Nemrég egy szakmai fórumon a SOC (Security Operation Center) került terítékre. Kiváló beszélgetőtársaimat a szakma ászai közé sorolom, ennél fogva irányukba az elvárásaim leplezetlenül nagyok, mégis egy rémesen egyszerű kérdéssel röffentettem be a disputát, nevezetesen azzal, hogy mi is a SOC definíciója. Érdekes és tanulságos utat jártunk be, izgalmas kanyarokat tettünk meg a beszélgetés során, ami arra inspirált engem, hogy e rövid dolgozat erejéig kilépjek a moderátor szerepéből, és a magam gondolatait vázoljam a SOC-ról.
Definícióból nincs hiány, tessék csak végigszánkázni az ide vonatkozó oldalakon, könnyen begyűjthető egy jó nagy marékkal. Hamar rájön az ember, hogy e téren is döntő jelentőségű a meghatározás, minden benne szereplő szónak hatalmas súlya van, a fókuszra vagy a vállalt felelősségekre szűkítő vagy éppen bővítő hatással lévén.
A SOC esetében tisztázandó, hogy milyen entitással kapcsolatban emlegetjük. Mi most maradjunk a vállalatok, üzleti vállalkozások világában (és ezúttal nem foglalkozunk azzal, hogy egyebek között például egy településnek, régiónak, országnak vagy országok együttesének is lehet/lehetne SOC-ja).
A következő lépésben szerintem azt illik tisztázni, hogy a mi elképzelésünk szerinti SOC a szóban forgó vállalati világban vagy éppen egy adott vállalat esetében a kiberbiztonsági tevékenységét az informatikai struktúrákban horizontálisan és vertikálisan, tehát területileg és mélységében milyen mértékben behatolva végzi.
Itt jön a lényeget nagyban érintő kérdés: a kiberbiztonságinak mondott tevékenységekből melyek azok, amelyeket szerintünk egy magára valamit is adó SOC-nak kutya kötelessége elvégezni. Elég, ha csupán szemmel tartja a teljes infrastruktúrát, vagy az a minimum, hogy folyamatosan értékeli is a kockázatokat? És hol marad a védelem, tehát az, hogy ha kiberbiztonsági esemény történik, akkor azt a SOC személyzete és technológiája észleli, és megtesz minden olyan lépést a védelem érdekében, amelyet az adott pillanatban rendelkezésre álló legfejlettebb technológia szerint lehetséges? Vagy mondjuk ki kertelés nélkül, hogy az a SOC, amire mi gondolunk (vásárolunk vagy eladunk), az csupán az infrastruktúra kiberbiztonsági szempontból való megfigyelésére szorítkozik? Vagy jelentsük ki, hogy szerintünk az SOC nem másra, mint a kiberbiztonsági események kezelésére vállalkozik?
És egyébként a mi általunk értelmezett SOC vállal-e szerepet a kiberbiztonsági kockázatok csökkentésében, a megelőzésben? Számíthat-e arra egy SOC-nak nevezett szolgáltatást vásárló vállalat CISO-ja, hogy a SOC a segítségére lesz egy minden előzetes erőfeszítés ellenére bekövetkezett támadás okozta károk felszámolásában?
