B2B-körkép

Rózsa Roland, 4iG
Rózsa Roland, 4iG
Forrás: ITB
Security Operation Center

Incidensek felügyelet alatt

A nagy informatikai rendszerek védelme, az incidensek figyelése jelentős szaktudást és erőforrásokat igényel, amit nem minden cég tud saját maga megoldani. Szolgáltatásként azonban sokkal szélesebb kör számára elérhető.

Információbiztonsági rendszereket ma már gyakorlatilag minden vállalat telepít. Sokan viszont még mindig beleesnek abba a hibába, hogy úgy képzelik: a telepített rendszerek egyszer és mindenkorra garantálják a biztonságot. Ez azonban nem így működik – oszlat el egy félreértést Rózsa Roland, a 4iG stratégiai cybersecurity tanácsadója.

„Még a leginkább automatizált, mesterséges intelligenciával felvértezett, naponta többször frissített adatbázisokból dolgozó védelmi megoldás is jóformán haszontalan, ha az eredményeit nem dolgozzák fel, a riasztásokat nem vizsgálják ki. Megnyugtató, ha a rendszerünk megfogja az összes kártékony e-mailt. De ha nem vesszük észre, hogy a szokásos napi öt helyett a múlt héten már 15-öt kaptunk, ezen a héten pedig 30-at, akkor elmulasztunk egy fontos trendet. Valaki láthatóan támadni próbál bennünket, és ha az e-mail nem válik be, más támadási vektort fog keresni”, magyarázza a monitorozás egyik aspektusát a szakértő.

 

Adatok minél több forrásból

A biztonsági adatok értelmezése persze nem egyszerű feladat. Ha a vállalat nem engedheti meg magának IT-biztonsági szakemberek alkalmazását, már többféle menedzselt biztonsági szolgáltatás közül választhat (e-mail védelem, URL-védelem, egyebek). Az ilyen jellegű szolgáltatások csúcsa a Security Operation Center (SOC) igénybevétele.

A SOC egy olyan környezetet jelent, ahol dedikált információbiztonsági csapat monitorozza és elemzi az ügyfél informatikai rendszereiben, hálózatában, alkalmazásaiban, adatbázisaiban folyó eseményeket, észleli a támadásokra, incidensekre utaló jeleket, majd ezekre reagál. Egy hatékonyan működő SOC-nak számos ismérvnek kell megfelelnie. Az egyik, hogy nemcsak a biztonsági rendszerekből érkező adatokat figyeli, hanem ideális esetben mindent: a hálózati eszközök, a szerverek, az adatbázisok, az alkalmazások naplóállományait és működési adatait. A következő fontos jellemző, hogy mindezeket az adatokat összeveti és egységesen elemzi, olyan összefüggéseket is feltárva, amelyek egyébként rejtve maradnának.

Óriási kihívás természetesen, hogy a rendkívül nagy mennyiségű adatból miként lehet kiszűrni a valóban relevánsakat, azokat, amelyek ténylegesen biztonsági incidensekre utalnak. Ehhez nem csupán fejlett – manapság már rendszeresen gépi tanulással és mesterséges intelligenciával megtámogatott – informatikai rendszerekre van szükség, hanem magasan képzett, tapasztalt szakemberekre is.

Végül a SOC feladata az is, hogy válaszoljon a támadásra. „Ez a válasz azonban nem feltétlenül az incidens elhárítását jelenti”, hangsúlyozza Rózsa Roland. A SOC javaslatokat tehet (ha kérik), például a hálózat szegmentálására vagy egyes szerverek, szolgáltatások lekapcsolására, de a konkrét lépéseket az üzemeltetési csapat teszi meg, miközben a SOC információval látja el őket. Ezért rendkívül fontosak a SOC működtetésében az átgondolt és előre lefektetett folyamatok, az egyes helyzetekre kidolgozott playbookok. Amikor bekövetkezik az incidens, nem szabad késlekedni, de kapkodni sem, hanem haladni kell a kész forgatókönyv szerint.

 

Halálcsillag

SOC-ot létrehozhat saját maga számára is egy vállalat, ám ezek kiépítése és működtetése olyan erőforrásokat és felkészültséget igényel, hogy csak a legnagyobbak választják ezt az utat; a hazai céges SOC-ok száma talán a tízet sem éri el, véli Rózsa Roland. Az igény azonban a kisebb vállalkozások körében is felmerülhet, és ilyenkor jöhetnek szóba a szolgáltatásként igénybe vett security operation centerek. „Ha egy vállalat már kidolgozott egy átfogó kiberbiztonsági stratégiát, eljutott a biztonsági érettség egy viszonylag magas szintjére, és 2-3 dedikált IT-biztonsági szakember felvételét fontolgatja, mindenképpen érdemes átgondolnia a menedzselt SOC-ot. Egy ilyen SOC ráadásul nem egy az egyben helyettesít 2-3 szakembert. A szolgáltatáscsomagban jellemzően 8-10 kolléga szakértelme és az ehhez való folyamatos hozzáférés is benne van, a szolgáltató munkatársai pedig több környezetet, több incidenst látnak, így szélesebb kitekintésük van”, mondja Rózsa Roland.

Minimális beruházással

A menedzselt szolgáltatásként igénybe vett SOC egyik szépsége, hogy az ügyfél részéről szinte semmilyen technológiai beruházást nem igényel. Egy közepes, 40-50 rendszerből álló környezet monitorozásához általában 1-2 virtuális szerver kell, erre telepítik a 4iG szakemberei a szükséges rendszerkomponenseket. A felügyelet során a szolgáltató szakemberei éles tranzakciós adatokhoz, adatbázisokhoz nem férnek hozzá: csupán metaadatokra és a naplóállományokból kinyerhető információkra van szükségük, így a SOC igénybevétele semmilyen adatvédelmi vagy szabályozói előírást nem sért.

Az együttműködés az ügyfél igényeinek és környezetének felmérésével kezdődik. Mindenki szeret biztosra menni, de felesleges Halálcsillagot építeni, ha egy birodalmi csillagromboló is megteszi. A megoldásnak az üzleti igényekhez kell igazodnia: évi 50 millió forintos kockázatot nem érdemes évi 100 millió forintért elhárítani, fogalmaz a biztonsági szakember. A 4iG és az ügyfél közösen meghatározza a valóban megfelelő szolgáltatás tartalmát, majd erre kidolgozzák az implementációs és üzemeltetési tervet.

A szolgáltatások differenciálása több mérőszám mentén történik. Az egyik az időbeli lefedettség: csak munkaidőben (5×8, 5×10 órában) vagy folyamatosan (7×24 órában) kérhetik a rendszerek monitorozását. A második a változtatások száma: milyen gyakran változik az informatikai környezet, milyen sűrűn kell új rendszereket bevonni a figyelemmel kísért körbe. Végül a havonta kivizsgált incidensek száma is befolyásolja az árat, egy-egy kivizsgálás ugyanis idő- és erőforrás-igényes feladat.

 

Beavatkozás kérésre

A nagy kérdés persze az, hogy mi történik, amikor a SOC támadást észlel az ügyfél rendszerében. Ahogy arról volt szó, a SOC nem gyorsreagálású erő, elsődleges feladata a tájékoztatás. Gyakori, hogy az ügyfél csak értesítést kér az incidensekről, és utána saját hatáskörben dönt a további teendőkről. Ugyanakkor igény esetén a 4iG arra is tud javaslatot adni, hogy technikai szempontból mi lenne a hatékony megoldás.

Bizonyos szempontból még egyszerűbb a helyzet, ha a SOC-ügyfél számára a 4iG üzemelteti az informatikai infrastruktúrát. Ebben az esetben az értesítés a házon belüli üzemeltetési csapatnak megy, amelyik megbeszéli az ügyféllel a szükségesnek ítélt válaszlépéseket, és jóváhagyás esetén végre is hajtja azokat. Ilyen esetekben az ügyfélre jóformán csak a döntés feladata marad.