security operation center

SOC – co to jest i kto potrzebuje Security Operation Center

Ewolucja zagrożeń

Przez ostatnie kilkanaście lat dokonała się radykalna zmiana w dziedzinie zagrożeń związanych ze złośliwym oprogramowaniem. Wirusy, które pod koniec XX wieku miały formę psikusów wyświetlających zabawne komunikaty i efekty dźwiękowe lub wizualne stały się narzędziem w rękach zorganizowanych grup przestępczych. Za dzisiejszym malware’m stoi prężnie funkcjonujący czarny rynek, na którym przebierać można w ofertach sprzedaży 0-dayów, exploitów, exploitpaków, backdorów a nawet gotowych botnetów składających się z tysięcy przejętych komputerów. Wszystko to ułatwia zorganizowanym grupom przestępczym prowadzenie szeroko zakrojonych kampanii phishingowych lub infekowania ransomewarem typu TeslaCrypt, CryptoLocker czy CryptoWall.

Podejście do ochrony

Niestety ewolucji, jaka dokonała się w dziedzinie zagrożeń nie towarzyszyła dotychczas zmiana naszej mentalności w podejściu do ochrony. Gdyby zapytać statystycznego administratora jak zmieniło się jego podejście do zabezpieczenia infrastruktury IT na przestrzeni ostatnich lat to najprawdopodobniej odparłby, iż dyskietkowego MKS-a zastąpił sieciowym, centralnie zarządzanym antywirusem a prostego firewalla urządzeniem typu „next generation”. Bardziej świadomi administratorzy pochwaliliby się może odebraniem praw administratora lokalnego swoim użytkownikom i stosowaniem polis GPO wymuszających bezpieczną politykę haseł.

Skuteczność

W typowym środowisku IT trudno dzisiaj znaleźć komputer bez antywirusa lub sieć bez firewalla. Pomimo to ciągle słyszymy o nowych przypadkach wykradania danych, wykonywania nieautoryzowanych przelewów lub zaszyfrowania plików w celu wymuszenia okupu. Okazuje się, że komputer z antywirusem, włączoną zaporą systemową i chroniony przez sieciową zaporę typu „next generation” nadal może stanowić łatwy cel dla intruzów. Dzieje się tak dlatego, iż wektory ataków celowo są dobierane tak, aby pominąć najpopularniejsze zabezpieczenia. Dlatego też skuteczność antywirusów jest tak niska a backdoory korzystają z ruchu szyfrowanego inicjowanego przez zainfekowane stacje z wewnątrz sieci. Który administrator będzie bowiem tracił czas na blokowanie portów dla połączeń wychodzących?

Ochrona kompleksowa

W branży security nie istnieje takie pojęcie jak 100% bezpieczeństwo. Wszystkie działania specjalistów od zabezpieczeń dążą do minimalizowania ryzyka związanego z określonymi zagrożeniami. Działań tych musimy zatem podejmować odpowiednio dużo, aby zminimalizować zagrożenia we wszystkich obszarach, w których mogą pojawić się luki. Do podstawowego zakresu obowiązków osoby odpowiedzialnej za bezpieczeństwo należy zatem dbanie o:

  • ochronę urządzeń końcowych
  • ochronę urządzeń mobilnych
  • monitoring i ochronę ruchu sieciowego
  • monitoring i ochronę sieci bezprzewodowych
  • filtrowanie ruchu www i e-mail
  • zbieranie, archiwizowanie i analizę logów zarówno z serwerów jak i urządzeń sieciowych
  • ochronę danych, w tym zgodność z przepisami prawa (np. Ustawa o Ochronie Danych  Osobowych, Krajowe Ramy Interoperacyjności, Ustawa o Ochronie Informacji Niejawnych)
  • opracowywanie i wdrażanie polityk bezpieczeństwa
  • szacowanie ryzyka
  • szkolenia uświadamiające pracowników w kwestiach związanych z zagrożeniami
  • skanowanie systemów pod kątem podatności
  • przeprowadzanie testów penetracyjnych
  • zarządzanie aktualizacjami

Czego potrzebujemy?

Do realizacji tak dużej liczby zadań potrzebujemy całej gamy narzędzi takich jak:

  • bramki filtrujące pocztę
  • serwery proxy filtrujące ruch www
  • centralnie zarządzane antywirusy
  • serwery logów
  • urządzenia IDS/IPS
  • systemy typu SIEM
  • systemy do monitoringu sieci

Do obsługi tych narzędzi musimy natomiast zatrudnić specjalistów, którzy będą dostępni na kilka zmian. Musimy pamiętać, że liczba etatów związanych z bezpieczeństwem powinna gwarantować dostępność również w przypadku urlopów czy zwolnień lekarskich.

Aby zapewnić odpowiednią jakość obsługi i czasy reakcji oraz zagwarantować ciągłość procesów biznesowych konieczne jest także wdrożenie procedur, instrukcji i polityk zgodnych z przepisami prawa, normami branżowymi i wymaganymi przez biznes poziomami dostępności.

Czym dysponujemy?

Rozwiązania techniczne i licencje związane z ochroną infrastruktury IT nie należą niestety do najtańszych. Podobnie ma się sprawa z wynagrodzeniami osób zawodowo zajmujących się bezpieczeństwem (audytorzy, pentesterzy, administratorzy). W efekcie bardzo niewiele firm może sobie pozwolić na wygospodarowanie z budżetu odpowiedniej ilości środków w celu utworzenia wyodrębnionej jednostki organizacyjnej mającej zajmować się bezpieczeństwem. Część zadań nie jest zatem realizowana, a część spada na głowę przypadkowych informatyków. Osoby zajmujące się kwestiami bezpieczeństwa doraźnie nie posiadają natomiast odpowiednich kompetencji. Nie wynika to z ich złej woli, czy zaniedbań, ale zwyczajnie z braku czasu. W natłoku innych obowiązków przeciętny administrator nie jest w stanie rozwijać swojej wiedzy, śledzić trendów, testować i wdrażać rozwiązań, których na rynku jest całe mnóstwo, ale które nie zawsze się sprawdzają w konkretnym środowisku.  Tutaj potrzeba osób dobrze przeszkolonych, doświadczonych i spoglądających na problematykę z szerszej perspektywy.

SOC – wyjście z sytuacji?

Co zatem zrobić w sytuacji, gdy nasze potrzeby związane z zapewnieniem bezpieczeństwa są duże, a środki personalne, technicznie i finansowe, którymi dysponujemy niewielkie? Odpowiedzią może być SOC (Security Operation Center) świadczony w formie usługi przez zewnętrznego dostawcę. Podejście takie jest ostatnio dosyć popularne, nie tylko wśród małych organizacji, ale również dużych instytucji ze względu na jego efektywność i stosunkowo niewielkie koszty utrzymania. SOC  utrzymywany przez zewnętrznego dostawcę typu MSSP (Managed Security Service Provider) gwarantuje dostęp do specjalistycznej wiedzy i narzędzi w stopniu dostosowanym do potrzeb klienta. Trudno sobie wyobrazić sytuację, w której niewielka firma zatrudnia osobę na stanowisku security officera np. na ¼ etatu lub kupuje rozwiązanie typu SIEM za kilkaset tysięcy złotych. W modelu usługowym jest to natomiast scenariusz całkiem realny. Ustalamy z dostawcą zakres udostępnianych narzędzi oraz czasu potrzebnego na realizację z ich pomocą określonych zadań i rozliczamy się wg uzgodnionych stawek miesięcznych. Jeżeli w pewnym momencie zajdzie potrzeba wyłączenia lub włączenia dodatkowych usług, dokonujemy tego z dnia na dzień bez konieczności ponoszenia dodatkowych kosztów. Elastyczność, dostępność i wysoki poziom wiedzy eksperckiej to podstawowe zalety takiego rozwiązania.

 

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.