Jak zaplanować długoterminowy sukces Security Operations Center - Centrum Bezpieczeństwa Operacji?
Ataki typu Ransomware, phishing i IoT uderzyły w przedsiębiorstwa i zmieniły zasady gry biznesowej. Ochrona poufnych danych firmy to poważna misja dla wszystkich firm.
Dlatego Centrum Bezpieczeństwa Operacji (Security Operation Center - SOC) jest obecnie jednym z najgorętszych tematów w branży IT. W szczególności w kontekście nowych rozporządzeń dotyczących RODO. Maciej Rosołek, Kierownik Działu Ryzyka i Bezpieczeństwa IT, omawia najnowsze trendy w Ochronie Bezpieczeństwa, w tym technologie SOC, różnice pomiędzy wewnętrznym i zewnętrznym SOC oraz dzieli się przemyśleniami na temat przyszłości SOC.
Małgorzata Zabieglińska - Lupa: W centrum Security Operations Center zwykle znajdujemy SIEM. System SIEM postrzegamy jako jeden z głównych trendów na rynkach bezpieczeństwa. Ale gdy technologia dojrzewa coraz więcej rzeczy musi być w nich zintegrowana. Czy SIEM naprawdę jest tak ważny dla obecnego SOC? Jakie inne trendy widzisz?
Maciej Rosołek: Wyjaśnijmy na początku czym jest SOC - otóż SOC, czyli Security Operations Center, to Zespół Inżynierów Bezpieczeństwa, korzystający z bardzo wyrafinowanych produktów zarówno sprzętowych jak i programowych, wykrywający i analizujący zdarzenia bezpieczeństwa w infrastrukturze własnej bądź Klienta, w zależności od modelu biznesowego. A po ludzku jest to zespół maniaków, dla których bezpieczeństwo to niekończąca się przygoda i którzy przy pomocy dedykowanych zabawek wykrywają próby ataków, włamań, kradzieży, zapewniając tym samym bezpieczeństwo wrażliwych danych.
Pamiętam początki powstawania SOC’ów, które tworzyła grupa inżynierów pasjonatów analizująca wspólnie każdy jeden log dotyczący zdarzenia bezpieczeństwa. Taki log trafiał się może raz na tydzień więc teraz - gdy tak naprawdę każdy ma w ręku komputer o ogromnej mocy obliczeniowej, a liczba ataków oraz atakujących urosła wykładniczo - nawet drużyna złożona ze 100 i więcej inżynierów nie byłaby w stanie przeanalizować lawiny logów, korelować ich, przeanalizować wynik,i by następnie wykryć ewentualny incydent.
Systemy SIEM (Security Information and Event Management), które zaczęły powstawać wraz z SOC’ami, by wspierać pracę Inżynierów, niestety w dzisiejszych czasach już nie wystarczają. Z pomocą przychodzi Sztuczna Inteligencja - tutaj od razu zaznaczę, że nie jest to lekarstwo na wszystkie dolegliwości, bowiem doświadczonego inżyniera bezpieczeństwa nie jest w stanie zastąpić żadna maszyna, jednakże maszyna, której oprogramowanie zasilone zostanie inteligencją inżynierów SOC może przynieść wiele korzyści w postaci choćby pierwszego sita odsiewającego 99,5% fałszywych alarmów pozostawiając do analizy Inżynierom jedynie 0,5%. Współpraca człowieka i maszyny z oprogramowaniem zdolnym do nauki, korelacji i analizy zdarzeń. Potrafiące dodatkowo reagować na zmiany/fluktuacje w zachowaniu użytkowników oraz końcówek (stacji roboczych, serwerów), stanowić będzie główny trend rozwoju rozwiązań SIEM.
Małgorzata Zabieglińska – Lupa: Co zmieniło się w ciągu ostatnich pięciu lat w zakresie technologii SOC? Jakie umiejętności są obecnie najbardziej pożądane?
Maciej Rosołek: Jak już wspomniałem, ze względu rosnącą wykładniczo liczbę zdarzeń do korelacji oraz analizy, systemy wspierające pracę inżynierów SOC musiały zostać wyposażone w moduł sztucznej inteligencji, uczenia maszynowego (machine learning), których głównym celem jest samodoskonalenie się na bazie zgromadzonego doświadczenia (proces uczenia się).
Odpowiedź na drugą część pytania stanowi swego rodzaju wyzwanie, gdyż pojęcie bezpieczeństwa informatycznego obejmuje więcej specjalizacji niż medycyna. Poszukiwanie właściwych kompetencji zaczynamy od analizy modelu biznesowego. Musimy zadać sobie pytanie, jakiego rodzaju usługi chcemy lub powinniśmy świadczyć, by zapewnić Klientom zgodność z wymaganiami zapisów umowy biorąc jednocześnie pod uwagę bezpieczeństwo powierzonych nam danych. Mając przed oczami wynik analizy, wiemy już jakich kompetencji będziemy potrzebować i rozpoczynamy poszukiwanie narzędzi, które będą w stanie wesprzeć działania Inżynierów bezpieczeństwa generując przy tym efekt synergii.
Małgorzata Zabieglińska – Lupa: Przyjrzyjmy się bliżej SOC i porozmawiajmy o tym, jakie wyzwania stoją obecnie przed projektantami dużych SOC?
Maciej Rosołek: Budowa dużego SOC’a czuwającego nad bezpieczeństwem danych Klientów w różnorodnych środowiskach to niemałe wyzwanie. Wyobraźmy sobie, że mamy tylko dziesięciu Klientów, każdy z nich ma swoją własną infrastrukturę zbudowaną w oparciu o sprzęt różnych producentów i każdy ma inne procedury bezpieczeństwa np. dotyczące zarządzania incydentem w organizacji. Każdy element infrastruktury to inny rodzaj zarządzania – zarówno pod względem interfejsu jak i w podejściu do bezpieczeństwa.
Każdy Klient wymaga też innych czasów reakcji oraz inaczej priorytetyzuje zdarzenia bezpieczeństwa. Poza kompetencjami z wielu obszarów bezpieczeństwa potrzebne są też narzędzia potrafiące zbierać i analizować dane z wszelakich urządzeń infrastruktury, a wyniki przedstawiać w sposób zrozumiały, umożliwiający natychmiastowe podjęcie dodatkowych działań. SOC to zdolni inżynierowie i nowoczesne systemy, to umiejętność współpracy, analizy i korelacji, to inteligencja inżyniera i szybkość działania maszyny, to zdolność ciągłego uczenia się, pogłębiania i poszerzania wiedzy, by móc chronić to co najcenniejsze – naszą prywatność.
Małgorzata Zabieglińska – Lupa: SOC pomaga w efektywnym zarządzaniu krytycznymi obszarami codziennych operacji. Powiedziałeś już, że SOC to nie tylko ludzie, ale także zaawansowane technologie i system, odpowiednia infrastruktura i wdrożone procesy. Zatrzymajmy się tu na chwilę i porozmawiajmy o tym, jakie rozwiązania są dostępne, aby sprostać tym wyzwaniom?
Maciej Rosołek: Wskazanie konkretnego rozwiązania byłoby kryptoreklamą więc tego zrobić nie mogę.
Powiem jedynie, że raz na kilka lat analizujemy dostępne na rynku rozwiązania wspierające pracę inżynierów SOC. Produkty takie składają się głównie z modułów: SIEM + UBA/UEBA + Incident Management + Vulnerability Management + Risk Management +Change Management + CMDB + inne.
W tym momencie jesteśmy na etapie testów czterech wysoko notowanych na świecie rozwiązań/produktów. Weryfikujemy ich możliwości – nie tylko funkcjonalne ale również możliwości współpracy z szerokim wachlarzem dostępnych na rynku systemów/produktów bezpieczeństwa - sprawdzamy skuteczność, umiejętność korelacji zdarzeń i uczenia się przy jednoczesnym wsparciu dla wymienionych w akapicie wyżej, procesów.
Kto wie, może po testach okaże się, że jest na rynku produkt, który będzie w stanie pokonać obecnie stosowane przez nas rozwiązanie, usprawniając pracę zespołu SOC, zwiększając wydajność i komfort pracy poprzez optymalizację procesów i zadań.
Małgorzata Zabieglińska – Lupa: To prowadzi nas do innej dziedziny, która sprawia, że rynek SOC jest bardziej złożony, a mianowicie outsourcing. Dlaczego przedsiębiorstwa potrzebują SOC? Jak postrzegasz zjawisko outsourcingu funkcji SOC na rynku? A może warto mieć własny, wewnętrzny SOC?
Maciej Rosołek: Myślę, że po tej krótkiej lekturze każdy jest sam w stanie odpowiedzieć sobie na pytanie: dlaczego potrzebuję SOC? Potrzebę tę warunkują obecne zagrożenia, zagrożenia, które mogą być tak samo szkodliwe dla małych firm jak i dla korporacji. Nie wielkość danego przedsiębiorstwa będzie więc tutaj czynnikiem kluczowym, a rodzaj przechowywanych bądź przetwarzanych danych. SOC, czy to własny, czy outsourced będzie w stanie zidentyfikować potencjalne zagrożenie i podjąć działania, które na czas i we właściwy sposób zapobiegną atakowi, ratując nas tym samym przed utratą cennych bądź wrażliwych danych, utratą reputacji oraz ewentualnymi, horrendalnymi karami, które mogą zostać nałożone przez Państwo, na podstawie, rozporządzenia GDPR/RODO, które weszło w życie z dniem 25 maja 2018 roku.
Jeśli zastanawiamy się jaki SOC? Czy in-house czy jednak outsourced? Odpowiedź wcale nie jest prosta. Mimo, iż zmysł biznesowy każe odpowiedzieć mi na to pytanie: oczywiście, że outsourced i najlepiej w Comarch, to poprawną odpowiedzią jest: to zależy…
Jeżeli sami zarządzamy swoją infrastrukturą, mamy doskonałych Inżynierów ze wszystkich obszarów, którzy na dodatek znają się na bezpieczeństwie i są skłonni pracować w trybie 24/7, wówczas budowa SOC in-house jest jak najbardziej możliwa i uzasadniona. Są też Instytucje, które np. ze względów prawnych nie mogą powierzyć opieki nad swoją infrastrukturą podmiotom zewnętrznym i wówczas również jedyną możliwością jest budowa własnego SOC’a.
Znamy Klientów, którym zależy jedynie na zachowaniu ciągłości działania swojego biznesu, i którzy w ramach opłaty cedują odpowiedzialność za warstwę aplikacyjną i infrastrukturalną do firm zewnętrznych. W takim przypadku, ważne jest by wybór firmy outsourcingowej był jak najbardziej świadomy, poprzedzony dokładną analizą. Nie wybieramy pierwszego Dostawcy z brzegu. Sprawdźmy kompetencje, działające wewnątrz firmy procesy, posiadane certyfikaty. Przeprowadźmy audyt potencjalnego dostawcy – zróbmy to sami, albo wykorzystajmy znane na całym świecie i wiarygodne instytucje audytorskie. Wybór firmy outsourcingowej to bardzo ważny element dla zapewnienia ciągłości biznesu. Musimy być w pełni świadomi komu pod opiekę powierzamy swoje cenne dane.
Firmy, którym brakuje kompetencji z zakresu bezpieczeństwa, i którzy nie chcą inwestować sporych pieniędzy w budowę własnego SOC’a – pozyskanie doświadczonych Inżynierów, zakup niezbędnych narzędzi oraz systemów/rozwiązań bezpieczeństwa – również decydują się na outsourced SOC.
Na koniec kilka zalet i wad każdego rozwiązania:
In-house SOC
Zalety:
- Do danych firmowych mają dostęp tylko wskazani pracownicy danej firmy
Wady:
- Konieczność pozyskania kompetencji (doświadczonych specjalistów bezpieczeństwa)
- Zakup drogich narzędzi
- Finalnie może okazać się dużo droższym rozwiązaniem niż outsourced SOC.
Outsourced SOC
Zalety:
- Wszystkie niezbędne kompetencje oraz narzędzia zapewnia outsourcer
- Możliwość przeaudytowania procesów i działania SOC
- Odpowiedzialność za działanie procesów biznesowych oraz bezpieczeństwo danych, scedowane na outsourcera
- Ciągły rozwój kompetencji, rozbudowa i modernizacja systemów/narzędzi bezpieczeństwa leży po stronie outsourcera
- Tańsze niż budowa własnego SOC’a
Wady:
- Do danych firmowych mają dostęp pracownicy firmy trzeciej
Małgorzata Zabieglińska – Lupa: To prowadzi nas do ostatniego pytania: dlaczego Comarch?
Maciej Rosołek: Comarch od lat zajmuje się bezpieczeństwem na wielu różnych obszarach. Warto w tym miejscu wymienić choćby: bezpieczeństwo osobowe, bezpieczeństwo infrastrukturalne, bezpieczeństwo fizyczne, bezpieczeństwo logiczne czy bezpieczeństwo procesowe. Ale poza tym rozwijamy swoje kompetencje w obszarze SSDLC – Secure Software Development Lifecycle, IoT, czy medycyny. Każdy z tych obszarów ma specyficzne wymogi czy regulacje.
Dedykowane zespoły inżynierów oraz specjalistów do spraw bezpieczeństwa pracują w trybie ciągłym stale analizując zdarzenia oraz anomalie wewnątrz infrastruktury, by na czas wychwycić potencjalne źródło ataku, zapobiegając tym samym incydentom bezpieczeństwa.
Współpracujemy z Najlepszymi na Świecie Dostawcami sprzętu, systemów i rozwiązań bezpieczeństwa, z którymi wymieniamy się wiedzą oraz doświadczeniem. Bezpośrednie wsparcie Zarządu oraz kluczowych Dyrektorów, daje nam szeroki wachlarz możliwości do rozwoju kompetencji związanych z bezpieczeństwem, czy możliwości rozbudowy i modernizacji systemów.
Dowiedz się więcej na temat: Infraspace Cloud
Zobacz też: Data Center
Kompleksowa obsługa: IT Outsourcing Integration
Cyberbezpieczeństwo firmy: IT Risk Security Management