Varnostno operativni centri SOC v letu 2019 22
05.3.2019

Trendi na področju varnostno operativnih centrov

2018 je bilo na področju kibernetske varnosti v Sloveniji leto varnostno operativnih centrov (angl. Security Operations Center - SOC). Vsa podjetja, ki se resno ukvarjajo z informacijsko varnostjo, so na svojih spletnih straneh o rešitvi SOC objavila vsaj kako besedo. Vendar pa trg in stranke niso pokazali (takojšnjega) sorazmernega navdušenja. Zakaj je tako in ali bo v prihodnosti kaj drugače?

V prvem letu obstoja NIL-ovega varnostno operativnega centra (SOC) smo v storitev vključili dve domači organizaciji, velik del leta pa smo se ukvarjali tudi s postavitvijo upravljanega varnostno operativnega centra (angl. Security Operations Center as a Service – SOCaaS) za veliko organizacijo iz tujine. Ob tem smo precej napora vložili v promoviranje varnostnega zavedanja ter opravili veliko predstavitev ter delavnic in pogovorov s potencialnimi strankami. Naučili smo se, da je kibernetska varnost za organizacije pomembna tematika. Veliko podjetij izraža željo, da bi bila pripravljena na kibernetske grožnje in posledično napade. Toda, če so poslovni izzivi razumljeni in rešitve znane, zakaj jih več organizacij ne rešuje aktivno?

Pomanjkanje virov in opreme za zagotavljanje minimalne vidljivosti

Kibernetska varnost je cilj, ki ni nikoli dosežen. V NIL-ovem SOC-u opažamo, da večina organizacij pri poskusih doseganja tega daje prednost obrambnim mehanizmom (angl. prevention) pred sistemi za zaznavo (angl. detection) in samo pripravljenostjo ter odzivom na napade. Razlog za to je, da je njihova vzpostavitev v primerjavi s sistemi zaznave ter odziva enostavnejša in zahteva manj specifičnega znanja ter da večina ponudnikov rešitev problema kibernetske varnosti še ne naslavlja celovito. Seveda z uporabo teh sistemov ni nič narobe, ravno nasprotno. Poslovno škodljivo pa je ignoriranje načinov zaznave vdora in prepričanje, da je povečanje investicij v klasične preventivne mehanizme (požarni zid, antivirus ipd.) dovolj za učinkovito obrambo poslovanja pred kibernetskimi napadi.

Eden najpomembnejših razlogov za takšno stanje je vsekakor pomanjkanje (internega) znanja za izvajanje “detektivskih” aktivnosti v kibernetskem prostoru ter odsotnost in/ali neprimernost obstoječe opreme. Po mnogih pogovorih z vodji informatike in vodji informacijske varnosti v lanskem letu opažamo, da tudi velike organizacije z nekaj sto ali celo več kot tisoč zaposlenimi oziroma takšne, ki pri delu uporabljajo zelo občutljive podatke (intelektualna lastnina, know-how, osebni podatki, finančni podatki in poslovne skrivnosti itd.), večinoma v svoji ekipi nimajo specializiranih varnostnih analitikov oziroma analitičark. Razlogi za to so zelo različni – od pomanjkanja zavedanja o kibernetskih nevarnostih, do premalo finančnih virov za takšna delovna mesta, pa vse do pomanjkanja želenih kadrov na trgu dela. Za veliko varnostnih strokovnjakov je pri odločitvi za zaposlitev pomembno, da postanejo del večje ekipe in organizacije, kjer bodo lahko strokovno napredovali in pridobili prave izkušnje. Ne glede na dejanski razlog pa je posledica takšnega stanja prepričanje organizacij, da je napredek na tem področju drag in dolgotrajen.

V resnici je možno cenovno učinkovito in relativno hitro narediti pomembne korake na poti dviga kibernetske varnosti. Ni nujno, da vse kapacitete razvijate in izvajate sami, niti za učinkovit sistem zaznave ne potrebujete najnovejših (beri najdražjih) tehničnih rešitev. S preudarno oceno tveganj in premišljenim pristopom (avtomatizacija, prava kombinacija orodij itd.) si lahko vsaka organizacija za sprejemljive stroške zagotovi učinkovit sistem prepoznavanja in odzivanja na kibernetske incidente. Je pa bistvenega pomena pri tem ustrezno znanje ljudi, ki bodo te aktivnosti vzpostavili in izvajali, ne glede na to ali gre za strokovnjake znotraj vaše organizacije ali za zunanjega partnerja/izvajalca.

»Preveč« opreme in lažni občutek varnosti

Če na eni strani opažamo, da nekateri premalo pozornosti posvečajo vidljivosti, pa moramo pogledati tudi drugo plat medalje, kjer se nahajajo tisti, ki sorazmerno veliko investirajo v napredno tehnologijo. Če se tudi vi najdete v tem opisu, bo vaš glavni izziv povezava teh rešitev v smiselno celoto in prilagoditev specifikam vašega poslovnega okolja. Brez tega ne boste uspeli vzpostaviti primerne vidljivosti oziroma si boste celo povzročali nepotreben šum (angl. false positives). Še več, s prekomernim odstranjevanjem tega šuma si boste ustvarili neobčutljiv in de facto neučinkovit sistem zaznavanja, ki vam bo dajal občutek lažne varnosti. To pa je lahko izredno nevarno za samo poslovanje.

Svetujemo, da pri investicijah v vrhunskost dajete vedno prednost ljudem in znanju pred tehnologijo. Kar se tiče konkretne tehnologije, pa svetujemo t. i. »povezovanje hibridnih svetov« – posameznih gradnikov v omrežjih in na končnih točkah na eni strani ter orodij za orkestracijo (t. i. orodja SOAR - angl. security orchestration, automation, and response) na drugi strani. Sicer drži, da že orodje SIEM (angl. Security Information and Event Management) zbira varnostne dogodke v eno bazo in jih zna med seboj smiselno povezati, vendar vam ne omogoča učinkovitega avtomatiziranega obravnavanja varnostnih dogodkov. Brez tega boste danes zelo težko zagotovili hitro in uspešno odzivanje na sodobne hekerske napade.

Premalo zaupanja

Oba našteta izziva lahko seveda uspešno naslovite, kar dokazujejo tudi primeri dobrih praks s trga. Vendar večina organizacij to zelo težko izvede v lastni režiji oziroma se izkaže, da je tak pristop prepočasen in predrag. Zato je optimalno sodelovanje z zunanjim partnerjem, ki vam pomaga vzpostaviti lasten sistem. Rešitev lahko tudi najamete od njega ali pa se odločite celo za »hibridni pristop«, kjer za del aktivnosti skrbi partner, za del pa vi sami in ob tem razvijate tudi lastno znanje, lasten kader ter pridobivate izkušnje.

Informacijska varnost se že po definiciji ukvarja z varovanjem posla in občutljivih informacij. Zato marsikdo vpeljavo zunanjega parterja v ta proces dojema kot potencialno tveganje, še posebej pri vzpostavitvi sistema kot je SOC. Kaj vse SOC vidi? Kdo ima dostop do tega? Kam se podatki shranjujejo? Ali SOC vidi gesla na naših napravah? Ali lahko analitiki v SOC-u dostopajo do podatkov zaposlenih? Kaj pa občutljivi podatki?

Kot naročnik morate partnerju zaupati. Zaupanje naj temelji na referencah in certifikatih partnerja (ISO 27001 in ISO 9000), ki dokazujejo strokovnost, kredibilnost in specializirana znanja s področij kibernetske varnosti in upravljanja s podatki. Partner mora izkazovati tudi poznavanje in spoštovanje zahtev čedalje bolj obsežne in kompleksne zakonodaje – predvsem s področja varovanja osebnih podatkov (GDPR), poslovnih skrivnosti, intelektualne lastnine in specialnih predpisov, ki veljajo za naročnika (Zakon o informacijski varnosti - ZInfV). Vse zahteve se naj tudi konkretizira s sklenitvijo pogodb SOC, kjer se določita obseg in nivo storitev in pogodb o obdelavi in varovanju zaupnosti podatkov in kjer se natančno opredeli ravnanje s podatki.

Kako bomo reševali te izzive?

Dejstvo je, da bomo tudi v letošnjem letu opažali zelo podobne izzive na trgu, saj so organizacije pri vzpostavljanju SOC-ov, razumljivo, previdne. Na poti se pojavijo tudi ovire, ki jih je v praksi zelo težko hitro odpraviti – kot recimo izobrazba ustreznega kadra. Na NIL-u se zavedamo pomislekov na trgu ter izzivov, zato bomo v letošnjem letu še več truda vložili v to, da naš SOC približamo strankam in tako ponudimo še boljše odgovore na naštete izzive.

Ko sem prevzel vodenje NIL-ove SOC-ekipe, smo si tudi na področju razvoja zastavili ambiciozen plan. Ekipa bo tako pospešeno razvijala svoja lastna orodja za avtomatizacijo in orkestracijo, s katerimi bomo lahko strankam zagotavljali še hitrejšo ter učinkovitejšo analizo in obravnavo varnostnih dogodkov. Prav tako se bomo intenzivno posvečali t.i. »zero-trust security« politikam – predvsem iz naslova razmaha interneta stvari (angl. Internet of Things – IoT) in z njimi povezanih varnostnih tveganj, saj v nekaj letih pričakujemo povečanje rabe teh naprav ter prehod v oblačne storitve. Gre za politiko, ki ne dovoli nikakršnega dostopa, dokler se uporabnik ali naprava ne izkažeta za zaupanja vredna.

Naj še enkrat poudarim, da je vrhunsko znanje osnova učinkovitega varnostno operativnega centra, zato smo in bomo v letu 2019 še povečali ekipo – tako z mladimi in ambicioznimi talenti kot tudi z izkušenimi strokovnjaki – in se veliko dodatno izobraževali v okviru uglednih in priznanih ustanov na področju kibernetske varnosti (SANS, EC, Cisco ...). Prav tako bomo nadaljevali sodelovanje v mednarodnih forumih in strokovnih skupinah, kjer si izmenjujemo izkušnje s tujimi varnostno operativnimi centri in varnostnimi strokovnjaki (SIGS).

Da smo zaupanja vreden partner, s kakovostnimi storitvami in rešitvami dokazujemo že 30 let. Pravzaprav to potrjujejo naše stranke in s ponosom lahko povemo, da z nekaterimi od njih sodelujemo že skoraj polna 3 desetletja. Poslovno korektnost smo vgradili tudi v »gene« NIL-ovega SOC-a. Pogodbene obveznosti in obseg storitve zmeraj natančno opredelimo. Storitev je podvržena strogi ISO 27001 presoji, ki potrjuje ustreznost vodenja procesov varovanja podatkov podjetja in podatkov naših strank. Prav tako je storitev skladna s slovensko in evropsko zakonodajo na področju varovanja osebnih podatkov in informacijske varnosti. Ker pa se regulative spreminjajo in dopolnjujejo, naši strokovnjaki to budno spremljajo in storitev prilagajajo aktualnim razmeram in zahtevam.

Z vključitvijo prvih slovenskih strank v NIL-ov SOC in s postavitvijo velikega in kompleksnega SOC-a v tujini smo na NIL-u pridobili koristne izkušnje, na osnovi katerih vam lahko učinkovito svetujemo pri vzpostavitvi celostnega obvladovanja življenjskega cikla informacijske varnosti. V zaključku bi rad poudaril, da jemljemo občutljivost strankinih podatkov in vašo informacijsko varnost zelo resno in nam je v veselje, da lahko z obstoječimi in novimi strankami po nekaj mesecih dela skupaj ugotovimo, da se varnostna kultura in s tem pripravljenost na kibernetske izzive po uvedbi SOC-a iz meseca v mesec izboljšuje.

Avtor: dr. Blaž Babnik, vodja varnostno operativnega centra

Informacijska varnost v perspektivi številk

Ker pridobivanje (dodatnih) virov za izboljšanje kibernetske varnosti ni vedno preprosto oziroma samoumevno, sta vam naša strokovnjaka v predavanju Argumenti za kibernetsko varnost, ki jim bo vaše vodstvo prisluhnilo pripravila nekaj nasvetov o tem, kako se o kibernetski varnosti pogovarjati z vašim vodstvom.

OGLEJTE SI POSNETEK