Digitalizácia predstihuje naše kapacity plne porozumieť technológiám a trendy predbiehajú firemné rozpočty takmer kozmickou rýchlosťou. Zároveň rastie agresivita kybernetickej kriminality a presun do online prostredia zaskočil veľkú časť firiem, inštitúcií aj používateľov nepripravených. Ešte v máji minulý rok uviedlo v reprezentatívnom globálnom prieskume 76 percent top manažérov, že kvôli kybernetickým hrozbám nemôžu spávať. Na túto nespavosť svet hľadal liek.
Čím skôr
Profesionálny bezpečnostný trend má svoj názov – SOC (Security Operations Center), čiže po slovensky Stredisko bezpečnostných operácií. Ide o pracovisko, kde sa kumulujú aktivity smerujúce k ochrane organizácie, siete alebo prostredia. Bezpečnosť sa totiž skladá z celého radu rôznych aktivít. Pavol Draxler z Binary Confidence má skúsenosťami v tejto oblasti od roku 2008 a k téme nemilosrdne poznamenáva: „Slovensko je historicky na chvoste EÚ, čo sa týka implementácie informačnej bezpečnosti a povedomia všeobecne. Rádovo roky aj za susedmi. To sa týka aj povedomia o SOC.“
Tým lepšie
Juraj Přibyl vedie 36-členný tím v jednom z najväčších interných SOC v našom regióne. Stará sa o bezpečnosť pre skupinu NN v dvanástich krajinách. O úlohe operačného strediska je bytostne presvedčený: „Súčasný trend útokov na dodávateľské reťazce časom donúti aj menšie firmy k implementácii či využívaniu externého SOC, či už z hľadiska plnenia požiadaviek regulátora alebo proste ako nevyhnutnosť vlastnej bezpečnosti.“ Ako prízvukuje Juraj Přibyl, k dátovému úniku dôjde skôr či neskôr a väčšina firiem nemá interné know-how a kapacity brániť sa. Preto sú dôležité aj služby externých odborníkov a rozhodne nečakajte na prvý incident.
Začiatok
„Ak by sme sa to pokúsili vyjadriť v číslach, tak oddelenie kybernetickej bezpečnosti realizuje bezpečnostný monitoring ako dvadsať percent svojej náplne. SOC tím realizuje bezpečnostný monitoring deväťdesiatdeväť percent času,“ opisuje svoju prácu Peter Jankovský, architekt kybernetickej bezpečnosti zo spoločnosti Axenta. Z oddelenia sa operačné stredisko totiž nestáva automaticky. Organizácia sa musí rozhodnúť, či ho potrebuje a či ho ide budovať. V úvode však môže vychádzať z monitorovania prevádzky, ak ju robí. Úloha strediska bezpečnostných operácií sa tak dá zjednodušene vysvetliť ako: Identifikuje a pomáha riešiť.
Bez konca
Motivátorom budovať SOC je legislatíva, alebo reálna potreba riešiť problémy spojené s obsluhou a správou bezpečnostných riešení a mať prehľad, čo sa v organizácii deje. Rozhodnutie sa musí začať na úrovni manažmentu organizácie a musí sa ním stotožniť a zároveň si uvedomiť, že nie je samospasiteľným riešením legislatívnej požiadavky. Dôležité je, aké služby organizácia poskytuje a s akými dátami pracuje. Vždy je zložité určiť hodnotu a s tým súvisiace možné straty. „Budovanie SOC je proces na niekoľko rokov a v podstate sa nikdy nekončí,“ hovorí na základe každodenných skúseností Jozef Bálint, senior špecialita IT bezpečnosti ALISON Slovakia.
Dizajn na mieru
Stavba interného strediska bezpečnostných operácií dáva zmysel až pri určitej veľkosti organizácie. V tomto prípade nie veľkosti podľa počtu zamestnancov alebo obratu, ale rozhodujúca je komplikovanosť infraštruktúry a informačných systémov a požiadavky na bezpečnost. Kapacity ľudských zdrojov, ich expertíza aj technologické potreby sa určia podľa toho, aký bude rozsah služieb a prevádzkový režim. Až následne sa dizajnuje technologická architektúra, hardvérové a softvérové nástroje a ich výkonnostné parametre. A nemožno opomenúť ani priestorové požiadavky na prevádzku SOC a jeho vybavenie. Mimoriadna starostlivosť Na to, že vybudovanie SOC nie je jednoduchá záležitosť, upozorňuje aj technická riaditeľka Energotelu Miloslava Gábrišová. Telekomunikačné firmy patria medzi bezpečnostných lídrov, takže tím vystavali v prevažnej časti zo svojich IP špecialistov a doplnili absolventmi vysokej školy primeranej odbornosti. Okrem materiálneho a personálneho vybavenia, ktoré nie je lacné, investovali v Energoteli množstvo prostriedkov a času do školenia zamestnancov a zvyšovania ich kvalifikácie. „SOC je také dobré, akí sú dobrí jeho pracovníci. Akú majú prax a znalosti,“ prízvukuje Miloslava Gábrišová. A opäť jej sekunduje so skúsenosťami Juraj Přibyl, ktorý upozorňuje, že investície do vzdelávania tímu by mali byť na vrchole pyramídy priorít každeho SOC manažéra.
Hodnota skúseností
Reálnu šancu, že sa niekomu podarí postaviť stredisko bezpečnostných operácií na zelenej lúke za týždne či mesiace, hodnotí Peter Jankovský ako neexistujúcu. Ľudia, ktorí by v SOC pracovali už predtým, na trhu práce proste nie sú, a získať dostatočný počet špecialistov na samostatnú prevádzku je úloha v rozsahu rokov. Preto je externý dodávateľ výhodný pre organizácie, ktoré nemajú dostatočné kapacity na stabilizáciu špecialistov a ich odborný rast. Ak dodávateľ zabezpečuje službu pre viacerých klientov, riešia sa tu zároveň rôzne bezpečnostné incidenty. „Skúsenosti a znalosti našich odborníkov následne využívame pre dohľad kybernetickej bezpečnosti pre všetkých zákazníkov,“ vysvetľuje Miloslava Gábrišová.
Mierny zmätok
Zatiaľ čo pred štyrmi rokmi ani vo veľkých spoločnostiach väčšinou netušili, že majú mať nejaký centrálny monitoring a že ho niekto musí sledovať, povedomie už stúpa. Je to tlakom legislatívy aj následkom nárastu úspešných útokov. Zároveň však povedomie o tom, čo je to kvalitné SOC a ako si ho vybrať, aby dodával primeranú kvalitu za vynaložené prostriedky, sú stále veľmi slabé. Preto podľa Pavla Draxlera požadujte transparentnosť vo všetkých ohľadoch. „Nie je podstatné, aby SOC dodávalo celú paletu služieb. Podstatné je, aby dodávalo primerané služby za primeranú cenu.“
A teraz prakticky
Ak teda nastal čas, že je na stole ponuka dodávateľa externého alebo hybridného SOC, Juraj Přibyl varuje pred sladkými sľubmi. „Dajte si pozor, aby ste nespadli do pasce platenia za generovanie týždenných reportov bez pridanej hodnoty. To je pocit falošnej bezpečnosti. Detegovanie incidentu ešte neznamená, že ste v bezpečí.“ Cez metriku na báze bezpečnostných varovaní a incidentov by ste mali vedieť zhodnotiť aj kapacity personálu a potenciálne slabé miesta v infraštruktúre. Efektivita a úspešnosť SOC sú definované jednoduchými, merateľnými, praktickými, relevantnými indikátormi vyhodnotiteľnými v čase.