Po co firmom centra operacji bezpieczeństwa i dlaczego warto tworzyć je w modelu outsourcingowym? Po pierwsze, monitorowanie bezpieczeństwa to konieczność, a po drugie – SOC w modelu usługowym to gwarantowany czas reakcji na incydenty. To tylko niektóre z wniosków ze spotkania CIONET Tech Camp „Budowa SOC. Jak określić rolę dostawców i partnerów”.
Skala współczesnej cyberprzestępczości jest ogromna – firma Cybersecurity Ventures szacuje, że straty ponoszone w jej wyniku osiągną do 2025 r. pułap 10,5 bln dolarów rocznie. Postępująca digitalizacja i upowszechnianie się cyfrowych narzędzi stosowanych w biznesie dodatkowo zwiększają powierzchnię ataków. Trudno więc wyobrazić sobie przedsiębiorstwo, które nie monitoruje bezpieczeństwa swojej infrastruktury informatycznej i posiadanych zasobów: danych i własności intelektualnej.
W ramach przeciwdziałania cyberprzestępczości organizacje podejmują wysiłek tworzenia centrów operacji bezpieczeństwa. SOC (ang. security operations center) to zespół specjalistów do ochrony infrastruktury IT, zajmujący się monitoringiem sieci, prewencją i reagowaniem na incydenty bezpieczeństwa, ich identyfikacją i analizą oraz usuwaniem skutków ataku i modernizacją firmowego stosu, aby zapobiec podobnym atakom w przyszłości. W sektorach nadzorowanych, np. finansowym, czy u operatorów usług krytycznych posiadanie SOC to wręcz niezbędny wymóg stawiany przez regulatora.
Po co nam SOC
Idea SOC narodziła się z prozaicznego powodu: środowiska IT stają się coraz bardziej rozległe, a systemy do ich zabezpieczania, podobnie jak polityki bezpieczeństwa – coraz bardziej złożone. W przeszłości mogło wystarczać codzienne przeglądanie logów sieciowych przez administratora, ale dziś to nierealne – nikt nie jest w stanie na bieżąco pilnować bezpieczeństwa przy tej złożoności infrastruktury IT. To implikuje konieczność utworzenia dedykowanej komórki, która zajmowałaby się wszystkimi aspektami cyberbezpieczeństwa i patrzyła na infrastrukturę teleinformatyczną wielowymiarowo.
Problem w tym, że nie wszystkich stać na budowę własnego SOC. To kosztowne nie tyle z punktu widzenia technologii, co wiedzy – kosztuje zarówno wytworzenie kompetencji, jak i pozyskanie ich z rynku. Według opracowanego przez (ISC)² badania „Cybersecurity Workforce Study” w samej Europie brakuje ok. 170 tys. ekspertów z dziedziny bezpieczeństwa. Globalnie liczba wakatów w obszarze cyberbezpieczeństwa sięga 3,1 mln. A im mniejszy biznes, tym trudniej o delegowanie do tych zadań fachowców – wówczas odpowiedzialność za security spada na administratorów sieci.
Czy rozwiązaniem tych bolączek może być outsourcing usług związanych z cyberbezpieczeństwem i ustanowienie centrum bezpieczeństwa w modelu usługowym? Wspólnie z członkami społeczności CIONET Polska zastanawialiśmy się nad tym zagadnieniem w trakcie spotkania „Budowa SOC. Jak określić rolę dostawców i partnerów”, inaugurującego cykl CIONET Tech Camp. W dyskusji wzięli również udział przedstawiciele firmy IBM, partnera wydarzenia: Daniel Donhefner Delivery Portfolio Manager (Security Services Central and Eastern Europe) i Andrzej Gaj (Cyber Security Architect).
Zdaniem Daniela Donhefnera „pozytywny efekt uboczny” posiadania SOC to aktualizacja, a czasem stworzenie od podstaw, dokumentacji i procesów związanych z cyberbezpieczeństwem.
Weźmy na przykład plan reagowania na incydenty – podstawowy z punktu widzenia bezpieczeństwa dokument, proces, który organizacja powinna mieć: aktualizowany i regularnie testowany. Nie wszystkie organizacje to robią. Sama implementacja SOC wymusza stworzenie lub aktualizację takiej dokumentacji. A ponieważ procesy oparte na tej dokumentacji są na bieżąco używane przez SOC, są też na bieżąco weryfikowane, testowane i aktualizowane – mówi przedstawiciel IBM
| Jak działa Security Operations Center? |
|
Centrum operacji bezpieczeństwa pokrywa funkcjonowaniem obszary technologii, procesów i zarządzania. Pozwala mu to realizować trzy podstawowe cele: O tym, czy SOC wydajnie i rzetelnie realizuje swoje zadania, decydują stosowane metryki oraz model zarządczy. Za pomocą metryk określany jest bieżący status środowiska informatycznego oraz takie parametry jak liczba ataków i jej zmiany w czasie oraz czas i przebieg reakcji na incydent. |
Niezbędne kompetencje…
Z zadań SOC wynika struktura operacyjna centrum, obejmująca trzy „linie”, wymagające nieco odrębnej wiedzy i kompetencji. Pierwsza koncentruje się wokół monitorowania – najlepiej całodobowego – środowiska IT i wymaga umiejętności czysto technicznych. Pracownicy mają do dyspozycji tzw. playbooki (zestawy procedur, jak postępować z incydentami). Druga linia to analiza ataków oraz działania mające na celu minimalizowanie skutków incydentów i ograniczanie ich wpływu na organizację
Trzecia linia finalnie rozwiązuje incydenty i usuwa czynniki techniczne umożliwiające ich przeprowadzenie (wektory ataków), zapewniając, że kolejny incydent tego typu albo nie będzie miał miejsca albo jego skutki będą zdecydowanie niższe i szybciej uda nam się wykryć, zatrzymać atak lub zareagować na niego. Specjaliści trzeciej linii nadzorują też przywracanie normalnego funkcjonowania organizacji po incydencie.
Do „obsługi” prostych ataków wystarczają typowe umiejętności i wiedza informatyczna oraz tradycyjne źródła danych. Zdarza się jednak, że brakuje pewnych elementów układanki, których waga wychodzi zwykle na jaw, gdy ich najbardziej potrzeba. Zdaniem Andrzeja Gaja do takich specjalistycznych kompetencji z wąskich dziedzin należą m.in. informatyka śledcza (forensic) czy analiza malware’u.
…i zasoby
Do tego dochodzą narzędzia, których potencjał mogą wykorzystać tylko kompetentni operatorzy SOC posługujący się przemyślanymi procesami zdefiniowanymi w ramach centrum. A oprzyrządowanie SOC to spore wyzwanie. – dodaje Piotr Moroz, dyrektor działu usług bezpieczeństwa w Netii.
Podstawowym narzędziem jest system zarządzania informacją i zdarzeniami, SIEM (ang. Security Information and Event Management).
Samo wdrożenie SIEM nic nie daje, ktoś jeszcze musi go nadzorować, utrzymywać i dostrajać – nie tylko pod względem technicznym ale też w zakresie reguł bezpieczeństwa. Nawet jeżeli reguły są dostarczane z systemem, trzeba je dostroić do konkretnej infrastruktury sieciowej – podkreśla Piotr Moroz.
Ponadto systemy SIEM generują tyle informacji, że sama ich obsługa wymaga dodatkowych narzędzi – dlatego coraz częściej wdrożeniom SIEM towarzyszy implementacja narzędzi SOAR (ang. Security Orchestration, Automation and Response), wspierających zarządzanie incydentami. Automatyzacja ma na celu odciążenie pracowników SOC, by mieli czas zajmować się rzeczami bardziej skomplikowanymi, incydentami niestandardowymi – standardowe w ramach procesów automatycznych – wyjaśnia przedstawiciel Netii.
Co zostawić, co wynieść
Budowa SOC zaczyna się od stworzenia koncepcji i ustalenie zasad realizacji poszczególnych celów stawianych przed centrum. Model operacyjny SOC powinien obejmować wszystkie usługi i kompetencje związane z obsługą incydentów – linie, technologia, nadzór. „Wszystko to układamy na jednej mapie i zastanawiamy, jaki jest model najbardziej efektywnego dostarczania tych elementów, i jakie mamy ograniczenia” – zaleca Andrzej Gaj.
I tak dochodzimy do zasadniczego pytania – które komponenty centrum operacji bezpieczeństwa budować wewnętrznie, a kiedy korzystać z outsourcingu?
Zasadniczo, nie ma uniwersalnego podziału na elementy do wyniesienia na zewnątrz i zostawienia u siebie. W każdym wypadku spektrum będzie inne – każda firma jest inna, ma swoją specyfikę i potrzeby.
Z punktu widzenia regulacji nie wszystko można wynosić poza strukturę firmy – jak wskazuje Piotr Moroz, zazwyczaj dotyczy to wysokopoziomowego zarządzania bezpieczeństwem, a w sektorze finansowym – audytu wewnętrznego. Nie wszystko warto też wynosić – zwykle lepiej wewnętrznie pozostawić nietechniczną obsługę incydentów, gdyż zewnętrzny usługodawca ma mniejszą wiedzę na temat firmowych procesów.
„Warto rozważyć wszystkie za i przeciw. Zwykle lepiej sprawdza się wewnętrzna obsługa incydentów (nietechniczna, zarządzanie) bo zewnętrzny dostawca nie zna tak dobrze firmy i jej procesów. Jednak do outsourcingu nadaje się zarówno 1., jak i 2. linia SOC, a szczególnie bardzo zaawansowana linia trzecia, gdzie wymagana jest wiedza z zakresu informatyki śledczej i threat hunting” – ocenia Moroz.
Utrzymanie takich specjalistów wewnętrznie będzie bardzo kosztowne.
Korzyści z outsourcingu
Chociaż z punktu widzenia potrzebnych kompetencji 1. linia SOC nie wydaje się najbardziej wyróżniającym się elementem SOC – ba!, w teorii może być najłatwiejsza do zbudowania – w praktyce może być najtrudniejsza do utrzymania. Uczestnicy spotkania CIONET Tech Camp zgodzili się bowiem, że praca na 1. linii SOC jest… nudna. Operatorzy odpowiedzialni za monitoring w trybie „eyes on the glass”, czyli w zasadzie przykuci do monitora, po pewnym czasie zaczną w końcu szukać innych wyzwań zawodowych i możliwości rozwoju.
W procesie reakcji na incydenty przede wszystkim liczy się czas – ograniczenie możliwości rozprzestrzeniania i wdrożenie działań naprawczych. A wszystko to zaczyna się od wykrycia ataku – to na pierwszej linii SOC zaczyna się proces odpowiedzi na incydent. W momencie, gdy rotacja pracowników jest tu zbyt wielka lub gdy w zespole jest zbyt dużo wakatów, obniża się zdolność do rozpoznania incydentu i przekazania go dalszej analizy. Przeniesienie SOC, przynajmniej częściowo, poza struktury organizacji pomaga uniknąć tego ryzyka.
„Outsourcing oznacza umowę, uzgodniony zakres, określony abonament i SLA, które możemy monitorować – pozwala to skupić się pracownikom ds. bezpieczeństwa na innych kwestiach, np. strategii i rozwoju polityk bezpieczeństwa, i nie zajmować się codzienną żmudną pracą operacyjną – wskazuje Piotr Moroz.
To mocne argumenty, dla których wielu klientów rozważa przejście od wewnętrznego SOC na zewnętrzne.
Coraz rzadziej spotykam się z organizacjami budującymi SOC samodzielnie. Większość z nich migruje w zaplanowany sposób do hybrydowego modelu operacji bezpieczeństwa, zachowując pewne kluczowe kompetencje, a zlecając na zewnątrz pozostałe elementy zaufanym partnerom, którzy zapewniają właściwą jakość realizacji procesów – dodaje Andrzej Gaj.