Kiterjedt vertikális iparággá nőtte ki magát a kiberbűnözés, melynek szereplői specializálódnak, és egyre szorosabb együttműködéseket alakítanak ki egymással. Mit tehet ez ellen egy vállalat, aminek a rendszereit folyamatosan támadják? Koncentrálhatja a védekezését, és felállíthatja a technológia minden újdonságát és a fekete öves biztonsági szakemberek színe-javát felvonultató saját biztonsági központját, SOC-ját (Security Operations Center). De ez nem olyan egyszerű, már csak anyagi szempontból sem...

A kiberbűnözők kooperálnak

Az elmúlt évtizedben a kiberalvilág olyan "alternatív" szoftveripart épített fel, amelynek a forgalma becslések szerint kezdi közelíteni a legális szoftveriparét. (A folyamat különösen a 2008-as világválság után gyorsult fel.) A kiberbűnözők mindent átvettek a vállalati világból, amit hasznosnak találtak. Szakemberek már az évtized közepén felfigyeltek olyan kiberbűnözői csoportokra, melyek szinte klasszikus szoftver- vagy szolgáltatóvállalatként működtek (még az "alkalmazottak" fizetési listájára is ráleshettünk.)

Az ilyen szervezettségű támadásokat csak hasonlóan magas szervezettségű védelem, például egy SOC ellensúlyozhatja. Ennek kiépítése és üzemeltetése azonban óriási költség. Drága a technológia, amit ráadásul folyamatosan fejleszteni kell; és drága a szakembergárda, melynek kompetenciáit napra készen kell tartani. Mint sorozatunk korábbi részeiben bemutattuk, ott érdemes ilyen központot felállítani, ahol a kockázatok arányban vannak egy SOC várható költségeivel.

De mit tegyen az a vállalat, melynek nem fér bele a biztonsági büdzséjébe egy ilyen központ felállítása és üzemeltetése? A válasz ma már kézenfekvő: béreljen.

Itt is segít a felhő

A felhő terjedése a biztonságot sem hagyta érintetlenül, bár ezen a területen nehezen tört át a szolgáltatói szemlélet. Mára azonban a szakértők többsége szerint a szolgáltatásként kínált biztonság, azaz SECaaS (Security as a Service) sok szempontból előnyösebb, mint a biztonságot kizárólag saját erőforrásokra alapozni. (Mint lentebb olvasható, az IT-biztonságnál olyan hibrid modellről beszélhetünk, amelyben a saját belső rendszerek üzemeltetését, felügyeletét is átveszi egy külső szolgáltató, és kiegészíti saját eszközeivel/szolgáltatásaival.) A cégvezetők már jó ideje átlátták, hogy ezzel magasabb szintű biztonság érhető el olcsóbban, de a szubjektív biztonságérzetük mégis nagyobb volt, ha belső IT-biztonságot tarthattak fenn.

A szemléletváltozást segítette, hogy nagyobb lett a felhővel szemben az általános bizalom, és hogy a védekezés hagyományos eszközkészlete egyre több pénzt-energiát emésztett fel a cégek IT-büdzséjéből. Ezt pedig egyre látványosabbá tette a kiszervezett biztonsági szolgáltatás technikai- és költségelőnyeit. A helyi védelmi rendszerek mindig beruházásigényesek (CAPEX): kellenek licencek (vírusvédelem, tűzfalak, naplózó szoftverek stb.), hardverek (szerverek, speciális appliance-ek stb.). Sokat visz el az üzemeltetés is, mert kell felkészült IT-biztonsági csapat, amit működtetni, szakértelmét pedig fejleszteni kell.

Ezzel szemben a SECaaS modellben igénybe vett SOC akár nagyvállalati biztonságot képes nyújtani bármilyen vállalatméret esetén. Egy jó szolgáltató optimális esetben mindig a legfrissebb biztonsági eszközökkel dolgozik: a vírusvédelemhez telepíti a legalább napi rendszerességgel frissülő vírusdefiníciós fájlokat, képes elhárítani az új támadási vektorokat, mert megvan hozzá a technológiai arzenálja stb. Nagy valószínűséggel a legtöbb helyzetre van kéznél belső szakmai tudása, hiszen egy-egy speciális terület szakértőjének a (magas) költsége sok ügyfél között oszlik meg.

Egy SOC jelemzően alacsony válaszidővel reagál az esetleges incidensekre, szolgáltatása jól és viszonylag gyorsan méretezhető – a belső védelemmel szemben nem csak fölfelé, hanem lefelé is, ahogy változik a valós igény.

És nem utolsósorban a külső szolgáltatás némileg olcsóbb, mondják a szolgáltatók. Ezt kimutatni nehéz, azt viszont minden CEO és pénzügyi vezető érti (és szereti), ha az IT olyan fejlesztést javasol, amihez nem kell beruházási keret, és költsége teljes egészében az OPEX-et terheli. Azzal azonban számolni kell, hogy induláskor a bevezetés, testre szabás stb. és a folyamatok átalakítása miatt szükség lehet jelentősebb kiadásokra.

Már csak választani kell. De az is nehéz

A SOC típusú szolgáltatások elfogadottságát nagyban segíti, hogy kezd kialakulni körülöttük egy stabil szakmai konszenzus. A Cloud Secutity Alliance SECaaS munkacsoportja utoljára 2016-ban frissítette a kiszervezett biztonsági szolgáltatások főbb kategóriáit (hálózatbiztonság, sebezhetőségvizsgálat, webes és email-biztonság, azonosság- és hozzáférés-menedzsment, titkosítás, behatoláskezelés, adatszivárgás elleni védelem, SIEM, üzletfolytonosság és katasztrófa utáni helyreállítás, biztonsági értékelés).

Ezeket a szolgáltatásokat különböző szintű SOC-októl lehet igénybe venni (lásd az alábbi táblázatot).

A táblázat jó eligazodási alap, hogy milyen vállalatnak miben érdemes gondolkodnia. A konkrét szolgáltató kiválasztása azonban nehéz feladat. Ilyenkor az kevés, hogy a SOC általában frissebb technológiát használt, mint egy saját csapat, általában koncentráltabb és szerteágazóbb szakértő tudással bír, általában jobban dokumentálja a tevékenységét, vagy hogy általában szigorú házirend szerinti működés jellemzi, és jól követhető a költsége stb.

Az alábbi szempontokat mindenképpen érdemes megvizsgálni a megvédendő vállalati rendszerek függvényében.

1. Milyen bonyolult feladatokat tud ellátni a SOC? Pl. tűzfalak, behatolás-érzékelők és -megelőzők, webes és email gatewayek, fejlett fenyegetettségvédelmi és SIEM technológiák monitoringja és/vagy menedzsmentje; rövid és hosszú távú elemzések; információs rendszerek és alkalmazások sebezhetőségi vizsgálata stb.

2. Működési mód: a 7×24 órás működés javítja annak lehetőségét, hogy az adott SOC minden potenciális fenyegetettségre rövid válaszidővel, időben tud reagálni.

3. Ipari szabványokat való megfelelést igazoló tanúsítványok, biztosítások. Ezek hiánya komoly fennakadást okozhat a rendszerekhez való hozzáférésben, adatkezelésben. Egy egészségügyi szolgáltatónak emiatt célszerű olyan SOC szolgáltatóval szerződni, amely rendelkezik az egészségügyben megkövetelt tanúsítványokkal (mint pl. USA-ban a HIPAA). További előny lehet, ha van IT-rendszerek okozta károkra vonatkozó felelősségbiztosítási szerződése.

4. Integrációs képesség, kommunikáció és tanácsadás. A SOC-kal csak hosszú távú kapcsolatban érdemes gondolkodni. Ezért alapfeltétel, hogy képes legyen integrálni a vállalat már meglévő védelmi technológiáit (hibrid modell). Emellett fontos szempont, hogy biztosítson olyan dedikált tanácsadót, aki érdemben tud segíteni a biztonsági startégia kialakításában, fejlesztésében.

5. Ár. Fontos, de nem a legfontosabb. Mivel A SOC fix szolgáltatást nyújt SLA alapon, a havi költség nem vagy csak minimálisan változik – ha ez nem így van, érdemes mást keresni. A szolgáltatók árazási gyakorlata nem egységes, az egyik mennyiségi alapon, a másik felhasználó- vagy node-szám alapján számol, ami nehezíti az összehasonlíthatóságukat. Arra azonban minden esetben érdemes figyelni, hogy a túl olcsó ár gyakran gyengébb felkészültséggel, például elégtelen létszámú csapattal függ össze.

+1 Zökkenőmentes szolgáltatóváltás. Ez az egyik legfontosabb szempont, és talán a legnagyobb körültekintést igényli a szerződésbe foglalása. Értelemszerűen úgy kell megállapodni, hogy a szerződés lejártakor egy esetleges szolgáltatóváltás a legzökkenőmentesebb legyen.