A biztonságfelügyelet kialakításának oka és módszere, hazai példákon keresztül
Lesku Gergely
2020.06.15
Már 15 éve segítjük a cégeket, amikor biztonsági logelemző, vagy egyéb felügyeleti rendszerek kiépítése, SOC-ok létrehozása a feladat. Ennyi idő alatt bőven volt időnk felmérni, mi motiválja a vállalatok döntéshozóit, amikor kiválasztják a számukra ideálisnak tűnő megoldásokat.
Ösztönző tényező lehet például, hogy 2019-ben már átlagosan 206 napra volt szükség egy esetleges biztonsági incidens észleléséhez, ami 5 százalékkal hosszabb idő, mint az egy évvel korábbi eseteknél (forrás: IBM, The cost of a data breach study 2019). Ráadásul a preventív védelmi rendszerek sem feltétlenül jelentenek százszázalékos védelmet, azokon is átjutnak támadások. Éppen ezért egyre több vállalat dönt a biztonsági incidensekkel kapcsolatos elemzői és válaszadási képességének fejlesztéséről.
Egy már megtörtént incidensnél pusztán a hagyományos védekezési eszközök nem segítenek. Hiába a kiváló végpontvédelem, e-mail ellenőrzés, tűzfal és IPS rendszer, ha hiányoznak megfelelő elemzési képességek, nincs eszközük, tudásuk és gyakorlatuk, akkor továbbra is kiszolgáltatottak maradnak a veszélyekkel szemben.
Hol tart most Magyarország?
A hazai vállalatok felkészültsége ezen a téren igen eklektikus. Vannak olyan multinacionális cégek, amelyek a magyarországi csoport számára is központilag, fejlett módon nyújtanak felügyeletet. Sőt, a nemzetközi vállalatok között olyan is akad, amely épp budapesti központból végzi a felügyeletet, szerte a világban. Sajnos azonban nem ez a jellemző. A hazai vállalkozások túlnyomó többségében – még a magyar szemmel nézve nagyvállalati kategóriába soroltaknál is – nincs a biztonság felügyeletére megfelelő saját erőforrás, és külső szolgáltatót sem vesznek igénybe e célra.
Pozitívum azonban, hogy az utóbbi időben egyre több döntéshozót foglalkoztat ez a kérdés, így érezhetően megnőtt az igény mind a saját felügyeleti megoldások kidolgozására, mind a szolgáltatók bevonására. A kiberbiztonságért felelős vezetők egyre inkább ráébrednek e tevékenység fontosságára és a szakma fő célkitűzése is az, hogy az üzleti döntéshozók minél nagyobb arányban lássák: megéri költeni erre a területre.
Szeretnénk példákkal is alátámasztani az eddig leírtakat, ezért megkértünk három ügyfelünket, hogy – név nélkül – osszák meg velünk tapasztalataikat arról, milyen folyamatok követik a fentebb vázolt felismerést, míg megvalósul a kívánt szintű védelem. Tanulságos történetek következnek arról, miért vált szükségessé az adott cégeknél a biztonságfelügyeleti tevékenység kialakítása, milyen lépéseken mentek keresztül és milyen működési modellt választottak végül.
1. Motiváció: compliance
Első példánk egy kisebb pénzintézet, amely – hasonlóan piacuk többi szereplőjéhez – hosszú évek óta rendelkezett szűrésre, blokkolásra alkalmas eszközökkel. Sőt, még az események központi gyűjtését is megoldották, ami fontos tény egy mintegy 500 felhasználóval rendelkező multinacionális leányvállalatnál. Miért akartak ezek után kialakítani biztonságfelügyeleti tevékenységet és erre egy külön csapatot?
Dacára annak, hogy a szakma régóta harsogja már e tevékenység fontosságát, korábban nem foglalkoztak az események folyamatos elemzésével, csak az eszközök üzemben tartásával törődtek. Ám a társadalom érdekében a fenyegetettségek kezelésére vonatkozó szabályozás folyamatosan szigorodik, minek következtében végül elmarasztalták a céget egy audit során.
Ezt követően már az akcióterv része lett egy fejlett logelemző rendszer kialakítása, illetve a specialistákkal elvégeztetett elemzések, majd az így kapott riportok vezetői szinten történő értékelése, illetve az eredmények megőrzése.
A dicséretes végeredményhez vezető út nem volt egyszerű:
első körben megindult az elemzések készítése a jelentős, de eredetileg nem tervezett beruházásról, az integrációs feladatokról, a várható – és folyamatos – humán erőforrás költségekről. Mivel ez egy rendkívül összetett feladatsor, végül inkább külső szakértőket vontak be a levezényléséhez.
Úgy döntöttek, több szcenáriót is végiggondolnak, ezért logelemző eszközök árait és elemző munkatársak felvételének lehetőségét vizsgálták meg, majd ajánlatot kértek kiszervezett SOC szolgáltatásra. Megállapították, hogy a saját kiépítés ellen szól a legtöbb érv: először is magasabb beruházást és hosszú távon is magasabb költségeket generálna. Másodszor a kiépítés folyamata lényegesen hosszabb a saját kialakítás esetén, hiszen beszerzést kell kiírni az eszközökre, majd azokat leszállítani, telepíteni. Közben szakértőket kell keresni és alkalmazni, akik a céges alapképzésen átesve kialakítják a folyamatokat. Mindezek miatt végül a teljes kiszervezés mellett döntöttek, a rendszert és az elemzést is külső szolgáltatóként nyújtjuk számukra.
Ez a szolgáltatás a SOCWISE észlelés és válaszadás (incident detection & response), amelyet két évvel ezelőtt elindított, saját fejlett felügyeleti központunk nyújt. Ezt éppen azért hoztuk létre, mert észrevettük, hogy a nálunk rendelkezésre álló nagyon magas szintű rendszerismeret és tapasztalatok alapján kialakított módszertani tudás az, amire ügyfeleinknek leginkább szüksége van.
2. Motiváció: digitalizáció okozta kitettség
Második példánknak egy nagyobb méretű, nemzetközileg aktív termelő vállalat a főszereplője, 1000 fő feletti felhasználói létszámmal és több telephellyel, melyeken termelés is folyik.
A cég – stratégiájának részeként – részben az üzletfolytonosság, részben a hatékonyságuk növelése miatt jelentős digitalizációba kezdett több fő üzleti folyamatban. Ez kiterjedt az informatikai rendszereire, üzemeltetésére és a termelési rendszereire egyaránt. Felismerték, hogy egyre több kritikus vállalati folyamatuk vált informatika-függővé, így külön stratégiát alakítottak ki a fejlett kibervédelmi rendszerek kiépítésére és saját biztonsági elemző részleg létrehozására.
E folyamat megvalósításához – részben tanácsadóink segítségével kialakított – architektúrájuk fontos, központi elemeként egy fejlett SIEM rendszert vásároltak, amelyet implementáltunk számukra. Már a telepítés során világossá vált, hogy fontos a cégnél meglévő biztonsági elemző csapattal összedolgozni, hiszen az ő elvárásaik, kockázatértékelési- és informatikai rendszerismeretük mind szükséges ahhoz, hogy az elemző rendszert megfelelően lehessen telepíteni: elengedhetetlenek a szűrési, riasztási és incidens kezelési szabályok. Ezen felül a felkészüléshez és a majdani felügyeleti feladatokhoz megfelelő szakértőket szerettek volna alkalmazni a cégnél, de hosszú hónapok alatt sem leltek olyan jelöltet, aki minden feltételükkel együtt alkalmazható lett volna. A kialakult helyzet a folyamat megakadásával fenyegetett.
Mivel belátható időn belül nem találtak alkalmas szakértőt, s a magukkal szemben felállított biztonsági elvárások szintjét szerették volna teljesíteni, végül úgy döntöttek, legalább ideiglenesen külső szolgáltatótól veszik igénybe az elemzői képességet. A szolgáltatást így ezen ügyfelünk rendszerének felhasználásával nyújtjuk, távoli hozzáférés segítségével.
A SOCWISE szolgáltatásunk ilyen esetben arról szól, hogy a cég rendszerén észlelt biztonsági eseményeket folyamatosan nyomon követjük, értékeljük kritikusság szerint, és szabályozott rendben intézkedünk a fenyegetés elhárításának érdekében, szorosan együttműködve az ügyfél informatikai szervezetével.
3. Motiváció: célzott támadások, törvényi szabályozás
A harmadik cég egy energetikai területen működő nagyvállalat, több ezer felhasználóval, szofisztikált vállalati folyamatokkal és nagyon heterogén, sok telephelyen működő informatikai háttérrel. Jelentős ipari eszközparkkal is rendelkeznek, amelyek nagy részét – korábbi fejlesztések révén – már OT hálózaton keresztül menedzselik.
E cég tisztában volt azzal, hogy mérete és működési szektora végett egyaránt – akár célzott – támadásoknak van kitéve. Ráadásul történt több incidens is, melyek közül volt, amelyik jelentős károkat okozott. A tőzsdei jelenlét, a megfelelési szabályok és a biztonság, egyaránt a magyar törvényi szabályozás (lásd 2013. 50. törvény) hatálya alá esnek, tehát globális trendjeikkel együtt kellett fejleszteniük ezen képességeiket is.
Első körben átfogó felmérést készítettek, amelyhez külső tanácsadóként bevontak bennünket is. Kockázatelemzéssel meghatároztuk az egyes üzletfolytonossági szempontból besorolt területeket, majd az IT és OT infrastruktúra értékelését követően a NIST keretrendszere alapján megterveztük a védelmi lépcsőben elhelyezett prevenciós, detekciós és válaszadási képességet megvalósító eszközöket. A központi elem egy fejlett logelemző rendszer, amely az eseményeket, a teljes hálózati forgalmat és a kliens végpontok eseményeit is gyűjti. A rendszer telepítésén túl, tanácsadóként a szabályrendszer és a folyamatok kialakításában is részt vettünk.
A biztonságfelügyeleti rendszereket (logelemző rendszer, malware elemző képességek) megvették és maguk üzemeltetik. Bár az ő esetükben is az alkalmas szakemberek megtalálása bizonyult a legnehezebbnek, de a megfelelő jövedelem biztosítását és a magas fluktuációt is elfogadták végül, így SOC-ot hoztak létre. Az elemzők képzésébe, a folyamatok kialakításába, és a kialakult képességek tesztelésébe pedig külső szakértőket vonnak be.