Čo je SOC a ako funguje v AUTOCONTe

Dohľadovým systémom sú generované udalosti, ktoré čakajú na ďalšie spracovanie, analýzy a reakcie. Tu nastupuje ľudský faktor, ktorý má zistiť s ohľadom na prostredie a záujmy zákazníka, či sa jedná o skutočný Kybernetický bezpečnostný incident. To ale nie je vôbec jednoduché.

K zaisteniu stáleho bezpečnostného dohľadu je nevyhnutný fungujúci tím vysoko kvalifikovaných špecialistov IT bezpečnosti, ktorý využíva procesne aj technologicky vyspelé vlastnosti tzv. Security Operations Center (SOC). Vlastný bezpečnostný tím a SOC je pre drvivú väčšinu spoločností a organizácií ekonomicky nedostupný.

AUTOCONT preto vybudoval vlastné bezpečnostné centrum AC Security Operations Center (AC SOC) a služby AC Bezpečnostného dohľadu poskytuje zákazníkom prostredníctvom tohto zdieľaného zázemia a predovšetkým pomocou vlastného bezpečnostného tímu.

Každý užívateľ služby AC Bezpečnostného dohľadu je napojený na „Federačný server“, umiestnený v prostredí AC SOC. Všetky lokálne generované Kybernetické bezpečnostné udalosti a incidenty každého zákazníka sú na tento server replikované bezpečnou cestou. Bezpečnostný tím tak má globálny prehľad o všetkých zapojených zákazníkoch a dokáže včas a cielene reagovať.

AC bezpečnostný tím

Pretože kybernetický priestor nemá hranice a znalosti o jeho aktuálnom stave sú kľúčové aj pre efektívne riešenie lokálnych Kybernetických bezpečnostných incidentov, opiera sa bezpečnostný tím o vlastnú znalostnú bázu – AC SOC Threat Intelligence. Tá je tvorená predovšetkým priamym napojením na globálnu znalostnú bázu AlienVault Labs a na ďalšie súbory zdrojov tretích strán. Využíva aj komunitné platformy pre výmenu bezpečnostných informácií Open Threat eXchange (OTX). Znalosti pre riešenie a predchádzanie kybernetickým bezpečnostným incidentom ďalej čerpáme z globálnych i národných odporučení a bezpečnostných reportov, pomocou starostlivo vybraných internetových bezpečnostných portálov a v neposlednom rade tiež z vlastných meraní a testov vykonávaných u zákazníkov.

Každý člen tímu disponuje vysokou mierou odbornosti, skúsenosťami a prehľadom z oblasti kybernetických hrozieb a je schopný zastávať v tíme požadované bezpečnostné úlohy. Ako teda spolupráca v tíme konkrétne funguje?

Strojová detekcia nevie nahradiť „ľudský“, analytický pohľad. Ten je zatiaľ jediný, ktorý v konečnej fáze rozhodovania dokáže do posudzovania miery rizika (Security SCORE) vniesť aj celkový „kontext“ prostredia organizácie.

Preto je potrebné vygenerované udalosti „overit“ a prípadne „redefinovat“ ich mieru rizika. Týmto procesom dôjde k uzatvoreniu „False Positive“ (nepravdivých či nevierohodných), alebo „akceptovateľných“ (nezaujímavých) udalostí. V AC SOC je toto práca pre člena tímu v úlohe Operátora. Ten u zostávajúcich, „zaujímavých“ Kybernetických bezpečnostných udalostiach a incidentoch zakladá tiket v internom systéme AC SOC (zákazník má náhľad) a posúva ho k analýze na člena tímu v úlohe Analytika.

Pokiaľ analýza ukáže, že o nič nejde, bude interný AC SOC tiket uzatvorený a uvedený v mesačnom reporte. V opačnom prípade sa jedná o Kybernetickú bezpečnostnú udalosť, ktorá svojim charakterom môže prejsť v blízkom čase do statusu incidentu, alebo ide o skutočný Kybernetický bezpečnostný incident (KBI).

V tomto okamihu, je podľa komunikačnej matice kontaktovaná poverená osoba zákazníka s rozhodovacou právomocou, ako s týmto „alarmom“ naložiť. Dochádza k odovzdaniu na AC Service Desk, ktorý štartuje proces riadenia incidentu v rámci zmluvných záväzkov, SLA, legislatívnych povinností a komunikácie s tretími stranami (NBU, CSIRT, …). KBI je odovzdaný na člena tímu v úlohe Experta. Ten KBI podrobí detailnej analýze, prevedie klasifikáciu a kategorizáciu KBI a navrhuje operatívne protiopatrenie vedúce k eliminácii kybernetického útoku a následného vyriešenia a uzatvorenia KBI. Všetky tieto stavy a výsledky KBI sú opäť zahrnuté v mesačnom reporte.