SOC vs NOC
26.2.2018

Kakšne izzive vam rešujeta varnostno operativni center (SOC) in mrežni operativni center (NOC)? Kakšne so razlike med njima? Ali je dovolj samo SOC? Ali samo NOC? Ju je smiselno združiti v eno enoto?

Že stara modrost pravi, da je težave pametneje preprečevati kot pa odpravljati. To velja tudi na področju poslovnih informacijskih (IT) sistemov. Mnogo organizacij ima zato vzpostavljene takšne ali drugačne oddelke oziroma enote, ki skrbijo za spremljanje dogajanja v IT-okolju. Njihova glavna odgovornost pa sta predvsem identifikacija in preprečevanje napak, ki bi se lahko razvile v resne težave in organizaciji povzročile poslovno škodo.

Temelj delovanja vsakega modernega informacijskega okolja je komunikacijsko omrežje. Ker se praktično vsaka digitalna aktivnost izvaja skozi omrežje, si organizacije za primarno spremljanje in preprečevanje napak v svojem IT-okolju največkrat omislijo mrežni operativni center (angl. Network Operations Center – NOC). Omrežje je zaradi svoje nosilne vloge tudi teren lateralnega gibanja kibernetskih kriminalcev, ki lahko z izkoriščanjem potencialnih ranljivosti, neustreznih varnostnih politik, napak in tudi malomarnosti v nastavitvah izkoristijo omrežje za izvajanje nepooblaščenih in poslovno škodljivih aktivnosti. To dejstvo pa postavlja organizacije pred dilemo: je smiselno spremljati in preprečevati potencialne kibernetske napade in incidente v okviru centra NOC ali je bolje za te naloge vzpostaviti poseben varnostno operativni center (angl. Security Operations Center – SOC)?

NOC vam zagotavlja zanesljivost in razpoložljivost

Z NOC-om spremljate in preprečujete tehnične težave in na ta način zagotavljate zanesljivost in razpoložljivost delovanja aplikacij na omrežnem nivoju. NOC je povezan z zagotavljanjem t. i. pogojev SLA (angl. Service Level Agreement) in identifikacijo, prioritizacijo in upravljanjem incidentov, ki vplivajo na zmogljivost in dosegljivost virov. Z NOC-om sicer lahko spremljate in preprečujete tudi nekatere varnostne incidente (npr. napade onemogočanja storitev), vendar z njim ne morete pokriti celotnega spektra potencialnih zlorab (angl. attack surface). Konkretno, če varnostni incident nima neposrednega vpliva na samo delovanje omrežja, boste ta incident z NOC-om težko zaznali. In tudi če ga, boste dejansko zaznali le posledico napada, ne pa samega vzroka incidenta.

SOC vam omogoča prepoznavanje, preprečevanje in hiter odziv na IT-varnostne incidente

Varnostno operativni center (SOC) se osredotoča na pravočasno zaznavo in preprečevanje varnostnih incidentov. Omogoča aktivno spremljanje in analizo potencialno sumljivih dogodkov ter tudi poročanje in odzivanje. SOC spremlja varnost omrežja in aplikacij. Njegov glavni namen sta zato zagotavljanje varnega poslovanja in omejevanje poslovne škode ob potencialnih incidentih. NOC po drugi strani zagotavlja razpoložljivost informacij in storitev (angl. availability), ne pa, kot SOC, tudi neokrnjenosti in zaupnosti.

SOC zahteva drugačna znanja kot NOC

Čeprav se določeni pristopi v SOC-u in NOC-u dejansko prekrivajo oziroma dopolnjujejo (identifikacija, raziskovanje, prioritizacija in razreševanje težav), pa vsak posebej zahteva strokovnjake na svojih področjih. Oboji morajo seveda poznati delovanja omrežij in informacijsko arhitekturo, vendar SOC-strokovnjaki dodatno poznajo in razumejo tudi pristope kibernetskih napadalcev. Govorimo o naprednih znanjih etičnega hekinga, ki poleg odličnega razumevanja delovanja varnostnih naprav, operacijskih sistemov na strežnikih in delovnih postajah ter spletnih aplikacij, razumejo tudi prvine socialnega inženiringa in anatomijo naprednega kibernetskega napada (angl. cyber kill chain).

Je smiselno SOC in NOC združiti v en oddelek?

Čeprav se ideja po širitvi obstoječih NOC-centrov v t. i. super NOC-SOC-centre morda zdi privlačna, predvsem v luči pomanjkanja kadrov, pa bi tovrstni pristop močno odsvetoval.  

Dinamika dela in same naloge se med oddelkoma toliko razlikujejo, da bosta rezultat združitve slabša zanesljivost in šibkejša varnost okolja. Še več. Prepuščanje varnostnih incidentov v roke specialista NOC-centra ima lahko katastrofalne posledice. Ali kot je znani strokovnjak Anton Chuvakin zapisal v Gartnerjevem poročilu How to Plan and Execute Modern Security Incident iz leta 2016: »Think about it: Is a user's report that "My PC is slow" the same as a CNN report that your organization's $800 million wind turbine schematics are stolen? Should these events be handled by the same people in the same way

To seveda ne pomeni, da oddelka med seboj ne smeta sodelovati. Še več, morata sodelovati. Tako je recimo smiselno, da ima NOC-oddelek bralni dostop do SIEM-sistema, ki lahko poleg svojega osnovnega namena dodatno izvaja še vlogo povezovalne platforme med skupinama. Ko SOC-skupina zazna potencialen incident oziroma ranljivost v okolju, nadalje komunicira z NOC-skupino, ki s čisto operativnimi opravili in po navodilu SOC-skupine potem to težavo tudi pomaga odpraviti.

Namesto zaključka: realnost na terenu

Dejanska omejenost kapacitet (ljudi, znanja, opreme, denarja), kar je žal realnost, hkrati pa tudi zelo velik izziv, mnoge organizacije sili v sprejemanje kompromisov. Potem so tu še potencialno nerazumevanje varnostnih tveganj, težave s pridobitvijo podpore pri vodstvu, površnost in nestrokovnost (niti ne toliko po krivdi inženirjev, ampak ker se jim dodeljujejo naloge, za katere niso primarno oziroma dovolj usposobljeni). Vse našteto ima za posledico (pre)visoko varnostno tveganje.

Organizacije, ki se zavedajo resnosti kibernetskih varnostnih tveganj in obsežnih negativnih posledic, do katerih lahko v poslu zaradi incidentov pride, se zato informacijske varnosti lotevajo celovito in resno. Ne sprejemajo kompromisov. Le na ta način lahko zagotovijo sprejemljivo varnost poslovanja, vzdržujejo zaupanje trga in ohranjajo svojo konkurenčno prednost.

Avtor: mag. Matjaž Kosem