Ha biztonsági logelemző vagy egyéb felügyeleti rendszerek kiépítése, esetleg SOC-ok létrehozása a feladat, a cégek immár 15 éve számíthatnak az EURO ONE szakértelmére. A másfél évtizednyi tapasztalatszerzés alatt letisztult, mi motiválja a vállalatok döntéshozóit, amikor kiválasztják a számukra ideálisnak tűnő megoldásokat.

Ösztönző tényező lehet például, hogy nő biztonsági incidens észleléséhez szükséges idő. 2019-ben már átlagosan 206 napra volt szükség ehhez, ami 5 százalékkal hosszabb idő, mint az egy évvel korábbi eseteknél (IBM The cost of a data breach study 2019). Ráadásul a preventív védelmi rendszerek sem feltétlenül jelentenek száz százalékos biztonságot, hiszen azokon is átjutnak támadások. Ezért egyre több vállalat dönt úgy, hogy fejleszti a biztonsági incidensekkel kapcsolatos elemzői és válaszadási képességét.

Egy már megtörtént incidensnél pusztán a hagyományos védekezési eszközök nem segítenek. Hiába a kiváló végpontvédelem, email-ellenőrzés, tűzfal és IPS rendszer, ha hiányoznak a megfelelő elemzési képességek, nincs eszköze, tudása és gyakorlata, akkor a szervezet továbbra is kiszolgáltatott a veszélyeknek.

Hol tart most Magyarország?

A hazai vállalatok felkészültsége ezen a téren igen eklektikus. Vannak olyan multinacionális cégek, amelyek a magyarországi csoportjuk számára is központilag, fejlett módon nyújtanak felügyeletet. Sőt olyan is akad közöttük, amelynek épp a budapesti központjából biztosítja ezt a teljes globális hálózatának.

A magyar vállalatoknál ez a hozzáállás egyelőre ritka. A hazai szervezetek túlnyomó többségének, még a nagyvállalatoknak sincs a biztonság felügyeletére megfelelő saját erőforrásuk, és külső szolgáltatót sem vesznek igénybe erre a célra.

Pozitív változás, hogy az utóbbi időben egyre több döntéshozót foglalkoztat a kérdés. A piacon érezhetően nőtt az igény a saját felügyeleti megoldások kidolgozására és a szolgáltatók bevonására is. A kiberbiztonságért felelős vezetők egyre inkább ráébrednek e tevékenység fontosságára, és a szakma fő célkitűzése is az, hogy minél több üzleti döntéshozó ismerje fel: megéri költeni erre a területre.

És hogy mi következik egy ilyen felismerésből? Nézzünk három tanulságos példát, a téma bizalmas volta miatt név nélkül.

1. A motiváció: compliance

Egy kisebb hazai pénzintézet – hasonlóan piacuk többi szereplőjéhez – hosszú évek óta rendelkezett szűrésre, blokkolásra alkalmas eszközökkel. Az események központi gyűjtését is megoldották, ami fontos fejlemény egy multinacionális cég olyan magyar leányvállalatánál, melynél mintegy 500 felhasználó fért hozzá az IT-rendszerekhez. Miért akartak ezen felül még biztonság felügyeletet is, ráadásul külön dedikált csapattal?

A compliance miatt. Korábban a cég elhanyagolta az események folyamatos elemzését, kizárólag az eszközök üzemeltetésére koncentrált. Ám a fenyegetettségek kezelésére vonatkozó szabályozás folyamatosan szigorodása miatt egy audit során elmarasztalták a céget. Ezt követően már az akcióterv része lett egy fejlett logelemző rendszer kialakítása, illetve a specialistákkal elvégeztetett elemzések. Az ebből keletkező riportokat a vezetés értékelte, majd az eredményeket archiválták is.

Ide azonban rögös út vezetett. Első lépésként elemzések készültek a jelentős, ám nem tervezett beruházásról, az integrációs feladatokról, valamint a humán erőforrás várható – és folyamatos – költségeiről. Ez összetett feladat, ezért végül külső szakértőként bevonták az EURO ONE-t.

A cég a saját központ felállítását és külső SOC szolgáltató bevonását is megvizsgálta. Kiderült: saját SOC-ot építeni komoly beruházás, és hosszú távon is magasabbak a költségei. A kiépítés folyamata is hosszú a beszerzést kiírásától a telepításig. Szakértőket kell felvenni, ki kell alakítani a szükséges folyamatokat stb. Így a teljes kiszervezés mellett döntöttek, azaz a rendszert és az elemzést is az EURO ONE nyújtja számukra.

Ez a szolgáltatás a SOCWISE észlelés és válaszadás (incident detection & response), amelyet az EURO ONE két évvel ezelőtt elindított, saját fejlett felügyeleti központja nyújt. A felügyeleti központ arra a tapasztalatra alapozva épült ki, hogy a vállalatoknak a megfelelő biztonsági szint kialakításához nagyon magas szintű rendszerismeretre és tapasztalatok alapján kialakított módszertani tudásra van leginkább szükségük.

2. Motiváció: digitalizáció okozta kitettség

Egy nagyobb méretű, nemzetközileg aktív termelő vállalat, amely több telephelyen 1000 fő feletti felhasználói létszámmal jelentős digitális átalakításba kezdett. A főleg az üzleti folyamatokat érintő digitalizációval részben az üzletfolytonosságot, részben a hatékonyságot kívánták növelni. A transzformáció érintette az informatikai rendszereket, az üzemeltetést és a termelési rendszereket egyaránt. Mivel egyre több kritikus vállalati folyamat vált informatika-függővé, így külön stratégiát alakítottak ki a fejlett kibervédelmi rendszerek kiépítésére és saját biztonsági elemző részleg létrehozására.

Ennek központi eleme egy fejlett SIEM rendszer volt, amit az EURO ONE implementált. Már a telepítésnél világossá vált, hogy mennyire fontos az implementálást végzők és a termelő vállalat biztonsági elemző csapatának az együttműködése. Utóbbiak elvárásai, kockázatértékelési és informatikai rendszerismerete ugyanis elengedhetetlen az elemző rendszert megfelelő telepítéséhez, valamint a szűrési, riasztási és incidenskezelési szabályok felállításához.

Közben folyt (volna) a csapat bővítése is. Ám mivel a piacon hónapok alatt sem lehetett találni megfelelő embert, így a projekt határidőre történő lezárása és azzal a meghatározott biztonsági szint elérése érdekében a co-managed szolgáltatás kialakítása mellett döntöttek. A SOC szervezet detect and respond rétegét bízták az EURO ONE-ra mint külső szolgáltatóra. Ez kellően rugalmas: biztosítja a gyors és szakmailag megfelelő szolgáltatás indulását, és lehetőséget ad arra is, hogy a cég a később, amikor saját szervezetét felállította és kiképezte, visszaszervezze ezeket a feladatokat.

Az EURO ONE biztosította SOCWISE szolgáltatás folyamatosan nyomon követi a cég rendszerén észlelt biztonsági eseményeket, azokat értékeli kritikusság szerint, majd szabályozott rendben intézkedik a fenyegetés elhárításának érdekében. Ebben már szorosan együttműködik az ügyfél informatikai szervezetével.

3. Motiváció: célzott támadások, törvényi szabályozás

A harmadik példa egy energetikai területen működő nagyvállalat. Több ezer felhasználó, szofisztikált vállalati folyamatok, heterogén, sok telephelyen működő informatikai háttér... A vállalatnak jelentős ipari eszközparkja van, amelyek nagy részét – fejlesztések révén – már OT hálózaton menedzselik.

A cég mérete és tevékenysége miatt is folyamatos (akár célzott) támadásoknak van kitéve. Korábban történt is olyan incidens, amely jelentős károkat okozott. De a biztonsági szint javítását követelte meg a tőzsdei jelenlét, valamint a megfelelési szabályokra és a biztonságra vonatkozó magyar törvényi szabályozás is (lásd 2013 évi. 50. törvény).

Ehhez először átfogó felmérést készítettek, amelyben az EURO ONE külső tanácsadóként működött közre. Ennek során kockázatelemzéssel meghatározták az egyes üzletfolytonossági szempontból besorolt területeket, majd az IT és OT infrastruktúra értékelését követően a NIST keretrendszere alapján megtervezték a védelmi lépcsőben elhelyezett prevenciós, detekciós és válaszadási képességet megvalósító eszközöket.

Itt a központi elem egy fejlett logelemző rendszer lett, amely az eseményeket, a teljes hálózati forgalmat és a kliens végpontok eseményeit is gyűjti. A rendszer telepítésén túl, az EURO ONE a szakértők kiképzésében, a szabályrendszer és a folyamatok kialakításában is részt vett.

A biztonságfelügyeleti rendszereket (logelemző rendszer, malware-elemző képességek) a vállalat szerezte be és üzemelteti. Bár az ő esetükben is az alkalmas szakemberek megtalálása bizonyult a legnehezebbnek, de végül sikerült felállítani a saját SOC-ot. A saját központ tevékenysége mellett azonban kialakítottak egy co-managed stratégiát is, melynek keretében az EURO ONE SIEM-szakértői a hét minden napján a vállalat telephelyén támogatják az üzemeltető személyzetet.

További hasznos tanácsok az EURO ONE blogon

A fenti példákról rengeteg szakmai részlet hangzott el az EURO ONE közelmúltban megrendezett Virtual Cyber Security Summitján. A rendezvényen a SOC-ot támogató legújabb megoldásokról, az egyes szervezetek kihívásairól, valamint iparági specialitásokról is szó esett. Erről az EURO ONE blogon is olvashatnak beszámolót.