválasztva mutatja. (Application Control/Bandwidth Consuming Applications)
- Továbbá a kimenő adatforgalom megfigyelésére is kiválóan alkalmas ez a megoldás: detektálható a nagymértékű adatküldés, esetlegesen adatlopás, valamint a gyanús helyekre történő adatküldés. (Data Access Control/Outbound Network Traffic: A)
- Könnyen követhető, hogy ki milyen eszközre jelentkezett be, ezáltal észrevehető, ha szokatlan, vagy tiltott hozzáférés történik a rendszerben. (Data Access Control/Users Activity)
- Amit még kedvelni szoktak, hogy listázza a legnagyobb adatforgalom-generálókat, legyen szó felhasználóról, vagy alkalmazásról. Hasznos, ha tudni szeretnék, ki/mi foglalja el a sávszélességet.(Data Access Controls/Bandwith Consumers:)
- Végül még egy, amit kiemelnék, hogy átlátható összefoglalót ad a biztonsági incidensekről. (Security Incidents/Key Security Indications)
SY.F: A GDPR egyik sarokköve, hogy az adatgyűjtés nem irányulhat a felhasználó profilozására. Hogyan küszöbölték ki ezt a problémát a Pandánál ebben a toolban?
A GDPR az alábbiakban határozza meg a profilozást:
„4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére, vagy előrejelzésére használják”
Azok az információk, amelyeket a Panda Advance Reporting Tool egységes felületen tesz elérhetővé, akár egyéb megoldással is kinyerhetők a rendszerből. Maga az eszköz nem a profilozást, hanem az átláthatóságot, ellenőrzést, megelőzést segíti. Persze keskeny a határ, de a szoftver pl. nem logolja a felhasználók által megnyitott weboldalakat, csak a file letöltéseket.
Egy vállalati tűzfal, vagy router logjai sokkal inkább alkalmas lehet egy felhasználó internetezési szokásainak profilozására.
Összességében az Advanced Reporting Tool egy nagyon hasznos vállalati megoldás, és véleményem szerint egy munkáltatónak igen is joga van azt eldönteni és ellenőrizni, hogy a munkavállalók a céges eszközöket milyen célra használják.
Sőt továbbmegyek, a GDPR szabályozás mostantól akár arra is jó lehetőséget adhat, hogy a cégvezetők az eddigi gyakorlaton változtatva jobban elválaszthassák a céges eszközök munkával kapcsolatos és magáncélú használatát. Ehhez elengedhetetlen a megfelelő szabályozás, melyben tájékoztatják a felhasználókat arról, hogy pl. milyen alkalmazások használata, mely weboldalak látogatása engedélyezett, illetve ezek betartását a munkáltató ellenőrizheti és akár szabályozhatja is. Ezekben nagy segítség a megfelelő technológia alkalmazása.
Amennyiben szeretné jobban megismerni ezt a szolgáltatást, hamarosan webinart szervezünk a témában, melyre alábbi linkeken lehet jelentkezni.
Két időpont közül lehet választani: