Didėjantis debesijos paslaugų ir SaaS aplikacijų naudojimas, darbas už organizacijos tinklo perimetro ir būtinybė pasiekti vidines sistemas iš bet kurios pasaulio vietos – taip galima apibūdinti tendencijas, kurios dar iki pandemijos lėmė susidomėjimą nauja – saugumo operacijų centro (angl. Security operations centre as a service, SOCaaS) paslaugų kategorija. Šį susidomėjimą, o drauge – ir šios paslaugos tiekėjų skaičiaus didėjimą – dar labiau pakurstė karantino situacija, kai paaiškėjo, kad kibernetiniai nusikaltėliai sėkmingai išnaudoja aiškias ribas praradusį organizacijos perimetrą.
Nors saugumo operacijų centro (SOC) paslaugos iš tiesų suteikia iki tol neprieinamas galimybes vidutinio dydžio įmonėms, jos gali skirtis nuo to, kaip apibrėžiamas populiarusis SOC terminas. Tad planuojant SOC paslaugų įsigijimą, reikėtų atkreipti dėmesį į kelis aspektus, apie kuriuos plačiau pasakoja sistemų inžinierius, „Blue Bridge“ saugumo operacijų centro analitikas Patryk Gulbinovič.
Kokias funkcijas atlieka SOC?
Saugumo operacijų centras (SOC) – tai kompleksinis darinys, turintis kelias dedamąsias ir funkcijas. Įprastas SOC apibrėžimas skelbia, kad toks centras įgalina organizaciją stebėti, identifikuoti, analizuoti ir užkardyti išorines bei vidines kibernetines atakas ir kitokius saugumo incidentus.
Centro ašis – kvalifikuoti kibernetinio saugumo specialistai, dirbantys pagal nustatytas procedūras ir geriausias praktikas. Būtent ši tik kibernetiniam saugumui dedikuota komanda yra svarbiausias SOC paslaugų privalumas klientui.
Centro ašis – kvalifikuoti kibernetinio saugumo specialistai, dirbantys pagal nustatytas procedūras ir geriausias praktikas. Būtent ši tik kibernetiniam saugumui dedikuota komanda yra svarbiausias SOC paslaugų privalumas klientui. Kitaip tariant, SOC paslaugos leidžia išsinuomoti retas ir brangias saugumo specialistų kompetencijas, kurių išlaikymui ir sertifikavimui prireiktų didelių investicijų. Be to, dirbant su tiekėjo SOC specialistais, auga organizacijos IT darbuotojų kompetencija, išmokstama vis geriau išnaudoti SOC galimybes, o drauge kyla ir visos organizacijos IT branda, tobulėja požiūris į kibernetinį saugumą.
Pagrindinis SOC komandos įrankis – SIEM (Saugumo informacijos ir įvykių valdymo) sprendimas. Į šią platformą suplaukia visi duomenys bei įvykiai iš saugumo įrenginių, IT infrastruktūros, sistemų ir kitų elementų, pavyzdžiui, galutinių naudotojų kompiuterių, daiktų interneto įrenginių ir t. t. Papildomai gali būti pridedama duomenų grėsmių galutiniuose taškuose aptikimo bei atsako programinė įranga (angl. Endpoint Detection and Response (EDR)), pažeidžiamumų skenavimo įrankiai. Taip saugumo situacijos „drobė“ dar labiau išsiplečia, gaunami dar tikslesni duomenys apie saugumo pokyčius.
Turėdami bendresnį saugumo situacijos paveikslą, SOC analitikai gali greičiau atsekti įvairias naudotojų elgesio anomalijas ir kitus įtartinus procesus. Taip pat – nustatyti sunkiai pastebimus priežastinius ryšius ir ne tik daug greičiau atsekti saugumo incidento priežastį, bet ir reaguoti. Papildomai SOC analitikai gali vykdyti proaktyvų grėsmių medžiojimą (angl. threat hunting), kai saugumo spragų ieškoma nelaukiant, kol jas apnuogins kibernetiniai nusikaltėliai.
SOC pritaikymas skirtingiems poreikiams
Kalbant apie SOC paslaugas, plačiai linksniuojamą SOC apibrėžimą reikėtų vertinti tik kaip orientacinį, pabrėžia „Blue Bridge“ sistemų inžinierius Patryk Gulbinovič. Jis įvardija kelis kertinius aspektus, kuriais SOC skiriasi nuo SOC paslaugų.
Daugumai organizacijų tenka rinktis, kokius duomenų šaltinius įtraukti į SIEM analitiką.
Pirma, nors teoriškai su SOC galima stebėti visą infrastruktūrą – nuo tinklų iki galutinių naudotojų išmaniųjų – daugumai organizacijų vis dėlto tenka rinktis, kokius duomenų šaltinius įtraukti į SIEM analitiką. Pagrindinių stebimų objektų sąrašą pašnekovas rekomenduoja pradėti nuo kritinės reikšmės sistemų ir rinktis kitus objektus pagal organizacijos galimybes.
Antra, SOC atliekamos analitikos tikslumas priklauso nuo saugumo įrenginių, kuriuos klientas jau turi (antivirusinių programų, ugniasienių ir t. t.). P. Gulbinovič pabrėžia, kad įsigijus SOC paslaugas, SIEM ir saugumo analitikai dirba su tais duomenimis ir įrašų šaltiniais, kuriuos jau turite. Taigi – kuo daugiau saugumo įrenginių turite, tuo daugiau duomenų bus pateikiama SIEM analitikai.
Pavyzdžiui, į „Blue Bridge“ SOC paslaugų bazinį stebimų objektų paketą įeina „Microsoft Active Directory“ katalogų valdymo tarnyba, tinklo saugumo įranga, serveriai, standartinės aplikacijos iš „Office 365“ paketo, „Sharepoint“, „Exchange“ ir kliento turimi saugumo sprendimai, tokie kaip antivirusinės programos, EDR sprendimai ir kt. „Šį sąrašą galima pildyti ar keisti pagal atskirą įvertinimą ir kliento naudojamas sistemas“, – pastebi pašnekovas.
Kaip atrodo bendradarbiavimas su tiekėju reaguojant į incidentus?
Dar vienas svarbus praktinis aspektas, kurį paprasta praleisti pro akis gilinantis į SOC apibrėžimą – tai kliento įsitraukimas sprendžiant saugumo incidentus. Dėl techninių ir teisinių priežasčių SOC paslaugų tiekėjas, atsitikus saugumo incidentui, gali dalyvauti tik dalyje SOC funkcijų. Organizacijos, turinčios savo SOC, su šia problema nesusiduria, todėl apie ją girdime rečiau.
Dėl techninių ir teisinių priežasčių SOC paslaugų tiekėjas, atsitikus saugumo incidentui, gali dalyvauti tik dalyje SOC funkcijų.
Kaip paaiškina P. Gulbinovič, tiekėjas atlieka SIEM priežiūrą, pasirūpina duomenų rinkimu ir jų analize, anomalijų ar kitų potencialių incidentų nustatymu. Tačiau reaguojant į incidentus, juos šalinant ir užkardant, įsitraukti turi kliento IT specialistai: „Tai lemia konfidencialumas, ribotos tiekėjo galimybės prieiti prie kliento svarbiausių sistemų ir jautrių duomenų. Be to, sklandžiam tęstinės saugumo politikos įgyvendinimui organizacijoje taip pat reikalingas kliento įsitraukimas. Tiekėjas, žinoma, gali pasiūlyti gaires bei rekomendacijas, kaip reaguoti į incidentą arba kaip kuo greičiau parengti atsaką į grėsmę, bet už šių priemonių įgyvendinimą atsakingas pats klientas“, – atkreipia dėmesį pašnekovas.
SIEM sprendimas gali būti derinamas prie jau naudojamų aplikacijų
Įsigydami SOC paslaugas, klientai dažnai gali pasirinkti ir jų poreikius geriausiai atitinkantį SIEM sprendimą, kuris dažnai vadinamas SOC technologinėmis smegenimis.
SIEM gali būti įvairių lygių ir yra parenkami pagal specifinius organizacijos poreikius.
„SIEM gali būti įvairių lygių ir yra parenkami pagal specifinius organizacijos poreikius. Pavyzdžiui, „Blue Bridge“ SOC komanda dirba su trijų gamintojų SIEM sprendimais: tai „Microsoft“ produktas „Azure Sentinel“, IBM produktas „QRadar“ ir „LogRhythm“ SIEM. Šie produktai atliepia kiek skirtingus poreikius. Pavyzdžiui, „Azure Sentinel“ patrauklus tiems, kurių IT pagrindas – „Microsoft“ produktai, nes „Sentinel“ lengviausiai integruojasi būtent su jais, be to, veikia „Azure“ „debesyje“. Norintiems išbandyti naudotojų elgsenos analizės modulius, mašininio mokymosi bei dirbtinio intelekto galimybes patrauklesni bus naujos kartos SIEM: nebe pirmus metus „Gartner“ magiškajme kvadrante lyderiaujantys „QRadar“ ir „LogRhythm“ sprendimai“, – vardija Patryk Gulbinovič.
Tarp naudų – galimybė mokytis iš aukščiausios klasės profesionalų
Apibendrindamas SOC paslaugų naudas, P. Gulbinovič pastebi, kad įsigijus šias paslaugas ne tik „išsinuomojamos“ retos saugumo specialistų kompetencijos, bet ir didinama vidinių darbuotojų kompetencija. Svarbų vaidmenį skaičiuojant šių paslaugų ekonominį naudingumą vaidina ir sutaupomos lėšos SIEM įsigijimui bei priežiūrai.
Vienas prieinamiausių ir pažangiausių būdų sumažinti tokias rizikas kaip kredencialų, paskyrų bei tapatybių vagystės, kenksmingo kodo atakos, ilgalaikis įsitvirtinimas IT infrastruktūroje ir nepakankama tinklo bei tinklo prieigos apsauga.
„Visgi svarbiausia tai, kad tiekėjas atsineša savo žinių krepšelį – savo sukurtas ir pasiteisinusias įsilaužimų aptikimo taisykles, siūlo rekomendacijas saugumo gerinimui, be to, periodiškai gali atlikti pažeidžiamumų skenavimą“, – pažymi pašnekovas ir apibendrina, kad SOC paslaugos leidžia gauti svarbiausius SOC privalumus, tačiau nereikalauja didelių investicijų, kurių reikėtų kuriant tokį saugumo padalinį organizacijos viduje.
„SOC paslaugos šiuo metu – vienas prieinamiausių ir pažangiausių būdų sumažinti tokias rizikas kaip kredencialų, paskyrų bei tapatybių vagystės, kenksmingo kodo atakos, ilgalaikis įsitvirtinimas IT infrastruktūroje ir nepakankama tinklo bei tinklo prieigos apsauga“, – išvardija P. Gulbinovič.
Susisiekite su „Blue Bridge“ ir apie saugumo operacijų centro (SOC) paslaugas sužinokite plačiau >>