A szaporodó kibertámadások keményen megdolgoztatják a rendszergazdákat, akiknek pillanatok alatt kell kritikus döntéseket hozniuk, azt mérlegelve, hogy vajon a szolgáltatások leállítása okoz majd nagyobb kárt, vagy pedig az, ha hagyják tovább futni a rendszereket, és ezzel teret adhatnak a zsarolóvírusok további terjedésének. Éppen a Petya legutóbbi óriási támadása előtt tartott sajtórendezvényt a magyar Balabit, amely a zsarolóvírusok támadása utáni „postmortem” elemzésekben tudja segíteni a vállalatokat, hogy láthatóvá váljanak az incidensek során tett ballépések, és ezekből tanulni tudjanak.
A Balabit három éve 1,8 milliárd forintos tőkeemelést hajtott végre, ezt követően azonban teljesen eltűnt a radarképünkről, mert – őszintén bevallva – a céges IT-rendszerek monitorozása nem a világ legszexibb témája, és ők is inkább a nemzetközi ismertségük kiépítésére fókuszáltak. A Balabit által kifejlesztett eszközök arra jók, hogy a vállalatoknál (túl sok) hozzáférést kapó dolgozók tevékenységét figyelemmel tudják követni, mégpedig oly módon, hogy
Vagy ha úgy tetszik, egy esetleg hekkerek által ellopott adminisztrátori fiókkal se lehessen tönkretenni egy vállalat informatikai rendszerét.
Vállalatok szervereit néha belülről is megtámadják, például bekattant adminok törlik az adatokat, vagy csak megpróbálnak ellopni és eladni kényes információkat. Alig pár hete történt, hogy egy holland webszolgáltató kirúgott adminja bosszúból minden ügyféladatot törölt, és egy napra megbénította a cég működését.
A kívülről támadó kiberbűnözők is hasonló módszerekkel dolgoznak, annyi különbséggel, hogy akár heteken vagy hónapokon át készítik elő a támadást, és amikor beüt a baj, akkor már rég megszerezték a szükséges hozzáféréseket. Ezt azonban a Balabit eszköze simán leleplezi. A hálózati forgalmat monitorozzák, amely a vállalat védendő szerverei és az ehhez hozzáférő dolgozók közt zajlik, és kiszűrik a gyanús jeleket. Az elemzés többrétegű, és van köztük pár izgalmas megoldás, mint például a viselkedés elemzése, amivel pillanatok alatt rájönnek, ha egy adminisztrátor felhasználónevét és jelszavát valaki más használja.
Hogy miért van erre szükség? Azért, mert az erős jelszó csak a védelem első vonala, ezt viszont simán ellophatják a kiberbűnözők vagy idegen államok által pénzelt kiberkatonák. Általában ez egy kibertámadás első lépése – fejtette ki Krasznay Csaba, a Balabit szakértője. Ezt követően megkeresik a hálózaton a jelszavakat tároló adatbázisokat, a hatékony támadáshoz ugyanis minél magasabb szintű, a lehető legtöbb joggal rendelkező felhasználói hozzáférést érdemes megszerezni (ezt a módszert használta a Petya vírus új variánsa is). Ha megvan egy admin belépési adata, azzal a támadó elvileg bármit megtehet.
Na, ennél a résznél jön be a képbe a Balabit, ők ugyanis a belépés után elvégzett tevékenységeket ellenőrzik. Rögtön kiszúrják, ha valaki olyan dolgokhoz próbál hozzáférni, vagy olyan parancsokat ad ki, olyan appokat indít el, amiket a mindennapi munkája során nem szokott. Ezt természetesen minden cég magának finomhangolhatja, hogy ritkán legyen hamis riasztás, ugyanakkor a legkisebb gyanús lépésnek is nyoma legyen. A viselkedés is árulkodó, figyelni tudják többek közt a gombok lenyomása közt eltelő időt, az egérmozgatás dinamikáját, irányát – és a rendszer rögtön jelez, ha valami nem stimmel. A felhasználó dönti el, hogy milyen cselekedetek indukáljanak riasztást, és mikor kell a gyanús kapcsolatot automatikusan megszakítani.
A védelmi funkciókon túl egészen meglepő járulékos hasznai lehetnek egy ilyen elemzőrendszernek. Egy vállalatnál például arra jöttek rá, hogy a szervereiken történő körülbelül húszezer interakcióból ötezret szkriptek hajtanak végre, mert az alkalmazottak rájöttek, hogy tök fölösleges kézzel begépelni bizonyos parancsokat.
Ez egyáltalán nem káros dolog, ugyanakkor a cég vezetősége ennek hála rájött, hogy a robotok és/vagy szkriptek által elvégezhető gépies munka helyett valami értelmesebb, kreatívabb feladatot is adhat az alkalmazottaknak.
Mint a bemutatókból kiderült, a Balabit rendszerének egyik előnye, hogy nem szöveges naplófájlokat kell végigbogarászni, mert a speciális algoritmusaik segítségével az adatokból videófájlokat (audit trail) állítanak össze, így az ellenőrzések során az jelenik meg, ami a vészjelzést kiváltó fiók használata közben a monitoron volt látható. (Magyarán nem a képernyőképet rögzítik, aminek óriási tárolási igénye lenne, hanem a képernyőképet reprodukálják.) Egy banknál így sikerült percek alatt kideríteni, hogy az admin hol szúrta el, és melyik parancs miatt állt le az egész ATM-hálózat.
A Balabit a három éve végrehajtott 1,8 milliárd forintos tőkeemelésből a nemzetközi terjeszkedését erősítette – tudtuk meg Györkő Zoltán ügyvezető igazgatótól. Kialakítottak egy globális menedzsmentet, nagy tapasztalattal rendelkező, külföldi vezetőkkel, és 2015-ben elindították a New York-i központjukat. Ennek meg is lett az eredménye, az Egyesült Államokból származó eladások már az összárbevétel 20 százalékát teszi ki, ami azelőtt csak 10 százalék volt.
A cég most 240-250 fős, és továbbra is hazánkban van a fejlesztés. Az itthoni bővülést némiképp gátolja, hogy nehéz jó szakembert találni, és a Balabithez nehéz bekerülni. „Nagyon erős a szűrő, mert ez nem egy Java-app, itt a kerneltől a szkriptekig mindent ismerni kell” – mondta Györkő Zoltán.
Az elemzőeszközünk piacra dobásával sikerült bebizonyítani, hogy jó adattudósképzés van Magyarországon, erős a matematikai háttér.
A Balabit továbbra is a dinamikusan fejlődő cégek közé tartozik, évente több mint 30 százalékos árbevétel-növekedést ér el, de például az USA-ban tavaly dupláztak. A tőkeinjekció megszerzése előtt a Balabit profitábilis volt, most azonban mínuszban van, mert elkeztek költeni a márkanév kiépítésébe. Györkő szerint jövőre már cash-flow pozitívak lesznek, és utána már profitelvárás van. Közben előkészítenek egy újabb, a korábbinál is nagyobb befektetési kört, lehetőleg amerikai alappal, ez várhatóan jövőre valósul meg.