A biztonsági incidens az, ami mással történik. Csakhogy a koronavírus-járvány egyik mellékhatásaként nagyon sokan lettek a "mások": ugrásszerűen megnőtt a támadások száma. Az okok ismertek: a globális járvány sok szervezetet ért felkészületlenül. Vállalatok, intézmények sora állt át egyik napról a másikra úgy a távoli munkavégzése, hogy arra sem a szervezet, sem az IT-infrastruktúra nem volt felkészülve. A kiberbűnözők pedig gyorsan meglátták ebben a lehetőségeket.

A komplexitás csapdája

Április közepén a Gmail biztonsági rendszere egy hét alatt közel 20 millió olyan kártékony levelet blokkolt, ami a világjárványt próbálta kiaknázni. És ezek nem spamek voltak, mert azokból ugyanazon a héten 240 milliót szűrtek ki. Április második felében az FBI egy vezetője azt nyilatkozta, hogy minden korábbinál több bejelentést kellett kivizsgálnia. Ezek többsége közvetve vagy közvetlenül kapcsolódik a koronavírus-járványhoz. De ugyanez a helyzet tükröződik a Nemzeti Kibervédelmi Intézet közleményeiben is.

Vajon fel lehet erre készülni? Az IDC egy közelmúltban közzétett elemzésében több olyan alapproblémát fogalmazott meg, melyek "békeidőben" is komoly feladat elé állítják a vállalati biztonságért felelős szakembereket, vezetőket. A jelenlegi – távmunkával súlyosbított – körülmények között szinte megugorhatatlan kihívást jelent a szervezetek biztonságért felelős csapatának, hogy az amúgy is komplex vállalati rendszerekben tömegesen jelennek meg olyan eszközök, melyekre nincs rálátása. Tipikus probléma például, hogy a biztonsági csapat azt sem tudja, milyen wifi routerrel kapcsolódik az otthonról dolgozó kolléga a vállalati hálózathoz, így arra nem tudja érvényesíteni a vállalati házirendet sem. Ez pedig még a biztonsági kockázatok pontos felmérését is megakadályozza.

A még a globális járványhelyzet előtti adatfelvételre épülő 2020-as CISO Benchmark Study is hasonló témát feszeget. A védelmi rendszerek egyre komplexebbek: egy átlagos cégnél húsz különböző biztonsági technológiát használnak, amiket össze kell hangolni egymással és az egyéb rendszerekkel. Ennek menedzselése pedig egyre nehezebb feladat elé állítja a CISO-t (Chief Information Security Officer). Szükség lenne például széles körű belső kompetenciára, amit csak a valóban nagy szervezetek engedhetnek meg maguknak. Egy ilyen szakembergárdának nem csak a költségeit nehéz előteremteni, hanem az is probléma, hogy minden specialistát folyamatosan ellássák kellően motiváló feladatokkal – írja ugyanezzel a témával kapcsolatban az RSA egyik biztonsági szakértője.

Az ilyen helyzeteken sokat segíthet egy fejlett biztonsági műveleti központ, azaz SOC (Security Operations Center), amely akár belső, akár külső szolgáltatóként képes kezelni ezt a komplexitást.

Folyamatos felügyelet alatt

A SOC lényegében központosítja az IT-biztonságot. Feladata, hogy folyamatosan monitorozza az adott szervezet teljes infrastruktúráját a végpontoktól a hálózaton át a cloudig. Olyan rendellenességeket keres, melyek biztonsági incidensekre utalhatnak, hogy azokra megfelelő választ adhasson. De a SOC feladata nem merül ki az incidensek azonosításában. Folyamatosan elemeznie kell a felügyelt infrastruktúra egészét, hogy azonosíthassa a felmerülő kockázatokat. Nagy előnye, hogy koncentráltan és az elvárt biztonság szintjéhez igazodva, magas rendelkezésre állással (például 7×24 órás működés) képes biztosítani a szükséges kompetenciát és technológiát, melyek igény esetén bővíthetők is, hiszen például forensic tevékenységgel, a titkosításelemzéssel vagy a károkozó kódok visszafejtésével.

Jellemzően egy jól kialakított SOC szervezet felépítése nem hierarchikus, hanem szerepalapú. Ez azt jelenti, hogy minden pozíciónak pontosan meg van határozva a feladata, és erre épül az eszkalációs folyamat is.

Egy SOC-ban jellemzően dolgozik egy monitoring csapat, amely az incidenseket mutató dashboardokat figyeli. Van egy ún. content team, amelynek feladata az új szabályok kidolgozása, szignatúrák létrehozása stb. A fenyegetésfelderítő csapat proaktívan azonosítja a helyi környezetre jellemző kockázatokat (mások a tipikus kockázatok egy egészségügyi intézményben, mint egy közmű cégnél), és azokhoz indikátorokat hoz létre. A központba kellenek vadászok (hunting team), akik figyelik a fenyegetésfelderítők által beállított indikátorokat és a felhasználói viselkedést, és lecsapnak, ha gyanús tevékenységet észlelnek. Ám magát az incidenst már nem ők, hanem a reagáló csapat (incident response) vizsgálja meg. De ezek csak az eszkalációs folyamatba illeszkedő szerepek. Emellett egy profi a SOC-ban van egy-egy etikus hekkerekből és védelmi szakemberekből, valamint a két team együttműködését segítőkből álló csapat is (az ún. red, blue és purple teamek). A hekkerek feladata a sérülékenységek proaktív felderítése, a másiké a védelem tökéletesítése, míg a harmadiké az, hogy a két csapat között zőkkenőmentes legyen az információáramlás.

A következő részben összegyűjtjük azokat a technológiákat, melyeket egy fejlett SOC képes biztosítani.