Řediteli útvaru Bezpečnosti ve společnosti O2 Czech Republic, Radkovi Šichtancovi, jsme položili tři otázky na téma Security Operation Center (SOC) a bezpečnostní monitoring.
Jaké povahové vlastnosti (mindset) mají mít lidé, kteří pracují v SOCu na vrstvě L1, L2. A proč?
Jako důležitý předpoklad zde vnímám otevřenou mysl a smysl pro detail, protože práce analytiků v SOC znamená sledovat a dávat do souvislostí mnoho věcí najednou. Pro dobré fungování SOCu je také nutná úzká a efektivní spolupráce s kolegy z ostatních týmů, a to nejen bezpečnostních, takže se určitě hodí být vnitřně “nastaven” jako týmový hráč s dobrou komunikací.
Jak vidíte vaše služby SOCu pro vaše klienty v horizontu 3-5 let? Myslím tím technologie (rozvoj), lidské zdroje (stále chybí) a kybernetické hrozby (nárůst počtu útoků)?
Do budoucna určitě můžeme očekávat, že kybernetické útoky budou přibývat a kybernetické hrozby budou stále více a více sofistikované. Z tohoto pohledu je SOC a celá oblast bezpečnostního monitoringu pod tlakem na to neustále reagovat, rozvíjet se a inovovat.
Problém řady SOC týmů je, že jsou nuceny manuálně zpracovávat příliš mnoho upozornění a událostí, které nejsou schopny kapacitně zvládnout. Naším cílem proto je nepřistupovat k bezpečnostním událostem pouze reaktivně, ale zaměřit se více na proaktivní přístup při identifikaci kybernetických hrozeb. Toho budeme schopni dosáhnout pouze tak, že budeme dále zvyšovat míru automatizace v procesu detekce bezpečnostních incidentů. Chtěli bychom kolegům v SOC poskytnout podmínky pro to, aby se mohli profilovat spíše do rolí „Threat Hunterů“ a byli lépe vybaveni, kompetenčně i technicky, k identifikaci pokročilých kybernetických hrozeb.
S tím souvisí i další z kroků a tím je větší sblížení týmů penetračních testerů a pracovníků SOC, chcete-li tzv. Red Team a Blue Team, do jednoho virtuálního týmu (Purple Team). Od toho si slibujeme systematické zvyšování kvality bezpečnostního monitoringu a detekčních schopností SOC a zároveň umožníme kolegům využít znalosti technik a taktik útočníků pro účely ochrany.
Již dávno je zřejmé, že pro správnou a včasnou detekci kybernetických incidentů nestačí soustředit se pouze na indikátory kompromitace (tzv. IoC), ale právě na reálné TTPs (Taktiky, Techniky, Procedury), které jsou velmi dobře zpracované např. ve formě volně dostupného pracovního rámce MITRE ATT&CK®. V tomto kontextu si pak my, ale i kdokoliv, kdo buduje nebo rozvíjí bezpečnostní monitoring, musíme neustále klást otázky: Jaké datové zdroje informací máme k dispozici? Jaké techniky a taktiky útočníků jsou pro nás důležité/prioritní v kontextu našeho prostředí? Jaká detekční pravidla máme k dispozici a jak je můžeme nasadit např. ve formě pravidel v SIEMu a jaké je pak naše skutečné pokrytí těchto TTPs, které nám generuje alerty v bezpečnostním monitoringu?
Co se týče technického řešení pro bezpečnostní monitoring, aktuálně se zabýváme možnostmi dalšího technologického vylepšení naší SIEM platformy a komponent sloužících k detekci a reakci na kybernetické hrozby, jako jsou např. IDPS, EDR a další prvky zabezpečení infrastruktury a koncových stanic. Klíčové parametry jsou pro nás rozsah detekce, škálovatelnost, rychlost řešení a pokročilé analytické funkce. Velké téma do budoucna pro nás je využití AI/ML při analýze dat bezpečnostního monitoringu a hledání bezpečnostních anomálií, které by mohly ukazovat na potenciální bezpečnostní problém, který nebyl odhalen v rámci standardní detekce.
Jaké další externí informační zdroje v bezpečnostním monitoringu využíváte?
V první řadě máme přístup k Threat Intelligence databázím bezpečnostních dodavatelů již v rámci jejich produktů a bezpečnostních řešení, které používáme. Dále využíváme platformu MISP pro sdílení bezpečnostních informací a v neposlední řadě v tomto ohledu spolupracujeme napřímo s vládními, národními a dalšími CERT/CSIRT týmy.