CTRL - Szolgáltatások

Szolgáltatásaink

A CTRL tevékenységének alapját az ügyfélrendszer biztonsági állapotának folyamatos figyelése, az események elemzése jelenti, erre építettük fel szolgáltatásait. A hazai ügyféligényeket figyelembe véve az általános működési modellünket úgy alakítottuk ki, hogy a vizsgált naplóállományok az ügyfél rendszerében maradnak, azokhoz a CTRL szakemberei csak távoli hozzáférést kapnak.

A szolgáltatási portfolióknak négy nagy pillére van, amelyek kölcsönösen erősítik egymást: megelőzés; detektálás; incidenskezelés; és kiértékelés, visszacsatolás. A hatékony megelőzés révén kevesebb lesz a támadás és könnyebb azok észlelése; a veszélyek gyors detektálása egyszerűsíti az incidenskezelést; a tanulságok levonása és azok visszavezetése a védelmi rendszerekbe pedig ismét csak javítja a megelőzés minőségét.

1. Megelőzés

A megelőzési tevékenységhez tartozó egyik klasszikus szolgáltatás a sérülékenységelemzés. Ez történhet automatikusan (szkennelés), illetve biztonsági szakemberek bevonásával (etikus hacking). Előbbi esetben egy erre a célra szolgáló szoftver végigvizsgálja az ügyfél infrastruktúráját (hardverek, operációs rendszerek, adatbázis-kezelők, alkalmazások, egyebek), és jelzi mindazokat a hiányosságokat, amelyek gyengítik a rendszerek védelmi képességeit. Ilyen hiba lehet a biztonsági szoftverfrissítések hiánya, alapértelmezett jelszavak használata, feleslegesen nyitva hagyott kommunikációs csatornák, nem megfelelő biztonsági beállítások. Ezek ismeretében már célzottan lehet nekiállni a rendszerek megerősítésének, vagy ha arra valamilyen okból nincs lehetőség, a kockázatok más módon történő minimalizálásának. A szkennelést érdemes rendszeresen elvégezni, hiszen az infrastruktúra is folyamatosan változik és a felfedezett sérülékenységek száma is napról napra nő.

Az etikus hackelés ennél jóval kiterjedtebb. Etkus hackereink előre jól definiált keretek között megpróbálnak behatolni a rendszerekbe, és ott adatokhoz hozzáférni. Speciális ügyféligény esetén ehhez  esetben nem csak számítógépes eszközöket használnak, hanem minden biztonsági rendszer leggyengébb elemét, az embert is „támadják”, vagyis megpróbálnak a támadáshoz felhasználható információkat kicsalni a nem kellően óvatos felhasználóktól.A megelőzési szakasz fontos szolgáltatása a kibertámadások szimulálásán alapuló kibergyakorlat elvégeztetése. Ezeken elég gyorsan kiderülhet, hogy a papíron kiválónak látszó védelmi intézkedési tervek (üzletfolytonossági és kommunikációs  terv, rendszerek és adatok visszaállításának terve) valós körülmények között is megállják-e a helyüket. Egy ilyen kibervédelmi hadgyakorlatnak az az előnye is megvan, hogy a felsővezetés figyelmét is ráirányíthatja az információbiztonság fontosságára.

Igazi negyedik generáció SOC-ként a CTRL külső adatforrásokat is bevon az ügyfelek prevenciós képességeinek javításába. Egyrészt a gyártóktól is folyamatosan érkeznek a termékeikre vonatkozó legfrissebb biztonsági információk, de ennél is fontosabbak lehetnek az úgynevezett threat intelligence (információbiztonsági hírszerzési) szolgáltatók. Ez a biztonsági szakma egy egészen új ága, amely sokféle információforrásból és –fajtával dolgozik. Figyelik a hírhedt hackercsoportok tevékenységét, az új támadási formákat, a támadásoknak kitett vállalatokat és iparágakat, a károsnak ítélt webhelyek IP-címeit. A gyártóktól, szolgáltatóktól származó információk között vannak olyanok, amelyek közvetlenül is beépíthetők a védelmi rendszerekbe (például a gyanús IP-címek), míg a többit másképp dolgozzák fel szakembereink. A szöveges információk alapján biztonsági elemzőink az ügyfél jellemzői és igényei szerint testre szabott hírleveleket állítanak össze arról, hogy mi hír van a kibervilágban, milyen veszélyek fenyegetik őket, milyen támadások érik térségük vagy iparáguk cégeit, találtak-e új sérülékenységeket az általuk is használt rendszerekben, alkalmazásokban, szolgáltatásokban.A támadások megelőzésében egyre nagyobb szerep jut a mesterséges intelligenciának is; ennek különféle felhasználási módozatait, alkalmazási lehetőségeit folyamatosan kutatják szakembereink.

2. Detektálás

A támadások és veszélyek észlelésében a legtöbb esetben az ügyféloldalon működő logelemző rendszerekre támaszkodik a CTRL. Bizonyos események korrelációjánál vagy az előre meghatározott küszöbértékek meghaladásánál riasztásokat ad a rendszer. Itt is nagy segítséget jelent a mesterséges intelligencia és a Big Data elemzési módszerek használata, hiszen óriási mennyiségű adatot kell szinte valós időben és számos különféle szempont szerint feldolgozni.

Az előre definiált korrelációs szabályrendszerek vagy köszöbértéken alapuló riasztások mellett a humán monitorozásnak, azaz „huntingnak” is nagy szerepe van az anomáliák, incidensgyanús esetek detektálásában. Előfordulhat, hogy egy ügyfélnél fény derül egy újfajta támadási vektorra, valamelyik gyártótól kapunk figyelmeztetést, vagy felfedezünk egy új kártevőt. Ilyenkor a hasonló iparágban tevékenykedő ügyfeleknél (például egy másik banknál) érdemes lehet célzott hajtóvadászatot indítani, és megbizonyosodni arról, hogy őt nem fenyegeti ugyanez a veszély. Ez a tevékenység a legmagasabb szintű tudást és hosszabb időt igénylő feladatok egyike.

3. Incidenskezelés

A beérkező riasztások első szintű kezelése a levele 1-es kollégákfeladata. Ők azok, akik eldöntik, hogy ténylegesen biztonsági eseményekről van-e szó, és ha igen, azok milyen súlyosságúak. A vizsgálat alá vont esetekben szenior elemzőink mélyebben utánanéznek, hogy milyen eszköz jelzett, feltérképezik a korrelációkat, kiderítik, hogy mely rendszerek és hány felhasználó lehet érintett. A kivizsgálás után (az ügyfél igényei szerint) javaslatot tehetünk a szükséges elhárító intézkedésekre, elvégezhetjük a javításokat (bevonva a T-Systems Magyarország más részlegeinek rendszermérnökeit is) vagy ellenőrizhetjük a mások által elvégzett javításokat.

Előfordulhat, hogy egy biztonsági incidensből krízis lesz. Azt még az előkészítő szakaszban kell eldönteni, hogy hol a határ incidens és krízis között, milyen súlyosságú esetekben milyen szintű vezetőket kell bevonni, bizonyos döntéseket – például egy internetes szolgáltatás vagy egy alkalmazásszerver leállítását – ki hozhat meg. A súlyosabb krízishelyzetek hatékony kezelésére a CTRL központban az ügyfelek rendelkezésére áll egy úgynevezett war room is. Ez egy minden modern kommunikációs eszközzel (egyebek mellett videokonferencia készülékekkel) felszerelt helyiség, ahol az ügyfél magas üzleti és műszaki vezetői testközelből követhetik nyomon az eseményeket és lehetnek jelen, ha sürgős döntéseket kell meghozni. A krízis elhárításán dolgozó kollégák az elemző helyiség bármely monitorának képét be tudják adni a war roomba, így folyamatosan tájékoztathatják az ügyfelet a munka menetéről.Minden incidens egy jelentés megírásával és átadásával zárul. Az ügyfélnek az általa kért mélységben és részletességgel leírjuk, hogy mi történt, mely rendszerek és felhasználók voltak érintettek, hogyan történt az incidens elhárítása és milyen tanulságok vonhatók le az esetből.

4. Kiértékelés, visszacsatolás

Az utóbbi elválaszthatatlan részét képezi egy SOC működésének. Minden incidens alaposan ki kell értékelni és meghatározni, mit szükséges tenni, hogy hasonló incidens még egyszer ne fordulhasson elő. Lehet, hogy másképp kell konfigurálni egy védelmi rendszert; esetleg a folyamatokon kell javítani. A jó SOC ettől függetlenül is rendszeresen átvizsgálja működését, és megnézi, mivel tudná még hatékonyabbá tenni azt, hogyan tudná rövidíteni a válaszidőket.SOC központot a nagyvállalatok maguk is tudnának kiépíteni és működtetni. Az incidensek megelőzésében, detektálásában és elhárításában akár még egészen jó munkát is végezhetnek, de az események elemzésében minden bizonnyal elmaradnának egy erre szakosodott szolgáltató, mint a CTRL mögött. Egy vállalati SOC csak a cég saját rendszereivel foglalkozik, így tapasztalatai is csak onnan lehetnek. Ezzel szemben a CTRL és munkatársai számos ügyfelet és számos iparágat kiszolgálnak, ugyanúgy találkoznak ipari rendszerekkel mint pénzügyi alkalmazásokkal vagy éppen klasszikus irodai környezettel. Ennek köszönhetően szélesebb körű tapasztalatot szereznek, ami felbecsülhetetlen értékű lehet, hiszen az egyik ügyfélnél elsajátított tudást a többinél is hasznosíthatják. Más szóval a mi ügyfeleink az összes ügyfélnél szerzett tapasztalatokat, tanulságokat is megkapják a szolgáltatás részeként.A CTRL másik nagy előnye a szolgáltatási portfolió rugalmassága, akár annak kiterjedtségét, akár mélységét tekintve. Ha az ügyfél csak azt kívánja, csak sérülékenységvizsgálatot végzünk, esetleg a detektálásban működünk közre, a reagálást meghagyjuk a belső csapatnak; de ha kell, aktívan bele tudunk folyni az incidensek kezelésébe. Idődimenzióban is rugalmasak vagyunk: a szolgáltatásainkat igénybe lehet venni a folyamatos 7x24 mellett 5x8, 7x8, órában is.