Saugumo operacijų centrai (SOC) – kas tai ir kaip jie veikia?

Publikuota: 2020-05-05
svg svg

Saugumo operacijų centrai (SOC) visame pasaulyje įvardijami kaip viena efektyviausių priemonių stebėti kibernetinius incidentus. Lietuvoje taip pat vis daugiau organizacijų renkasi arba pačios steigti tokius centrus, arba pirkti jų teikiamas paslaugas iš išorės tiekėjų. Kviečiame susipažinti su SOC komplektacija, veikimo principu, atnešamomis naudomis bei pasvarstyti, kurioms organizacijoms tai – tinkamas sprendimas.

Išskirtinis pastabumas

NRD Cyber Security technologijų diegimo vadovas Tautvydas Jašinskas teigia, kad saugumo operacijų centrai gali pastebėti net ir smulkiausias kibernetines anomalijas:

nuotrauka::1 left

„Profesionalių kibernetinių atakų ir neatsakingų darbuotojų veiksmų neblokuoja ugniasienės ir nepastebi kenkėjiško kodo aptikimo sistemos. Tačiau nuolatos stebint duomenų ir įvykių srautą, galima pamatyti jo neatitikimus — anomalijas. Būtent tokią funkciją atlieka saugumo operacijų centrai – komandos, kurios, pasitelkdamos technologinių įrankių visumą, centralizuotai atlieka nuolatinį IT infrastruktūros saugumo stebėjimą bei neatitikimų analizę ir dar labai ankstyvoje stadijoje gali užkardyti kibernetinę ataką.“

Saugumo operacijų centrai gali būti įvairių dydžių ir komplektacijų ir tai priklauso ne tik nuo IT infrastruktūros kompleksiškumo, tačiau ir nuo organizacijos saugumo valdymo brandos lygio.

„Organizacijoms, kurioms kibernetinis incidentas gali sukelti didžiulių pasekmių, itin svarbu kibernetinėms atakoms kelią užkirsti kuo anksčiau. Saugumo operacijų centras reikalingas centralizuotai apdoroti organizacijos IT infrastruktūros komunikacijos ir įvykių duomenis saugumui užtikrinti – tiek aptikti, tiek tirti po įvykio surandant pažeidžiamumo priežastis, ir jas šalinant. Ir tai nebūtinai tik itin automatizuotos ar daug duomenų apdorojančios organizacijos – stiprias pasekmes gali turėti ir nedidelės įmonės, pavyzdžiui, medicinos įstaiga, kuri planinių operacijų duomenis kaupia el. sistemose“, — pastebi pašnekovas, — „Taip pat, tai aktualu organizacijoms, kurių veiklos sutrikdymas gali turėti poveikį kitiems, pavyzdžiui, viešųjų paslaugų tiekėjams. Be to, saugumo operacijų centrai įgalina atitiktį saugumo standartams ar įstatyminiams reikalavimams, kaip pavyzdžiui, bendrasis duomenų apsaugos reglamentas. Aktyvus stebėjimas padeda organizacijoms veikti sklandžiai, mažinant bet kokias duomenų praradimo rizikas. Tai yra viena pagrindinių akcininkų ir vadovų priemonių valdyti kibernetinio saugumo būseną“, — pabrėžia pašnekovas.

Saugumo operacijų centrų veikimo principas

T. Jašinskas pastebi, kad vienas didžiausių saugumo operacijų centrų privalumų – nuolatos stiprėjantis organizacijos IT infrastruktūros atsparumas:

„Stebint duomenų srautus, apdorojant juos kartu su žurnalinių įrašų pateikiama informacija bei praturtinant kibernetinių grėsmių žvalgybos informacija, yra identifikuojamos pažeidžiamos ar rizikingos IT infrastruktūros vietos. Centro komanda privalo duoti rekomendacijas, kaip stiprinti infrastruktūrą ir kaip skubiai tai reikia atlikti už IT infrastruktūrą atsakingiems asmenims.“

Kaip ir anksčiau minėjo pašnekovas, saugumo operacijų centrų komplektacija gali būti įvairi.

„Kad ir kaip visi procesai yra automatizuojami, stebint kibernetinius incidentus svarbiausi yra kompetentingi specialistai, kurie gali ne tik pastebėti, išanalizuoti, bet ir pritaikyti savo žinias ir patirtį nusprendžiant, ar vykstantys įvykiai kelia grėsmę organizacijai, bei nustatyti tos grėsmės lygį“, — sako specialistas.

Jis sukonkretina, kad saugumo operacijų centro techninės veiklos tipinės specialistų rolės yra šios:

  • Analitikai – šio lygio specialistų pagrindinė funkcija yra kibernetinių incidentų stebėjimas,  vertinimas bei eskalavimas per procesuose numatytą laiko tarpą;
  • Tyrėjai-ekspertai – šie specialistai įtraukiami į incidento tyrimą nustačius sudėtingą anomaliją. Jie taip pat kuria naujus aptikimo ir analizės metodus;
  • Grėsmių medžiotojai (angl. threat hunters) — tai žmonės, kurie proaktyviai ieško įsilaužimų, sistemų užvaldymo požymių ir anomalijų. Pastarosios gali būti itin gerai paslėptos labai įgudusių piktavalių, kurių rengiamos atakos būna tiesiog panašos į įprastą organizacijos veiklą arba lieka nepastebėtos analitikų dėl itin netipinio atakos metodo, technologijų netobulumo ar darbuotojų netipinio elgesio. 

Saugumo operacijų centrai gali dirbti efektyviai ir užtikrinti saugią ir tvarią aplinką tik tuomet, kai juose dirba ekspertai, turintys tam reikalingas žinias, užtvirtintus ir veikiančius process, kai jie yra aprūpinti tinkamomis procedūrinėmis ir techninėmis priemonėmis, o duomenų srauto ir žurnalinių įrašų duomenis surenka iš aiškiai apibrėžto ir valdomo įrenginių kiekio. Tačiau praktikoje tai reikalauja daug išteklių: kompetencijos, programinių sprendimų, atitikties ir standartizuoto IT ūkio įrangos elementų ir pan. Pati stebėjimo įranga neatlieka aktyvių veiksmų tinkle — ji yra skirta stebėjimui ir negali pakeisti parametrų. Stebėjimo sistemos gauna įvykių žurnalų įrašus, komunikacijos informaciją ir analizuoja gautus duomenis. Nustačius piktavališką, neįprastą ar kitokią veiklą, saugumo centro personalas informuoja apie tai IT priežiūros specialistus ir padeda jiems suvaldyti incidentus, t.y. atlikti reikiamus pakeitimus.

Kokius uždavinius kelti saugumo operacijų centrui?

 „Saugumo operacijų centrui pirmiausia turėtumėte kelti uždavinį kuo greičiau identifikuoti incidentus ir, ypač jeigu tai potenciali ataka, kuo skubiau perduoti reagavimo komandai ar atsakingam žmogui. Tik taip bus įmanoma kuo skubiau priimti sprendimą dėl atakos likvidavimo priemonių. Reagavimo ir sprendimų priėmimo greitį taip pat lemia ir informacijos tikslumas – kuo konkretesni ir išsamesni duomenys gaunami, tuo jie yra naudingesni. Pranešimų apie klaidingus įvykius (angl. false positive) turėtų būti ne daugiau kaip 5-10%. Paskutinis, tačiau ne mažiau svarbus, uždavinys yra užtikrinti nuolatinį, nepertraukiamą visų svarbių IT infrastruktūros komponentų stebėjimą, nes atakos gali vykti bet kada ir iš bet kurio pasaulio kampelio“, — aiškių lūkesčių ir tikslų svarbą pabrėžia specialistas.

nuotrauka::2 right

Saugumo operacijų centrai – pagal organizacijos galimybes ir poreikius

NRD Cyber Security kibernetinio saugumo konsultantas Augustinas Daukšas sako, kad gali skirtis ne tik saugumo operacijų centro komplektacija, bet ir jų tipas:

„Yra trys saugumo operacijų centro tipai. Pirmiausia, organizacija gali turėti savo vidinę incidentų stebėjimo komandą. Tam reikia dedikuotų resursų: kompetentingų specialistų (informacijos saugos specialisto, analitikų, reagavimo komandos, tyrėjų), technologinės įrangos (gebančios surinkti bei apdoroti žurnalinius įvykius, duomenų srautus, nustatyti bei valdyti pažeidžiamumus, apdoroti kibernetinių grėsmių informaciją, vykdyti IT tyrimus) bei parengtų ir veikiančių procesų, tvarkų ir procedūrų. Renkantis vidinę komandą, ypatingai reikia įvertinti tai, kokia yra būtinų kompetentingų specialistų rinkos paklausa ir vertė, bei kokios yra rizikos, susijusios su jų kaita. Taigi, viską kuriant nuo pradmenų, sprendimas gali reikalauti nemažo biudžeto ir yra racionalus toms organizacijoms, kurios jau turi tam tikrus resursus (kompetencijas ir/ar technologijas).

Antroji alternatyva – saugumo operacijų centro iškėlimas į išorę. Tokiu atveju gerai pasirinktas išorės tiekėjas gali padengti ne tik kompetencijas, patirtį, žmogiškuosius bei technologinius resursus, bet ir saugos pareigūno funkciją, t.y. paruošti procedūras, tvarkas, politikas duomenų apsaugos atitikčiai užtikrinti bei, kiek įmanoma, garantuoti jų praktinį panaudojimą. Išorės tiekėjas būna suinteresuotas ne tik incidentų stebėjimu, tyrimu bei reagavimu, bet ir organizacijos pažeidžiamumų valdymu, taip gerinant atsparumą nuo įprastų ar nutaikytų sudėtingų atakų. Visgi svarbu pabrėžti, kad saugumo operacijų centro iškėlimas į išorę nekeičia fakto, jog galutinė atsakomybė už duomenų apsaugą lieka pačios organizacijos pusėje, kuri yra duomenų ir rizikų valdytoja“, — sako specialistas.

„Trečiasis variantas – vadinamasis hibridas. Jis rinkoje suprantamas skirtingai, vienas iš pavyzdžių – kai dalis stebėjimo funkcijos atliekama išorės tiekėjo (pvz. perimetras, žiniatinklio aplikacijos), o kita dalis – organizacijos viduje (pvz. vidinės aplikacijos, vartotojų elgsenos stebėsena). Kitas pavyzdys, su kuriuo dažnai susiduriame Lietuvoje, – kai organizacija turi savo technologijas (pvz. SIEM programinę įrangą IBM QRadar), bet patį stebėjimą atlieka išorės tiekėjas. Praktikoje matome, jog neretai ši alternatyva pasirenkama tokiais atvejais, kai organizacija neturi pakankamai reikalingų pajėgumų, bet turi viziją juos turėti ateityje.“

O kaip pasirinkti išorės tiekėją tiek pilnam stebėjimo iškėlimui, tiek hibridiniam variantui? Pašnekovas patikina, kad reikėtų atsižvelgti į kompetencijas, turimą patirtį bei atsiliepimus iš kitų organizacijų. Taip pat svarbūs — turimos stebėjimo komandos dydis (įvairių specializacijų ekspertai), tamprūs ryšiai su tarptautine incidentų reagavimo grupių ir SOC bendruomene, teisėsaugos institucijomis, gebėjimai prisitaikyti prie kliento situacijos ir jų naudojamų resursų. Būtų puiku, jei išorinis tiekėjas turėtų sukaupęs patirtį įgyvendinant visas tris alternatyvas. Tokiu atveju, pasikeitus organizacijos vizijai, išorės tiekėjas gebės ne tik pakonsultuoti, bet ir padėti ją įgyvendinti. Daugiau apie saugumo operacijų centrus sužinokite nemokamame el. seminare „Kibernetinių incidentų stebėjimas“.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
COVID-19 pagalba smulkiajam ir vidutiniam verslui. Nuo ko pradėti? Verslo tribūna 2

Dėl COVID-19 pandemijos su finansiniais sunkumais susiduria vis daugiau šalies įmonių. Ypač nukenčia...

2020.05.13
Saugumo operacijų centrai (SOC) – kas tai ir kaip jie veikia? Verslo tribūna

Saugumo operacijų centrai (SOC) visame pasaulyje įvardijami kaip viena efektyviausių priemonių stebėti...

2020.05.05
Vokiški gamybos sprendimai nėra tik didžiųjų privilegija Verslo tribūna 1

Teoretikai ir futurologai akcentuoja, kad sočią ateitį verslui kurs tik inovacijos, gebėjimas išnaudoti...

2020.04.29

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Valdyti slapukus