Každá firma, ktorá začne počas života a rastu riešiť kybernetickú bezpečnosť vážnejšie, musí nevyhnutne skôr či neskôr naraziť na skratku SOC (Security Operations Center) alebo, ako ho voláme my, dohľadové centrum kybernetickej bezpečnosti. Teória znie veľmi jednoducho. Kupujete si tím expertov, ktorí reagujú na incidenty a sledujú vašu sieť 24 hodín, sedem dní v týždni. Realita je však oveľa komplikovanejšia. Medzi SOC-om, ktorý skutočne chráni, a takým, ktorý len raz za mesiac vygeneruje nič nehovoriaci report, je zásadný rozdiel. Ten sa zvyčajne ukáže až v momente útoku.
Výber SOC dodávateľa nie je nákup služby, ale vážne rozhodnutie o tom, komu zveríte viditeľnosť do celej vašej infraštruktúry. Práve preto má zmysel pozerať sa hlbšie než na marketingové prezentácie a cenové ponuky. Toto je 7 vecí, na ktoré sa oplatí dávať pozor, aby ste pri vážnej investícii do bezpečnosti, akou nákup SOC-u určite je, nešliapli vedľa.
1. Certifikácia SOC nezaručuje nič, ale jej absencia je problém
Je to prvá vec, ktorú si firmy zvyknú všímať. Štandardy ako ISO 27001, ISO 9001 alebo členstvo v organizáciách typu FIRST či TF-CSIRT sú dôležité. Dokazujú, že poskytovateľ má zavedené procesy a prešiel nezávislým auditom. Samy o sebe však stále nezaručujú kvalitu služby.
Na druhej strane, ich absencia je varovným signálom. SOC, ktorý nevie preukázať základné certifikácie alebo medzinárodné uznanie, pravdepodobne nemá dostatočne vyspelé procesy ani interné riadenie bezpečnosti. V praxi to znamená vyššie riziko chýb práve v momentoch, keď na presnosti záleží najviac.
Certifikáty sú preto dôležitý vstupný filter. Ak chýbajú, diskusia o potenciálnej akvizícii by sa v ideálnom prípade mala skončiť.
2. Referencie ako rozdiel medzi prezentáciou a realitou
Každý SOC dodávateľ vie pripraviť presvedčivú prezentáciu. Oveľa ťažšie je preukázať reálne skúsenosti. Počet klientov, dĺžka spolupráce a typ prostredia, ktoré SOC obsluhuje, hovoria viac než akýkoľvek marketing.
Kľúčové otázky sú preto: Koľko klientov SOC reálne obsluhuje? Ako dlho? Má skúsenosť s veľkými objemami dát alebo kritickou infraštruktúrou? Vie ukázať incident report, ktorý dáva zmysel aj technicky, nielen formálne?
SOC, ktorý má za sebou desiatky zásahov a forenzných analýz, vie spravidla reagovať lepšie, než tím, ktorý má skúsenosti len “z labáku”. Práve preto je dôležité pýtať sa na konkrétne prípady, nie všeobecné tvrdenia.
3. Ľudia: najdrahšia, ale najdôležitejšia časť
Technológie sú dnes široko dostupné. Kvalitní ľudia až tak veľmi nie. SOC je pritom v prvom rade o analytikoch a ich schopnosti rozpoznať hrozbu, správne ju vyhodnotiť a reagovať. Je mimoriadne dôležité pozerať sa na štruktúru tímu. Aké sú počty L1 a L2 analytikov? Kto navrhuje architektúru, kto rieši incidenty, kto sa venuje threat intelligence?
Dôležité sú aj certifikácie jednotlivcov ako certifikovaný SOC analytik, incident handler, či forenzný špecialista. Zároveň je ale dôležité pýtať sa na ich prax. Päť rokov skúseností s riešením reálnych incidentov má väčšiu hodnotu než desať certifikátov bez akéhokoľvek pracovného kontextu. V ponuke sa takisto často môžu objavovať certifikácie členov tímu nijak nesúvisiace s agendou v SOC-u. Ak poskytovateľ SOC nedokáže preukázať tím, jeho skúsenosti a rozdelenie rolí, je to výrazný red flag.
4. Technológia a procesy musia byť na úrovni
Zákazník nevidí, ako SOC funguje vo vnútri. Architektúra, spôsob spracovania dát, prepojenie nástrojov či automatizácia reakcií ovplyvňujú, ako rýchlo a presne SOC reaguje. Dôležitá je aj fyzická bezpečnosť. Profesionálne vedený SOC má striktne kontrolovaný prístup, monitorované priestory a jasne definované pravidlá práce s dátami.
Dôležitá je aj infraštruktúra, ktorá by mala obsahovať redundancie ako ďalšie napájanie v prípade výpadkov elektrickej energie či záložné dátové centrum, ak vypadne to hlavné. Ak poskytovateľ nevie tieto veci vysvetliť alebo doložiť, je to problém. Bez robustného zázemia sa aj najlepší tím môže dostať do situácie, kde nemá nástroje na efektívnu reakciu.
5. Reakčný čas SOC rozhoduje
Ide o jeden z najpodceňovanejších parametrov. V prípade incidentu je dôležité vedieť, ako rýchlo SOC zaregistruje incident a ako rýchlo naň začne reagovať.
Rozdiel medzi 30 minútami a niekoľkými hodinami môže znamenať rozdiel medzi izolovaným incidentom a plnohodnotným kompromitovaním celej infraštruktúry. Je mimoriadne dôležité pýtať sa na reakčný čas a trvať na jasne definovaných SLA. Nielen na papieri, ale aj podložených reálnymi dátami.
Rovnako dôležitá je komunikácia. Klient by mal mať jasný kontaktný bod v SOC. Spravidla by malo ísť o osobu, ktorá rozumie jeho prostrediu a vie situáciu riešiť bez zbytočných medzičlánkov.
6. Kde končia vaše dáta a kto k nim má prístup
Security operations center, ktorý dohliada na vašu bezpečnosť, má prístup k citlivým dátam. Vidí systémové logy, udalosti a vie pristupovať aj k interným systémom. Je preto veľmi dôležitou otázkou pre dodávateľa, kde sú tieto dáta spracúvané a ukladané.
Z dôvodu prísnych regulácií je pre mnohé organizácie kľúčové, aby zostávali spracované informácie v rámci územia Európskej únie. Ak nejde o legislatívne dôvody, je dôležité mať kontroly nad tým, kto k dátam vie pristupovať. V prípade, že poskytovateľ dohľadového centra nevie jednoznačne preukázať lokalizáciu dát, ide o vážne riziko.
7. So SOC si nekupujete len službu, ale najmä partnerstvo
Výber SOC by nemal byť o tom, kto ponúkne najnižšiu cenu alebo najdlhší zoznam funkcií. Pri použití bežnej, ľudskej analógie ide v konečnom dôsledku o výber lekára, ktorý bude vedieť všetko o vašom firemnom organizme a preto potrebuje vašu plnú dôveru a otvorenosť.
Kvalitný SOC preto nie je len na „monitoring“. Je to partner, ktorý rozumie vašej infraštruktúre, vie identifikovať riziká skôr, než sa stanú incidentom, a dokáže zasiahnuť, keď je to potrebné. Pri výbere dodávateľa je viac než na mieste dvakrát merať a vyberať ho rovnako dôsledne, ako by ste vyberali vlastný interný bezpečnostný tím.
Projekt financovaný cez grantovú zmluvu číslo 101145856 je podporovaný Európskym kompetenčným centrom pre kybernetickú bezpečnosť.
