Egyre több a kibertámadás, a cégek pedig szeretnék időben felismerni és elhárítani a potenciális veszélyforrásokat. Mi a jobb, ha mindenki saját biztonsági műveleti központot hoz létre, vagy a feladatokat inkább kiszervezi, szolgáltatásként veszi igénybe?
Hirdetés
 

Ezekre a dilemmákra igyekezett választ adni az idei ITBN konferencián Dani István, a T-Systems Magyarország keretein belül működő Security Operation Center (SOC) vezetője. A vállalat nem új szereplő ezen a piacon, rendszerfelügyelettel, IT-biztonsággal foglalkozó részlegén már jó ideje működik ez a szolgáltatás. (Nemrégiben a cég a saját bőrén tapasztalhatta meg, milyen kritikus helyzetet teremthetnek a biztonsági kiskapuk.)

Biztonsági szakértőkből nagy a hiány

A kiberfenyegetettség fokozódása miatt időszerűvé vált a SOC bővítése, átépítése, amit egy névváltással is összekapcsoltak. A biztonsági műveleti központ C T R L néven működik tovább. Az elemzőcsapat főhadiszállása a cég adatközpontja mellé, a Ciprus utcába költözött.

De mire is jó egy SOC? A kiberbiztonsági területen is nagy problémát okoz, hogy a szakemberek egy része külföldre megy. A biztonsági szakértőkből nagyon nagy a hiány, miközben a kiberbűnözők nem pihennek, és a vállalati IT-rendszerek egyre komolyabb támadásoknak vannak kitéve. A SOC-ok ezeknek a nem kívánatos eseményeknek az operatív kezelésére alkalmasak. Az ilyen központokban a szakemberek mellett automatizált rendszerek is ügyelnek a rendszerek biztonságára.

Meglehetősen sok a tévhit a SOC-ok működésével kapcsolatban. Az itt folyó tevékenység nemcsak reaktív. Sokkal hatékonyabb ugyanis időben felmérni a sérülékenységi pontokat, azokat előre jelezni, hogy meg lehessen tenni a megelőző lépéseket. A cégek jelentős részére jellemző, hogy egy zsarolóvírus azonosításától számítva akár napok is eltelhetnek, amíg az IT visszaállítja az üzemszerű működést. Lopakodóbb típusú támadásoknál nem ritkák azok az esetek sem, amikor magának a kártevőnek a detektálása is hónapokba telik.

Sokba kerül a speciális tudás megszerzése

Dani István szerint nem az a kérdés, hogy szükség van-e SOC funkcionalitásra, hanem az – még a nagyobb cégeknél esetében is –, hogy érdemes-e saját biztonsági központot építeni, legfőképpen a speciális szaktudás és főleg a már említett komoly szakemberhiány miatt. A megfelelő működéshez a belépőszintű feladatok elvégzéséhez is legalább 5-6 főre van szükség, és ebben a létszámban még nincsenek benne a mélyebb vizsgálatokat elvégezni képes incidenselemzők.

Fontos, hogy az ezekben a központokban tevékenykedő szakértők tudása naprakész legyen. Ezt az igen drága – akár több millió forintos – képzéseken túl hosszú idők terepi tapasztalatával lehet megszerezni. A speciális tudással rendelkező szakemberek bérigénye ezért is magas az említett szakemberhiányon túl.

A T-Systems biztonsági központja 7×24 órás üzemű, ami a biztonsági központoktól alapelvárás is, hiszen a biztonsági események nem csak munkaidőben történhetnek. Az ügyfeleknél a potenciális fenyegetéseket első körben a már említett automatizált rendszerek vizsgálják, és kiszűrik belőle a gyanús eseményeket. Az operátorok alaposabb vizsgálat alá vetik ezeket, és kiemelik belőle a valódi incidenseket, amelyekkel az elemzők foglalkoznak mélyebben. Kritikus elem a gyorsaság, az SOC elemzői sokkal hamarabb képesek észrevenni és elhárítani a támadásokat, mint a gyakran túlterhelt és nem speciálisan az incidensvadászatra fókuszáló belső IT-részleg.

Komoly kihívás, hogy a SOC ügyfelek eltérő iparágakból érkeznek, azaz az ilyen központoknak igen változatos szoftverkörnyezetben kell dolgozniuk. Emiatt rendszerintegrációs feladataik is vannak: nemcsak a naplótároló és -elemző rendszereket kell összekötni az SOC saját megoldásaival, de alaposan ismerni kell a teljes védendő IT-infrastruktúrát és üzleti folyamatokat is. Egy kiszervezett szolgáltatás átmeneti szakasza ezért hónapokban mérhető hosszúságú, de még így is csak töredéke annak, amennyit egy saját SOC kialakítására kell fordítani.

Biztonság

Megint úgy meghekkelték a netet, hogy nem tudni, valóban meghekkelték-e

Merthogy egyáltalán nem biztos, hogy meghekkelték. Az is elképzelhető, hogy több nagy amerikai cég teljes adatforgalma egy ideig azért folyt át egy orosz szerveren, mert valaki bénázott.
 
Ehhez is a felhőszolgáltatások adják a nagy lökést, teret adva a kísérletezéshez.
A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.