MIRAN VARGA
Varnostno-operativni centri
so naravna pot razvoja zagotavljanja
kibernetske varnosti
Razlogov, zakaj podjetja vse pogosteje izbirajo storitve varnostno-operativnih centrov (SOC), je veliko. Poudarjamo tiste najbolj očitne.
Varovanje informacijskih virov pred grožnjami in napadi je nujna aktivnost in pomembno poslanstvo slehernega podjetja. Tega se mora vodstvo podjetja zavedati in zagotoviti ustrezno podporo. Varnostnih groženj v digitalnem svetu ne manjka, nasprotno, iz dneva v dan jih je več. Varnostni strokovnjaki v podjetjih, ki se ukvarjajo z zagotavljanjem kibernetske varnosti, vsak dan obravnavajo ogromno varnostnih incidentov.
NEPREKINJENO ZAGOTAVLJANJE KIBERNETSKE VARNOSTI
Zagotavljanje kakovostnih in neprekinjenih storitev s področja kibernetske varnosti zahteva tehnično podkovano in raznoliko ekipo varnostnih strokovnjakov in dobra orodja. Strošek takšnega okolja je visok, poleg tega pa je strokovnjake, tudi če jih je podjetje pripravljeno plačati, težko najti. Zato se v praksi vse bolj uveljavlja poslovni model, kjer zunanji ponudnik zagotavlja varnostne storitve za več naročnikov. Na ta način se visoki stroški porazdelijo. Več denarja, ki ga posledično pridobi ponudnik, pa, vsaj načeloma, omogoča tudi stalni razvoj in še boljše storitve.
Zakaj bi podjetje sploh izbralo SOC? »Zato, ker ni primerne alternative in ker je SOC naravna pot razvoja zagotavljanja varnosti v IKT-okolju. SOC – da ali ne? To ni več pravo vprašanje, temveč se podjetja sprašujejo, ali graditi lastni SOC ali pa njegove storitve iskati na trgu ponudnikov,« razlaga Simon Simčič, arhitekt IT-rešitev v podjetju SRC, d. o. o.
CELOVIT PREGLED NAD KRAJINO GROŽENJ IN NJIHOVA ANALIZA
Ključne naloge varnostno-operativnega centra, lastnega ali zunanjega, so vsekakor zahtevne. Poleg zbiranja in analize kibernetskih informacij o novih ranljivostih in varnostnih grožnjah mora SOC spremljati še varnostne dogodke v IKTokolju podjetja in se na alarme triažno odzvati v realnem času. Vsak varnostni incident nato zahteva še temeljito analizo in pravilen ter pravočasen odziv – SOC je tisti, ki skrbi za koordinacijo aktivnosti ob napadu na podjetje ali poskusu vdora. Zavedati se velja tudi dejstva, da 100-% zaščite ni in da je ključno, da so podjetja pripravljena na varnostne dogodke in se znajo nanje ustrezno odzvati. SOC stalno zbira in spremlja dogodke z vseh varnostnih naprav v nekem okolju, dogodki z raznolikih naprav pa dajejo širši kontekst pregledu. SOC si prizadeva za širitev nabora napadov, ki jih je sposoben zaznati in preprečiti. Organizacija MITRE je opredelila znane napade glede na do zdaj videne in jih klasificirala. Ta seznam predstavlja osnovo za presojo, kako zrel je posamezen SOC. Več napadov, kot jih je sposoben zaznati, bolj je zrel. Razumeti pa mora tudi okolje, v katerem deluje, zato mora biti sposoben zaznati varnostne pomanjkljivosti v informacijskem sistemu in nanje opozoriti ter predlagati rešitev.
PREGLEDNOST PONUDBE
Pomemben dejavnik pri izbiri ponudnika storitev SOC mora biti tudi modularnost in preglednost ponudbe. »Ponujanje SOC kot nekakšnega monolita je pristop, ki ga naročniki zavračajo in se pogosto konča z vprašanjem, kaj pravzaprav ponudnik sploh nudi podjetju. Naročniki so vse bolje osveščeni in posledično zahtevni, kar je zgolj pozitivno. Številna podjetja sploh ne zanima SOC kot tak, ampak posamezne storitve,« pojasni Simčič.
CENA NI VSE, JE PA POMEMBEN DEJAVNIK
Zaenkrat o storitvah SOC razmišljajo predvsem v večjih podjetjih, kjer je pogosto zavedanje o nevarnostih in tveganjih večje. Ali pa jih k temu celo nagovarja regulativa. Brez dvoma pa bodo v prihodnje po isti poti šla tudi manjša podjetja. Ne nazadnje so ta izpostavljena istim grožnjam in tveganjem. Manjša podjetja si težje privoščijo drage storitve in rešitve. »Po izkušnjah s trga lahko rečem, da je cena, ki so jo podjetja pripravljena plačati za storitve SOC, na slovenskem trgu relativno nizka. To zagotovo vpliva na ponudbo – ta ni slaba, ni je pa veliko. Verjamem, da se bo tudi to počasi spremenilo, saj bo izpostavljenost varnostnim tveganjem prevelika in bodo podjetja tako ali drugače morala najti ustrezen način varovanja,« je prepričan Simčič. Seveda za podjetja, ki ne čutijo potrebe po vzpostavitvi ali uporabi SOC, obstaja alternativa. Ta lahko izvedejo samo določene aktivnosti, ki izboljšajo njihovo varnostno sliko. Aktivnosti se lahko izvajajo z majhnim finančnim vložkom, npr. nakupom namenskega orodja. Ti pristopi pa v vsakem primeru terjajo vložek energije in dela. Med pogosteje izvajanimi dejavnostmi so vpeljava osrednjega sistema zbiranja dogodkov, sistema za zaznavo ranljivosti in implementacija rešitve za upravljanje s popravki. Omenjene ukrepe lahko podjetja izvajajo »adhoc« ali pa strukturirano – skozi varnostno politiko.
TUDI SOC POTREBUJE PRIPOROČILA
Ena pomembnih meril pri izbiri zunanjega izvajalca storitev SOC so vsekakor priporočila. Teh na slovenskem trgu še ni veliko, saj so omenjene storitve relativno nove. Nekateri ponudniki pa so se povezali s tujimi partnerji z večletnimi izkušnjami in tako nadgradili lasten nabor storitev ter prišli do pomenljivih priporočil. Na ta način slovenski ponudniki nadgradijo tudi svoje znanje in tehnologijo ter lahko ponudijo celovit nabor storitev. »Razvoj SOC je za ponudnika velik finančni zalogaj. Prav zato resne ponudnike v Sloveniji lahko preštejete na prste ene roke. Je pa ponudba vendarle vedno boljša in bogatejša, tudi ob podpori specializiranih partnerjev iz tujine, kar se mi nasploh zdi dobra rešitev. Tako pridobijo vsi, ponudniki, ki lahko ponudijo kakovostne SOC-storitve ob vzdržnem finančnem vložku, in kupci, ki dobijo storitve za sprejemljivo ceno in v modularni obliki,« je dodal Simčič. Po mnenju sogovornika bodo slovenska podjetja vse manj iskala storitve SOC v tujini, saj napredek domačih ponudnikov manjša razkorak, poleg tega pa je v primeru varnostnih incidentov še kako pomembna lokalna prisotnost ponudnika. Poleg lokalnega nadzornega centra je namreč zelo pomembna ekipa varnostnih strokovnjakov, ki se lahko po potrebi v najkrajšem času pojavi na lokaciji naročnika (in govori slovenski jezik).
»Menim, da gre pri iskanju storitev SOC v tujini pogosto predvsem za iskanje reference oziroma primerjave. Naročniki želijo domačo ponudbo ustrezno primerjati, kar je prav,« je zaključil Simčič.