Mi a SOC, a Security Operation Center szerepe?
A kibervédelmi központ (SOC) munkáját legjobban a NIST (National Institute of Standards and Technology) által létrehozott Cyber Security Frameworkkel lehet szemléltetni.
A Cyber Security Framework a kiberbiztonságra fókuszál, és a definíciójuk alapján 5 fő képességet kell kiépíteni, hogy a kiberbiztonságot elérjük.
1. Identify – tudnunk kell, hogy mit kell megvédeni: kockázatmenedzsment folyamatok
2. Protect – a védelem kiépítése: végpontvédelem, hálózatvédelem stb.
3. Detect – incidensek felismerése
4. Respond – válasz lépés, minimalizálni kell az incidens üzletmenetre való hatását
5. Recover – a megszokott üzleti folyamatok helyreállítása: business continuiment, disaster recovery planning stb.
Ebből az 5 képességből, a SOC a Detect és a Respond képességgel rendelkezik.
Mekkora cégtől kezdve érdemes létrehozni a SOC-ot?
A Security Operation Center fő feladata az, hogy minél hamarabb detektálja az incidenseket, majd olyan válaszlépéseket adjon, amivel minimalizálni lehet az incidensnek az üzletmenetre gyakorolt hatását.
Szinte minden szervezetnél megtalálhatóak azok a csapatok, akik incidenskezeléssel foglalkoznak, de nem minden szervezetnél szükséges létrehozni SOC-ot. Különböző nevek alatt találkozhatunk eltérő méretű szervezetekkel, amik nem feltétlenül merítik ki a SOC fogalmát, de közös bennük, hogy fő feladatuk az incidenskezelés.
A NIST 800-61 ajánlás életciklus modellben mutatja be, hogy mi történik incidenskezelés során:
Minden egyes incidens során ugyanazokon a lépéseken vezetjük végig a szervezetet:
Continuous monitoring, azaz folyamatos megfigyelést kell biztosítanunk a védett környezetre és tudnunk kell mi történik a rendszereinkben.
Észlelnünk kell, ha incidens történik, majd pedig validálni kell (detection), hogy valós incidensről van-e szó vagy hamis riasztásba futottunk bele.
Ha valós az incidens megnézzük milyen fő kategóriába eshet bele: malware incidens, kártékony kód incidens, hacking támadás stb. A különböző tényezőket figyelembe véve prioritást rendelünk az incidens elhárításához.
Ezután átlépünk a válasz szakaszba, ahol az első lépés az elkülönítés (containment): szeparálni kell az incidenst, hogy ne tudjon tovább terjedni.
Ezáltal időt nyerhetünk a következő lépéshez, ami az elemzés (analysis). Célja, hogy megértsük mi okozza az incidenst. Ez szükséges ahhoz, hogy megfelelő választ tudjunk definiálni az incidens felszámolásához.
Ezt követi a felszámolás és újraértékelés (eradication and revaluation) szakasza, amit általában társ IT osztályok végeznek el: újratelepítenek egy eszközt, módosítják a hálózati security beállításokat stb. Ezeknél a lépéseknél a SOC koordinációs szerepet tölt be.
A végén van egy lezárási tevékenység, amikor megnézzük mit tanulhatunk, mit kell fejlesztenünk, milyen riportokra lesz szükségünk.
Ezenkívül, ha tudjuk, hogy van egy incidens, a SOC ellát egy koordinációs-kommunikációs feladatot, akár házon belül, akár társ IT technikai osztályokkal, üzleti osztályokkal, felhasználókkal.
Mi az előnye egy SOC-nak?
A legnagyobb előnye, hogy lehetőségünk van átgondolni, milyen szerepkörök alapján ki és milyen lépéseket fog ellátni akkor, ha bekövetkezik egy incidens.
Az incidenskezelés nagyon időkritikus tevékenység, és ha nem gondolkodunk előre, akkor minden véletlenszerűen fog történni, mind a kommunikáció, mint a technikai lépések esetén. Ezzel időt veszítünk, ami azt veszélyezteti, hogy nagyobb lesz az üzleti kár.
Főbb szerepkörök:
SOC menedzser: Összességében általános szervezési tevékenységet végeznek.
Megtervezik a büdzsét az adott periódusra, gondoskodnak a megfelelő elemzők felvételéről, karrier terveket, tréning terveket hoznak létre. Technikai feladatot is elláthatnak, így egy komolyabb incidens során szerepelhetnek incidens koordinátorként.
Elemzők: Response folyamattal, sérülékenység menedzsmenttel és track intelligence-el foglalkoznak.
Biztonsági mérnökök: Életben tartják és folyamatosan fejlesztik az infrastruktúrát. Ez klasszikus security engineering és security operations feladatokat kíván meg, például patchelni kell, új technológiákat kell bevezetni, régieket kivezetni, upgradeket csinálni.
Melyek azok a biztonsági fenyegetések, amik a leggyakrabban megjennek, ami miatt létrehozták a SOC-ot?
Alapvetően arra kell felkészülnie egy SOC-nak, hogy bármilyen biztonsági incidenst kezelni tudjanak.
Hogyan lehet ezt elkezdeni? Számos kategorizálási rendszer létezik. A VERIS kategorizálási rendszer, amely azt mondja, hogy alapvetően minden incidenst be tudunk sorolni 7 fő kategóriába:
Hacking típusú incidensek: amikor valaki jogosulatlanul hozzáfér a webszerverünkhöz, végponti eszközünkhöz.
Kártékony kódok vagy malware incidensek: gyakran találkozunk velük, nemcsak vállalati környezetben, hanem a mindennapjaink során is.
Social engineering típusú incidensek: amikor a felhasználókat próbálják meg rávenni arra, hogy jogosulatlanul hozzáférést szerezzenek, illetve, hogy az adatvagyonnak a bizalmasságát, integritását vagy a rendelkezésre állását meg tudják szerezni.
Nem megfelelő felhasználásból származó incidensek: Például valaki olyan weboldalakat böngész, amit nem lenne szabad, vagy éppen nem rendeltetésszerűen használja az IT eszközöket.
Error hibatípus incidensek: Valamilyen működési hibából fakadóan történik kiberbiztonsági incidens. Általában ezekben kevesebb a humán érdekeltség. Ilyen lehet például, hogy elázik egy szerverszoba.
Fizikai incidensek: Például, ha egy vállalati eszközt ellopnak, vagy valaki elveszíti.
Mi szükséges egy SOC működtetéshez?
Először tisztáznunk kell, mi az az üzleti környezet, amiben a SOC-ot szeretnénk létrehozni.
A technológiai elemek vásárlása előtt, sok szervezési feladat elvégzése szükséges ahhoz, hogy a végén tényleg minden az üzleti igényeknek megfelelően legyen kialakítva.
Gondoljuk át, mit kell megvédenünk. Ha csak megvásárolunk egy Security Information and Event Management (SIEM) rendszert, amiben rendelkezésünkre állnak előre elkészített detekciós tartalmak, nem biztos, hogy a mi üzletmenetünk számára relevánsak lesznek.
Milyen irányítási (governance) modellben kell gondolkodnunk? Például, mik azok a külső szabályozások, amik ránk vonatkoznak? Ez befolyásolhatja azt, hogy hogyan építjük fel az incidenskezelést, szükséges-e dedikált SOC-ot kiépíteni?
Milyen környezetre kell kialakítani a SOC-ot? Csak tradicionális IT környezetre? Esetleg valami ipari OT környezetre is? Felhős környezetre?
Milyen működési modellben dolgozunk? Házon belül építsük fel a SOC-ot, kiszervezzük egy erre specializált szervezetnek vagy alakítsunk ki hibrid modellt?
Hogyan építjük be a belső szervezetbe? Mi az, ami hálózaton belül, illetve kívül lesz? Hova alakítjuk ki a SOC számára a megfelelő környezetet? Milyen riporting rendszerrel fogunk dolgozni?
A fenti kérdések megválaszolása után meg tudjuk határozni a büdzsét, így láthatóvá válik, hogy a SOC felépítése milyen pénzügyi befektetést igényel.
A humán szint felépítése csak ezután következik. Meg kell találnunk azokat az elemzőket és mérnököket, akikkel együtt szeretnénk dolgozni.
Végezetül pedig összeáll egy cél működési modell, ami alapján elkezdhetjük a beruházást és összeállhat a SOC.
Milyen kihívásokkal kell szembenéznie egy SOC-nak?
A legfőbb kihívás az, hogy nehéz fejleszteni és naprakészen tartani a detekciós tartalmakat. Egy idő után nem lesz elegendő elemző, így elkezdjük használni a Security Orchestration, Automation and Response (SOAR)
rendszereket. Azonban itt fel is merül a következő probléma, hogy az automatizációs forgatókönyveket (playbook) hogyan állítsuk be jól. Ugyanis, ha a folyamataink nem jók, akkor még nagyobb gondot fogunk okozni az automatizációs rendszer bevezetésével.
Egy másik kihívás, hogy a különböző támadások száma folyamatosan növekszik, nő azoknak a rendszereknek a száma, amelyeket az elemzőknek használniuk kell.
Így az elemzőknek nem csak technikai tudásra van szükségük, sok esetben a soft skillek még nagyobb szerepet töltenek be az incidenskezelések során.
Mennyire elterjedt Magyarországon a SOC?
Összességében elmondható, hogy Magyarországon népszerűek a Security Operation Centerek, és az elmúlt években egyre több szervezetben jöttek létre. Vannak olyan kibervédelmi központok, akik szervezeten belül, Magyarországról látnak el regionális, globális szolgáltatásokat, illetve olyanok is, akik Magyarországon jelen vannak, de az incidenskezelési szolgáltatást az anyavállalattól veszik igénybe.
A podcast elkészítését segítette:
Szabó Gábor SOC tanácsadó EURO ONE Számítástechnikai Zrt.
Mészáros Csaba, Hacktify International Kft.
A podcast itt érhető el.
