Vlci v rouše beránčím aneb když selhávají výrobci bezpečnostních IT produktů

Autoři: Jitka Sládková, Jiří Lokaj, Aleš Brázda

Předpoklad 1 – Zakoupením bezpečnostního produktu je bezpečnost vyřešena

Většina lidí a manažerů si je vědoma, že v oblasti kybernetické bezpečnosti tomu tak zcela není. Proč? Kromě zařízení musíte mít znalé lidi. Lidi, kteří danému zařízení (jeho nastavení a propojení) rozumějí. Pokud nejste specializovaná společnost, zpravidla jde o stejné lidi, kteří se musejí starat o běžný provoz celé IT infrastruktury. Pokud je bezpečnost jejich koníčkem a mají potřebné know-how, máte téměř vyhráno. Jenže kybernetická bezpečnost je jednou z nejdynamičtěji se vyvíjejících odvětví. A útočníci jsou vždy alespoň o krok napřed, protože nejde o typové „hobbíky“, ale o profíky. Z kybernetické bezpečnosti se masivním rozšířením využití IT technologií stala oblast, kterou bychom pro laiky mohli přirovnat k medicíně IT. Zuby si umíme čistit, ale že bychom si je chtěli sami vrtat?

Předpoklad 2 – Vybavenost komponentami a kvalifikovaným lidským kapitálem

Lidský kapitál, tedy zaměstnanci, musí IT bezpečnosti nejen rozumět, ale také se zajímat o nejnovější trendy a vše kolem IT je jejich koníčkem. V drtivé většině případů víme, že v organizacích tito lidé nemají čas věnovat se správě zařízení, vyhodnocování reportů (pokud sami nemusejí reporty tvořit ze svých dat). Nemají čas ani na pravidelnou údržbu a aktualizace. Vše v ICT je provázané, a pokud se rozhodnete pro aktualizaci jedné komponenty, musí následovat i aktualizace dalších, což stojí další čas navíc. 

Je pro vás přínosné mařit čas svých nejlepších ICT specialistů rutinními činnostmi? Nebo je perspektivnější jim umožnit posun k manažerským dovednostem – měřím, vyhodnocuji, rozhoduji?

Předpoklad 3 – Plná funkčnost bezpečnostních nástrojů

Plnou funkčností se rozumí stav, kdy jsou bezchybně funkční veškeré součásti daného systému, a to přesně tak, jak uživatel v dobré víře a na základě objednávky předpokládá.

A jaká je realita? Co říkají uživatelé (zpravidla vedoucí IT oddělení)?

• Máme sice super zařízení XY a další, ale nejsme schopni z toho nic řádného zjistit;
• Nejčastěji nás nakoupená zařízení upozorní, že se něco děje. Pokud to někdo nastavil, pošle nám to i report, ale už ne řešení, co má kdo udělat;
• Zařízení bývají často nastavená výrobcem a výstupy jsou v základním nastavení malé;
• Alibistické hledisko: Už jsme investovali do bezpečnostních komponent nemalé prostředky, máme splněno. Ale kdyby někdo přišel a ptal se, co to přineslo, odpovím: Běží to, spotřebovává to proud, a my jsme se na to dvakrát podívali, když byla přetížená síť.

Budete považovat za funkční dveře s klikou, zámkem, ale bez vámi dostupného klíče? Budete se cítit v bezpečí, pokud u zaoceánského parníku sice budou záchranné čluny, ale bez zásob vody či světlic? Bude pro vás komfortní jízda dálkovým autobusem, ze kterého dopravce „dočasně“ odstraní sedadla? Chcete používat bezpečnostní systém, který má některé části nefunkční?

Chyby se dějí, a tak se může stát i to, že z jinak výborného produktu po provedení updatu zmizí bez předchozího upozornění důležitá součást funkcí. Například souhrnný pohled vykreslující výskyt událostí u jednotlivých stanic na časovou osu. Ano, i takové věci se dějí.

Máte-li velké štěstí a v práci volný čas a rádi si se „svými“ produkty hrajete, možná na chybu přijdete a můžete spustit obvyklý proces začínající restartem nástroje a následným zvažováním, jde-li o bug (–), či feature (+), přes hledání v dokumentaci, kontrolu verzí a konzultací s dodavatelem nástroje, končící tiketem u výrobce nástroje.

Není-li tento uvedený postup pro vás rutinně zažitým pracovním drilem, zjistíte absenci funkcí u vámi zaplacené komponenty až ve chvíli zkoumání incidentu či obecně v průběhu analýzy. V takovém případě se musíte rozhodnout, upustíte-li od rozpracované analýzy ve prospěch vyřešení systémového problému, nebo jestli analýzu dokončíte jiným způsobem, než jste byli zvyklí, či jestli raději půjdete na kávu a budete se tvářit, že jste s analýzou vlastně nikdy nezačínali. Vše, s výjimkou posledního, zvyšuje nároky na drahocenný čas a snižuje komfort práce. Poslední způsob řešení je možná častý, ale v oblasti profesionalizace kybernetické bezpečnosti je již neakceptovatelný.

Z tohoto reálného příběhu lze vyčíst poučení, že ne každý předpoklad je podkladem z faktů, a že je ve světě kybernetické bezpečnosti hodně předpokladů. Čím více jich je, tím složitější je správa oblasti kybernetické bezpečnosti ve spojení s funkčním a nákladově efektivním IT v každé organizaci.

Jak z toho ven, či spíše jak problému předejít? Využitím služby, která zajistí kybernetickou bezpečnost a dá vašim systémům přidanou hodnotu. Jednoduše a česky – profesionalizovaným bezpečnostním dohledovým centrem, tzv. Security Operation Centrem (SOC), které má všechny potřebné zdroje, především lidi se správným know-how a zkušenostmi.

 Ve svém SOC365 provozujeme a dohlížíme pro své zákazníky na desítky systémů. Veškeré bezpečnostní systémy jsou neustále efektivně využívány našimi operátory a analytiky. Žádný jen tak „netopí“, protože jsou „laděny“ podle naměřených faktů z prostředí našich klientů. Na základě jejich potřeb je celkem běžné, že bezpečnostní systém od jednoho výrobce provozujeme u různých zákazníků v různých verzích, nicméně se shodně nastavenou kvalitou detekce a reakce.

Koncem minulého roku jsme tak v jednom kvalitním produktu, zakoupeném naším zákazníkem, odhalili nefunkční agregovaný pohled vykreslující výskyt událostí u jednotlivých stanic na časovou osu. Ano, bohužel i takové věci se dějí.

Díky interní špičkové znalosti produktu jsme okamžitě věděli, že nejde o „feature“ ani problém na straně zákazníka. Okamžitě jsme upozornili výrobce, který o chybě sám nevěděl, a po krátkém ověření ve svém labu vyjádřil omluvu a přislíbil nápravu při nejbližším updatu. Koncový zákazník tak bude opět využívat plnohodnotně funkční produkt. Výrobce je rád za zpětnou vazbu, klient byl odstíněn od problému, který se jej netýkal, a my v SOC365 jsme rádi, že kromě bezpečnostních incidentů zaručujeme i kontinuální kvalitu dodaných systémů pro desítky koncových zákazníků.

Rádi bychom uvedli, že si velmi vážíme všech společností, které na trh dodávají bezpečnostní prvky. Umíme si představit, že za vším stojí nemalé úsilí, a proto bychom chtěli nadpis své případové studie upravit, a  na rozdíl od marketingově chytlavých vlků říci spíše: Kdo nic nedělá, nic nezkazí. Jsme jen lidé a ti se mýlí. A jsme moc rádi, že díky těmto omylům víme i my, že děláme svou práci velmi kvalitně.

Kromě přínosů pro výrobce, jichž si velmi vážíme, jelikož bez nich bychom neměli s čím pracovat, jsme přínosem i pro své klienty. Naší největší přidanou hodnotou je, že:

• zajistíme zvýšenou dostupnost systémů klienta (provozuschopnost, bezporuchovost);
• umíme klientům rapidně zkrátit čas ve vyšetřování incidentů;
• máme programový postup, jak klasifikovat data, která službou ochraňujeme;
• víme, jak mají být systémy nastavené, umíme doporučit nastavení aktualizací či je udržovat aktualizované.

Chápeme, že v případě, kdy organizace vynaloží své prostředky na IT komponenty, je nevnímá jen jako hračku. Chce s komponentami pracovat, získat co nejvíce efektivity. Avšak i přes dobré úmysly a předpoklady jsou čas a vytíženost lidí je značné. Obzvláště v době absence odborníků v IT a nejnižší nezaměstnanosti v novodobé historii Česka. V SOC365 nezasahujeme do systémů, kterými již organizace disponuje. Naopak, využíváme jich a přinášíme přidanou hodnotu. Znalostní nadstavbu. Pracujeme proaktivně i reaktivně. Děláme hodnotné a srozumitelné reporty a především se snažíme nežádoucím situacím předejít. A pokud nežádoucí situace nastanou (např. útok), přinášíme řešení efektivní reakce. A to i v nejvyšším režimu 24/7.