Mida on tegelikult turvaseire ehk SOC-i üles ehitamiseks vaja?

CYBERS 19. jaan. 2022

Kui me oleme küsinud IT- ja tehnoloogiajuhtidelt, milline on nende keskse turvaseire süsteemi (SOC- Security Operations Centre) käivitamise strateegia, siis kaks tüüpilist reaktsiooni on: 

  1. Eneseiroonia. „Meil on veel sellegagi probleeme, et VPN toimiks korralikult. Mis SOC-ist me siin üldse räägime? 
  2. Kurb ja veidi vihane kulmukortsutus: „Ma ei räägi kuidagi välja rahastust korraliku SOC-i loomiseks enne, kui meil pole olnud tõsist intsidenti. Aga siis jääksin ilmselt ka tööst ilma, nii et püüan hakkama saada sellega, mis mul on. 

Mõlemad vastused on seotud kahe väljakutsega: keerukus ja kulud.  

Kulude pool on sageli eriti segane, kuna jääb mulje nagu peaks SOCi tarbeks investeerima ATD, EDR, WAF, UTM, EPO, CAS, WTF, NGFW, CARTA, SIEM, BDSM, SOAR, UEBA ja paljudesse teistesse akronüümidesse. Kuid vähemalt meie SOC-projektide kogemuse põhjal ei ole see päris nii.  

Sest ennekõike on SOC keskuse mõte see, et teil oleks turvalisusega seotud intsidentidest reaalajas koondatud ülevaade ja neile oleks võimalik mõne minuti jooksul reageerida. 

Kindlasti ei ole selle mõte laduda võimalikult palju akronüüme üksteise otsa.  

Edaspidi ignoreerime selguse huvides enamikku ülal nimetatud toodetest ja anname ülevaate neljast peamisest tehnoloogiast, mis on vajalikud eduka SOC-i loomiseks.

SIEM = SOC-i aju

SOC-i tuumaks on töölaud, mis koondab teabe kõigi turvalisusega seotud näitajate ja sündmuste kohta.  Tehnoloogia selle funktsionaalsuse taga kannab nime SIEM (Security Information and Event Management).  Sarnaselt inimajule kogub see signaale ja teavet süsteemi erinevatest osadest ning oskab näha seoseid ja mustreid. 

Tehnoloogia on juba 20 aastat vana ja teeb täpselt seda, millele selle nimi viitab – aitab hallata turvasündmusi (läbi erinevate logide skaneerimise). Nagu iga uus tehnoloogia, oli seegi alguses nii kallis kui ka keeruline: miljonite sündmuste käitlemiseks vajalik riistvara maksis palju ja seda tarnisid väga vähesed müüjad. Tollal oli ka  vähe selle tehnoloogiaga praktilist kogemust omavaid spetsialiste. 

Tänaseks on SIEM-i või SIEM-i sarnaseid lahendusi, ka meie turul, kümneid. Suuremad ja tuntumad neist IBM qRadar, McAfee SIEM, Splunk ja Microsoft Sentinel. 

Enamik neist pakuvad nii serveris töötavaid kui pilvepõhiseid versioone, tänu millele on lahenduse skaleerimine lihtne. 

Mida SIEM-i valimisel silmas pidada?

1. Liidesed küberturbelahendustega 

SIEM vajab ligipääsu erinevatele sündmustele ja logidele. SIEM-i valides veenduge, et valitud tehnoloogial on olemas liidestused teie poolt kasutavate rakendustega. Nii säästate oluliselt juurutus- ja arenduskuludelt. 

2. Kirjeldused tüüpiliste stsenaariumide kohta 

Vaadake üle valitud SIEM-i case study’d. Mida paremini need teie “tüüpilisi” turvaintsidente ja -protsesse kajastavad, seda parem. See tagab, et SOC-i kasutuselevõtt kulgeb sujuvamalt. 

3. Kohaliku juurutus- ja kasutajatoe partneri olemasolu  

Kuigi SIEM-lahenduse juurutamine on muutunud palju lihtsamaks, võib siiski tekkida tõkkeid, millest oma jõududega üle ei saa. Seetõttu tasuks valida SIEM, millel on olemas kohalik partner, kellel on olemas praktilised kogemused antud tehnoloogiaga. 

Samuti soovitame lähemalt võrrelda mitut erinevat tehnoloogiat. Kuigi SIEM-i investeering ei ole enam nii meeletu investeering, kaasneb sellega siiski märkimisväärne raha- ja ajakulu. 2–3 toodet võiks paralleelselt testida, nii saab juba piisava ülevaate, mis on parim lahendus teie jaoks.  

Kuidas edasi?

Kui SIEM on juurutatud ehk SOC-i aju on paigas, siis mis on järgmised sammud? 

Inimfaktor on alati ohukoht 

Tuletame nüüd meelde artikli alguses nimetatud akronüümid. Isegi kui ettevõttes on nende tähendust ja praktilist rakendamist hästi tundvad spetsialistid olemas, jääb IT turvalisuse suurimaks probleemiks jätkuvalt töötajate käitumine. Sageli näeme, et turvalisuse põhitõdesid eiratakse eelkõige pilvelahenduste puhul. On levinud teadmine, et pilvekeskkonnad on turvalised. 

Kuid ära kiputakse unustama seda, et muidu tugeva küberkaitse strateegiaga pilvelahenduste puhul on alati üks potentsiaalselt nõrk koht: kasutajakontod. Piisab ühe töötaja ligipääsudest, et küberkurjategijal oleks võtmed kõigile andmetele, millele vastav töötajal on ligipääs. 

Lisaks kaheastmelisele autentimisele (2FA) soovitame me alati toetada SOC-i lisaks CAS/B tööriistaga. CASB (Cloud Access Security Broker) on abiks nii monitoorimisel kui kiirel vastureageerimisel. 

Miks kasutada lisaks CASB-lahendust?

  • Võimaldab ülevaadet kasutajate süsteemile juurdepääsu mustritest
  • Hõlbustab andmete liikumist pilvede vahel
  • Pakub paindlikku juurdepääsukontrolli
  • Pakub täiendavad logid analüüsimiseks
  • Pakub täiendavat ülevaadet nõuetele vastavusest
  • Võimaldab kasutajakontosid kiirelt kinni panna 

 CASB-i peamine eelis on kiirus, millega see võimaldab intsidendi korral juurdepääsu kindlalt sulgeda. 

Range seadmepoliitika ja regulaarsed turvakontrollid

Teine inimkäitumisel põhinev risk, millega paljud turvameeskonnad silmitsi seisavad, on seotud kodukontorite ja isiklike seadmetega, mida kasutatakse ka töö tegemiseks.  Seadmete hulk, millega kasutatakse ettevõtte võrku ja süsteeme, on meeletult kasvanud. Seadmete turvameetmed on aga pahatihti olematud.  

Selline olukord on avanud palju uusi uksi ja aknaid küberkurjategijatele, kes otsivad pidevalt viise, et ettevõtte turvameeskonna radarist osavalt mööda hiilida. Turvalisuse seisukohast on lisaks kasutajate pidevale koolitamisele ainus viis asju korras hoida regulaarne haavatavuse testimine. 

Käitades sellist kontrolli igakuiselt (ideaaljuhul iganädalaselt), suudab turvameeskond turvaaugud avastada. Saadud andmete ühendamine SIEM-iga annab edasiseks veelgi rohkem teavet potentsiaalsete intsidentide ja võimalike probleemide kohta. 

Inimfaktori riskide vastu saab vaid pideva õppimisega

Viimane, kuid mitte vähem tähtis soovitus on ühendada oma SOC õppeplatvormiga, mis sisaldab ajakohast turvateadlikkuse moodulit, mis on loodud kasutajate testimiseks ja harimiseks küberturvalisuse ja riskide teemadel. Neid on veebis saadaval erinevaid.  

Säärase liidestuse mõte on selles, et kui näiteks kasutaja on olnud andmepüügi rünnaku sihtmärk (ükskõik kas rünnak oli edukas või mitte), saadab SOC meeskond sellele kasutajale automaatse kutse andmepüügi koolitusele. 

Oleme kursis ka ettevõtete murega,  et mõned inimesed ignoreerivad turvakoolitusi järjepidevalt. Näeme, et vastavate reeglite rakendamiseks peab IT meeskonnal olema juhtkonna tugi.  

Samuti on turvakoolitused ja -teadlikkuse tõstmise tööriistad kasulikud mõõdikud ka organisatsiooni üldise turvateadlikkuse taseme mõõtmiseks.  

Samuti suudab teie turvameeskond regulaarsete kasutajate testide/küsitluste läbiviimise abil ka potentsiaalseid probleeme paremini ennetada ja SOC-ile uusi funktsionaalsusi lisada. 

Milline saab olema tuleviku SOC? 

SOC 1.0 oli manuaalne ja mitteintuitiivne tööriist, mis tugines peaaegu täielikult analüütikute silmadele ja mõistusele.  

SOC 2.0 Täna on enamikes ettevõtetes kasutusel SOC 2.0. Detailne ja iga ettevõtte jaoks kohandatav töölaud, mille abil saab kiire ülevaate, milline seis on. Internetis on piisavalt infot, mis aitab kõike vajalikku kiirelt ja hõlpsalt seadistada. 

 SOC 3.0, juba liigume ka SOC 3.0 poole, mis automatiseerib SOC-i protsesse veelgi.  Masinõpe ja tehisintellekt loovad tulevikus palju erinevaid lisavõimalusi. 

Neile, kes juba täna on SOC-i teemas kõrgema küpsustaseme saavutanud, soovitame kaaluda SOAR ja UEBA lisamist. 

SOAR akronüüm tähistab turvalisust, orkestreerimist, automatiseerimist ja reageerimist. Täna näeme seda pigem SIEM-i täiendava lahendusena, mis vähendab reaktsiooniaega minutitele või sekunditele. Tulevikus võib see aga SIEM-i funktsioonid üldse üle võtta. 

UEBA (User and Event Behavioural Analytics) kasutab masinõpet ja süvaõpet, et mõista kasutajate ja sissetungijate käitumismustreid. Kui täna peame veel turvasüsteemidele ütlema, milline on kahtlane käitumine, siis UEBA suudab selle ise kindlaks teha. 

Kulub veel paar aastat, enne kui need kaks uuemat tehnoloogiat laialdasemasse kasutusse võetakse, kuid ka meil on esimesed muljet avaldanud rakenduskogemused käes.  

Kui vajate SOC-i valimisel ja üles ehitamisel abi, siis võtke meiega ühendust!

Jaga

Märksõnad

Seotud teenused

Loe edasi

Märksõnad

Jaga

Viimased postitused

4. juuni 2024

Küberturvalisus tootmisettevõttes – väljakutsed ja õppetunnid Hanza Grupi näitel

Kiirelt areneval digiajastul seisab tootmissektor silmitsi üha suurema hulga küberjulgeoleku ohtudega. Rahvusvaheliste ning keerukate operatsioonidega ettevõtted peavad need ohud juba eos maandama, et kaitsta kriitilist infrastruktuuri. Loe blogist ja kuula saadet, kuidas Hanza Grupp sellele kõigele lähenenud on.

Loe edasi
3. juuni 2024

Märgiline sündmus küberturbes: CYBERS on ametlikult osa NEVERHACK grupist

CYBERS ühines Euroopa juhtiva küberjulgeoleku kontserniga NEVERHACK SAS, et tugevdada turupositsiooni, laiendada haaret ja pakkuda klientidele lisaväärtust.

Loe edasi
21. märts 2024

Teenusedisain ja küberturvalisus käsikäes: Tänapäeva digitaalsete lahenduste alustalad

Tänapäeva kiiresti arenevas digimaailmas on ettevõtete edu võti pakkuda mitte ainult innovaatilisi, vaid ka turvalisi teenuseid. KüberCASTi viimases osas jagas Andres Kostiv, teenusedisaini ja kasutajakogemuse ekspert, olulisi teadmisi ja näpunäiteid, kuidas integreerida küberturvalisus teenusedisaini, et luua kliendikeskseid ja turvalisi digilahendusi.

Loe edasi