A támadók nem betörnek. Bejelentkeznek. A logokat kijátszva.

Egy támadás ma már nem úgy történik, ahogy azt sokan elképzelik. Nem jár zajjal, nem okoz azonnali leállást, és nem küld figyelmeztetést. Nem jelenik meg egy képernyőn, hogy „feltörték a rendszert”.

Egyszerűen csak elkezdődik.

Valaki próbálkozik.
Valaki hozzáférést keres.
Valaki figyel.

És ha talál egy gyenge pontot, akkor nem rombol. Nem az a célja.

Hanem marad.

Ez az a pont, ahol a legtöbb szervezet elveszíti a kontrollt, anélkül hogy észrevenné.

Mert miközben minden működik, a háttérben történik valami, amiről nincs visszajelzés. Nincs riasztás. Nincs hiba. Nincs látható jel.

Csak egy apró eltérés.
Egy szokatlan kapcsolat.
Egy furcsa belépési próbálkozás.

Valami, ami önmagában jelentéktelennek tűnik.

De nem az.

Mindezeket az eseményeket rögzítik a rendszerek.
A tűzfal.
A hálózati forgalomfigyelő.
A felhasználói azonosítási rendszerek.

Minden egyes mozdulatnak van lenyomata.

Ezek a logok.

És itt jön az a pont, ahol a valóság és a működés elválik egymástól.

A legtöbb cégben ezek az adatok léteznek.
Gyűlnek.
Tárolódnak.
Elérhetők.

De valójában nincsenek használva.

Nem azért, mert ne lennének fontosak.
Hanem mert nem kerültek be a gondolkodásba.

A logok sok helyen még mindig „informatikai részletként” élnek. Olyan dologként, amit az IT kezel, ha probléma van. Pedig a log nem a probléma után fontos.

Hanem előtte.

Mert amikor egy rendszerben valóban történik valami komoly, az nem egyik pillanatról a másikra történik. Az mindig egy folyamat eredménye. Egy sor apró esemény, amelyek egymás után épülnek fel.

És ezek az események mind láthatók lennének.

Ha valaki nézné őket.

Egy tűzfal naponta rengeteg kapcsolódási kísérletet lát. Ez nem kivétel. Ez az alapállapot. Külső rendszerek próbálnak kommunikálni, portokat vizsgálnak, szolgáltatásokat keresnek. Ez folyamatosan történik, minden hálózaton.

Egy forgalomelemző rendszer képes megmutatni, hogy a saját eszközök merre kommunikálnak. Nem csak azt, hogy működik-e a hálózat, hanem azt is, hogy milyen irányba, milyen célpontok felé történik adatmozgás.

És egy felhasználói rendszer naplózza, ha valaki be akar lépni. Akkor is, ha nem sikerül. Akkor is, ha nem jogosult. Akkor is, ha a világ egy másik pontjáról próbálkozik.

Ezek nem kivételek.

Ezek a mindennapok.

A kérdés nem az, hogy ezek az események megtörténnek-e.

Hanem az, hogy ezek közül melyik az, ami nem oda tartozik.

És ezt nem lehet érzésből eldönteni.

Ehhez rálátás kell.

A legnagyobb kockázat nem maga a támadás.

Hanem az, hogy nincs róla tudomása.

Mert amíg egy probléma láthatatlan, addig nem is létezik a döntéshozatal szintjén. Nem kerül be a prioritások közé. Nem kap figyelmet. Nem kap erőforrást.

És közben zajlik.

Csendben.

Ez az a pont, ahol a kérdés már nem technikai.

Hanem vezetői.

Mert nem az a döntés súlya, hogy milyen eszköz van bevezetve.

Hanem az, hogy van-e rálátás arra, amit az az eszköz mutat.

Egy tűzfal önmagában nem védelem.
Egy naplózás önmagában nem kontroll.

A védelem ott kezdődik, amikor a rendszer nem csak működik, hanem értelmezve is van.

Amikor valaki nem csak gyűjti az adatot, hanem érti is, hogy mit jelent.

És ami még fontosabb: észreveszi, ha valami eltér a megszokottól.

A legtöbb szervezet nem ott sérül, ahol számít rá.

Hanem ott, ahol nem néz rá.

Nem azért, mert nincs eszköze.
Hanem mert nincs rálátása.

Zárógondolat

Nem az a kérdés, hogy van-e log.

Hanem az, hogy látja-e azt, amit a rendszere mutat.

És ha látja…

tesz-e vele bármit.