Czy potrzebuję Security Operations Center?

Jeśli nie monitorujemy bezpieczeństwa w naszym środowisku IT, w mniej czy bardziej zaawansowany sposób, nie mamy pojęcia, co się dzieje. A dzieje się bez wątpienia dużo.

Dlatego znalezienie sposobu na skuteczne monitorowanie, reagowanie i zarządzanie incydentami bezpieczeństwa to dzisiaj konieczność. Ale jak to zrobić? O tym, podczas pierwszego wirtualnego spotkania, które odbyło się w ramach dedykowanego Dyrektorom IT programu SECURITY SIG, mówili Mateusz Pastewski, Cybersecurity Sales Manager w Cisco, oraz Jakub Jagielak, Dyrektor ds. rozwoju cyberbezpieczeństwa w Atende.

Od nadmiaru głowa jednak boli

Nie ma organizacji, która nie potrzebowałaby w zakresie bezpieczeństwa odpowiednich technologii, dobrze określonych procedur i kompetentnych pracowników. Jeśli chodzi o technologie, to rynek rozwiązań security jest wyjątkowo bogaty, więc wybór tych właściwych, które najlepiej sprawdzą się w konkretnym przypadku, nie należy do łatwych.

- Ostatecznie można się posłużyć „Magicznym kwadratem Gartnera”, ale i to nie za wiele pomoże, gdy - przykładowo - na rynku rozwiązań SIEM (Security Information and Event Management) wszyscy liczący się dostawcy (łącznie 12!) są określeni w raporcie jako liderzy – podzielił się swoimi wątpliwościami Jakub Jagielak.

W dodatku pytanie, jak zbudować środowisko security, nie dotyczy tylko tego, na których vendorów warto postawić, ale także, ilu ich powinno być. Mniejsze firmy w budowaniu swojego systemu bezpieczeństwa będą się skłaniać do podejścia minimalistycznego (np. firewall'a i ochrony punktów końcowych), co wynika zarówno z budżetu, jakim dysponują, jak uproszczonego zarządzania takim środowiskiem. Większe natomiast – z oczywistych względów – będą budować swoje security w sposób bardziej złożony. Efektem użycia wielu technologii będzie skorzystanie z oferty więcej niż jednego dostawcy, bo żaden producent nie dostarcza rozwiązań pokrywających wszystkie obszary bezpieczeństwa. Wciąż jednak powinno się brać pod uwagę ograniczoną ich liczbę. A to dlatego, że wraz ze wzrostem złożoności systemu jego efektywność wcale nie rośnie proporcjonalnie. Nie jest też prawdą, że więcej rozwiązań zapewnia większe bezpieczeństwo.

Do czego służy Security Operations Center?

Potrzeba monitorowania i skomplikowanie środowiska w większych organizacjach może skutkować potrzebą posiadania Security Operations Center (SOC), które będzie zajmować się obsługą incydentów bezpieczeństwa. Do stworzenia SOC-a, który będzie chronić nasze środowisko IT, niezbędna będzie kompleksowa warstwa zabezpieczeń, na którą składają się różnego rodzaju rozwiązania dostarczające informacje o zdarzeniach bezpieczeństwa. Według Mateusza Pastewskiego to obecnie najczęściej produkty typu EDR (Endpoint Detection and Response), NGFW (Next Generation Firewall), Email Proxy, NBED (Network Behavior & Anomaly Detection) oraz ochrona DNS. Raportowane przez nie zdarzenie mają być poddane następnie analizie przez zautomatyzowane systemy oraz pracowników SOC.

Incydenty mają złożoną naturę i najczęściej nie są raportowane tylko przez jedno rozwiązanie warstwy zabezpieczeń, ale przez wiele z nich. Ich obsługa będzie wykorzystywać orkiestrację, automatyzację i śledzenie tego, co się dzieje na wszystkich platformach na podstawie dostarczanych danych. Będzie dotyczyć wykrycia incydentu, zrozumienia tego, co się wydarzyło, oraz odpowiedzi na to. Aby uzyskać pełen wgląd w próbę ataku, informacje dostarczane z wielu źródeł muszą zostać skorelowane, by można było podjąć działania zgodnie z odpowiednimi procedurami, opisanych w tzw. playbookach.

W tradycyjnie funkcjonujących SOC-ach procedury były i wciąż są uruchamiane i przeprowadzane manualnie. Jednakże pojawienie się systemów typu EDR i SOAR (Security Orchestration, Automation, and Response) i automatyzacja wielu funkcji umożliwiły szybsze działania w ramach obsługi incydentu, umożliwiając w wielu wypadkach wykazanie się pracownikom SOC dopiero na etapie przygotowania raportów związanych z incydentem.

Przynosi to znaczne oszczędności czasu i pieniędzy, które - jak wykazał Jakub Jagielak - nie jest trudno policzyć.

Jakiego monitorowania wymaga moja organizacja?

Wielu specjalistów ds bezpieczeństwa zastanawia się, czy potrzebują SOC-a. Wątpliwości nie mają sektory regulowane, takie jak branża finansowa czy operatorzy usług kluczowych, działający w ramach krajowego systemu cyberbezpieczeństwa.

Ale nawet wśród tych ostatnich jest wiele podmiotów o ograniczonych budżetach, a Security Operations Center działające w modelu 24/7/365 to duża inwestycja. Uczestnicy wirtualnego spotkania nie mieli wątpliwości, że mogą sobie na nie pozwolić tylko te organizacje, które dysponują znacznymi środkami finansowymi. Pozostałe będą tworzyć jakiegoś rodzaju namiastki SOC-a, stawiając na taki zestaw narzędzi, które będą reagować na incydenty i w coraz większym stopniu automatyzować funkcje bezpieczeństwa. Kolejną opcja jest skorzystanie z outsourcingu - zewnętrznej firmy, która zapewni wymagane wsparcie.

Nie ma wątpliwości, że nie każdy musi mieć SOC-a, nie każdy potrzebuje narzędzi, takich jak SIEM czy SOAR. Dobrze zaprojektowany system oparty o rozwiązania w rodzaju IPS/IDS, firewall'e i dobrze skonstruowane polityki bezpieczeństwa może w danym przypadku wystarczyć. W dodatku bywa i tak, że wydanie dużych pieniędzy np. na SIEM, może przynieść skutek przeciwny do zamierzonego. Gdy rozwiązanie nie będzie właściwie wdrożone i wykorzystane, da jedynie złudne poczucie bezpieczeństwa i uśpi czujność.

- Każda firma jest inna i zawsze trzeba rozważyć z jednej strony korzyści, a z drugiej ryzyka. Dlatego warto zająć się często pomijaną, a bywa, że i lekceważoną analizą ryzyka. Musimy, wiedzieć, co chcemy osiągnąć i potem, krok po kroku, konsekwentnie to realizować – przypominał Tomasz Matuła, dyrektor programowy SECURITY SIG.