Ezekre a dilemmákra igyekezett választ adni az idei ITBN konferencián Dani István, a T-Systems Magyarország keretein belül működő Security Operation Center (SOC) vezetője. A vállalat nem új szereplő ezen a piacon, rendszerfelügyelettel, IT-biztonsággal foglalkozó részlegén már jó ideje működik ez a szolgáltatás. (Nemrégiben a cég a saját bőrén tapasztalhatta meg, milyen kritikus helyzetet teremthetnek a biztonsági kiskapuk.)

Biztonsági szakértőkből nagy a hiány

A kiberfenyegetettség fokozódása miatt időszerűvé vált a SOC bővítése, átépítése, amit egy névváltással is összekapcsoltak. A biztonsági műveleti központ C T R L néven működik tovább. Az elemzőcsapat főhadiszállása a cég adatközpontja mellé, a Ciprus utcába költözött.

De mire is jó egy SOC? A kiberbiztonsági területen is nagy problémát okoz, hogy a szakemberek egy része külföldre megy. A biztonsági szakértőkből nagyon nagy a hiány, miközben a kiberbűnözők nem pihennek, és a vállalati IT-rendszerek egyre komolyabb támadásoknak vannak kitéve. A SOC-ok ezeknek a nem kívánatos eseményeknek az operatív kezelésére alkalmasak. Az ilyen központokban a szakemberek mellett automatizált rendszerek is ügyelnek a rendszerek biztonságára.

Meglehetősen sok a tévhit a SOC-ok működésével kapcsolatban. Az itt folyó tevékenység nemcsak reaktív. Sokkal hatékonyabb ugyanis időben felmérni a sérülékenységi pontokat, azokat előre jelezni, hogy meg lehessen tenni a megelőző lépéseket. A cégek jelentős részére jellemző, hogy egy zsarolóvírus azonosításától számítva akár napok is eltelhetnek, amíg az IT visszaállítja az üzemszerű működést. Lopakodóbb típusú támadásoknál nem ritkák azok az esetek sem, amikor magának a kártevőnek a detektálása is hónapokba telik.

Sokba kerül a speciális tudás megszerzése

Dani István szerint nem az a kérdés, hogy szükség van-e SOC funkcionalitásra, hanem az – még a nagyobb cégeknél esetében is –, hogy érdemes-e saját biztonsági központot építeni, legfőképpen a speciális szaktudás és főleg a már említett komoly szakemberhiány miatt. A megfelelő működéshez a belépőszintű feladatok elvégzéséhez is legalább 5-6 főre van szükség, és ebben a létszámban még nincsenek benne a mélyebb vizsgálatokat elvégezni képes incidenselemzők.

Fontos, hogy az ezekben a központokban tevékenykedő szakértők tudása naprakész legyen. Ezt az igen drága – akár több millió forintos – képzéseken túl hosszú idők terepi tapasztalatával lehet megszerezni. A speciális tudással rendelkező szakemberek bérigénye ezért is magas az említett szakemberhiányon túl.

A T-Systems biztonsági központja 7×24 órás üzemű, ami a biztonsági központoktól alapelvárás is, hiszen a biztonsági események nem csak munkaidőben történhetnek. Az ügyfeleknél a potenciális fenyegetéseket első körben a már említett automatizált rendszerek vizsgálják, és kiszűrik belőle a gyanús eseményeket. Az operátorok alaposabb vizsgálat alá vetik ezeket, és kiemelik belőle a valódi incidenseket, amelyekkel az elemzők foglalkoznak mélyebben. Kritikus elem a gyorsaság, az SOC elemzői sokkal hamarabb képesek észrevenni és elhárítani a támadásokat, mint a gyakran túlterhelt és nem speciálisan az incidensvadászatra fókuszáló belső IT-részleg.

Komoly kihívás, hogy a SOC ügyfelek eltérő iparágakból érkeznek, azaz az ilyen központoknak igen változatos szoftverkörnyezetben kell dolgozniuk. Emiatt rendszerintegrációs feladataik is vannak: nemcsak a naplótároló és -elemző rendszereket kell összekötni az SOC saját megoldásaival, de alaposan ismerni kell a teljes védendő IT-infrastruktúrát és üzleti folyamatokat is. Egy kiszervezett szolgáltatás átmeneti szakasza ezért hónapokban mérhető hosszúságú, de még így is csak töredéke annak, amennyit egy saját SOC kialakítására kell fordítani.