BalaBit: valós időben követhető a rendszergazdák tevékenysége

A syslog-ng története egybeforrt a BalaBitével, a vállalat társalapítója, fejlesztési igazgatója, Scheidler Balázs még 1998-ben kezdte el a naplózó szoftver fejlesztését, amely azóta a legtöbb jelentős Linux-disztribúciónak része. A termékből létezik nyílt forrású, ingyen használható verzió (Syslog-ng Open Source Edition), valamint kibővített képességekkel, oktatással és 24/7 órás supporttal megtámogatott kereskedelmi verzió.

Gyorsult a Syslog-ng Store Box

A Syslog-ng leszármazottja a Store Box, amely a naplóállományok gyűjtésére, rendszerezésére, kereshetővé tételére szolgál - ezt előre csomagolt appliance-ként, tehát hardverrel együtt értékesíti a BalaBit. A termék legújabb verziója a Syslog-ng Storeb Box 3 F1, amely elődjénél nagyobb teljesítményt és kibővített funkcionalitást kínál. Gyöngyösi Péter termékmenedzser egy mai sajtóeseményen elmondta, a fejlesztéseknek köszönhetően a szoftver jobban kihasználja a többmagos rendszereket, valamint a kódot is sikerült optimalizálni, ennek eredménye mintegy kétszeres teljesítménynövekedés változatlan hardveren. A Store Box már 70 ezer eseményt képes másodpercenként rögzíteni, ez óránként mintegy 35 gigabájtnyi adat "elnyelését" jelenti.

Emellett fontos fejlesztés az SQL állományokhoz történő közvetlen kapcsolódás. A BalaBit tapasztalatai szerint sok intézménynél működnek olyan rendszerek, amelyek SQL adatbázisba naplóznak, az ilyen cégeknél kihívást jelent ezeknek az közös kezelés a többi naplóval - erre a megoldás sokszor egyedi script fejlesztése. Az új Store Box már képes SQL-ből "átszívni" és saját formátumára konvertálni a naplóállományokat, ezzel központosítva a logmenedzsmentet.

A Store Box legnagyobb verziója egyébként 10 terabájt kapacitású és a nagyobb megbízhatóság érdekében clusterezhető is. Akinek a másodpercenként 70 ezer esemény tárolása nem elegendő teljesítmény, természetesen több ilyet is bevethet, a kapacitás szűkössé válása esetén pedig automatizált mechanizmusok révén, előre megadott szabályrendszerek alapján továbbíthatja a rögzített, indexelt naplóállományokat más tárolókra vagy archiválhatja szalagra.

Nem csak utólag használható a Shell Control Box

Egy másik BalaBit "alaptermék", a Zorp proxytűzfal továbbfejlesztéséből jött létre a Shell Control Box, amelyet 2006-ban még a Sun Microsystemsszel együtt mutatott be a cég. Ennek az eszköznek a célja a kiemelt jogosultságú felhasználók tevékenységének monitorozása - másfelől annak megfigyelése, hogy a rendszergazdák, adminok nem élnek-e vissza kivételes helyzetükkel és nem jutnak például illetéktelenül bizalmas információk birtokába vagy kísérelnek meg más visszaélést, például szándékos rombolást .

Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?

A Shell Control Box az adminok tevékenységét filmszerűen rögzíti és vissza is tudja játszani. Az új verzió, a Shell Control Box 3 F4 már a HTTP(S) kapcsolatokba is "belelát" és már nem csak utólagos ellenőrzésre alkalmas, például egy incidens vizsgálatánál, hanem valós idejű felderítésre és védelemre is. A szoftver képes az alkalmazó cég adminja által kiadott utasítások folyamatos figyelésére és blokkolni tudja azok futását, szélsőséges esetben meg tudja szakítani a távoli kapcsolatot és riasztást is küldhet az érintetteknek, például az IT-vezetőnek vagy a biztonsági felelősnek.

Ezzel még a konkrét incidens bekövetkezte előtt megakadályozhatók olyan események, mint például állományok nem kívánt törlése, jogosultság-eszkaláció, rendszerek vagy szolgáltatások leállítása vagy újraindítása vagy illetéktelen adathozzáférés. Stange Szilárd termékmenedzser szerint a következő lépés, hogy az SCB a grafikus felületen (pl. Windows Terminal Server, VMware, Citrix) végrehajtott parancsokat is képes legyen valós időben figyelni és közbeavatkozni, ha szükséges. A képességet már javában fejleszti a BalaBit, a nemrég alapított veszprémi kutatóközpont részvételével.