Bezpečnost jako služba aneb jak přijít dohledu na chuť

Rozhodnutí o pořízení bezpečnostní technologie sběru NetFlow a služby Security Operation Centra (SOC365) padlo na nejvyšší úrovni managementu, který si uvědomil rizika v oblasti kybernetické bezpečnosti a svou osobní trestně-právní odpovědnost. I přes počáteční „chladný“ přístup IT oddělení bylo zařízení sběru NetFlow nainstalováno. Společně byla zřízena služba monitoringu provozu a podpory provozu. Pracovníci IT oddělení začali od Security Operation Centra (SOC365) dostávat pravidelné reporty. Zpočátku byla reakce IT oddělení, na reportované informace a profesní podporu SOC365, minimální, až téměř nulová.

Díky vytrvalému přísunu informací zákazník postupem času zjistil, že pro něj přece jen informace mají jistý význam. Začal podklady využívat ke svému prospěchu, služba mu přinesla tak detailní a srozumitelný náhled do datové sítě, jímž doposud nedisponoval. Zpočátku to pro zákazníka znamenalo více práce s řešením identifikovaných nesouladů, ale systematickým postupem odstranění nalezených chyb, se nárůst práce stabilizoval. Včasným odhalováním nových nedostatků v datové síti se výrazně zrychlila realizace opatření a zefektivnila jejich náprava.

Anomálie a útoky nebo jen lidský faktor?

Konkrétním příkladem užitečnosti SOC365 bylo pro zákazníka zjištění, že ho externí bezpečnostní tým začal průběžně kontaktovat kvůli detekci anomálního provozu v jednom ze systémů. Protože lokalizace problému směřovala na jeden z hlavních systémů a charakter provozu naznačoval možnou kybernetickou hrozbu, bezpečnostní tým informoval zákazníka dle předem nastaveného postupu. Přes počáteční překvapení oslovené osoby zjistily, že nejde o kybernetický útok, ale o neplánovanou osobní iniciativu jednoho z interních zaměstnanců

Bezpečnost není samozřejmost, je to proces a disciplína

Případ zákazníka přesvědčil, že v externích pracovnících SOC365 získal výraznou podporu pro své činnosti, které dříve neměl nebo je neuměl. Výrazně se zvýšila bezpečnost a informovanost o provozu na datové síti zákazníka. Po této příhodě se změnil i přístup zákazníka k poskytované službě, protože byl prokázán přínos bezpečnosti jako služby.

Jak SOC365 funguje?

Security Operation Centrum je organizovaný soubor nástrojů, procesních postupů a odborného personálu sloužící k efektivnímu zpracování informací ze senzorických nástrojů (Log management, NetFlow, Performance monitoring) do podoby analytických závěrů (vytvářené analytikem), které jsou průběžně vyhodnocovány operátory. Indikované anomálie jsou analytickým nástrojem SIEM (Security Information & Event Management) zpracovány do podoby alarmů, které operátor vyhodnocuje jako incidenty a rozhoduje o způsobu jejich řešení (Action). U rozsáhlých incidentů je v řešení potřeba součinnosti více pracovníků SOC365 s různými odbornostmi a procesními kompetencemi, a proto se využívá specializovaných týmů (tzv. CIRT/CERT/CSIRT). Služba je poskytována v režimu od rozsahu 8×5 až po 24×7, tedy 24 hodin denně.

Služba SOC365 je výhodná díky kombinaci využití technických nástrojů s dovednostmi expertů centra pro:

• detekce a lokalizace bezpečnostních anomálií a provozních problémů bez falešných poplachů (tzv. false-positive alarms);
• neprodlené reakce systémů a efektivní zvládání nepříznivých situací experty SOC365 (soustředění na problém, nikoliv na vnitrofiremní politiku);
• prokazatelné měření prostředí a odpovědné hodnocení zjištěných stavů podle závazných standardů, čímž nevznikají pochybnosti o skutečné realitě bezpečnostní situace.

Obvyklým segmentem zákazníků SOC jsou:

• finanční instituce a organizace zajišťující operace platebních karet či provoz platebních terminálů (banky, pojišťovny, finanční zprostředkovatelé);
• výrobní a distribuční organizace (průmyslové podniky, logistické firmy);
• organizace státní správy a samosprávy (dopravní podniky, správa městských technických služeb);
• organizace poskytující telekomunikační a datové služby (poskytovatelé internetového připojení);
• organizace schraňující informace (z hlediska dodržování platných právních norem),
• organizace podléhající Zákonu o Kybernetické bezpečnosti, GDPR , Zákonu na ochranu osobních údajů, Autorskému zákonu, nařízení eIDAS nebo mající se svými poskytovateli SLA dohody (právní podniky, marketingové agentury, personální agentury, nemocnice atd.);
• organizace s motivací ve zlepšování kvality svých ICT služeb.

Služba SOC365 je vhodná pro zákazníky, kteří:

• mají ICT jako podpůrný proces, ale potřebují důslednější sledování dostupnosti ICT služeb;
• mají nemalé množství bezpečnostních zařízení, ale méně potřebných zdrojů (odborných znalostí či personálu);
• disponují zákonem klasifikovanými informacemi;
• mají rozsáhlé množství ICT komponent, ale nízký přehled o jejich provozní kondici, verzích softwaru/firmwaru, počtu a závažnosti vnitřních chyb získaných od výrobce nebo od nekorektní konfigurace;
• chtějí získat reálný pohled do své sítě a vědět, co se děje;
• chtějí trávit svůj čas efektivně, nikoliv sáhodlouhým hledáním příčin neefektivností sítě.

Výhoda externích expertů pro sdílení zkušeností

S ohledem na teorii, že 20 % příčin generuje až 80 % následků (tzv. Paretovo pravidlo), je to právě monitoring, který identifikuje 80 % následků. Jak ale najít těch 20 % příčin způsobujících dané následky?

Významným přínosem je zapojení externích bezpečnostních pracovníků do monitoringu provozu datové sítě. To umožňuje detekci dalších příčin situací, na které by sami zaměstnanci dané organizace neměli know-how a čas kvůli svému pracovnímu vytížení v operativě.

Není zapotřebí řešit investice do systémů nebo do účelové specializace zaměstnanců (s rizikem jejich odchodu ke konkurenci). Prostřednictvím SOC365 zlepšíte své procesy vztahující se k českým zákonným normám s rizikem finanční penalizace, získáte přehled skutečného ICT provozu a vaší bezpečnostní situace.

Fakta o případové studii

Jméno klienta:

Neuvedeno

Hlavní požadavky:

• monitoring bezpečnosti datové sítě, sběr NetFlow, vyhodnocování anomálií a eskalace;
• analytická podpora k určení příčin vzniku anomálií;
• operátorská služba pro monitoring v režimu 5×8.

Řešení:

• implementace nástroje Flowmon s ADS modulem;
• napojení nástroje na Službu SOC365, tj. prostředí Security Operation Centrum SOC365 Visitech;
• sjednocení konfigurace Flowmon na Operátorské standardy SOC365;
• doplnění operátorsko-analytických pohledů na typově očekávatelné anomální situace;
• dvakrát měsíčně report o sledovaném období se soupisem nápravných opatření;
• vytváření záznamů o šetření incidentů, hodnocení průběhu eskalace a efektivitě nápravy.

Parametry dodaného řešení:

• network Anomaly Detection Analyzer – Flowmon;
• interní nástroje Služby SOC365 – SIEM Alien Vault, Ticket nástroj, atd.

Hlavní přínosy řešení:

• funkční poskytování služeb zákazníkům (provizioning) datové sítě – vidím, měřím, rozumím, rozhoduji;
• zpřesnění evidence připojených zařízení do datové sítě – CMDB (configuration management database slouží pro jednotnou evidenci ICT zařízení a k nim příslušným vazbám na služby, atp.);
• Single Point of Contact – jednotný komunikační bod a předávací místo pro informace. Zajišťuje princip „Need to know“ – každý kooperující účastník obdrží stručně formulované informace (co se děje, co se má zajistit) s odkazem na místo uložení detailních strukturovaných faktů;
• funkční monitoring založený na sběru faktů, nikoliv na pocitech koncových uživatelů získaných sběrem „údajných zpráv“ na chodbách, na WC, v jídelně či na poradách středního managementu „o nefunkčnosti něčeho někde“ – úspora času;
• know-how pro Incident Response – převzetí operátorské činnosti a profesně specializované analytické činnosti pro umožnění zákazníkovi být v manažerské roli;
• kultivace SLA (Service Level Agreement) mezi zákazníkem a jeho outsourcing partnery dodávající ICT služby.