CTRL - Működés

Amíg összeáll a szolgáltatás

Mint minden Security Operation Center, a CTRL is komplex, az ügyfél igényeihez szabott szolgáltatást nyújt. Ezért aztán a felkészülés és a bevezetés is több munkát igényel és tovább tart, mint mondjuk egy Office-csomag telepítése.Egy SOC akkor tudja igazán hatékonyan betölteni hivatalát, ha minél többet tud az ügyfél rendszereiről, folyamatairól, működéséről, embereiről. Ezért a közös munka első heteiben, hónapjaiban egy rendkívül alapos felmérést kell tartanunk ügyfelünknél. Mindenképpen meg kell ismernünk a kiindulási állapotot: milyen informatikai rendszereket üzemeltet a vállalat, és azokon milyen üzleti folyamatok zajlanak. Milyen konfigurációban működnek a rendszerek, milyen operációs rendszerek és alkalmazások futnak rajtuk, azoknak mely verzióit használja az ügyfél? Hogyan vannak beállítva a védelmi eszközök, milyen szabályokat alkalmaznak?

Az előkészítő szakasz következő lépésben a SOC és az ügyfél közötti kommunikáció műszaki részleteit kell tisztázni. A CTRL működésének alapja, hogy a távolból ellenőrzi az ügyfél naplóállományait, így mindenképpen hozzáférést kell kapnunk a céges SIEM-rendszerhez. Ez természetesen valamilyen biztonságos módon, például a két telephely közötti titkosított VPN-csatornán történik. Abban is meg kell állapodni, hogy a normál üzenetváltás milyen formában történjen – elég a titkosított e-mail, vagy az szeretné az ügyfél, hogy telepítsünk hozzá egy csak erre szolgáló kommunikációs szervert?Ugyancsak előzetes megállapodás kérdése, hogy az ügyfél milyen jogosultságokat biztosít számunkra rendszereiben. Alapesetben olvasni kell tudnunk a naplóállományokat, de az is általános, hogy bizonyos beavatkozásokra – például a logelemző rendszer finomhangolására, új korrelációs szabályok felvitelére – lehetőségeket kapunk.

Fontos tudni, hogy a CTRL saját biztonsági zónával rendelkezik, eszközei, alkalmazásai, hálózatai szeparáltak és függetlenek a T-Systems Magyarország informatikai infrastruktúrájától. Saját külön védelmi megoldásaink garantálják, hogy a CTRL-ból semmilyen adat ne jusson ki a külvilágba és a logelemzési feladatokat teljes biztonsággal, auditálható módon végezzük.

A műszaki kérdések mellett legalább ekkora hangsúlyt kell fektetni az emberi és folyamatbeli szempontokra is. Tisztázni szükséges például azt, hogy kik a VIP-felhasználók. Nem azért, hogy őket gyorsabban kiszolgáljuk, hanem azért, mert ők azok, akik a legtöbb vállalati adathoz férnek hozzá, és emiatt ők az elsődleges célpontjai az adatvadász támadásoknak, így őket fokozottan kell védeni. Itt nem csak a felsővezetés tagjaira kell gondolni, hanem az asszisztenseikre is, hiszen sok esetben ők is hozzáférnek főnökeik levelezéséhez, adataihoz. A VIP-felhasználók harmadik nagy körét pedig az adminisztrátori jogosultsággal rendelkezők (például a rendszergazdák) jelentik, hiszen rajtuk keresztül a támadók gyorsabban eljuthatnak az igazán kényes rendszerekig, adatokig.

A szolgáltatás során a zökkenőmentes együttműködés alapja, hogy minden folyamat, szerep- és jogkör pontosan tisztázott legyen. Ki jelenthet be incidenst az ügyfél részéről? Milyen esetekben mire jogosultak a CTRL munkatársai? Módosíthatunk-e az ügyfél biztonsági beállításain? Ha nem, kinek kell jeleznünk a beavatkozás szükségességét? Mi történik krízis esetén? Ki és milyen körülmények között hozhat meg egy rendkívüli intézkedést (például egy bank internetbanki rendszerének leállítását? Mi van, ha a kijelölt illetékes egyáltalán nem elérhető? Csupa olyan kérdés, amire előre meg kell találni a választ, mert egy incidens közepette már nincs idő ezen vitatkozni. Tisztázni kell, hogy milyen eszkalációs utakat kell követni különleges esetekben. Mi történjen, kit értesítsünk, ha egy belső dolgozó keveredik szándékos károkozás gyanújába? Kit kell keresni, ha az üzemeltetés egyik munkatársa válik gyanússá? Talán nem is kell egyből közbeavatkozni, hanem várni kell, amíg tovább gyűlnek a bizonyítékok…

Végül azt is jó előre le kell fektetni, hogy mikor tekinthető egy incidens lezártnak. Többféle forgatókönyv is elképzelhető, attól függően, milyen szolgáltatásokra tart igényt az ügyfél. Véget érhet a szerepünk azzal, hogy jeleztük a veszélyt; ha kell, tehetünk javaslatokat az elhárításra; de ha kell, ellenőrizni is tudjuk a javítás mikéntjét.

Sokrétű a feladat, ezért a szolgáltatás előkészítő szakasza sem lehet rövid. Az ügyfél méretétől, felkészültségétől és igényeitől függően a bevezetési szakasz három-hat hónapig tart. Ennyi ideig tart, amíg az ügyfél üzemeltetési munkatársai és a CTRL biztonsági szakemberei összeszoknak, megismerik egymást és begyakorolják az incidensek esetén követendő mintákat.

A közös munka természetesen a tranzíciós időszak befejezése után sem áll meg, hiszen a jó SOC egyik ismérve, hogy a tapasztalatok alapján folyamatosan javítja a védekezés és a belső működés hatékonyságát.