Blaž Babnik, vodja varnostno operativnega centra (SOC), NIL
14.9.2020

Zadnja leta je v Sloveniji zraslo več operativnih centrov kibernetske varnosti, ki jih najbolj poznamo pod angleško kratico SOC (Security Operations Center). Njihov razmah ni slovenska posebnost, saj podobno zaznavajo tudi drugje po svetu. Podjetja se namreč čedalje bolj zavedajo nujnosti naložb v informacijsko varnost, pri čemer sama praviloma nimajo ne kadrov ne denarja za vzpostavitev lastnih ekip.

Z dr. Blažem Babnikom, vodjo Varnostno operativnega centra (SOC) podjetja NIL, so se v Časniku Finance se pogovarjali o tem, kako so se lotili tega izziva, kaj vse mora ponujati operativni center kibernetske varnosti, da si zasluži to ime, in kaj naj podjetja upoštevajo, ko izbirajo ponudnika SOC. NIL je bil eden izmed prvih slovenskih ponudnikov, ki je začel razvijati lasten SOC in ga kot storitev ponujati na trgu.

»Ko smo pred dobrimi tremi leti začeli uresničevati idejo o lastnem SOC, smo želeli najprej na svojem primeru zgraditi možnost zaznave kibernetskih incidentov in odziva, nato pa to ponuditi trgu v obliki upravljane storitve,« je povedal Babnik. Takšno storitev imenujemo SOCaaS (SOC as a Service) oziroma center kibernetske varnosti kot storitev.

V podjetju NIL so v središče postavili zmožnost zaznave varnostnih incidentov. Tako so razmeroma hitro prišli do vsem dostopne baze znanj MITRE, po kateri so začeli ocenjevati sposobnosti zaznave SOC. »Ugotovili smo, da si zgolj upravljanemu senzorju za zaznavo anomalij v omrežju ali zgolj vzpostavljenemu sistemu SIEM ali preostalim parcialnim rešitvam, ki jih namestijo ponudniki, ne upamo reči SOC. S takšnimi parcialnimi rešitvami namreč ni mogoče zaznati več kot nekaj odstotkov incidentov, poleg tega sprožajo veliko lažnih alarmov,« je povedal sogovornik.

Raziskava skupine Mandiant, ki deluje v okviru podjetja FireEye, na primer kaže, da upravljavci varnosti zaznajo le nekaj odstotkov kibernetskih napadov, ki trajajo v povprečju več kot sto dni, vse preostalo pa zaznajo drugi deležniki.

Kakšne storitve ponuja SOC?

Glavno storitev SOC imenujemo upravljana zaznava in odziv (MDR – managed detection and response). Dodatno pa lahko od SOC pričakujemo še pomoč pri poznejšem odzivu v primeru večjega incidenta ter varnostno forenziko (Digital forensics and incident response). K vsemu temu je smiselno dodati še preostale storitve, ki so tekoče povezane s povečevanjem varnosti, na primer periodično varnostno preverjanje ranljivosti in pomoč pri njeni odpravi. Vse preostale storitve, kot so vdorno testiranje, kampanje z ribarjenjem, ozaveščanje, pregledovanje kode in podobne aktivnosti, po našem mnenju ne sodijo v ožji okvir SOC oziroma upravljane zaznave, čeprav jih v podjetju NIL tudi ponujamo.

Ponujate pa tudi gradnjo zaznave in odziva. Kaj to pomeni?

Res je, SOC naj bi ponudil tudi povezovanje in gradnjo zaznave. V nasprotnem primeru lahko stranke postanejo talci posameznih prodajalcev, ki ponujajo vsak svojo rešitev oziroma napravo, za katero se lahko pozneje izkaže, da ne opravi svojega dela. Večina organizacij na žalost nima znanja, da bi si same zasnovale smiselno strategijo gradnje SOC. Prav tako se pojavlja resen dvom, ali so tega sposobni ponudniki, ki želijo prodajati rešitve korporacij. V našem SOC smo ugotovili, da je treba strankam pomagati pri načrtovanju njihovih SOC-zmogljivosti in povezovanju uveljavljenih orodij v smiselno celoto. Tu smo se morali odločiti, katere tehnologije in proizvajalce bomo podpirali, saj želimo na eni strani strankam omogočiti, da izkoristijo obstoječe naložbe, hkrati pa smo se tudi sami omejili, ker preprosto ne moremo imeti ekspertize na vseh področjih.

Na podlagi česa naj se podjetja odločijo, katere storitve SOC potrebujejo?

Storitve, ki bi jih potrebovala podjetja, si dostikrat sledijo ravno v obratnem vrstnem redu, kot si marsikdaj zamislijo. Večina podjetij bi rada najprej nakupila opremo in se šele potem ukvarjala z načrtovanjem. V resnici pa bi podjetja najprej potrebovala oceno njihovega okolja, kjer bi se pokazale največje vrzeli v varnosti. Naslednji korak bi bila priprava smiselnih usmeritev za obdobje leta dni, treh let in petih let ter več. V obdobju leta dni se opredelijo najbolj žgoče zadeve, ki jih je mogoče reševati z uveljavljeno programsko in strojno opremo. Takrat se prav tako izdela tudi načrt, kako optimalno izpeljati detekcijo, nato se ta tudi vpelje. Za obdobje treh let se nato načrtujejo nova vlaganja in morebitne zamenjave orodij. Za daljše obdobje pa se pripravi strategija, kako se posameznih področij lotevati. Vsemu skupaj se potem dodajo tudi dopolnitve na procesni ravni in potencialno zapolnitev kadrovskega primanjkljaja.

Kaj naj podjetja preverijo, preden izberejo ponudnika SOC?

Do zdaj smo se pogovarjali v glavnem o orodjih in procesih, nujno pa moramo omeniti še najpomembnejšo točko storitev SOC – ljudi. Organizacije, ki želijo storitve SOC, naj preverijo, kakšne strokovnjake jim je ponudnik sploh sposoben zagotoviti. Tu mislim na formalno izobrazbo, certifikate s področja varnosti in v končni fazi tudi zmožnost podjetja, da strokovnjake zadrži. Dogajanja v zadnjem času, denimo brexit in pandemija COVID-19, nas opozarjajo, da bo globalizacija najverjetneje prestavila v vzvratno prestavo. Podjetjem zato svetujem, naj si zagotovijo lokalno navzočnost vsaj precejšnjega dela strokovnjakov. Lokalno je mišljeno v okviru posamezne države ali na primer Evropske unije. Pri ponudniku naj nujno preverijo tudi, ali forsira svojo rešitev, kjer samo preprodaja izdelke, ali je sposoben poslušati stranko. Na koncu naj sledi še eno izmed pomembnejših vprašanj – kako bo naročnik preveril sposobnosti SOC in kakšno metriko bo uporabil, da bo ocenil zmožnosti detekcije storitve SOC.

Kako pa lahko naročnik preveri sposobnosti SOC?

Najprej z referencami. Naročnik lahko preveri, kakšne so izkušnje z vpeljavo SOC pri podobnih podjetjih. Sicer pa objektivnega merila za preverjanje same zaznave ni. V našem podjetju se precej opiramo na že omenjeni MITRE, po katerem se ocenjujejo tudi vodilni dobavitelji paketov za zaznavanje in odpravo groženj na končnih odjemalcih (EDR – Endpoint detection and response). Tako strankam priporočamo, naj preverijo raven in kakovost zaznave ponudnika. Pri preostalih, ki so že odjemalci SOC, naj preverijo, koliko in kakšna priporočila so dobili od njega.

So SOC primerni predvsem za velika podjetja ali si jih lahko privoščijo tudi srednja in celo manjša podjetja?

Morda imajo manjša podjetja še več težav pri zagotavljanju informacijske varnosti, ker težko upravičijo strošek strokovnjakov, ki bi se ukvarjali samo z varnostjo. Manjšim podjetjem svetujem, naj se usmerijo na tista področja, kjer bodo s storitvami SOC pridobila največ, vlagajo pa naj v orodja, s katerimi si bodo ustrezne funkcionalnosti zagotovili v zameno za čim bolj ugodno licenčnino. Dejstvo je, da bodo tako ali drugače manjša podjetja za varnost morala nameniti večji delež sredstev kot večja, ker ni takšne ekonomije obsega. Za manjša podjetja je zato še bolj primerno, da uporabijo svetovalne storitve SOC. Ta bo pregledal trenutno stanje in svetoval, kako optimizirati vlaganja v poznejše storitve in zaznave. Na hitro rečeno so za manjša podjetja morda primernejša orodja, ki so v oblaku in se obračunavajo po količini podatkov ter uporabljajo sodobnejše metode, denimo strojno učenje in opazovanje vedenja. S tem zmanjšajo količino alarmov, ki jih potem obdela SOC. V vsakem primeru najprej poiščite dober nasvet. Bolj smiselno je vložiti v nasvet nekoga z izkušnjami kot strošek zaznavanja groženj nekajkrat preplačati v prikriti obliki provizij in licenc ter na koncu ostati z rešitvijo, ki ni optimalna.

Kdaj in zakaj je bolje SOC najeti kot zgraditi svojega?

Večina organizacij trenutno ne more dobiti kadra za gradnjo lastnega SOC. Ta trenutek je edini način, da pridejo do približno normalnih zmogljivosti SOC, delna hibridnost. To pomeni, da si organizacije postopno gradijo lasten SOC, določen del kadrovskega primanjkljaja pa prenesejo na zunanjega ponudnika. V vsakem primeru bi morala vsaka organizacija imeti vsaj nekaj zaposlenih, ki bi se ukvarjali s kibernetsko varnostjo.

Kako velike pa so ekipe, ki skrbijo za kibernetsko varnost?

Vzemimo za primer organizacijo s tisoč uporabniki ali več, ki bi želela imeti lasten SOC, delujoč v režimu 24/7. Navadno se varnostni analitiki razdelijo med mlajše in bolj izkušene. Mlajši pregledajo večino alarmov in primerov, kompleksnejše pa dajo v pregled starejšim. Torej bi za delovanje v režimu 24/7 potrebovali vsaj osem zaposlenih, saj je treba vzpostaviti štiriizmensko delo. Dodatno potrebujemo vsaj še dva zaposlena, da nadomestita bolniške odsotnosti in dopuste. Če predpostavimo, da so bolj izkušeni analitiki sposobni celotno zadevo tudi upravljati, potrebujemo samo še vodjo te skupine. Tako pridemo nekje na minimalno 12 zaposlenih, ki bi jih podjetje potrebovalo, da zagotovi zmožnost zaznave varnostnih incidentov. Ta kader je treba potem tudi izobraževati.

Koliko podjetij si to lahko sploh privošči?

Kot zaznavamo v Sloveniji, ni podjetja, ki bi lahko samo zagotovilo finančna sredstva za zaposlitev tolikšnega števila ljudi. Tudi če bi denar zagotovili, jim verjetno tolikšnega števila ljudi ne bi uspelo najti. Pojdimo še korak dlje – tudi če podjetju nekako uspe pridobiti zelo dober kader, ki ga zanima IT-varnost, bodo ti ljudje prej ali slej želeli postati del večje ekipe, ki se ukvarja z varnostjo in kjer bodo lahko izmenjevali znanja ter jih nadgrajevali. Zato menim, da je za slovenske razmere za večino strank najbolj smiselno, da v začetnem obdobju zmogljivosti SOC najamejo, pozneje pa z zaupanja vrednim ponudnikom določene stvari prenesejo na lastne zmogljivosti.

Članek je bil izvorno objavljen v Časniku Finance.

Delavska hranilnica: »NIL-ov SOC je edini res pravi SOC v Sloveniji«

Delavska hranilnica zaradi pospešene digitalizacije in uvajanja naprednih digitalnih produktov kibernetsko varnost obravnava strateško. Učinkovito zaznavanje in odzivanje na potencialne kibernetske incidente je zato za njih ključno. To jim omogoča NIL-ov SOC, po mnenju hranilnice najbolj celovit varnostno-operativni center na trgu.

PREBERITE ŠTUDIJO PRIMERA