Mida on tegelikult turvaseire ehk SOC-i üles ehitamiseks vaja?

CYBERS 19. jaan. 2022

Kui me oleme küsinud IT- ja tehnoloogiajuhtidelt, milline on nende keskse turvaseire süsteemi (SOC- Security Operations Centre) käivitamise strateegia, siis kaks tüüpilist reaktsiooni on: 

  1. Eneseiroonia. „Meil on veel sellegagi probleeme, et VPN toimiks korralikult. Mis SOC-ist me siin üldse räägime? 
  2. Kurb ja veidi vihane kulmukortsutus: „Ma ei räägi kuidagi välja rahastust korraliku SOC-i loomiseks enne, kui meil pole olnud tõsist intsidenti. Aga siis jääksin ilmselt ka tööst ilma, nii et püüan hakkama saada sellega, mis mul on. 

Mõlemad vastused on seotud kahe väljakutsega: keerukus ja kulud.  

Kulude pool on sageli eriti segane, kuna jääb mulje nagu peaks SOCi tarbeks investeerima ATD, EDR, WAF, UTM, EPO, CAS, WTF, NGFW, CARTA, SIEM, BDSM, SOAR, UEBA ja paljudesse teistesse akronüümidesse. Kuid vähemalt meie SOC-projektide kogemuse põhjal ei ole see päris nii.  

Sest ennekõike on SOC keskuse mõte see, et teil oleks turvalisusega seotud intsidentidest reaalajas koondatud ülevaade ja neile oleks võimalik mõne minuti jooksul reageerida. 

Kindlasti ei ole selle mõte laduda võimalikult palju akronüüme üksteise otsa.  

Edaspidi ignoreerime selguse huvides enamikku ülal nimetatud toodetest ja anname ülevaate neljast peamisest tehnoloogiast, mis on vajalikud eduka SOC-i loomiseks.

SIEM = SOC-i aju

SOC-i tuumaks on töölaud, mis koondab teabe kõigi turvalisusega seotud näitajate ja sündmuste kohta.  Tehnoloogia selle funktsionaalsuse taga kannab nime SIEM (Security Information and Event Management).  Sarnaselt inimajule kogub see signaale ja teavet süsteemi erinevatest osadest ning oskab näha seoseid ja mustreid. 

Tehnoloogia on juba 20 aastat vana ja teeb täpselt seda, millele selle nimi viitab – aitab hallata turvasündmusi (läbi erinevate logide skaneerimise). Nagu iga uus tehnoloogia, oli seegi alguses nii kallis kui ka keeruline: miljonite sündmuste käitlemiseks vajalik riistvara maksis palju ja seda tarnisid väga vähesed müüjad. Tollal oli ka  vähe selle tehnoloogiaga praktilist kogemust omavaid spetsialiste. 

Tänaseks on SIEM-i või SIEM-i sarnaseid lahendusi, ka meie turul, kümneid. Suuremad ja tuntumad neist IBM qRadar, McAfee SIEM, Splunk ja Microsoft Sentinel. 

Enamik neist pakuvad nii serveris töötavaid kui pilvepõhiseid versioone, tänu millele on lahenduse skaleerimine lihtne. 

Mida SIEM-i valimisel silmas pidada?

1. Liidesed küberturbelahendustega 

SIEM vajab ligipääsu erinevatele sündmustele ja logidele. SIEM-i valides veenduge, et valitud tehnoloogial on olemas liidestused teie poolt kasutavate rakendustega. Nii säästate oluliselt juurutus- ja arenduskuludelt. 

2. Kirjeldused tüüpiliste stsenaariumide kohta 

Vaadake üle valitud SIEM-i case study’d. Mida paremini need teie “tüüpilisi” turvaintsidente ja -protsesse kajastavad, seda parem. See tagab, et SOC-i kasutuselevõtt kulgeb sujuvamalt. 

3. Kohaliku juurutus- ja kasutajatoe partneri olemasolu  

Kuigi SIEM-lahenduse juurutamine on muutunud palju lihtsamaks, võib siiski tekkida tõkkeid, millest oma jõududega üle ei saa. Seetõttu tasuks valida SIEM, millel on olemas kohalik partner, kellel on olemas praktilised kogemused antud tehnoloogiaga. 

Samuti soovitame lähemalt võrrelda mitut erinevat tehnoloogiat. Kuigi SIEM-i investeering ei ole enam nii meeletu investeering, kaasneb sellega siiski märkimisväärne raha- ja ajakulu. 2–3 toodet võiks paralleelselt testida, nii saab juba piisava ülevaate, mis on parim lahendus teie jaoks.  

Kuidas edasi?

Kui SIEM on juurutatud ehk SOC-i aju on paigas, siis mis on järgmised sammud? 

Inimfaktor on alati ohukoht 

Tuletame nüüd meelde artikli alguses nimetatud akronüümid. Isegi kui ettevõttes on nende tähendust ja praktilist rakendamist hästi tundvad spetsialistid olemas, jääb IT turvalisuse suurimaks probleemiks jätkuvalt töötajate käitumine. Sageli näeme, et turvalisuse põhitõdesid eiratakse eelkõige pilvelahenduste puhul. On levinud teadmine, et pilvekeskkonnad on turvalised. 

Kuid ära kiputakse unustama seda, et muidu tugeva küberkaitse strateegiaga pilvelahenduste puhul on alati üks potentsiaalselt nõrk koht: kasutajakontod. Piisab ühe töötaja ligipääsudest, et küberkurjategijal oleks võtmed kõigile andmetele, millele vastav töötajal on ligipääs. 

Lisaks kaheastmelisele autentimisele (2FA) soovitame me alati toetada SOC-i lisaks CAS/B tööriistaga. CASB (Cloud Access Security Broker) on abiks nii monitoorimisel kui kiirel vastureageerimisel. 

Miks kasutada lisaks CASB-lahendust?

  • Võimaldab ülevaadet kasutajate süsteemile juurdepääsu mustritest
  • Hõlbustab andmete liikumist pilvede vahel
  • Pakub paindlikku juurdepääsukontrolli
  • Pakub täiendavad logid analüüsimiseks
  • Pakub täiendavat ülevaadet nõuetele vastavusest
  • Võimaldab kasutajakontosid kiirelt kinni panna 

 CASB-i peamine eelis on kiirus, millega see võimaldab intsidendi korral juurdepääsu kindlalt sulgeda. 

Range seadmepoliitika ja regulaarsed turvakontrollid

Teine inimkäitumisel põhinev risk, millega paljud turvameeskonnad silmitsi seisavad, on seotud kodukontorite ja isiklike seadmetega, mida kasutatakse ka töö tegemiseks.  Seadmete hulk, millega kasutatakse ettevõtte võrku ja süsteeme, on meeletult kasvanud. Seadmete turvameetmed on aga pahatihti olematud.  

Selline olukord on avanud palju uusi uksi ja aknaid küberkurjategijatele, kes otsivad pidevalt viise, et ettevõtte turvameeskonna radarist osavalt mööda hiilida. Turvalisuse seisukohast on lisaks kasutajate pidevale koolitamisele ainus viis asju korras hoida regulaarne haavatavuse testimine. 

Käitades sellist kontrolli igakuiselt (ideaaljuhul iganädalaselt), suudab turvameeskond turvaaugud avastada. Saadud andmete ühendamine SIEM-iga annab edasiseks veelgi rohkem teavet potentsiaalsete intsidentide ja võimalike probleemide kohta. 

Inimfaktori riskide vastu saab vaid pideva õppimisega

Viimane, kuid mitte vähem tähtis soovitus on ühendada oma SOC õppeplatvormiga, mis sisaldab ajakohast turvateadlikkuse moodulit, mis on loodud kasutajate testimiseks ja harimiseks küberturvalisuse ja riskide teemadel. Neid on veebis saadaval erinevaid.  

Säärase liidestuse mõte on selles, et kui näiteks kasutaja on olnud andmepüügi rünnaku sihtmärk (ükskõik kas rünnak oli edukas või mitte), saadab SOC meeskond sellele kasutajale automaatse kutse andmepüügi koolitusele. 

Oleme kursis ka ettevõtete murega,  et mõned inimesed ignoreerivad turvakoolitusi järjepidevalt. Näeme, et vastavate reeglite rakendamiseks peab IT meeskonnal olema juhtkonna tugi.  

Samuti on turvakoolitused ja -teadlikkuse tõstmise tööriistad kasulikud mõõdikud ka organisatsiooni üldise turvateadlikkuse taseme mõõtmiseks.  

Samuti suudab teie turvameeskond regulaarsete kasutajate testide/küsitluste läbiviimise abil ka potentsiaalseid probleeme paremini ennetada ja SOC-ile uusi funktsionaalsusi lisada. 

Milline saab olema tuleviku SOC? 

SOC 1.0 oli manuaalne ja mitteintuitiivne tööriist, mis tugines peaaegu täielikult analüütikute silmadele ja mõistusele.  

SOC 2.0 Täna on enamikes ettevõtetes kasutusel SOC 2.0. Detailne ja iga ettevõtte jaoks kohandatav töölaud, mille abil saab kiire ülevaate, milline seis on. Internetis on piisavalt infot, mis aitab kõike vajalikku kiirelt ja hõlpsalt seadistada. 

 SOC 3.0, juba liigume ka SOC 3.0 poole, mis automatiseerib SOC-i protsesse veelgi.  Masinõpe ja tehisintellekt loovad tulevikus palju erinevaid lisavõimalusi. 

Neile, kes juba täna on SOC-i teemas kõrgema küpsustaseme saavutanud, soovitame kaaluda SOAR ja UEBA lisamist. 

SOAR akronüüm tähistab turvalisust, orkestreerimist, automatiseerimist ja reageerimist. Täna näeme seda pigem SIEM-i täiendava lahendusena, mis vähendab reaktsiooniaega minutitele või sekunditele. Tulevikus võib see aga SIEM-i funktsioonid üldse üle võtta. 

UEBA (User and Event Behavioural Analytics) kasutab masinõpet ja süvaõpet, et mõista kasutajate ja sissetungijate käitumismustreid. Kui täna peame veel turvasüsteemidele ütlema, milline on kahtlane käitumine, siis UEBA suudab selle ise kindlaks teha. 

Kulub veel paar aastat, enne kui need kaks uuemat tehnoloogiat laialdasemasse kasutusse võetakse, kuid ka meil on esimesed muljet avaldanud rakenduskogemused käes.  

Kui vajate SOC-i valimisel ja üles ehitamisel abi, siis võtke meiega ühendust!

Jaga

Märksõnad

Seotud teenused

Loe edasi

Märksõnad

Jaga

Viimased postitused

20. apr. 2022

Rita Käit-Vares: kiirustamine ja hajutatud tähelepanu on vesi küberpättide rahaveskile

Küberründe kahjusid ei saa panna alati numbrite keelde, kuid küberkurjategijad on tajunud ära piiri, kui palju on ettevõtted nõus maksma lunavararünnaku lõpetamise eest – see on keskmiselt 5% ettevõtte aastasest müügitulust. Räägime küberohtudest ja nende ennetamise võimalustest. Intervjuu Security Software OÜ partneri ja juhatuse liikme Rita Käit-Varesega.

Loe edasi
19. jaan. 2022

Mida on tegelikult turvaseire ehk SOC-i üles ehitamiseks vaja?

Ennekõike on SOC keskuse mõte see, et teil oleks turvalisusega seotud intsidentidest reaalajas koondatud ülevaade ja neile oleks võimalik mõne minuti jooksul reageerida. Panime kirja tähelepanekud, mida on mõistlik teada SOC-i üles ehitamisest.

Loe edasi
19. jaan. 2022

Kuidas aitab majasisene turvaseire (SOC) leevendada küberohte?

Küberturvalisus on küll teema, millest on hakatud rohkem rääkima, kuid jätkuvalt suhtutakse sellesse pigem reaktiivselt ja mitte proaktiivselt. Ehk siis oma ettevõtte kontekstis hakatakse sellele tõsisemalt mõtlema alles siis, kui midagi on juba juhtunud. 

Loe edasi

Kas teil on probleeme küberkurjategijatega? Kas arvate, et olete ohus?

Pakume laiahaardelist valikut küberturvalisuse teenuseid, tooteid ja lahendusi. Vajaliku lahenduse paneme kokku vastavalt iga organisatsiooni vajadustele.