Kako se lotiti vzpostavitve lastnega SOC-a?
»Glavni izzivi pri postavitvi varnostnega operativnega centra (SOC) so financiranje, izobraževanje, postavitev in vpeljava procesov pa tudi tehnologija. Čeprav je morda od daleč to videti kot misija nemogoče, je treba ohraniti optimizem in upoštevati, da so srce varnostnega operativnega centra pravzaprav motivirani fantje in dekleta,« pravi mag. Matjaž Kosem, vodja razvoja poslovanja SOC v podjetju NIL. Za vas je pripravil pet nasvetov, kako se lotiti vzpostavitve varnostnega operativnega centra.
1. Podpora vodstva je odločilna
Najpomembnejši nasvet se nanaša na samo razumevanje kibernetskih napadov in njihovih posledic. Gre za kvantni premik v glavah odločevalcev, ki morajo težavo najprej dojeti, se z njo spopasti ter ne nazadnje odločiti, da bodo v tej smeri nekaj naredili – namenili sredstva za boljšo preventivo in zaznavo ter hitrejši odziv, kar so postulati SOC-a.
Vodstvo mora najprej oceniti vsa tveganja, ki lahko vplivajo na delovanje podjetja in koristi zaposlenih. Potem pride na vrsto ocena zmožnosti podjetja, da se varovanja podjetja in virov loti samo ali pa storitev odda partnerju v izvajanje. SOC z omejenimi človeškimi viri je vnaprej obsojen na neuspeh oziroma je celo nevaren, saj vzpostavi lažen občutek varnosti.
2. Pridobite ljudi, ki znajo
SOC sestavljajo strokovnjaki, ki pri svojem delu uporabljajo specifična orodja ter si pomagajo z vnaprej pripravljenimi postopki in procesi. Strokovnjaki so pomembnejši od procesov, ti pa so pomembnejši od orodij. Veliko bolje je imeti vrhunske strokovnjake, ki uporabljajo povprečna orodja, kot pa vrhunska orodja, ki jih uporabljajo povprečni inženirji. Ni pa strokovno znanje edina zahteva za analitike – potrebni so vsaj še kritično in kreativno razmišljanje, strast do tovrstnega dela, ki se ne konča ob 16. uri, volja do nenehnega izobraževanja in odprtost za nove ideje. Pri nas ekipa SOC recimo skrbi tudi za ozaveščanje o varnosti drugih zaposlenih – držimo se načela, da zaščita podjetja ni dovolj, če so uporabniki in njihove naprave še vedno ranljivi.
3. SIEM ni SOC
Včasih je veljalo, da sistem za upravljanje varnostnih informacij in dogodkov (SIEM) reši vse težave, danes pa vemo, da ni tako. Poseči je treba po dodatnih senzorjih in rešitvah iz sveta umetne inteligence, okolje pa je treba opazovati proaktivno, neodvisno od SIEM-a. Dober SOC ni ukvarjanje z alarmi. V pravem SOC mora veljati predpostavka, da je napadalec že prebil obrambni zid, pa čeprav ga ni.
4. SOC ne sme biti nadgradnja NOC
To je tipična napaka, ki jo organizacije znova in znova ponavljajo. Mrežni operativni center (NOC), ki je namenjen predvsem spremljanju in zagotavljanju nepretrganega delovanja aplikacij in sistemov, ponavadi že deluje v režimu 24/7 in je povezan z vsemi IT-sistemi. SOC na drugi strani spremlja z varnostjo povezane omrežne aktivnosti in na podlagi teh nenehno izboljšuje odzive na varnostne incidente. SOC in NOC tako dopolnjujeta svoje storitve, ne moreta pa biti združljiva. Morda si velja postaviti vprašanje, ali si res želim prepustiti tveganje za pojav milijonskega vdora nekomu, ki je bil naučen spremljati, ali sistemi delujejo ali ne, in nima kilometrine iz naslova kibernetske varnosti.
5. Skrb za kadre
Kadri v varnostno operativnem centru se morajo ukvarjati samo s kibernetsko varnostjo in ne smejo opravljati drugih nalog in storitev, ki jih podjetje še lahko ponuja. Kadri v SOC imajo vpogled in dostop do različnih podatkov, ki so razporejeni od nekritičnih do visoko kritičnih. Zato potrebujejo varno in zaščiteno infrastrukturo, orodja in seveda tudi prostor, ki je ločen od preostalih virov v podjetju.
Njihovo delo je stresno, kar mora podjetje upoštevati in ustvariti temu primerno delovno okolje. Vsa prizadevanja iskanja in izobraževanja vrhunskih varnostnih ekspertov so brezpredmetna, če jim ne zagotovimo ustreznega delovnega okolja in jih zadržimo v podjetju.
Razmišljate o postavitvi SOC-a? Prisluhnite nasvetom iz prakse
V predavanju na konferenci Infosek Expo 2018 je Blaž Babnik, NIL-ov strokovnjak za kibernetsko varnost, pojasnili trende v sodobnih SOC-ih in kako se z njimi učinkovito braniti pred napadi. Izpostavil je primere dobre prakse ter preko študije primera podal tudi nekaj koristnih napotkov za tiste, ki razmišljate o postavitvi svojega SOC-a.