Zastanawiałem się – chyba to już kiedyś pisałem, może nawet niejeden raz – jak wyglądałby świat, gdyby fale radiowe były widoczne. Na bank mielibyśmy problem z chodzeniem i przepychaniem się między nimi. Podobnie wygląda sytuacja z ogromem informacji, przesyłanych w internecie. Jak w takim nawale ruchu wyłowić ten niewielki odsetek informacji, które mogą zagrażać użytkownikom?
Po pierwsze: skąd? Patrzenie na ten ogromny stóg siana jednowymiarowo, z jednej tylko perspektywy, w żaden sposób nie pomoże go zmniejszyć. Im więcej miejsc w sieci, bądź systemów, z których zbieramy nawet pozornie nieistotne informacje, tym łatwiej odnaleźć – jak to się ładnie mówi – ruch o charakterze anomalii.
Po drugie: co? Patrząc jednostkowo na gromadzone dane nie sposób zobaczyć w nich jakiegokolwiek sposobu na wykrycie problemów. Bo przecież gromadzenie informacji o czasie, kiedy logował się użytkownik samo z siebie nic nie da, podobnie jak lokalizacja logowania. Tak samo rzecz się ma w przypadku raportu o ściąganiu plików o konkretnej charakterystyce, mieszczących się w danych granicach wielkości, adresów IP, z których je ściągano, czy też danych, jakie witryny lub adresy IP pojawiły się w internecie w ciągu ostatnich dni.
Po trzecie: jak? Sprawa wygląda jednak zupełnie inaczej, gdy perspektywy skorelujemy ze sobą (czy raczej zrobi to specjalne oprogramowanie) co pozwoli nam spojrzeć na zdarzenie w wielu wymiarach. Fakt logowania się tego samego użytkownika w ciągu minuty w dwóch różnych krańcach kraju może sugerować, że właściciel albo „pożyczył” komuś swój login albo mu go wykradziono. Mały plik, ściągnięty ze świeżo założonego adresu IP? Być może ktoś właśnie kliknął w link w phishingowym mailu. Sam fakt zmiany hasła na koncie to działanie jak najbardziej normalne. Co jednak, gdy hasło użytkownika X zmienił użytkownik Y? Liczba tzw. reguł korelacyjnych zależy oczywiście od wielkości firmy i tego, jak poważnie podchodzi do bezpieczeństwa. U nas jest ich... hmmm... dużo :)
Po... co to wszystko? Uchylę nieco rąbka tajemnicy. Wiecie ile źdźbeł ma nasz "stóg siana"? Miesięcznie liczba zdarzeń, która przechodzi przez nasze systemy dochodzi już do 6 miliardów. Ile igieł z niego odsiewamy dzięki korelacji, nie ruszając niegroźnego siana? Kilkaset...