Týmy síťových a bezpečnostních operací koexistují ve většině firem ve dvou zcela oddělených entitách, které však sdílejí společný cíl – fungující a bezpečnou síťovou infrastrukturu. V okamžiku, kdy se vyskytne problém, nezajímá koncového uživatele, zda je příčinou nedostatečná šířka pásma, nebo útok. Požadují pouze, aby služba fungovala podle očekávání a problém se vyřešil co nejrychleji. To lze uskutečnit pouze v situaci, kdy oba týmy úzce spolupracují a vycházejí ze stejných dat.
S ohledem na vzrůstající komplikovanost síťové infrastruktury a stále sofistikovanější kybernetické hrozby zvyšují také firmy požadavky na své síťové a bezpečnostní týmy (NetOps a SecOps). Ty jsou dnes zcela přirozeně tlačeny k těsnější spolupráci. Tento trend je patrný u řady větších firem po celém světě, nicméně pouze některé k tomu zaujímají proaktivní přístup. Na tuto skutečnost upozorňují přední analytické společnosti, jako je například Gartner nebo EMA. Ty se tématu věnují jako přirozené odpovědi na probíhající změny v byznysu. Spolupráce v tomto ohledu bude brzy mít pro firmy strategickou prioritu.
Přínosy sdílení dovedností mezi týmy
Díky společnému postupu mohou oba bezpečnostní týmy navíc efektivně optimalizovat své rozpočty na vybavení, omezit duplicitní činnosti nebo konsolidovat řadu aktivit a procesů, jako je například sledování a vynucování bezpečnostních politik. Nicméně i tak lze stále očekávat drobné třenice, protože každý tým si pod stejným cílem může představit něco odlišného. Oddělení, které má na starosti sítě, vzhlíží k infrastruktuře, která bude co nejjednodušší, nejrobustnější, jednoduše škálovatelná, maximálně rychlá atd., což bývá často v kontrastu s bezpečnostními požadavky druhého týmu.
„Požadavky na bezpečnost a vlastní simplicitu sítě jdou často proti sobě. Aby bylo možné najít zlatou střední cestu, je zapotřebí, aby měly oba týmy k dispozici relevantní a stejná data k rozhodování,“ upřesnil Luboš Lunter ze společnosti Flowmon Networks. „Je proto žádoucí, aby oba týmy vycházely z jednoho konsolidovaného pohledu na síťový provoz. Namísto toho, aby využívaly dva a více samostatných nástrojů s překrývajícími se funkcemi, je výhodnější, když využijí jeden společný – typicky například řešení Flowmon, které na spolupráci NetOps a SecOps dlouhodobě staví. Nejenže si takto snadno sníží náklady, ale výrazně zkrátí reakční čas při řešení síťových incidentů.“
Dalším typickým příkladem, kdy se oba týmy potkávají a potřebují spolupracovat, je pořízení nového hardwaru nebo služby. Například firewallu. Jedná se o nástroj fungující na úrovni sítě, který spravuje síťové oddělení. Informace z něj ale často využívají lidé z bezpečnostního oddělení, kteří také určují filtrovací pravidla. Přičemž požadavky na to, co by měl firewall řešit a blokovat, se mohou různit. Konsolidované informace z reálného provozu tak mohou pomoci s finálním rozhodnutím a úspěšnou konfigurací.
Moderní nástroje sníží nároky na obsluhu
Za dalším nadcházejícím trendem stojí opět stále se zvyšující komplikovanost síťové infrastruktury a sofistikovanost kybernetických hrozeb. Projevuje se zvýšením požadavků na kvalitu obsluhy. Zejména je to patrné v řešení SecOps, kde si obsluha již nevystačí s pouhým řešením ticketů dle příručky. Výsledkem je nový výrazný trend, který ve větší míře spoléhá na stále pokročilejší automatizaci a predikci. Nástroje se postupně učí, že musejí obsluze předložit nejen informace o samotném incidentu, ale také řešení. Případně některé opakující se incidenty musejí řešit bez zásahu – zcela automaticky. Využívá se k tomu pokroku ve strojovém učení a potenciálu umělé inteligence.
Benefity týmové spolupráce v oblastech:
Prevence – Síťová infrastruktura staví na výkonu a bezpečnosti. A zatímco informace o struktuře provozu slouží síťovému oddělení jako podklady pro dimenzování a plánování kapacity, bezpečnostnímu týmu umožňují identifikovat používání nepovolených služeb. Tato symbióza je užitečná například při konfiguraci nového firewallu, kdy lze v reálném čase otestovat a upravit blokovací pravidla.
Detekce – Zatím nepopsané hrozby vyžadují bezpečnostní systém, který dokáže monitorovat celý síťový prostor a zachytávat indikátory kompromisu (IoC) odhalující jejich přítomnost (a to bez využití signatur). V případě že zachycená IoC nepředstavuje pro bezpečnostní tým nutně riziko, může být stále zpracována síťovým oddělením, které ji jako anomálií odstraní a vyřeší tuto hrozbu již v jejím počátku.
Reakce – V okamžiku reakce na kybernetický útok je to bezpečnostní tým, kdo posoudí riziko a navrhne způsob, jak jej řešit. Nicméně budou to právě síťaři, kteří tento úkon následně provedou. Například pomocí nástrojů jako NAC, DHCP, SDN kontrolerů nebo firewallu. Koordinace mezi týmy a předem domluvený set opatření jsou pro včasnou reakci zcela nezbytné.
Obnova – Rozhodující faktorem při navrhování plánu obnovy napadených systémů a dat je důsledné posouzení rozsahu a dopadu útoku. To zahrnuje identifikaci všech kompromitovaných assetů, které je potřeba reinstalovat, opravit nebo obnovit ze zálohy. Zejména bezpečnostní oddělení tak ocení veškeré souhrnné informace, které lze získat ze síťové úrovně a v jednom pohledu.
Analýza – Je velmi důležité dlouhodobě uchovávat kompletní statistiky síťové komunikace a v ideálním případě nahrávat provoz týkající se bezpečnostních incidentů. Jsou to data, kterým rozumí jen zkušený síťař. Avšak pokud spolupracuje s bezpečnostním expertem na jejich analýze, jsou nenahraditelným zdrojem pro pochopení plné historie útoku od prvotního nakažení, přes jeho šíření, až po exfiltraci dat. Taková znalost umožňuje ladit stávající preventivní opatření a navrhovat nová.
Autor: Artur Kane (technology evangelist ve společnosti Flowmon Networks)