Stredisko bezpečnostných operácií, čiže SOC, tvorí štít kybernetickej bezpečnosti. Veľké korporácie a inštitúcie si postavia vlastný SOC, ostatní siahajú po externých službách. A najvzácnejšou komoditou sú ľudia.
Takže ako vyzerá deň SOC analytika?
Čítanie noviniek
Deň sa začína obvykle kontrolou dashboardov a upozornení v rôznych analytických nástrojoch. Je to v podstate ako čítanie ranných novín, ale namiesto športových výsledkov a politických škandálov sa pozeráme na grafy sieťovej prevádzky a zoznam podozrivých aktivít.
Jednou z prvých vecí je prehľad incidentov detegovaných za noc, prípadne predchádzajúcou zmenou. Môžu to byť neškodné incidenty, čiže falošné poplachy, ale aj skutočné pokusy o prienik, prípadne zablokovaná škodlivá mailová komunikácia.
Nevyhnutná káva
Po dobrej káve, ktorá je súčasťou a palivom každého analytika, sa púšťame s kolegami do podrobnej analýzy podozrivých incidentov. Každý incident si vyžaduje dôkladné posúdenie, čo je trochu ako práca detektíva, kde však namiesto odtlačkov prstov a DNA skúmame logy a sieťové pakety.
Okrem neustáleho sledovania upozornení, ktoré priebežne pribúdajú, robíme v prípade potreby forenzné analýzy z logov a odchytenej sieťovej prevádzky.
Najhorší prípad
Reálny stres tímu SOC a frustráciu zákazníka však spôsobujú potvrdené incidenty, ktoré sú skutočnou infiltráciou do siete, kde útočník získa prístup k citlivým dátam.
Príkladom je sofistikovaný phishingový útok, ktorý „presvedčil“ zamestnanca, aby zadal svoje prihlasovanie údaje na podvrhnutej stránke. Takýto incident spustí kompletnú reakciu na incident vrátane forenznej analýzy, identifikácie a izolácie kompromitovaných účtov a systémov, pričom je dôležité informovať zákazníka aj o potenciálnom úniku dát.
Bolestivé ponaučenie
Proces obnovy a vrátenia sa do normálu bol vo firme zdĺhavý a nákladný. Nielen z hľadiska financií a času stráveného riešením následkov, ale aj kvôli reputačnej škode. Zákazníka však najviac frustrovalo, že tomuto útoku sa dalo relatívne jednoducho predísť, keby sa viac venoval osvete o rizikách phishingových útokov.
Takéto typy incidentov si vyžadujú rýchlu koordináciu a intenzívnu komunikáciu členov SOC s tímami u zákazníka. A ak sú obe strany pod tlakom, býva to skutočne výzva. Tu však najlepšie vidieť, či tím funguje ako správne namazaný stroj alebo je priestor na zlepšenie.
Lepší prípad
Ak sa detegovaný bezpečnostný incident ukáže ako „falošný“, občas vyvolá aj pobavenie. Nedávno aktívny zamestnanec spustil nesprávny skript, ktorý spustil alarm. Vo veľmi krátkom časovom úseku bol obrovský nárast množstva nahraných súborov a systémy prevencie prieniku detegovali „podozrivú aktivitu na sieťovom úložisku“.
Keď sme začali vyšetrovanie incidentu a prípravu na najhorší scenár, ukázalo sa, že „útočníkom“ bol zamestnanec marketingového oddelenia. Proste sa snažil nahrať obrovskú zbierku obrázkov vo vysokom rozlíšení.
Koniec dňa
Revidujeme, čo sa stalo, čo sa riešilo, a pripravujeme sa na ten ďalší. Každý deň je totiž iný a plný výziev, skúseností a niekedy aj úsmevných situácií, ktoré prináša život v kyberbezpečnosti. Aj keď je táto práca náročná, tak vedomie, že pomáhame chrániť ľudí a najhodnotnejšie aktíva, nám dáva pocit zadosťučinenia.
Čo si treba pamätať
Aj pri reakcii na incident existujú praktiky a postupy, ktoré môžu efektivitu riešenia značne zlepšiť alebo na druhej strane spomaliť a skomplikovať.
Oporou sú pripravené plány reakcie na incidenty a správne definované roly a zodpovednosti. Každý SOC analytik by mal presne vedieť, čo sa od neho očakáva a čo zabráni zmätkom či viacnásobnému vykonávaniu úloh.
Ak má byť reakcia na incident rýchla a účinná, podmienkou je efektívna komunikácia a koordinácia SOC tímu s oddeleniami zákazníka. Po uzatvorení incidentu sa robí analýza a hodnotenie reakcie, čo pomáha identifikovať slabé miesta a zlepšovať budúce reakcie.
Riziko incidentu môžu výrazne znížiť školenie a osveta zamestnancov o bezpečnostných hrozbách a praktikách. V súčasnosti je už nevyhnutné aj nepretržité monitorovanie siete a detekcia incidentov efektívnymi nástrojmi a technikami.
Čoho sa vystríhať
Zlá viditeľnosť do sieťovej prevádzky a nedostatok zdrojových logov je asi najväčšou nočnou morou každého analytika a prekážkou pri ochrane infraštruktúry. Preťaženie „falošnými poplachmi“ na základe nesprávne nakonfigurovaných technológií na zber a vyhodnocovanie logov môže viesť k prehliadnutiu skutočných hrozieb.
Nedostatok zdrojov, či už ľudských, technologických alebo finančných, môže obmedziť schopnosť efektívne reagovať na incident. Ak chýbajú jasne definované procesy a komunikačná matica, vedie to k zmätenej reakcii a neefektívnej komunikácii v tíme a so zákazníkom. Oneskorenie a pomalá reakcia môžu viesť k väčším škodám a zložitejšiemu riešeniu.
Jozef Bálint, bezpečnostný špecialista ALISON Slovakia