Kui me oleme küsinud IT- ja tehnoloogiajuhtidelt, milline on nende keskse turvaseire süsteemi (SOC- Security Operations Centre) käivitamise strateegia, siis kaks tüüpilist reaktsiooni on:
Mõlemad vastused on seotud kahe väljakutsega: keerukus ja kulud.
Kulude pool on sageli eriti segane, kuna jääb mulje nagu peaks SOCi tarbeks investeerima ATD, EDR, WAF, UTM, EPO, CAS, WTF, NGFW, CARTA, SIEM, BDSM, SOAR, UEBA ja paljudesse teistesse akronüümidesse. Kuid vähemalt meie SOC-projektide kogemuse põhjal ei ole see päris nii.
Sest ennekõike on SOC keskuse mõte see, et teil oleks turvalisusega seotud intsidentidest reaalajas koondatud ülevaade ja neile oleks võimalik mõne minuti jooksul reageerida.
Kindlasti ei ole selle mõte laduda võimalikult palju akronüüme üksteise otsa.
Edaspidi ignoreerime selguse huvides enamikku ülal nimetatud toodetest ja anname ülevaate neljast peamisest tehnoloogiast, mis on vajalikud eduka SOC-i loomiseks.
SOC-i tuumaks on töölaud, mis koondab teabe kõigi turvalisusega seotud näitajate ja sündmuste kohta. Tehnoloogia selle funktsionaalsuse taga kannab nime SIEM (Security Information and Event Management). Sarnaselt inimajule kogub see signaale ja teavet süsteemi erinevatest osadest ning oskab näha seoseid ja mustreid.
Tehnoloogia on juba 20 aastat vana ja teeb täpselt seda, millele selle nimi viitab – aitab hallata turvasündmusi (läbi erinevate logide skaneerimise). Nagu iga uus tehnoloogia, oli seegi alguses nii kallis kui ka keeruline: miljonite sündmuste käitlemiseks vajalik riistvara maksis palju ja seda tarnisid väga vähesed müüjad. Tollal oli ka vähe selle tehnoloogiaga praktilist kogemust omavaid spetsialiste.
Tänaseks on SIEM-i või SIEM-i sarnaseid lahendusi, ka meie turul, kümneid. Suuremad ja tuntumad neist IBM qRadar, McAfee SIEM, Splunk ja Microsoft Sentinel.
Enamik neist pakuvad nii serveris töötavaid kui pilvepõhiseid versioone, tänu millele on lahenduse skaleerimine lihtne.
1. Liidesed küberturbelahendustega
SIEM vajab ligipääsu erinevatele sündmustele ja logidele. SIEM-i valides veenduge, et valitud tehnoloogial on olemas liidestused teie poolt kasutavate rakendustega. Nii säästate oluliselt juurutus- ja arenduskuludelt.
2. Kirjeldused tüüpiliste stsenaariumide kohta
Vaadake üle valitud SIEM-i case study’d. Mida paremini need teie “tüüpilisi” turvaintsidente ja -protsesse kajastavad, seda parem. See tagab, et SOC-i kasutuselevõtt kulgeb sujuvamalt.
3. Kohaliku juurutus- ja kasutajatoe partneri olemasolu
Kuigi SIEM-lahenduse juurutamine on muutunud palju lihtsamaks, võib siiski tekkida tõkkeid, millest oma jõududega üle ei saa. Seetõttu tasuks valida SIEM, millel on olemas kohalik partner, kellel on olemas praktilised kogemused antud tehnoloogiaga.
Samuti soovitame lähemalt võrrelda mitut erinevat tehnoloogiat. Kuigi SIEM-i investeering ei ole enam nii meeletu investeering, kaasneb sellega siiski märkimisväärne raha- ja ajakulu. 2–3 toodet võiks paralleelselt testida, nii saab juba piisava ülevaate, mis on parim lahendus teie jaoks.
Kui SIEM on juurutatud ehk SOC-i aju on paigas, siis mis on järgmised sammud?
Inimfaktor on alati ohukoht
Tuletame nüüd meelde artikli alguses nimetatud akronüümid. Isegi kui ettevõttes on nende tähendust ja praktilist rakendamist hästi tundvad spetsialistid olemas, jääb IT turvalisuse suurimaks probleemiks jätkuvalt töötajate käitumine. Sageli näeme, et turvalisuse põhitõdesid eiratakse eelkõige pilvelahenduste puhul. On levinud teadmine, et pilvekeskkonnad on turvalised.
Kuid ära kiputakse unustama seda, et muidu tugeva küberkaitse strateegiaga pilvelahenduste puhul on alati üks potentsiaalselt nõrk koht: kasutajakontod. Piisab ühe töötaja ligipääsudest, et küberkurjategijal oleks võtmed kõigile andmetele, millele vastav töötajal on ligipääs.
Lisaks kaheastmelisele autentimisele (2FA) soovitame me alati toetada SOC-i lisaks CAS/B tööriistaga. CASB (Cloud Access Security Broker) on abiks nii monitoorimisel kui kiirel vastureageerimisel.
Miks kasutada lisaks CASB-lahendust?
CASB-i peamine eelis on kiirus, millega see võimaldab intsidendi korral juurdepääsu kindlalt sulgeda.
Teine inimkäitumisel põhinev risk, millega paljud turvameeskonnad silmitsi seisavad, on seotud kodukontorite ja isiklike seadmetega, mida kasutatakse ka töö tegemiseks. Seadmete hulk, millega kasutatakse ettevõtte võrku ja süsteeme, on meeletult kasvanud. Seadmete turvameetmed on aga pahatihti olematud.
Selline olukord on avanud palju uusi uksi ja aknaid küberkurjategijatele, kes otsivad pidevalt viise, et ettevõtte turvameeskonna radarist osavalt mööda hiilida. Turvalisuse seisukohast on lisaks kasutajate pidevale koolitamisele ainus viis asju korras hoida regulaarne haavatavuse testimine.
Käitades sellist kontrolli igakuiselt (ideaaljuhul iganädalaselt), suudab turvameeskond turvaaugud avastada. Saadud andmete ühendamine SIEM-iga annab edasiseks veelgi rohkem teavet potentsiaalsete intsidentide ja võimalike probleemide kohta.
Viimane, kuid mitte vähem tähtis soovitus on ühendada oma SOC õppeplatvormiga, mis sisaldab ajakohast turvateadlikkuse moodulit, mis on loodud kasutajate testimiseks ja harimiseks küberturvalisuse ja riskide teemadel. Neid on veebis saadaval erinevaid.
Säärase liidestuse mõte on selles, et kui näiteks kasutaja on olnud andmepüügi rünnaku sihtmärk (ükskõik kas rünnak oli edukas või mitte), saadab SOC meeskond sellele kasutajale automaatse kutse andmepüügi koolitusele.
Oleme kursis ka ettevõtete murega, et mõned inimesed ignoreerivad turvakoolitusi järjepidevalt. Näeme, et vastavate reeglite rakendamiseks peab IT meeskonnal olema juhtkonna tugi.
Samuti on turvakoolitused ja -teadlikkuse tõstmise tööriistad kasulikud mõõdikud ka organisatsiooni üldise turvateadlikkuse taseme mõõtmiseks.
Samuti suudab teie turvameeskond regulaarsete kasutajate testide/küsitluste läbiviimise abil ka potentsiaalseid probleeme paremini ennetada ja SOC-ile uusi funktsionaalsusi lisada.
SOC 1.0 oli manuaalne ja mitteintuitiivne tööriist, mis tugines peaaegu täielikult analüütikute silmadele ja mõistusele.
SOC 2.0 Täna on enamikes ettevõtetes kasutusel SOC 2.0. Detailne ja iga ettevõtte jaoks kohandatav töölaud, mille abil saab kiire ülevaate, milline seis on. Internetis on piisavalt infot, mis aitab kõike vajalikku kiirelt ja hõlpsalt seadistada.
SOC 3.0, juba liigume ka SOC 3.0 poole, mis automatiseerib SOC-i protsesse veelgi. Masinõpe ja tehisintellekt loovad tulevikus palju erinevaid lisavõimalusi.
Neile, kes juba täna on SOC-i teemas kõrgema küpsustaseme saavutanud, soovitame kaaluda SOAR ja UEBA lisamist.
SOAR akronüüm tähistab turvalisust, orkestreerimist, automatiseerimist ja reageerimist. Täna näeme seda pigem SIEM-i täiendava lahendusena, mis vähendab reaktsiooniaega minutitele või sekunditele. Tulevikus võib see aga SIEM-i funktsioonid üldse üle võtta.
UEBA (User and Event Behavioural Analytics) kasutab masinõpet ja süvaõpet, et mõista kasutajate ja sissetungijate käitumismustreid. Kui täna peame veel turvasüsteemidele ütlema, milline on kahtlane käitumine, siis UEBA suudab selle ise kindlaks teha.
Kulub veel paar aastat, enne kui need kaks uuemat tehnoloogiat laialdasemasse kasutusse võetakse, kuid ka meil on esimesed muljet avaldanud rakenduskogemused käes.
Kui vajate SOC-i valimisel ja üles ehitamisel abi, siis võtke meiega ühendust!
Tänapäeva kiiresti arenevas digimaailmas on ettevõtete edu võti pakkuda mitte ainult innovaatilisi, vaid ka turvalisi teenuseid. KüberCASTi viimases osas jagas Andres Kostiv, teenusedisaini ja kasutajakogemuse ekspert, olulisi teadmisi ja näpunäiteid, kuidas integreerida küberturvalisus teenusedisaini, et luua kliendikeskseid ja turvalisi digilahendusi.
Mullu tabas lunavararünnak kaht Harjumaal tegutsevat metallitööstusettevõtet, kus töötab kokku ligi 400 inimest. Firmade juhid räägivad avatult, mis ja miks juhtus, et aidata teistel sarnaseid ohte vältida.
Süvene andmeturbe ja tehisintellekti keerukesse, et mõista, kuidas need pöördelised tehnoloogiad muudavad äristrateegiaid ja tegevuse tõhusust.
