ITexec

SOC2.jpg
Forrás: ITB
Kiberbiztonság

SOC-e mind, amit annak adnak el?

Venni is legalább annyira tudni kell, mint eladni. A professzionális világban rendkívül szórakoztató, de sajnálatosan nem gyakran előforduló eset, amikor egy hozzáértő vásárló és egy hozzáértő eladó előre megfontolt szándékkal találkozik. Tisztában vannak azzal, hogy mindketten mást akarnak, az egyik vásárolni, a másik eladni, amiből következik, hogy ljaiknak nehezen határozható meg a közös halmaza. És mindketten tisztában vannak azonban azzal is, hogy egy bizonyos szint felett a szakma elméletében és gyakorlatában való jártasság lerövidítheti a megállapodáshoz vezető utat. SOC-ot venni sem egyszerű.

Nemrég egy szakmai fórumon a SOC (Security Operation Center) került terítékre. Kiváló beszélgetőtársaimat a szakma ászai közé sorolom, ennél fogva irányukba az elvárásaim leplezetlenül nagyok, mégis egy rémesen egyszerű kérdéssel röffentettem be a disputát, nevezetesen azzal, hogy mi is a SOC definíciója. Érdekes és tanulságos utat jártunk be, izgalmas kanyarokat tettünk meg a beszélgetés során, ami arra inspirált engem, hogy e rövid dolgozat erejéig kilépjek a moderátor szerepéből, és a magam gondolatait vázoljam a SOC-ról. 

Definícióból nincs hiány, tessék csak végigszánkázni az ide vonatkozó oldalakon, könnyen begyűjthető egy jó nagy marékkal. Hamar rájön az ember, hogy e téren is döntő jelentőségű a meghatározás, minden benne szereplő szónak hatalmas súlya van, a fókuszra vagy a vállalt felelősségekre szűkítő vagy éppen bővítő hatással lévén. 

A SOC esetében tisztázandó, hogy milyen entitással kapcsolatban emlegetjük. Mi most maradjunk a vállalatok, üzleti vállalkozások világában (és ezúttal nem foglalkozunk azzal, hogy egyebek között például egy településnek, régiónak, országnak vagy országok együttesének is lehet/lehetne SOC-ja). 

A következő lépésben szerintem azt illik tisztázni, hogy a mi elképzelésünk szerinti SOC a szóban forgó vállalati világban vagy éppen egy adott vállalat esetében a kiberbiztonsági tevékenységét az informatikai struktúrákban horizontálisan és vertikálisan, tehát területileg és mélységében milyen mértékben behatolva végzi. 

Itt jön a lényeget nagyban érintő kérdés: a kiberbiztonságinak mondott tevékenységekből melyek azok, amelyeket szerintünk egy magára valamit is adó SOC-nak kutya kötelessége elvégezni. Elég, ha csupán szemmel tartja a teljes infrastruktúrát, vagy az a minimum, hogy folyamatosan értékeli is a kockázatokat? És hol marad a védelem, tehát az, hogy ha kiberbiztonsági esemény történik, akkor azt a SOC személyzete és technológiája észleli, és megtesz minden olyan lépést a védelem érdekében, amelyet az adott pillanatban rendelkezésre álló legfejlettebb technológia szerint lehetséges? Vagy mondjuk ki kertelés nélkül, hogy az a SOC, amire mi gondolunk (vásárolunk vagy eladunk), az csupán az infrastruktúra kiberbiztonsági szempontból való megfigyelésére szorítkozik? Vagy jelentsük ki, hogy szerintünk az SOC nem másra, mint a kiberbiztonsági események kezelésére vállalkozik? 

És egyébként a mi általunk értelmezett SOC vállal-e szerepet a kiberbiztonsági kockázatok csökkentésében, a megelőzésben? Számíthat-e arra egy SOC-nak nevezett szolgáltatást vásárló vállalat CISO-ja, hogy a SOC a segítségére lesz egy minden előzetes erőfeszítés ellenére bekövetkezett támadás okozta károk felszámolásában?