hirdetés
hirdetés

A SOC (Security Operations Center) bemutatása

Biztonsági központok az ipar védelmére

Tudja meg, hogyan működnek a biztonsági műveleti központok, és miért támaszkodik sok szervezet a SOC-ra mint értékes információforrásra a biztonsági események felderítésében.

hirdetés

A biztonsági műveleti központ (SOC) célja az, hogy egy adott szervezet minél gyorsabban és minél hatékonyabban tudjon fellépni a kibertámadások ellen. Ezt folyamatos, gyors reakcióidejű, hatékony biztonsági monitoringgal, elemzéssel tudja elérni. A SOC-csapat célja tehát a kiberbiztonsági események felderítése, elemzése és azok megoldása. Hlavaty Győzővel, a T-System Magyarország C T R L márkanevű SOC-központjának vezetőjével beszélgettünk arról, hogy egy szolgáltató miként segít ügyfeleinek a digitális támadások mielőbbi észlelésében, a keletkező károk minimalizálásában vagy elkerülésében.

GyártásTrend: A T-Systems klasszikus biztonsági rendszerintegrációs szolgáltatásokkal rendelkezik. Ezek mellett miért volt szükség SOC-szolgáltatás kialakítására? Hogyan fejlődött ez a terület az elmúlt években?
Hlavaty Győző: Ahhoz, hogy egy SOC megfelelően működjön, a különböző biztonsági események minél mélyebb vizibilitására van szükség. Ezt úgy lehet elérni, hogy napló- és/vagy hálózatelemző eszközt integrálnak a megfigyelni kívánt környezetbe, és annak a kimenetét folyamatosan értelmezik. A szolgáltatás létrejöttét egyértelműen az ügyféligények indokolták. A T-Systemsnél korábban is számos naplóelemző rendszert telepítettünk ügyfélkörünkben, jellemzően pénzpiaci területen, ahol régóta előírja a Magyar Nemzeti Bank ezek működését. Ezzel párhuzamosan, ipari ügyfeleknél nehézséget okozott, ha informatikai támadás miatt kiesett egy-egy műszak, ha le kell állítani egy-egy gyártósort. Megelőzésként mielőbb szerettek volna erősebb biztonsági felügyeletet. A naplóelemző rendszerek telepítése a 2000-es évek elején kezdődött. Sok kisebb cégnél azonban újabb igény fogalmazódott meg: az egyfős biztonsági csapatnak – amely jellemzően az üzemeltetés része – nem volt kapacitása a monitorozásra. Hiába voltak láthatók az események, azokat nem vizsgálták.

T-Systems C T R L SOC-központja
T-Systems C T R L SOC-központja

Informatikai támadás
A biztonsági események azon események, melyek biztonsági relevanciával bírnak (pl. hozzáférés, tevékenység, állapotváltozás…). Közülük azt nevezik biztonsági incidensnek, ami befolyással lehet a különféle rendszerekre és/vagy adatokra, elsősorban azok bizalmasságára, sértetlenségére, hozzáférhetőségére.
A SOC ezeket az eseményeket vizsgálja.

Integrátorból szolgáltató

GyT.: Hogy lett ebből szolgáltatás?
H Gy.: Pénzügyi területen a PSZÁF (Pénzügyi Szervezetek Állami Felügyelete, ez a szervezet később az MNB-be olvadt) követelte meg, hogy a naplóelemző rendszerben megjelenő incidenseket naponta egyszer legalább át kell nézni, és az incidensgyanús eseményeket dokumentáltan ki kell vizsgálni. Azt tapasztaltuk, hogy ügyfeleinknél sok esetben nincs erre erőforrás, ezért 2010 környékén MIBS (menedzselt informatikai biztonsági szolgáltatások) néven indítottuk el ezt a támogatást, kifejezetten arra, hogy a pénzügyi piacot érintő szabályozó elvárásoknak eleget tudjon tenni. Ez volt az alapja annak, amit ma a SOC-ból nyújtunk.

Ekkoriban fele-fele arányban szólt a tevékenységünk integrációról és szolgáltatásról. Érdekes módon nem pénzügyi, hanem ipari oldalról jött az első igény, hogy a hét minden napján, folyamatosan szükség lenne monitoringra, hiszen a gyártósorok is így üzemelnek. 2016-tól a piaci igényeknek megfelelően kibővítettük a szolgáltatásunkat, folyamatos munkarendet építettünk ki. Alapjainkat újrarajzoltuk, az elemzők létszámát és munkáját napi 24 órás szolgálatra bővítettük, kialakítottunk egy dedikált helyszíni és informatikai infrastruktúrát, amely megfelelően monitorozott és auditált. Ez lett a C T R L SOC, melynek fontos előnye, hogy a szolgáltatás egyértelműen ide tartozik, de szorosan együttműködünk az integrátorcsapattal is.

Hlavaty Győzővel, a T-System Magyarország C T R L márkanevű SOC-központjának vezetője
Hlavaty Győzővel, a T-System Magyarország C T R L márkanevű SOC-központjának vezetője

GyT.: Nézzük a működését egy ilyen központnak. Milyen humán erőforrásra van szükség és milyen technológiákat használnak?
H. Gy.: L1-L2-L3 rendszerben dolgoznak a kollégáink. Az L1-es elemzőknek az a dolguk, hogy a különböző technológiai eszközöknek a kimeneteit monitorozzák folyamatosan. Az ott látott eseteket feldolgozzák, és ha az valós incidenst mutathat (az ő sorvezetőjük szerint), akkor azt meghatározott protokoll alapján jelzik az ügyfélnek, vagy annak a csapatnak, amely az elhárításban tud segíteni.

GyT.: Milyen arányban vannak valós támadások?
H. Gy.: Naponta bejön sok tízmillió biztonsági esemény, amelynek kevesebb mint 1 százalékával kell foglalkozni. Az itt fennmaradó események 10 százalék alatti része igényel valós biztonsági beavatkozást, ami tehát bőven 1 ezrelék alatti. Ez alacsonynak tűnik, viszont az eseményszám (főleg ha a nem biztonsági eseményeket is számoljuk) rettenetesen magas, kiváltképp egy publikus szerverrel rendelkező ügyfélnél, amely esetben csak az automatizált támadás napi több százezres, milliós nagyságrendű.

 Az automatizált támadás nagy részét a tűzfal, IPS képes kivédeni, általában itt nincs szükség beavatkozásra, ezeknek a statisztikáját, eloszlását és a működését vizsgáljuk.

Emberek és gépek

Az L1 réteg fő feladata, hogy a biztonsági eseményeket, incidenseket feldolgozza, kategorizálja és kezelje. A speciális, mélyebb ismereteket kívánó események feldolgozása az L2-es kollégák feladata, akik képzettebb, nagyobb tapasztalattal rendelkező szakemberek. Nagy előny számunkra, hogy van mögöttünk egy komoly rendszerintegrátori kompetenciával rendelkező cég – amelyből a szolgáltatás is kifejlődött –, így házon belül fordulhatunk ahhoz a mi szempontunkból L3-as réteghez, amelyben ezeknek a biztonsági eszközöknek a specialistái dolgoznak. Ők ezeknek a rendszereknek a tervezését, méretezését, implementációját végzik nap mint nap.

Magát a vizibilitást segítő, elemző eszközök még többségében az ügyfeleknél vannak, mert a felhő és szolgáltató iránti bizalom nálunk még nem olyan magas, mint Nyugat-Európában. Főleg a biztonsági eszközök esetén az ügyfél inkább megvásárolja a saját naplóelemző eszközét, integrálja a hálózatába, és hozzáférést ad a C T R L számára, így az L1-es és L2-es kollégáknak, akik ezeken a felületeken dolgoznak. Ma már továbbléptünk, az összes ügyfelünk naplóelemzője integrálva van egy nálunk kialakított SOAR- (Security Orchestration Automation and Response) eszközbe, amely képes arra, hogy ha egy biztonsági esemény befut, akkor különböző szabályok alapján eldönti, hogy fals vagy valós támadásról lehet-e szó. Ha releváns a támadás, akkor ellenőrzi az adott IP-cím vagy felhasználó historikus adatait, egyéb információkat gyűjt be különböző rendszerekből, és automatikusan megjeleníti azokat az esemény dashboardján. Ezek a plusz elemzési információk gyorsítják az események kivizsgálását. A SOAR maga képes automatizálásra is. Ha látja, hogy adott logika alapján egyértelműen téves egy riasztás, akkor akár le is tudja azt zárni. Ez a SOAR-réteg kimondottan fontos eszköz, mivel az elemzők válláról nagy munkát vesz le.

Kutatás-fejlesztés

GyT.: Itt már a gépi tanulás is megjelenik?
H. Gy.: A Budapesti Műszaki és Gazdaságtudományi Egyetemmel közösen kezdtünk egy machine learning algoritmus fejlesztésébe, mert látjuk, hogy komplexebb automatizálási réteget kell létrehoznunk. Az új algoritmus képes hatékony és gyors adatfeldolgozásra , sokkal magasabb szinten tudja majd priorizálni az informatikai eseményeket, így a mindennapi esetkezelésben is részt vesz majd. Ez még fejlesztési fázisban van, de idén várhatók eredmények. A fejlesztés on-prem formában zajlik, mert a jelenleg kínálatban lévő MI-technológiák elsősorban felhőszolgáltatásokon keresztül működnek, ami a kiemelt biztonságot igénylő ágazatokban – közigazgatás, pénzügyi területek, sok esetben ipari vállalatok – nem biztosítja a jogszabályban megfogalmazott vagy felügyeleti szervek által megkívánt biztonsági szintet.

A gyártó vállalatoknál már jó ideje elkezdődött a felhőbe költözés, de a hazai cégek egy része még ragaszkodik az on-premise-hez, akkor is, ha az anyavállalat már inkább a felhőből dolgozik. A felhőszolgáltatás egyre olcsóbb, egyre több problémára ad kielégítő választ, és egyre több biztonsági kontrollal, szolgáltatással rendelkezik, így előbb-utóbb lesz annyi érv mellette, hogy felvállalják.

T-Systems C T R L SOC-központja
T-Systems C T R L SOC-központja

GyT.: Milyen időközönként kapnak biztonsági értékelést vagy jelentést az ügyfelek?
H. Gy.: Heti, havi, negyedéves jelentést mindenki kap az incidensektől függetlenül, ezekben elmondjuk, hogy mit láttunk a hálózaton, melyek voltak érdekes jelenségek, mi változott. Ha nincs kiemelkedő esemény, akkor inkább a trendekről beszélünk, illetve mindig téma a szolgáltatás javítása.

Abban az esetben, ha a monitoringszolgáltatás kimutat valamilyen biztonsági incidenst, akkor az eljárásrendnek megfelelően értesítjük az ügyfelet. Ez két- vagy többlépcsős értesítés lehet. Az azonnali értesítés célja, hogy az ügyfél minél hamarabb értesüljön egy esetleges incidensről, ám közben folyamatosan zajlik az esemény további feldolgozása, kiértékelése. Abban az esetben, ha valós biztonsági fenyegetésnek tűnik, belép az L2-es réteg, és elkezdik az esemény mélyebb elemzését. Megvizsgálják, hogy milyen hatással volt az incidens a szervezet környezetére – mit lehet tudni a támadás típusáról, nemzetközileg milyen hasonló eseteket láttunk, a támadáshoz tartozó IP-cím gyanús-e…, tehát elindul a vizsgálati szakasz. Ennek eredményeit kommunikáljuk az ügyfél felé, általában a vizsgálat végén egyedi jelentést adunk át.

A SOC felépítése

Alapját az ügyfélrendszer biztonsági állapotának folyamatos figyelése, az események elemzése jelenti, amely öt pilléren áll:

  1. megelőzés – A megelőzési tevékenységhez tartozó egyik klasszikus szolgáltatás a sérülékenységelemzés. Ez történhet automatikusan (szkennelés), illetve biztonsági szakemberek bevonásával (etikus hacking). Hasonló a nemzetközi trendek elemzése vagy a dark web kommunikációinak figyelése, amelyek előre jelezhetnek támadásokat.
  2. detektálás – A folyamatos SIEM monitoring (pl. korrelációk, küszöbértékek figyelése), a hunting tevékenység, az anomáliák észlelése a legfontosabb információforrások, amelyek segítségével észlelhetők a biztonsági események. Itt nagy segítséget jelent a mesterséges intelligencia és a big data elemzési módszerek használata.
  3. incidenskezelés – A riasztásokat validáljuk, priorizáljuk, besoroljuk, hatásaikat elemezzük, elhárító intézkedéseket javaslunk, majd a lépéseket dokumentáljuk.
  4. kríziskezelés – előfordulhat, hogy egy biztonsági incidensből krízis lesz. A krízisek kezelése általában túlmutat az informatikai eszköztárakon, az incidens okozta problémák hatékony kezelésére már általában üzleti, kommunikációs, jogi és egyéb területek munkájára is szükség van.
  5. 5. Poszt-incidens analízis, azaz kiértékelés – Minden incidenst alaposan ki kell értékelni, és meghatározni, mit szükséges tenni, hogy hasonló incidens még egyszer ne fordulhasson elő. A tapasztalatokat, amennyiben azok relevánsak, visszavezetjük a folyamatokba. Rendszeresen átvizsgáljuk a védelmi rendszer működését, és meghatározzuk, mivel lehet rövidíteni a válaszidőket.
Trapp Henci
a szerző cikkei

hirdetés
Ha hozzá kíván szólni, jelentkezzen be!
 
hirdetés
hirdetés
hirdetés

Kiadónk társoldalai

hirdetés
hirdetés
hirdetés
hirdetés