CTRL - generációk

SOC generációk

Ma már boldog békeidőknek tűnnek azok az évek, amikor a vállalatoknak nem nagyon kellett az információbiztonsággal törődniük. A T-Systems Magyarország és elődcégei a kezdetektől aktív részesei, sőt, alakítói voltak a hazai IT-biztonság fejlődésének, így messzire visszanyúló tapasztalataik vannak a fenyegetettségek és az ügyféligények változásairól.

Nagyjából 20 évvel ezelőtt kezdett egyre világosabban látszani, hogy a korábban csak a megbízható rendszerműködést biztosító felügyeleti és menedzsment eszközöket fel kell készíteni az biztonsági incidensek, a belülről és kívülről jövő támadások kezelésére is. Ekkor kezdődött meg a szerverekből, hálózati és biztonsági eszközökből származó naplóállományok, logok központi gyűjtése és tárolása – kis túlzással ezt nevezhetjük a Security Operation Centerek (SOC-ok) első generációjának. Kezdetben csak annyi történt, hogy a nyers logokat bármiféle szűrés, feldolgozás vagy korreláció nélkül egyetlen központi tárhelyen gyűjtötték össze, egy incidens után pedig ebből az adathalmazból próbáltak rájönni, hogy mi is történhetett. Tekintve, hogy egyetlen tűzfal naponta könnyedén generál tízmillió sornyi logot, ez meglehetősen nehézkesnek bizonyult. Az első generációs SOC-okkal csak nagyon lassú és utólagos reakciókra nyílt lehetőség a biztonsági incidensek kapcsán.

Tízegynéhány évvel ezelőtt ezért megjelent a SOC-ok második generációja. Ebben már olyan rendszerek működtek, amelyek nem csak központilag gyűjtötték a naplóállományokat, hanem a különböző forrásból származó logokat korrelálni is tudták egymással, és az előre beállított paramétereket figyelve még riasztásokat is küldhettek az üzemeltetőknek. Ezekkel az úgynevezett SIEM (Security Information and Event Management) eszközökkel már kevésbé nyilvánvaló összefüggéseket is fel lehetett ismerni, illetve beállíthatók voltak határértékek bizonyos eseményekhez. Például a napi normális működés része, hogy reggelente a dolgozók részéről van 1200 sikeres és húsz sikertelen bejelentkezés a vállalati címtárba. De ha egyik reggel tízezer sikertelen bejelentkezést észlel a rendszer, az valamilyen anomáliára utal – még ekkor sem biztos, hogy biztonsági incidensről van szó (lehet rendszerhiba is), de mindenképpen utána kell nézni.

A világ fejlettebb részein ekkor jelentek meg az informatikai üzemeltetéstől független, azoknak nem alárendelt első IT-biztonsági csapatok is. Ennek azért van nagy jelentősége, mert az üzemeltetés a minél egyszerűbb, a biztonsági csapat pedig a minél biztonságosabb működésben érdekelt, így szempontjaik (mondjuk a jogosultsági beállításokról vagy a jelszavak cseréjéről) gyakran ütköztek is egymással.

A második generációs SOC-ok sokkal hatékonyabbak voltak elődjeiknél, de még mindig inkább csak a reagálásra, az utólagos kárelhárításra voltak alkalmasak. Meg kellett várni a harmadik generáció létrejöttét, hogy már a megelőzésre is nagyobb figyelem jusson. Ennek leggyakoribb formája a sérülékenységek feltérképezése, vizsgálata, akár automatizált szkennelő rendszerekkel, akár biztonsági szakemberek bevetésével (behatolási tesztek, etikus hackelés). A sérülékenységek alapos vizsgálatával jobban fel tud készülni a vállalat az esetleges támadásokra, és azt is tudni fogja, hogy milyen felmerülő veszélyek ellen nem kell védekeznie, mert azok nem érintik őt.

Számos sérülékenységet viszonylag egyszerűen fel lehet számolni (például újabb szoftververziók vagy biztonsági frissítések telepítésével); más esetekben a biztonsági beállítások módosítására vagy folyamatok finomhangolására lehet szükség. Az is előfordul, hogy adott sérülékenységet nem lehet megszüntetni (mert például egy kritikus alkalmazás futtatásához szükség van a régebbi adatbázisra) – ilyenkor egyéb védelmi intézkedésekkel lehet a kockázatokat csökkenteni.

Manapság már a negyedik generációs SOC-ok számítanak modernnek, és a T-Systems Magyarország CTRL központja is ilyen. Ezek már a legújabb fenyegetésekre is próbálnak felkészülni, ezekhez a legújabb technikai lehetőségeket – pl. mesterséges intelligencia bevetése –, és külső szolgáltatók információit is felhasználják.

A negyedik generációs SOC-ok működésében alapvető fontosságúak az úgynevezett threat intelligence szolgáltatások. Az erre szakosodott szolgáltatók folyamatosan nyomon követik a világ információbiztonsági történéseit, a legfrissebb támadásokat, a veszélyeztetett iparágakat, a hackercsoportok tevékenységét. Ezekről egyrészt automatikusan felhasználható, az eszközökbe integrálható információkat közölnek (veszélyes IP-címek, fertőzött állományok lenyomatai, vírusadatbázisok, stb). Rendszeresen készítenek ugyanakkor szöveges elemzéseket, hírleveleket, amelyek egy-egy hackercsoport aktivitását, egy új támadási módszer leírását vagy éppen egy iparág veszélyeztetettségét taglalják. Az ilyen friss információk birtokában a még ismeretlen veszélyek ellen is könnyebb felkészülni. Ha az ukrán energiaszektort vagy a szlovák bankokat támadás éri, akkor jó eséllyel lehet számítani a támadás hazai felbukkanására is – de ha a magyar szakemberek már ezen információk birtokában vannak, nagyobb valószínűséggel fedezik fel a mégoly jól elrejtett támadásokat is.A modern SOC-ok egyre nagyobb mértékben támaszodnak a Big Data elemzésekre és a mesterséges intelligenciára is. Az óriási adatmennyiségek szofisztikált analízisével, a rejtett összefüggések minden eddiginél hatékonyabb keresésével könnyebben és gyorsabban lehet azonosítani a támadásokra, fertőzésekre utaló, de egymással látszólag össze nem függő jeleket. Szintén a mesterséges intelligencia segíthet abban, hogy ne csak a vállalat összes dolgozójának egyesített szokásaitól való eltérést figyeljük, hanem az egyes dolgozók viselkedésében is megtaláljuk a gyanús jeleket. Az eszközök feltérképezik, hogy milyen a felhasználó tipikus viselkedése munkanapokon (mikor és milyen sorrendben jelentkezik be a rendszerekbe, milyen programokat, adatbázisokat használ, milyen weboldalakat látogat, kikkel kommunikál). Ha a szokásostól eltérő viselkedést észlel a rendszer (például a felhasználó egyszer csak elkezd adatokat küldeni kínai szerverekre), egyből riaszt.

A negyedik generációs Security Operation Centerek a külső szolgáltatások és adatforrások bevonásával, a mesterséges intelligencia és a nagy adatokon használt elemzési módszerek alkalmazásával nem csak a támadások utólagos elemzését, hanem azok elhárítását és detektálását is sokkal hatékonyabbá teszik.