I. rész
A kiberbiztonság összetett és fejlődő folyamat, a vállalkozások számára pedig egyre nagyobb kihívás, hogy hatékonyan védjék hálózatukat a számtalan kiberfenyegetéstől. A biztonsági műveleti központ, más néven SOC, megoldást jelenthet erre a problémára. Cikkükben a SOC mellett a NOC és CSIRT szerepéről is szót ejtünk.
A CSIRT (Computer Security Incident Response Team) vagy számítógépes biztonsági incidensek elhárítására szolgáló csapat kifejezést az 1990-es években hozták létre. Az évek során a CSIRT szerepe átalakult az eseményfigyelési és -kezelési szolgáltatások nyújtásából a különböző érdekelt felekkel, országokkal és konkrét szektorokkal való koordinációra és kommunikációra.
A Security Operation Center (SOC) vagy biztonsági műveleti központ eseményészlelési szolgáltatást nyújt a hálózatokban és rendszerekben bekövetkező technikai események megfigyelésével, és felelős lehet az események kezeléséért is. A nagyvállalatoknál a SOC-ok néha csak a megfigyelési és észlelési szolgáltatásokra összpontosítanak, majd az eseménykezelést átadják egy külön CSIRT-nek. Kisebb szervezetekben a CSIRT-eket és a SOC-okat gyakran szinonimának tekintik.
A SOC és a Network Operation Center (NOC) vagy hálózati műveleti központ két olyan entitás, amelyek általában összetéveszthetők egymással. Mind a SOC, mind a NOC együttműködik az IT-vel kapcsolatos problémák orvoslásában, a SOC funkcióját tekintve specializáltabb, mint az NOC. A SOC fő célja az ügyfél hálózatának védelme. Szakosodott csapatuk minden erőforrását az IT biztonsági veszélyek megfigyelésére és kezelésére irányítja. A NOC-nak több célja van, amelyek túlmutatnak az informatikai biztonságon. Például a NOC olyan feladatokat is elláthat, amelyek az üzemidő biztosításától és a következetes adatmentésektől a hardverfrissítések kezeléséig terjedhetnek.
A SOC egy szervezeten belüli vagy azon kívüli központosított funkció, amely emberekből, azáltaluk üzemeltetett folyamatokból és technológiából áll. Ezek egysége biztosítja a szervezet biztonsági helyzetének folyamatos felügyeletét és javítását, miközben megelőzi, észleli, elemzi a kiberbiztonsági eseményeket, és reagál azokra.
Az adott cég IT szervezetének felépítésétől függően számos SOC működési modell elképzelhető.
Gyakori megoldás, hogy az események észlelését, és a tényleges beavatkozást más-más csapat végzi. Általában a vállalatoknál az IT rendszereket üzemeltető szervezeti egységek már üzemelnek, illetve az informatikai szervezet rendelkezik (IT) incidensek kezelésére alkalmas folyamatokkal, képesek elhárítani az általuk üzemeltetett rendszerek hibáit, de képesek a felhasználók egyéni problémáit is megoldani. A SOC funkció megjelenésével ezt a már bevált működést nem célszerű megváltoztatni. Ilyen esetekben a SOC feladata célszerűen az események észlelésére, elemzésére, háttér információk nyújtására korlátozódik, a tényleges beavatkozásokat a rendszereket jól ismerő szervezeti egységek végzik. Természetesen a cég biztonsági incidens kezelő folyamataiban ezt megfelelően szabályozni kell.
Elképzelhető olyan SOC működés is, amikor maga a SOC rendelkezik az incidensek kezeléséhez szükséges informatikai kompetenciákkal, jogosultságokkal. Ebben az esetben a biztonsági események kezelése a SOC szervezetén belül marad. Ez gyorsíthatja az egyes eseményekre adott válaszokat, azonban redundanciát hoz létre az IT szervezeten belül, mind kompetenciák, mind emberi erőforrások tekintetében.
Amennyiben a SOC funkciót egy vállalat külső erőforrásból veszi igénybe, a SOC funkciója többnyire az észlelésre, elemzésre korlátozódik, az incidens kezelési folyamatot a vállalat erre feljogosított szereplői (pl.: IBV, IBF) vezetik.
Egy SOC tipikusan az alábbi feladatokat látja el (a teljesség igénye nélkül):
- Napló bejegyzéseket gyűjt a felügyelt rendszerekből, és elemzi azokat (SIEM)
- Biztonsági incidenseket észlel, általában a naplóbejegyzésekből kiszűrt események alapján (esetleg kezel azokat)
- Sérülékenységeket keres a felügyelt rendszerekben (pl.: vulnerability management)
- Biztonsági fenyegetéseket keres, külső és belső információk alapján (Threat hunting)
- IT forensic tevékenységet végez
- Kibervédelmi gyakorlatokon vesz részt
- Kibervédelmi gyakorlatokat szevez
- Folyamatokat fejleszt (alkalmazkodás)
- Kapcsolatot tart a hatósággal (pl.: NKI, NKI CSIRT, …)
- Riportokat készít (kvantitatív adatok, statisztikák)
- Oktatásokat szervez (pl.: Kibervédelmi érzékenyítés)
A SOC egyik legfontosabb technikai eszköze a Security Information and Event Management (SIEM) rendszer, ami gyűjti, korrelálja, feldolgozza a bekötött rendszerekből érkező napló eseményeket. Amennyiben az események megfelelnek bizonyos szűrési feltételeknek, jelez a SOC-ban dolgozó elemzőknek, akik a kialakított folyamatoknak megfelelően intézkednek.
A SIEM rendszerek általában egy jegykezelő rendszerrel (Security Orchestration, Automation and Response – SOAR) vannak összekötve, mely segítségével a SIEM által észlelt események előre definiált folyamatok szerint kezelhetőek. A SOAR rendszerek egyik legfontosabb szerepe, hogy az incidensek kezelése elemezhető, riportolható legyen.
A SOC szervezet leggyakrabban az alábbi szerepkörökből áll:
- L1 elemző - Az eseményre reagálók első sora. Ezek a biztonsági szakemberek figyelik a riasztásokat, és meghatározzák az egyes riasztások sürgősségét, valamint azt, hogy mikor lépjenek fel a 2. szintre. Az 1. szintű személyzet biztonsági eszközöket is kezelhet, és rendszeres jelentéseket készíthet. Az L1 elemző fontos feladata az incidensekhez tartozó naplóbejegyzésből nyomok rögzítése. Az L1 elemző sosem zárhat le incidenst, ezzel biztosítva a “4 szem elv” érvényesülését.
- L2 elemző - Ezek az elemzők általában több szakértelemmel rendelkeznek, így gyorsan eljuthatnak a probléma gyökeréhez, és felmérhetik, hogy az infrastruktúra melyik részét támadják. Követik az eljárásokat a probléma orvoslása során és javaslatokat tesznek az informatikai rendszer javítására, módosítására, valamint további vizsgálatok céljából továbbíthatják a problémákat L3 szintre. Fontos feladatuk az első szint munkájának ellenőrzése, további nyomok rögzítése. Az L2 elemző az első, aki saját hatáskörben lezárhat jegyeket.
- L3 elemző - Ezen a szinten a személyzet magas szintű szakértő biztonsági elemzőkből áll, akik aktívan keresik a sebezhetőségeket a hálózaton belül. Fejlett fenyegetés-felderítő eszközöket használnak a gyengeségek diagnosztizálására és ajánlások készítésére a szervezet általános biztonságának javítása érdekében. Ezen a csoporton belül olyan szakembereket is találhat, mint például az igazságügyi nyomozók, megfelelőségi auditorok vagy kiberbiztonsági elemzők.
- SOC adminisztrátor - A feladatuk a SIEM/SOAR rendszerek adminisztrációja, alkalmazás szintű paraméterezése. A SOC adminisztrátor módosítja az SIEM rendszerben beállított szabályokat.
- SIEM/SOAR rendszer üzemeltető - A SIEM/SOAR rendszerek általában igen összetettek, sok komponensből állnak. A rendszer üzemeltetők felelősek azért, hogy a SIEM/SOAR rendszer üzemszerűen működjön, az esetleges rendszerhibák javításra kerüljenek, illetve a rendszer mindig naprakész állapotú legyen.
- SOC manager – A SOC manager felel a SOC üzemeléséért, a hozzá tartozó folyamatokért, a SOC ügyfelekkel történő kapcsolattartásért.
- Security architect – A security architect feladata a SOC-kal kapcsolatos, és ahhoz kapcsolódó rendszerek integrációjának megtervezése. Ez természetesen kiegészülhet a vállalat egyéb informatikai rendszereinek biztonsági elemzésével, tervezésével.
- Project manager – A SOC működése során számos olyan feladat merül fel, melynek megtervezését követően célszerű projekt formájában kell kivitelezni. Ezeket a projekteket vezeti a SOC project manager.
A szerepkörök, valamint feladataik szervezetenként eltérőek lehetnek.
Érdemes beruházni a védelembe
Az egyre szofisztikáltabb támadások megelőzése és kivédése azok összetettsége miatt nem ritkán meghaladja a saját kapacitást. Sok szervezet számára az IT-biztonságot garantáló védelmi rendszer megteremtését a pénzügyi szempontokat is mérlegelve érdemes külső szolgáltatóra bízni, amely rendelkezik az ehhez szükséges szakmai tudással és technológiai háttérrel. Ilyen szolgáltató az Antenna Hungária, amely IT védelmi szolgáltatási segítenek az adatszivárgás elkerülésében, valamint az adatvédelem megerősítésében.
Források: