3 , 2 , 1 … START!
Egy korábbi blogbejegyzés során már kitértünk arra, hogy mit takar a DevNet, milyen potenciált rejt magában a Cisco által propagált program. 2020-ban és 2021-ben ennek a kiváló programnak a keretein belül felkértek minket, hogy vegyünk részt egy olyan versenyen, ahol nem csupán a puszta tudásunkat van lehetőségünk összemérni más partnerek mérnökeivel, hanem minden kreativitásunkat, tapasztalatunkat és szakértelmünket bevetve alkothatunk egy automatizációra épülő megoldást, amely hatékonyabbá teheti az IT iparágban dolgozók munkáját.
Azok, akik nem ebben az iparágban tevékenykednek most azt gondolják, hogy ebben nincs semmi extra, hiszen egy informatikai cégben mindenki tud programozni, viszont akik ismerik szakmánk szépségeit, pontosan tudják, hogy a szoftver fejlesztés és kód írás egy különálló speciális terület, amelyre legalább évekig kell szakosodni és készülni a mérnököknek.
Ez a verseny nem pusztán a jól bevált és használt tudás lemérését szolgálja, hanem az újonnan bevezetett DevNet minősítésnek is egy éles tesztje. Nyerhet vele a Cisco, hiszen lemérheti új programjának sikerességét. Nyerhet a partner is, hiszen új kompetenciát és területet fedezhet fel magának, de a legfontosabb, hogy nyerhet az ügyfél vagy végfelhasználó, ugyanis olyan értéknövelt megoldásokat tervezhet az infrastruktúrájába gyártói és partneri támogatással, amelyről korábban álmodni sem mert.
A programozhatóság és az automatizálás nem ismeretlen fogalom számunkra, ugyanis ezek a Software Defined Network koncepció kezdeti térnyerése és rohamos terjedése következtében már szinte alapelveinkké váltak nekünk is. Tavaly bátran tűztük ki célul, hogy elindulunk a DevNet partnerré válás útján, és a lentebb írtak csak megerősítenek bennünket abban, hogy jó úton haladunk.
XMAS WARM UP
Ebben a fordulóban gyakorlatilag annyi volt a feladat, hogy találjunk bármilyen automatizációs megoldást, amit egy demo keretében bemutatunk a Cisco számára. Elég alacsonyak voltak a kezdeti követelmények, hiszen ez egy bemelegítő kör volt, és nem akarták elvenni sem a lelkesedésünk, sem a kedvünk az alkotástól.
A verseny hivatalosan november végén indult és január közepén kellett a produktumot bemutatható állapotba hozni. Tehát másfél hónapunk volt a koncepciónkat megalkotni és lekódolni. Természetesen emellett továbbra is rendelkezésre álltunk a folyamatban lévő projektekben és támogatási feladatokban, így nem sok nettó időnk maradt a fejlesztésre, de igyekeztünk kihozni a helyzetből a maximumot.
Szoftverarchitektúránkat az ITBN-en már bemutatott Stealthwatch alapú automatizált végpontvédelmi beavatkozás koncepciójára alkottuk meg, amelyet további Cisco és nem-cisco elemekkel is bővítettünk.
A MALWARE-ek már a spájzban vannak
Az alapfelvetésünk egyszerű:
Ha általunk meghatározott domain név, vagy IP cím irányába már tiltott a végpontról történő kommunikáció, de az valamilyen oknál fogva mégis megtörténik, az jelentheti azt, hogy valamelyik védelmi vonalunk elesett és azonnali beavatkozás szükséges azért, hogy egy komolyabb MALWARE vagy RANSOMWARE támadást megállítsunk.
Ezt a tézist tapasztalataink alapján állítottuk fel.
A kommunikációs folyam ellenőrzésének leghatékonyabb módja a netflow/IPFIX alapú adatgyűjtés, amely valós időben mutatja a keresztmetszeteken átmenő forgalmat. Ehhez használjuk a Stealthwatch-ot. Azonban nem elég az adatfolyam ellenőrzése és a gyanús esetekről riasztás generálása, mert ezekről közvetlenül is szeretnénk értesíteni a felhasználót/admint/NOC-ot/SOC-ot. Ehhez fejlesztettünk Webex integrációt, amely érthető formában közli a vizsgálat eredményét.
Ha a riasztás megtörtént, akkor a megfelelő végpontvédelmi rendszerekben – amelyekben megvan az Endpoint Response képesség (Cisco AMP for Endpoint, Trend Micro Apex One) – izoláljuk/kizárjuk a végpontot a hálózati kommunikációból, ezzel megelőzve egy MALWARE vagy RANSOMWARE továbbterjedését a hálózaton.
Természetesen a folyamatról értesítjük a megfelelő admin csoportokat Webex-en. A rendszert igyekeztünk úgy megalkotni – már az elejétől kezdve -, hogy mind az integrálhatóság, mind az alkalmazás futtatása könnyedén kivitelezhető legyen, így automatizációs megoldásunk webes kezelői felületet is kapott.
Eredmények
A verseny nem csak elérte, hanem túl is szárnyalta a bemelegítő fázis elvárásait, elég kiélezett lett a partnerek közti verseny, és ilyen erős mezőnyben sikerült megszereznünk a Threat Response Champion díjat, amely megerősített bennünket abban, hogy jó úton haladunk a tavaly kijelölt célunk elérésében. A Cisco külön kiemelte, hogy megoldásunkban nem csak az automatizáció megvalósítására fektetünk nagy hangsúlyt, hanem arra is, hogy megoldásunk az IT adminok és a felhasználók által is könnyen telepíthető és módosítható legyen.
A további fordulók fejlesztéseiről és eredményeiről hamarosan további beszámolókat olvashattok itt, a blogon.
Tamás elkötelezett híve a hálózati és IT biztonsági területeken megvalósítható hálózat-virtualizációnak, software defined rendszereknek, 2020-ban Magyarországon elsők között szerezte meg a Cisco DevNet Associate minősítését, emellett, több gyártónál, nagyvállalati és szolgáltatói hálózatokkal valamint végpont védelemmel kapcsolatos professzionális szintű minősítései is vannak.
