Každá organizace, která chce vyřešit otázku efektivního řízení bezpečnostních událostí a incidentů, musí mít jasno ve třech základních rovinách. První z nich je rovina technologická, u níž – možná překvapivě – primárně příliš nezáleží na tom, jaké instrumenty jsou v infrastruktuře k dispozici. To, oč opravdu jde, je mít všechno na jediném místě v unifikované, srozumitelné podobě.

Analytici, potažmo operátoři potřebují jedinou platformu, která jim umožní psát dotazy v jednom jazyce a správně vyhodnocovat situaci. Musí-li se věnovat více rozdílným uživatelským rozhraním, je to chyba. Zároveň potřebují mít v rámci technologické roviny možnost přímého zásahu na úrovni jednotlivých aktiv, tj. například možnost aktivum dočasně odpojit od sítě pro případy bezpečnostního incidentu.

Druhou rovinou je rovina procesní. To, že se řada uživatelů, ale i operátorů přesunula na home office, představuje hrozbu. Každá firma potřebuje mít možnost udržovat se svými zaměstnanci blízký kontakt, být s nimi ve spojení prostřednictvím spolehlivého procesního kanálu. Bezpečné cesty, díky níž s nimi bude možné komunikovat a řešit veškeré potřebné záležitosti.

Tím se tato druhá rovina přirozeně prolíná s třetí, kterou je rovina uživatelská, respektive analyticko-operátorská. A současně se protíná i s rovinou technologickou, zejména s tou její částí, kdy analytici či operátoři musí mít vedle možnosti komunikace i příležitost k vzdálenému zásahu na stanice nacházející se na home office.

Žádoucí je řešení nezávislé na změnách

V rámci uživatelské roviny je třeba umět propojit – ideálně na nějaké jednotné, uživatelsky neutrální platformě – dva různé světy. Svět běžného uživatele, zaměstnance, od něhož nelze očekávat, že bude disponoval nějakými hlubokými technologickými znalostmi, s vysoce expertně orientovaným prostředím analytika. Předností odborníka je, že má do dané problematiky detailní vhled, ale ne každý expert je schopen formulovat vše tak, aby tomu běžný člověk rozuměl.

Úkolem tedy je vyřešit jednotnost a srozumitelnost informací pro uživatele a zároveň pro operátora. Pro společnost to znamená zajistit odpovídající platformu nezávislou na odborných znalostech; tedy intuitivní a bez potřeby cílených školení. Zároveň je důležité, aby řešení, prostřednictvím něhož bude celý proces řízen, bylo absolutně nezávislé na jakýchkoli změnách. Náhlý přesun poloviny uživatelů na home office ho nesmí nijak ovlivnit.

Technologická rovina efektivního řízení

Obvyklou reakcí firem, které se rozhodnou brát bezpečnost vážně, je, že si okamžitě pořídí tu nejnovější technologii. Nebo jinak řečeno, další drahou krabičku. Z mnoha důvodů je však výhodnější vyjít z toho, co už daná společnost používá. Pro efektivní řešení bezpečnostních událostí a incidentů je důležité mít pokrytý perimetr, mít pokryté koncové stanice a znát to, co se děje v síti organizace. Nejde o to, mít k dispozici nové nákladné technologie, ale co nejúčinněji využít ty stávající. Jak?

Aktuální technologie zaznamenávají veškeré informace, a tedy i detekce do logu. Každý log se typicky nachází na jiném místě, v jiném formátu. Lze namítnout, že se výrobní společnosti snaží logy poskytnout v nějakém unifikovaném formátu, ten ale napříč firemní infrastrukturou nebude nikdy jednotný. Z toho důvodu je vhodné obstarat si řešení typu SIEM, které spojí všechny informace do jednoho unifikovaného místa a převede je do jednotné podoby. Tato jednotná platforma zajistí společnosti přehled o dění v infrastruktuře v reálném čase a operátorům/analytikům významně uvolní ruce, protože nebudou muset umět zacházet s pěti různými uživatelskými rozhraními a psát dotazy v několika jazycích.

Většina společností dnes využívá služeb dodavatelů, kteří jim na základě servisní či jiné smlouvy poskytují technologii, již spravují. Právě tento model je z hlediska společnosti mimořádně výhodný. Organizace se nemusí starat o platformu jako takovou, protože má na druhé straně partnera, který jí s provozem, úpravou a rozvojem platformy pomůže. Firma se má vždy na koho obrátit, a přitom si nemusí udržovat detailní technické znalosti na úrovni administrace. Výsledkem takového přístupu je, že daná společnost má jedno místo pro bezpečnost a zpravidla už pak nemusí používat nic dalšího.

Procesní rovina a uživatelská neutralita

Situace je následující: zaměstnanci se přesunuli na home office a firma je potřebuje zapojit do celého řízení. Uživatelé jsou mimořádně silným, ale zároveň velice podceňovaným nástrojem, který může pomoci se zabezpečením. Tím, že budou vhodně angažováni, získá organizace další pozorné oko, které bude dohlížet na bezpečnost. Proto je důležité poskytnout uživatelům kvalitní platformu, ideálně v podobě servis deskové aplikace. V opačném případě dojde k zahlcení už tak vytížených administrátorů banálními dotazy typu seká se mi Teams, co mám dělat, případně telefonickými hovory.

Klientům, kteří se na nás obrátí, vždy vřele doporučujeme pořídit servis deskovou aplikaci nabízející vše na jednom místě a v unifikované podobě. Pokud firma své uživatele kvalitně proškolí a naučí je servis desk používat, získá obrovskou výhodu a dosáhne výrazného posunu v efektivitě. Zároveň ale nesmí nikdy chybět ani procesní stránka řízení bezpečnostních událostí a incidentů. (Vždy je nezbytné oddělit událost od incidentu, provozní incident od bezpečnostního a tak dále.)

Jak to celé funguje v praxi?

Systém je nastaven tak, že se nejdříve z infrastruktury posbírají logy, které jsou z hlediska bezpečnosti relevantní. SIEM pak zaslané logy vyhodnotí na základě detekčních korelačních pravidel a ve chvíli, kdy některé z nich sepne, vytváří automaticky ticket v servis desku. Tento ticket si pak převezme bezpečnostní analytik a vyhodnotí, zda se jedná o legitimní detekci nebo o falešný poplach. V případě, že je detekce legitimní, předává se vše dále k investigaci, ve většině případů k rukám seniornějšího kolegy, který incident dořeší – navrhne reakční kroky, případně je sám vykoná. Platí přitom, že analýza a investigace se dají sloučit do jednoho kroku.

K uvedenému schématu je vhodné přidat další post incident aktivity. Pokud společnost nehodlá budovat svou znalostní bázi, tak sice bude mít efektivní proces, ale neumožní jí to posouvat svou úroveň bezpečnosti na vyšší úroveň. Když už analytik jednou něco vyřeší, může o daném procesu zpracovat záznam a postoupit ho někomu o úroveň níž, případně jeho řešení automatizovat. Dotyčný analytik se tak může věnovat složitějším incidentům nebo jiným, komplexnějším problémům.

Tím, že proškolíme uživatele a zavedeme servis desk, sice získáme kontrolu nad procesní rovinou, ale ne vždy pokryjeme i uživatelskou neutralitu. O uživatelsky neutrální platformě můžeme hovořit až ve chvíli, kdy provedeme integraci. V momentě, kdy service desk budou používat jak uživatelé, tak i analytici, kteří budou mít v platformě popsány bezpečnostní události. Tím, že použijeme SIEM, a ne open source, který je třeba upravit a doprogramovávat, jsme zároveň docílili vysoké adaptability řešení. Pokud si daná firma pořídí například nový firewall, nebude nucena celé řešení překopávat.

Pravidla pro enterprise produkty fungují tak, že jejich výrobci dodávají i dokumentace a specifikace k logování, které SIEM výrobci reflektují do svých parserů (překladačů logů do jednotných formátů, kterým SIEM řešení rozumí). Takže když si někdo pořídí nový firewall, nastaví zasílání logů, v SEIMu si vybere například Czech Point a použije příslušný parser, tak se mu všechny informace z logu přehledně rozdělí a rozkategorizují a on už na ně pak aplikuje pouze pravidla.

Uživatelská a operátorská rovina

Shrňme si nyní, čeho jsme docílili předchozími kroky. Máme uživatelsky neutrální platformu jak pro uživatele, tak pro analytiky, tedy servis desk. Máme technologickou platformu pro naše analytiky, konkrétně v tomto případě je to SIEM. Díky vzájemné propojenosti máme řešení, v rámci něhož jsou dílčí komponenty integrované, vše funguje autonomně a zároveň se jedná o vysoce adaptibilní řešení. Stále jsme se však nedotkli toho možná vůbec nejdůležitějšího.

Z hlediska řízení bezpečnostních událostí a incidentů je klíčový vysoce edukovaný personál. Lidé, kteří by měli řešit pouze a výhradně bezpečnostní události a incidenty. Každá další agenda tříští jejich pozornost a zahlcuje je nutností osvojovat si znalosti, které v tomto případě nejsou relevantní. Hovoříme-li o edukaci, bavíme se o promyšleném systému kontinuálního vzdělávání, což rozhodně není školení jednou za rok. Řeč je o opakovaných intenzivních a interaktivních kurzech zaměřených na aktuální postupy řešení událostí a incidentů.

Teprve ve chvíli, kdy disponuje dostatečně edukovaným personálem, může si organizace odškrtnout splnění příslušné operátorské, respektive uživatelské roviny. Ale i tak může vyvstat problém a příslušný bezpečnostní expert musí být kdykoli připraven přijmout notifikaci a zasáhnout, často bez ohledu na pracovní dobu.

Otázka zní: Je reálné, aby vaši operátoři či analytici dokázali pokrýt bezpečnost v režimu 24/7? Jste ochotní zahrnout do své personální agendy pohotovosti, přesčasy, přesuny, vybavení, nábory atd.? A opravdu budou mít na to, aby i v sobotu v noci dokázali vyřešit jakýkoli bezpečnostní incident? Dá se to vůbec ve vašem případě finančně zvládnout? Protože bavíme-li se v této souvislosti o efektivitě, řeč je samozřejmě hlavně o penězích. Buď jste velká společnost, typicky finanční instituce, která má k dispozici obrovský balík peněz na bezpečnost, anebo to musíte řešit nějakým jiným způsobem.

Nejvýhodnější je bezpečnost jako služba

Jako ideální se jeví využít služeb bezpečnostního operačního centra typu Cyber Defense Center. Výhodou je, že zájemce si nemusí kupovat celé řešení SIEM či SOC, ale pronajme si jen ty služby, které opravdu potřebuje. Může si je dokupovat a postupně budovat bezpečnost ruku v ruce se svými aktuálními potřebami. Nemusí mít vlastní personál a řešit veškeré problémy, které jsou s tím spojené. Může využívat znalostí získaných od jiných zákazníků, protože jen výjimečně se stává, že právě vy jste ti jediní, kdo musí řešit tento konkrétní bezpečnostní incident.

Z hlediska compliance je výhodou i to, že data vůbec nemusí opouštět danou společnost. Dnešní řešení lze navrhnout tak, že zákazník neodesílá žádná surová data mimo svoji infrastrukturu, nestaví nic od nuly a využívá toho, že si s tím už dal práci někdo před ním. Vybudování bezpečnostního operačního centra ve společnosti je zpravidla otázkou obrovských nákladů a několika let, ale incidenty nepočkají.

Zajistíte-li si bezpečnost jako službu, tedy jak v podobě příslušné licence (řešení SIEM či SOC), tak i dohledu expertů, získáte spolehlivého partnera. Tým zkušených lidí, kteří vám pomohou a na něž se budete moci obrátit ve dne v noci. Nebo vás mohou celým bezpečnostním procesem provést podobně, jako to zvládli v případě jiných organizací už x-krát před vámi. Z hlediska efektivity bude řešení v podobě on-premise a vlastních lidí vždycky ekonomicky náročnější. Neznáme případ, kdy by postavení vlastního řešení bylo levnější, než pokud si ho zajistíte jako službu.

Ing. Lubomír Almer, Ph.D. Autor článku působí na pozici Head of Cyber Defense Center ve společnosti AEC a.s.