Rozhodnutí o pořízení bezpečnostní technologie sběru NetFlow a služby Security Operation Centra (SOC365) padlo na nejvyšší úrovni managementu, který si uvědomil rizika v oblasti kybernetické bezpečnosti a svou osobní trestně-právní odpovědnost. I přes počáteční „chladný“ přístup IT oddělení bylo zařízení sběru NetFlow nainstalováno. Společně byla zřízena služba monitoringu provozu a podpory provozu. Pracovníci IT oddělení začali od Security Operation Centra (SOC365) dostávat pravidelné reporty. Zpočátku byla reakce IT oddělení, na reportované informace a profesní podporu SOC365, minimální, až téměř nulová.
Díky vytrvalému přísunu informací zákazník postupem času zjistil, že pro něj přece jen informace mají jistý význam. Začal podklady využívat ke svému prospěchu, služba mu přinesla tak detailní a srozumitelný náhled do datové sítě, jímž doposud nedisponoval. Zpočátku to pro zákazníka znamenalo více práce s řešením identifikovaných nesouladů, ale systematickým postupem odstranění nalezených chyb, se nárůst práce stabilizoval. Včasným odhalováním nových nedostatků v datové síti se výrazně zrychlila realizace opatření a zefektivnila jejich náprava.
Anomálie a útoky nebo jen lidský faktor?
Konkrétním příkladem užitečnosti SOC365 bylo pro zákazníka zjištění, že ho externí bezpečnostní tým začal průběžně kontaktovat kvůli detekci anomálního provozu v jednom ze systémů. Protože lokalizace problému směřovala na jeden z hlavních systémů a charakter provozu naznačoval možnou kybernetickou hrozbu, bezpečnostní tým informoval zákazníka dle předem nastaveného postupu. Přes počáteční překvapení oslovené osoby zjistily, že nejde o kybernetický útok, ale o neplánovanou osobní iniciativu jednoho z interních zaměstnanců
Bezpečnost není samozřejmost, je to proces a disciplína
Případ zákazníka přesvědčil, že v externích pracovnících SOC365 získal výraznou podporu pro své činnosti, které dříve neměl nebo je neuměl. Výrazně se zvýšila bezpečnost a informovanost o provozu na datové síti zákazníka. Po této příhodě se změnil i přístup zákazníka k poskytované službě, protože byl prokázán přínos bezpečnosti jako služby.
Security Operation Centrum je organizovaný soubor nástrojů, procesních postupů a odborného personálu sloužící k efektivnímu zpracování informací ze senzorických nástrojů (Log management, NetFlow, Performance monitoring) do podoby analytických závěrů (vytvářené analytikem), které jsou průběžně vyhodnocovány operátory. Indikované anomálie jsou analytickým nástrojem SIEM (Security Information & Event Management) zpracovány do podoby alarmů, které operátor vyhodnocuje jako incidenty a rozhoduje o způsobu jejich řešení (Action). U rozsáhlých incidentů je v řešení potřeba součinnosti více pracovníků SOC365 s různými odbornostmi a procesními kompetencemi, a proto se využívá specializovaných týmů (tzv. CIRT/CERT/CSIRT). Služba je poskytována v režimu od rozsahu 8×5 až po 24×7, tedy 24 hodin denně.
Služba SOC365 je výhodná díky kombinaci využití technických nástrojů s dovednostmi expertů centra pro:
- detekce a lokalizace bezpečnostních anomálií a provozních problémů bez falešných poplachů (tzv. false-positive alarms);
- neprodlené reakce systémů a efektivní zvládání nepříznivých situací experty SOC365 (soustředění na problém, nikoliv na vnitrofiremní politiku);
- prokazatelné měření prostředí a odpovědné hodnocení zjištěných stavů podle závazných standardů, čímž nevznikají pochybnosti o skutečné realitě bezpečnostní situace.
Obvyklým segmentem zákazníků SOC jsou:
- finanční instituce a organizace zajišťující operace platebních karet či provoz platebních terminálů (banky, pojišťovny, finanční zprostředkovatelé);
- výrobní a distribuční organizace (průmyslové podniky, logistické firmy);
- organizace státní správy a samosprávy (dopravní podniky, správa městských technických služeb);
- organizace poskytující telekomunikační a datové služby (poskytovatelé internetového připojení);
- organizace schraňující informace (z hlediska dodržování platných právních norem),
- organizace podléhající Zákonu o Kybernetické bezpečnosti, GDPR , Zákonu na ochranu osobních údajů, Autorskému zákonu, nařízení eIDAS nebo mající se svými poskytovateli SLA dohody (právní podniky, marketingové agentury, personální agentury, nemocnice atd.);
- organizace s motivací ve zlepšování kvality svých ICT služeb.
Služba SOC365 je vhodná pro zákazníky, kteří: - mají ICT jako podpůrný proces, ale potřebují důslednější sledování dostupnosti ICT služeb;
- mají nemalé množství bezpečnostních zařízení, ale méně potřebných zdrojů (odborných znalostí či personálu);
- disponují zákonem klasifikovanými informacemi;
- mají rozsáhlé množství ICT komponent, ale nízký přehled o jejich provozní kondici, verzích softwaru/firmwaru, počtu a závažnosti vnitřních chyb získaných od výrobce nebo od nekorektní konfigurace;
- chtějí získat reálný pohled do své sítě a vědět, co se děje;
- chtějí trávit svůj čas efektivně, nikoliv sáhodlouhým hledáním příčin neefektivností sítě.
Výhoda externích expertů pro sdílení zkušeností
S ohledem na teorii, že 20 % příčin generuje až 80 % následků (tzv. Paretovo pravidlo), je to právě monitoring, který identifikuje 80 % následků. Jak ale najít těch 20 % příčin způsobujících dané následky
Významným přínosem je zapojení externích bezpečnostních pracovníků do monitoringu provozu datové sítě. To umožňuje detekci dalších příčin situací, na které by sami zaměstnanci dané organizace neměli know-how a čas kvůli svému pracovnímu vytížení v operativě.
Není zapotřebí řešit investice do systémů nebo do účelové specializace zaměstnanců (s rizikem jejich odchodu ke konkurenci). Prostřednictvím SOC365 zlepšíte své procesy vztahující se k českým zákonným normám s rizikem finanční penalizace, získáte přehled skutečného ICT provozu a vaší bezpečnostní situace.