Security Operations Center (SOC) aneb nepřeceňujte jeden článek systému, část II.

SOC může být jednou ze součástí systému kybernetické bezpečnosti a je za určitých okolností schopen tuto bezpečnost výrazně zvýšit. Jak vlastně takový SOC vypadá, co od něj očekává jeho provozovatel a co očekávají koncové organizace, kterým jsou služby SOC poskytovány? Článek přehledně prezentuje možnou kooperaci organizace a poskytovatele služby v rámci procesů kybernetické bezpečnosti.

SOC                hybridní SOC                  kyberbezpečnost                služby SOC kybernetické hrozby a útoky

Úvod

První část článku o Security Operations Center (SOC), aneb nepřeceňujte jeden článek systému¹, pojednávala o tom, co to vlastně Security Operations Center² je, jaký je rozdíl mezi SOC a CERT/CSIRT týmy, jaké modely SOC existují a jaké služby mohou být v rámci SOC poskytovány.

V závěru článku pak bylo konstatováno, že na základě jasné specifikace cílů, které má činnost SOC naplnit, výběru konkrétních služeb, sestavení rozpočtu a zajištění dostatečných personálních kapacit je možné uvažovat o vybudování či pronajmutí si služby SOC. Současně je však mylné žít v představě, že SOC je všespásné řešení, s jehož vybudováním či pronájmem končí potřeba řídit kybernetickou a informační bezpečnost v organizaci. Toto centrum nebude fungovat bez bázových dat organizace, popisu procesů, definice rozsahu a obsahu dodávaných služeb, koordinace a kooperace s reaktivní složkou organizace (CERT/CSIRT tým), součinností pracovníků organizace, ve které je budován, nebo pro kterou je nasmlouván s patřičně nastaveným financováním v dlouhodobém horizontu.

SOC může představovat jednu ze součástí systému sloužícího k zajištění kybernetické a informační bezpečnosti organizace, zejména tím, že provádí systematickou analýzu procesů, dat, poskytuje zpětnou vazbu a doporučení aj. Vzhledem ke skutečnosti, že pole působností jednotlivých SOC může být značně různorodé, je třeba přijmout fakt, že nebudou existovat dvě „identická“ SOC centra.

V této části článku je kladen důraz na některé dosud nevyřešené otázky a představení možností fungování distribuovaného, či hybridního SOC, zaměřeného na oblast vysokých škol a zdravotnictví. Článek bude prezentovat zkušenosti dvou organizací, které se dlouhodobě a systematicky věnují kybernetické bezpečnosti a v rámci tohoto článku reprezentují trochu jiný, leč symbiotický přístup ke zvolené problematice – sdružení CESNET v roli Internet Service Providera³ poskytujícího své služby připojeným organizacím a Masarykovy Univerzity v roli organizace pečující o tisíce koncových uživatelů.

V poslední, 3. části článku, se pak budou autoři zabývat praktickými zkušenostmi z pohledu úrovně zralosti koncové organizace a možnosti komunitního přístupu v rámci incitity hSOC⁴, kde budou představeny její cíle v kontextu tohoto článku.

Limity výběru modelu SOC

Byť je v úvodu článku konstatováno, že se specificky zaměřuje na fungování hybridního SOC, reálně může vyvstat otázka, proč si nevybudovat vlastní „in house“ SOC, anebo zda si tyto služby nepronajmout?

In-house SOC

Vlastní In-house SOC představuje zřejmě nejlepší a nejkomplexnějším řešení, avšak vybudování a zejména následné „udržení“ bezpečnostního týmu či SOC klade enormní nároky na všechny prvky kybernetické bezpečnosti, tedy technologie, lidi i procesy.

Je-li však organizace schopna investovat netriviální množství finančních prostředků a lidských zdrojů do oblasti bezpečnosti, je možné vybudovat vlastní bezpečnostní tým typu CERT/CSIRT a zřídit si i vlastní SOC. Organizace by si v takovém případě měla stanovit oblast působnosti a formu spolupráce bezpečnostního týmu CERT/CSIRT a SOC. Reálně to tedy znamená definovat, jaké technologie a procesy aplikuje, jak modifikuje ty stávající, ale i pravidelné ověřování aplikovaných bezpečnostních opatření.

Zpravidla zásadní limit pro vybudování In-house SOCu představují: velká finanční náročnost, technologická omezení, absence patřičných znalostí a v současné době především nedostatek odborníků na trhu pracovních sil.

Pro to, aby byla bezpečnost v organizaci dobře zvládnutá, musí se bezpečnostní aspekty řešit ve všech úrovních – fyzické (ochrana prostor), síťové, aplikační, procesní, personální, administrativní a organizační. Nezbytným předpokladem budování kybernetické bezpečnosti je vhodný návrh a implementace celého prostředí, zahrnující aspekty fyzické bezpečnosti (např. režimová pracoviště zajišťující, že se k technickým aktivům nedostane neoprávněná osoba), bezpečné síťové architektury, zabezpečení služeb a prostředí, správné a vhodné použití šifrování, dostatečně silné nastavení autentizační a autorizační politiky, stanovení pravidel pro správu síťových prvků, serverů, pracovních stanic atd.

Kritickým faktorem v oblasti budování kybernetické bezpečnosti je systematičnost. Budování bezpečnosti v organizaci, budování SOC nevyjímaje, představuje dlouhodobý a kontinuální proces. Nejkritičtější je nábor a udržení schopných a kvalitních lidí.

Vynikající chirurg potřebuje pro svoji práci odpovídající zázemí, vybavení, spolupracovníky, diagnostický aparát, laboratoře, ale také vzdělání, které trvá řadu let. Chirurgem se není možné stát za rok. Stejně tak není možné kyberbezpečnost vyřešit nákupem jedné technologie, nastavením jednoho procesu, jedním proškolením lidí.

Outsourced SOC

Teoreticky nejjednodušší přístup pro zajištění alespoň části kybernetické bezpečnosti představuje outsourcování služeb SOC, ale i v tomto případě je třeba upozornit na významná rizika pro koncovou organizaci. Mezi tato rizika je možné zařadit například „vendor lock-in“, nutnost nastavit velmi precizně podmínky (jak technicky, tak právně či procesně), nastavení demarkace odpovědností, vymezení oprávnění „zásahu“ daného SOC (bude existovat právo aktivního zásahu do infrastruktury či služeb, nebo bude jen informovat pověřené osoby v organizaci? aj.), podmínky reportingu atd.

Hybridní SOC

Vhodný přístup řešící SOC v organizaci tak může představovat hybridní SOC⁵, kde dochází ke kombinování obou výše uvedených přístupů. Tento přístup spočívá v budování kompetencí lidí jak na straně poskytovatele některých služeb SOC, tak na straně koncové organizace.

Hybridní model umožňuje koncové organizaci částečně outsourcovat služby, které si není schopna zajistit sama. Může se jednat například o:

1. ochranu perimetru před DoS a DDoS útoky (typicky v situaci, kdy koncová organizace čerpá základní služby připojení, a provozovatel infrastruktury, do které je tato organizace připojena, zajišťuje i bezpečnostní služby),
2. monitoring perimetru (činnost popsaná v písmenu a) doplněná o detekci nežádoucích aktivit ze sítě koncové organizace do kyberprostoru),
3. monitoring vnitřní sítě koncové organizace (v případě, že organizace poskytne přístup do své sítě organizaci poskytující SOC),
4. scanování zranitelností,
5. threat warning,
6. log management aj.

Při výběru vhodného řešení SOC je zejména důležité vymezení účelu, rozsahu a cíle činností budovaného či outsourcovaného SOC.

Volbě vhodného modelu by vždy měla předcházet analýza aktuální situace, definice potřeb dané organizace, specifikace cílů v oblasti bezpečnosti, kde podpůrným nástrojem může být analýza rizik (ve smyslu normy ISO 27000). Velkou roli také budou mít finanční možnosti organizace (včetně lidských kapacit).

Hybridní SOC

V této kapitole představíme praktické zkušenosti a modely spolupráce mezi organizací poskytující některé ze služeb SOC v hybridním modelu a koncovou organizací, která tyto služby čerpá. Budeme čerpat ze zkušeností organizací, které se proaktivně a dlouhodobě věnují kybernetické bezpečnosti (sdružení CESNET, z. s. p. o. a Masarykova univerzita).

Model fungování sdružení CESNET v oblasti rozvoje kybernetické a informační bezpečnosti, ať již v podobě budování bezpečnostních týmů CERT/CSIRT, In-house SOC, nastavení komunitního prostředí pro efektivnější sdílení informací o kybernetických bezpečnostních událostech a incidentech s organizacemi typu veřejná vysoká škola, výzkumná organizace a zdravotnické zařízení, může být dle našeho názoru analogicky využita i jinde.

Sdružení CESNET zvolilo In-house model SOCu, který je však koncovým organizacím poskytován právě v hybridním modelu. Současně je třeba konstatovat, že i sdružení CESNET čerpá některé bezpečnostní služby od třetích stran.

Pro nalezení vhodného hybridního modelu je třeba vždy hledat správnou míru využití „externích“ služeb a rozvoje „interních“ kompetencí organizace. K provozovaným službám je třeba současně řešit i otázky, do jaké „úrovně“ by tyto služby v rámci SOC měly být poskytovány, co je třeba řešit na úrovni „poskytovatele služby“, co na úrovni „organizace konzumující služby“ a co je možné zcela „outsourcovat“.

Při budování hybridního SOC je nezbytná interakce a zavázání se ke spolupráci ze strany „koncové organizace“, ale i nastavení podmínek, za kterých jsou služby SOC přizpůsobeny požadavkům a potřebám organizace ze strany poskytovatele SOC. Z tohoto důvodu je třeba v katalogu nabízených služeb vymezit i model spolupráce či zapojení koncové organizace.

Z grafu SOC capabilities⁷, prezentovaného v první části článku, byly vybrány ty služby, které jsou typicky v modelu hybridního SOC poskytovány. 

Závěr

V této části článku byl důraz kladen na některé dosud nevyřešené otázky vztahující se k SOC, jakož i představení možností fungování distribuovaného, či hybridního SOC. V další, 3. části článku, se pak budou autoři zabývat praktickými zkušenostmi z pohledu úrovně zralosti koncové organizace a možnosti komunitního přístupu v rámci incitity hSOC, kde budou představeny její cíle v kontextu tohoto článku.

The articles: Security Operations Center (SOC) aneb nepřeceňujte jeden článek systému (I. část) and Security Operations Center (SOC) aneb nepřeceňujte jeden článek systému (II. část) was supported by the European Regional Development Fund “CyberSecurity, CyberCrime and Critical Information Infrastructures Center of Excellence” (No. CZ.02.1.01/0.0/0.0/16_019/0000822).

Poznámky pod čarou:

1. Blíže viz KOLOUCH, Jan, Tomáš PLESNÍK a Radovan IGLIAR, 2022. Security Operations Center (SOC) aneb nepřeceňujte jeden článek systému - část I. DSM - data security management. Praha: TATE International, 26(2), 6. ISSN 1211-8737.
2. Dále jen SOC
3. Dále jen ISP
4. Blíže viz https://hsoc.cesnet.cz
5. Blíže viz: The SOC hiring handbook [online]. [cit. 2022-05-10]. Dostupné z: https://logrhythm.com/uk-soc-hiring-handbook/?utm_program=EMEAcpc1& utm_source=google&utm_medium=cpc&utm_campaign=LogRhythm_-_NEUR_-_T1_-_Generics_-_SOC&utm_adgroup=Generics_-_SOC_-_Cyber& utm_term=cyber%20security%20operations%20center&matchtype=b&utm_region=EMEA&utm_language=en&gclid=EAIaIQobChMIgai11NzV9wIVNxoGAB2e0gw_ EAAYASAAEgKQ3fD_BwE
6. KOLOUCH, Jan, Tomáš PLESNÍK a Radovan IGLIAR, 2022. Security Operations Center (SOC) aneb nepřeceňujte jeden článek systému - část I. DSM - data security management. Praha: TATE International, 26(2), 6. ISSN 1211-8737, s. 35
7. MUNIZ, Joseph, Gary MCINTYRE a Nadhem ALFARDAN, 2015. Security Operations Center. United States: Pearson Education. ISBN 9780134052014. s. 100

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.