Η χρήση τεχνολογιών BigData βελτιστοποιεί τις πρακτικές των Security Analytics και ενισχύει την ασφάλεια των πληροφορικών συστημάτων, παρέχοντας νέα εργαλεία για την αξιοποίηση του τεράστιου όγκου αναφορών, Log Data.
Είναι δεδομένο ότι ζούμε στην εποχή της πληροφορίας. Πάνω από 2,5 Petabytes δεδομένων παράγονται καθημερινά – όγκος πληροφορίας αρκετός για να γεμίσουν σχεδόν 2,5 εκατομμύρια DVD. Σημαντική παράμετρος είναι επίσης και ο ρυθμός με τον οποίο αυξάνεται η παραγωγή των αναφορών, Log Data. Ενδεικτικά, το 90% των αναφορών που υπάρχουν σήμερα, έχει δημιουργηθεί μόλις την τελευταία διετία. Ο όγκος αυτός αναμένεται να πολλαπλασιαστεί σε ασύλληπτα νούμερα στα επόμενα χρόνια με την ένταξη των έξυπνων συσκευών στη ζωή μας, οι οποίες φυσικά θα είναι συνδεδεμένες στο διαδίκτυο (internet of things). Βάση της Gartner, σήμερα 3 δισεκατομμύρια τέτοιες συσκευές είναι ήδη συνδεδεμένες στο διαδίκτυο ενώ προβλέπεται ότι μέχρι το 2020 ο αριθμός αυτός θα ανέλθει στα 25 δισεκατομμύρια.
Ως εκ τούτου, οι οργανισμοί καλούνται να διαχειριστούν ολοένα και μεγαλύτερο όγκο δεδομένων ενώ τα παραδοσιακά συστήματα διαχείρισης πληροφοριών συχνά αποδεικνύονται ανεπαρκή να ανταποκριθούν στην ραγδαία αυτή αύξηση. Αυτή είναι και η ανάγκη που έδωσε το έναυσμα για την ανάπτυξη των τεχνολογιών BigData.
Η αρχιτεκτονική των τεχνολογιών BigData είναι ειδικά δομημένη και έχει σχεδιαστεί για την αποθήκευση και διαχείριση τεράστιων όγκων δεδομένων σε πραγματικό χρόνο. Έναντι των συμβατικών τεχνολογιών διαφοροποιούνται ως προς τον όγκο επεξεργασίας, τον τρόπο μετάδοσης καθώς και τους τύπους των δεδομένων αποθήκευσης (δομημένα ή μη). Χάρη στο μειωμένο κόστος των εξυπηρετητών και του αποθηκευτικού χώρου καθώς και της ανάπτυξης νέων αλγορίθμων και πλατφόρμων λογισμικού όπως το Hadoop είναι σήμερα εφικτή η εξόρυξη γνώσης (data mining) και η ανάλυση τεράστιων όγκων δεδομένων/αναφορών που βρίσκουν εφαρμογή σε διάφορες επιστήμες και βιομηχανίες όπως στον ασφαλιστικό, τραπεζικό, ιατρικό και αγροτικό τομέα. Επιπλέον, χάρη στις τεχνολογίες BigData επιτυγχάνεται γρήγορη επεξεργασία δεδομένων είτε εν ηρεμία (batch processing) είτε εν κινήσει (stream processing) σε πραγματικό χρόνο.
Οι τεχνικές καταγραφής και ανάλυσης αναφορών, Log Data σε πραγματικό χρόνο που προσφέρουν οι τεχνολογίες BigData επιτρέπουν τόσο την προληπτική εκτίμηση απρόβλεπτων καταστάσεων όσο και την εφαρμογή ορθολογιστικών προσεγγίσεων για την βελτίωση των διαδικασιών αποτίμησης και διαχείρισης ρίσκου και διασφάλισης των δεδομένων ενός οργανισμού σε ένα πληροφορικό περιβάλλον.
Σε ό, τι αφορά το πολύπλευρο ζήτημα της ανίχνευσης συμβάντων ασφαλείας, η μεγαλύτερη πρόκληση έγκειται στο γεγονός ότι η αποτελεσματικότητα της οποιασδήποτε μεθόδου βασίζεται σχεδόν εξ’ ολοκλήρου στη δυνατότητα γρήγορης και «έξυπνης» ανάλυσης του μεγάλου όγκου αναφορών, που παράγονται από διάφορα πληροφορικά συστήματα που αποτελούν την ηλεκτρονική υποδομή ενός οργανισμού. Από τις πλέον διαδεδομένες μεθόδους σε ό, τι αφορά αυτό το πεδίο, θεωρούνται οι εφαρμογές ευφυούς ανάλυσης (Threat Intelligence) και οι τεχνολογίες Security Information and Event Management (SIEM). Οι τεχνολογίες SIEM όμως, έχουν περιορισμένες δυνατότητες αφού για τη λειτουργία τους βασίζονται σε τεχνολογίες συμβατικών συστημάτων διαχείρισης αναφορών. Ως εκ τούτου, ενώ προσφέρουν ένα επαρκώς δομημένο περιβάλλον διαχείρισης συμβάντων ασφαλείας, δεν μπορούν να ανταποκριθούν επαρκώς ούτε στη ραγδαία αύξηση των αναφορών από πληροφορικά συστήματα (events) – που δημιουργούνται ως αποτέλεσμα της αυξημένης πολυπλοκότητας των πληροφορικών υποδομών – αλλά ούτε και στον συνεχώς αυξανόμενο ρυθμό δημιουργίας και εξάπλωσης των ηλεκτρονικών απειλών και ευπαθειών.
Δεδομένων, λοιπόν, των δυνατοτήτων των τεχνολογιών BigData Αnalytics, η ενσωμάτωσή τους σε εργαλεία διαχείρισης SIEM έφερε την επανάσταση στον τομέα της διαχείρισης συμβάντων ασφαλείας, αφού η ενισχυμένη δυνατότητα γρήγορης και ευφυούς ανάλυσης αναφορών μπορεί να επιτύχει όχι μόνο σημαντική μείωση, έως και 90%, στα False-Positive alerts που καταγράφονται, αλλά και στην ανίχνευση περιστατικών ασφάλειας που είναι αδύνατο να εντοπιστούν χωρίς τη χρήση των BigData Analytics.
Μεταξύ άλλων, η χρήση BigData Αnalytics υποβοηθά και στην έγκαιρη ανίχνευση και σωστή διαβάθμιση των συμβάντων ασφαλείας, δίνοντας έτσι τη δυνατότητα στους λειτουργούς ασφαλείας να εστιάζουν την προσοχή τους μόνο σε σημαντικά συμβάντα ασφαλείας. Επιπρόσθετα, αξιοποιώντας τη δυνατότητα γρήγορης ανάλυσης και αξιολόγησης μεγάλου όγκου δεδομένων (BigData Analytics) και σε συσχετισμό με δεδομένα ευφυούς ανάλυσης (Threat Intelligence) μπορεί να επιτευχθεί άμεσος εντοπισμός αποκλινουσών συμπεριφορών των χρηστών (User Behavior Analytics), με βάση τις πολιτικές ασφάλειας του οργανισμού – επιτρέποντας έτσι τη δημιουργία αποτελεσματικών μοντέλων ανάλυσης και αντιμετώπισης κακόβουλων ενεργειών, όπως μη εξουσιοδοτημένης πρόσβασης, δημιουργία back-door λογαριασμών ή και αναβάθμιση δικαιωμάτων πρόσβασης κ.ο.κ. Με αυτό τον τρόπο, ένα ακόμη είδος απειλών, οι αποκαλούμενες Advanced Persistent Threats (APT), αντιμετωπίζονται αποτελεσματικά χάρη στις νέες τεχνολογίες που προσφέρουν τα BigData Analytics. Σε αντίθεση με διαδεδομένα Malware (τύπου Worms, Trojans κ.λπ.), οι επιθέσεις APT έχουν μεγάλη χρονική διάρκεια, με στόχο να αποκτήσουν πρόσβαση σε κρίσιμες πληροφορίες επιλεγμένων πληροφορικών συστημάτων.
Εν κατακλείδι, ο στόχος των BigData Analytics είναι να αποκτηθεί actionable intelligence σε πραγματικό χρόνο, ξεπερνώντας εμπόδια όπως η προέλευση, η αυθεντικότητα, η ακεραιότητα και η ασφαλής φύλαξη των δεδομένων που χρησιμοποιούνται, με ταυτόχρονη διαφύλαξη του απορρήτου. Τα BigData Analytics επιτρέπουν σε επιχειρήσεις και οργανισμούς να αποκτήσουν ταχύτερη και ευφυή πρόσβαση στα δεδομένα τους, παρέχοντας στους ειδικούς ασφάλειας τη δυνατότητα να ενεργούν στοχευμένα και σε πραγματικό χρόνο, για να διαφυλάξουν την ασφάλεια των πληροφορικών τους συστημάτων. Επιπλέον, η αποθήκευση των πληροφοριών σε ενιαίο περιβάλλον βοηθά σημαντικά στην εξαγωγή συμπερασμάτων, χρησιμοποιώντας statistical and behavioral μοντέλα ανάλυσης.
Παρ’ όλες τις υποσχέσεις των νέων εργαλείων analytics, δεν πρέπει ποτέ να παραμερίζεται ο ανθρώπινος παράγοντας. Σε κάθε περίπτωση, βασικότερη παράμετρος όλων παραμένει η αλληλεπίδραση ανθρώπου – μηχανής: Διότι τελικά ο αναλυτής είναι αυτός που θα λάβει τις όποιες αποφάσεις. Η οπτικοποίηση των πληροφοριών βοηθά σημαντικά στην εξαγωγή συμπερασμάτων αλλά η τεχνογνωσία, η εμπειρία και η συνεχής εκπαίδευση, παραμένουν τα βασικά κριτήρια ικανότητας των ειδικών που καλούνται να διαχειριστούν τις πολύπλοκες διεργασίες προστασίας των πληροφοριών και δεδομένων μιας επιχείρησης. Κατά την επιλογή, επεξεργασία και αξιολόγηση των δεδομένων δύναται να εισαχθούν γνωστικές προκαταλήψεις που μπορεί να επηρεάσουν δραστικά την επιχειρηματική ερμηνεία τους. Επομένως, κατά την ερμηνεία των ευρημάτων πρέπει να λαμβάνεται υπόψη πως τα δεδομένα που λαμβάνουμε πάντα θα εξαρτώνται από τις ερωτήσεις που θέτουμε, άρα κρύβουν κάποιας μορφής υποκειμενικότητα.
Αυτή ακριβώς την δυναμική που δημιουργείται από την χρήση των δυνατοτήτων BigData προσφέρει η εταιρεία Odyssey, μέσα από την εξειδικευμένη πλατφόρμα διαχείρισης συμβάντων ασφαλείας ClearSkies Security-as-a-Service (SECaaS) Security Information & Event Management (SIEM), ενσωματώνοντας την εφαρμογή τεχνολογίας BigData Analytics για τη μεγιστοποίηση της αποδοτικότητας της πλατφόρμας. Η εξ ‘ολοκλήρου ελληνικών καταβολών εταιρεία Odyssey, πρωτοπόρος εταιρεία παροχής ολοκληρωμένων λύσεων Ασφάλειας Πληροφοριών, Λύσεων Υποδομής Δικτύων, Διαχείρισης Κινδύνου και Συστημάτων Ασφάλειας πιστοποιημένη με ISO 27001, έχει αναπτύξει τα τελευταία χρόνια την πλατφόρμα ClearSkies SECaaS SIEM για να παρέχει αποτελεσματική και αποδοτική διαχείριση δεδομένων και συμβάντων ασφαλείας σε οργανισμούς ανεξαρτήτως μεγέθους ή τομέα δραστηριότητας. Απόδειξη της διεθνούς αναγνώρισης της καινοτόμου προσέγγισης του ClearSkies SECaaS SIEM αποτελεί η πρόσφατη βράβευση της πλατφόρμας στα Data Impact Awards 2015* για την πιο αξιοθαύμαστη αρχιτεκτονική στην κατηγορία Operational Analytics. Αξίζει να αναφερθεί ότι για το εν λόγω βραβείο η Odyssey ανταγωνίστηκε με διεθνείς οργανισμούς μεγάλης εμβέλειας, ενώ η αξιολόγηση των λύσεων έγινε από ένα πάνελ το οποίο αποτελούσαν περισσότεροι από 25 καταξιωμένοι εμπειρογνώμονες και αναλυτές από διάφορους αναγνωρισμένους οργανισμούς του τομέα των BigData.
Η Odyssey ιδρύθηκε το 2002 με κύριο στόχο την παροχή υψηλά-ποιοτικών, ολοκληρωμένων υπηρεσιών Ασφάλειας Πληροφοριών, λύσεων Υποδομής Δικτύων, Διαχείρισης Κινδύνου και Διαχείρισης Συστημάτων Ασφάλειας (Managed Security Protection & Outsourcing Services) σε οργανισμούς που έχουν επίγνωση της αξίας των πληροφοριών και των δεδομένων τους και επιθυμούν να τα διασφαλίσουν. Έκτοτε, και παρακολουθώντας τις τάσεις της αγοράς, η Odyssey αναπτύχθηκε και εξελίχθηκε σε μια ηγετική εταιρεία στον τομέα της Διαχείρισης Συστημάτων Ασφάλειας στην ευρύτερη γεωγραφική περιοχή. Πέραν της πιστοποίησης με το ISO 27001, η εταιρεία είναι διαπιστευμένη ως Qualified Security Assessor (QSA) και Approved Scanning Vendor (ASV) από το Payment Card Industry Security Standards Council (PCISSC). Η Odyssey λειτουργεί τελευταίας τεχνολογίας data centers σε περισσότερες από μία χώρες και προσφέρει τις υπηρεσίες της μέσω των γραφείων της στην Κύπρο, Ελλάδα, Σερβία και Ηνωμένα Αραβικά Εμιράτα.
*Τα Data Impact Awards έχουν γίνει πλέον θεσμός στον τομέα των BigData και σκοπός τους είναι η αναγνώριση και επιβράβευση εταιρειών, που δημιουργούν καινοτόμες λύσεις και έχουν σαν υπόβαθρο τα BigData, στη βάση της πιο δυναμικής λύσης open source Hadoop στον κόσμο, το Cloudera Distribution Hadoop (CDH).
Ελευθέριος Αντωνιάδης
CTO & Founder της Odyssey Consultants.