Kybernetické útoky dnes ohrožují nejen státní instituce a banky, ale prakticky každou firmu, která pracuje s daty. O tom, jak se firmy mohou bránit, jak funguje Security Operation centrum a co se děje v zákulisí boje s kybernetickými hrozbami, jsme hovořili s Michalem Trtilem, Head of Security and Network Operations Center ve společnosti ANECT. Firma patří už více než tři desetiletí k významným českým dodavatelům IT služeb, specializuje se na kybernetickou bezpečnost, enterprise architekturu a řízené služby. Do portfolia ANECT patří i vlastní inovační hub, z něhož vzešly nástroje jako Clashing nebo XtendISE.
Co si má běžný čtenář představit pod zkratkou SOC?
SOC, tedy Security Operations Center, je zjednodušeně místo, kam se soustředí obrana před útočníky. Jeho úkolem je předcházet kybernetickým hrozbám, detekovat bezpečnostní události a incidenty a následně na ně reagovat. Pracujeme se spoustou dat, která k nám proudí z různých systémů, a snažíme se v nich včas odhalit anomálie, které mohou znamenat bezpečnostní problém. V ideálním případě dříve, než způsobí nějakou škodu.
Máte zkušenost, že firmy o SOC často nemají úplně reálnou představu?
Ano, to se děje velmi často. Existuje představa, že jakmile firma zřídí nebo si objedná SOC, má tím kybernetickou bezpečnost vyřešenou. Jenže SOC je jen jedna část mnohem širšího rámce. Je to preventivní, detekční a reaktivní vrstva, která pomáhá zvládat události a incidenty, ale nezastoupí další důležité prvky, například správné nastavení bezpečnostní architektury, vzdělávání zaměstnanců nebo pravidelné testování odolnosti.
Komu se tedy SOC opravdu vyplatí a kdo jej naopak nepotřebuje?
Jednoduše řečeno SOC je pro každého, kdo má co ztratit. Každá organizace by si měla položit otázku, jaká má aktiva, která chce chránit, a jaká jsou s nimi spojená rizika. Má know‑how? Pracuje s osobními daty? Poskytuje kritické služby? Pokud ano, SOC může být smysluplnou investicí.
Velké firmy, typicky banky, mají interní SOC. Společnosti střední velikosti dost často spoléhají na externí SOC zejména z ekonomických důvodů. Malé firmy využívají základní úrovně našich služeb nebo se na nás obrací formou konzultací. Nejmenší zákazník, se kterým v SOC pracujeme, má do 100 zaměstnanců.
Co byste dnes měli vědět o kybernetické bezpečnosti
Pokud se firma rozhodne SOC využívat, kdy je pro ni výhodnější budovat si ho sama a kdy je lepší objednat si ho jako službu?
Zásadní roli hrají finance, ale i čas a dostupnost kvalifikovaných lidí. Pokud chce firma provozovat vlastní SOC v režimu 24/7, potřebuje minimálně sedm lidí. Musí počítat se směnami, zákonnými přestávkami, zaškolením, fluktuací a hlavně s časem, než se vše podaří vybudovat. Proto doporučujeme většině organizací využít outsourcing. Je důležité ho ale nastavit tak, aby firma nezůstala závislá na jediném dodavateli. Podmínky musí být nastaveny transparentně a tak, aby byl dodavatel v případě potřeby nahraditelný.
Co všechno dělá typický analytik v SOC?
Pracuje s různými technologiemi pro monitorování a analýzu bezpečnostních událostí. Na základě detekcí z těchto technologií reaguje na jednotlivé události. Analytik vyhodnocuje logy z různých zařízení, dívá se na jejich kontext, případně nálezy eskaluje na vyšší úroveň. Pokud jde o incident, aktivuje se proces incident response. Dále máme specialisty na nastavování pravidel v jednotlivých technologiích, specialisty na vyhledávání hrozeb, na správu zranitelností, vzdělávání a další oblasti. Je to pestré.
A jak vypadá běžný den v SOC?
Jelikož služba SOC běží 24/7, každé ráno začíná předáním směny. Následně analytik sleduje události a vyhodnocuje, jestli se jedná o běžný provoz, nebo potenciální hrozbu. Pokud má podezření, analyzuje data do hloubky. Připojuje se do dalších systémů, hledá souvislosti. Někdy se nic neděje, jindy řeší události celý den. Sbíráme data z koncových stanic, serverů, firewallů, síťových prvků, cloudových prostředí a podobně. Navíc SOC řeší nejen bezpečnostní monitoring, ale poskytuje i další služby. Každý den je proto jiný.
Jak často dochází ke skutečnému zásahu?
To záleží na velikosti a typu zákazníka. Někde máme desítky alertů denně, jinde stovky. Bezpečnostní incidenty jsou méně časté, typicky jednotky za rok.
Vzpomenete si na konkrétní případ, kdy SOC zásadně pomohl?
Ano, zažili jsme například situaci, kdy jsme zachytili phishingovou kampaň. Šlo o maily s přílohou, která obsahovala škodlivý kód. Jeden uživatel soubor stáhl. Rychle jsme reagovali, analyzovali jsme kód, izolovali stanici, zablokovali adresy, nasadili opatření. Důležité je, že jsme útok zachytili včas a zabránili dalšímu šíření.
Existují chyby v zabezpečení firem, které se stále opakují? Které jsou nejčastější?
Bohužel jsou to pořád ty stejné. Neměněná hesla opakující se pro různé systémy, sdílené účty, chybějící aktualizace, otevřené porty. Často se něco nastaví dočasně a zapomene se to vrátit zpátky. Firmy neprovádějí aktualizace systémů, ačkoliv výrobce vydal opravy. Nebo když dojde k incidentu, vyřeší se jen akutní problém, ale už neproběhne poučení. Fáze „lessons learned“ chybí.
Která situace vás osobně zatím nejvíce zaskočila, nebo dokonce vyděsila?
Kupodivu nešlo o skutečný problém. Bylo to tabletop cvičení u jednoho velkého zákazníka. Simulovali jsme incident, u stolu seděl celý top management. A bylo naprosto zřejmé, že ti lidé vůbec nevědí, co mají dělat. Neměli nastavené žádné postupy, žádné role. Ta bezmocnost byla děsivá. Pokud přijde reálný útok, a firma není připravená, může to mít vážné následky.
Jak se mění způsoby, jakými útočníci operují?
Dnes existují služby typu ransomware‑as‑a‑service, takže útočníci ani nemusí umět programovat. Koupí si nástroj a útočí. Zvyšuje se využívání AI k přípravě phishingu, ale i ke generování kódu. Ovšem klasické metody jako DDoS nebo zneužití zranitelností jsou stále účinné. Útočníci hledají nejslabší místo.
Jak se tomu dá bránit?
Je potřeba mít strategii, investovat do bezpečnosti kontinuálně. Nečekat, až se něco stane. Správně nastavit architekturu, školit zaměstnance, testovat. A ideálně mít SOC, který to celé monitoruje a dokáže reagovat. SOC není jen technologie, je to komplexní služba, která může firmě zachránit reputaci i finance.
Co firmy ke zřízení SOC nejčastěji motivuje?
Častou motivací je, když firma zažila bezpečnostní incident. Méně časté jsou firmy, které chápou rizika dřív, než se naplní. Někdy přichází impulz od IT manažera, který má zkušenosti z předchozího působení. Dalším typem motivace jsou legislativní regulace a různé oborové standardy.
Jak důležité je pro SOC znát byznys zákazníka? Mění se přístup k detekci a reakci podle toho, jestli jde o nemocnici, výrobní podnik, nebo finanční instituci?
Jakákoliv technologie či služba je tu primárně od toho, aby pomáhala dosahovat byznysové cíle. SOC nevyjímaje. V první řadě musíme znát kritická aktiva zákazníků, která se na jejich byznysu podílí.
Následně určujeme a vyhodnocujeme relevantní hrozby a na základě toho nastavujeme detekce. Reakce se do určité míry mění na základě interních procesů dané společnosti nebo instituce.
Jak se v SOC pracuje s umělou inteligencí nebo strojovým učením? Jsou to buzzwordy, nebo skutečně pomáhají?
S trochou nadsázky by se dalo říct, že: „Co nemá umělou inteligenci, to se dnes neprodává.“ Každopádně AI v rámci technologií, které se v SOC využívají, dokáže pomoci při zpracování velkého počtu dat, zvyšuje efektivitu reakcí na bezpečnostní události a podobně. Neznamená to však, že by zcela dokázala nahradit bezpečnostní analytiky. Zároveň je třeba si uvědomit, k čemu ji využíváme a jaká data jí poskytujeme. Obecně je totiž téma zneužití nebo zveřejnění citlivých informací v kontextu chatbotů a AI hodně aktuální.
V jakých situacích vám dává smysl spolupracovat i s jinými SOC nebo bezpečnostními týmy napříč firmami?
Bezpečnostních technologií a výrobců je v současnosti tolik, že tvrzení, že znáte perfektně úplně vše, je nesmyslné. Takže spolupráce s dalšími společnostmi je namístě. Důležité je, aby byla jasně definovaná a hlavně přínosná pro zákazníka. Zároveň je velmi důležité sdílení informací o hrozbách, útocích apod. v rámci komunity SOC/CSIRT týmů, jako je například organizace TF‑CSIRT, jejíž jsme součástí.
Stáhněte si přílohu v PDF
Bude podle vás SOC za deset let zásadně jiný? A co by mělo zůstat stejné?
Předpokládám, že za deset let bude SOC mnohem více automatizovaný, od reaktivního přístupu se přesune k předcházení útokům: Bude mnohem méně závislý na lidských zdrojích, avšak zodpovědnost a poslední slovo by vždy mělo zůstat na nás, lidech.
Pokud byste měl jednou větou poradit firmám, jak přistoupit ke kybernetické bezpečnosti, co byste řekl?
Poznejte své prostředí, aktiva a byznysové potřeby, zorientujte se, v jakém vnějším prostředí se pohybujete, a na základě toho postupujte v oblasti kybernetické bezpečnosti.
Text vznikl ve spolupráci se společností ANECT.
Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist