Jak zbudować SOC?

 

Centrum cyberbezpieczeństwa (Security Operations Center, SOC) jest bezsprzecznie najbardziej zaawansowanym rozwiązaniem chroniącym zasoby teleinformatyczne instytucji. Dyrektor Biura Zarządzania Usługami Bezpieczeństwa w EXATEL, Jakub Syta, wyjaśnia krok po kroku, jakich narzędzi potrzebujemy do stworzenia SOC. Odpowiada również na pytanie o to, kiedy warto budować własne rozwiązania, a kiedy lepiej skorzystać z istniejących.

Jak zbudować SOC

— Jakub Syta —

Temat budowy SOC-a, jest jednym z najbardziej popularnych tematów o którym można ostatnio usłyszeć na wszystkich konferencjach i spotkaniach biznesowych. Praktycznie każda szanująca się firma, zaczyna w tym momencie budować SOC albo właśnie ogłosiła, że taki oto zespół został powołany. Przypomina mi to kilka innych modnych tematów, które można było jakiś czas temu obserwować na świecie. Około 10 lat temu każda szanująca się firma „wdrażała” rozwiązania klasy IDS/IPS. Wdrażała było powiedziane w cudzysłowie, ponieważ bardzo często okazywało się, że firmy te tak naprawdę kupowały rozwiązania, wstawiały je do infrastruktury, ale nikt już nie zajmował się takimi szczegółami technicznymi jak jakaś konfiguracja tego typu rozwiązań czy przypilnowanie by ktoś monitorował to, co te rozwiązania są tak naprawdę w stanie wykryć.

Kilka lat temu była potężna moda na rozwiązania klasy SIEM. W szeregu firm można było zaobserwować ich wdrażanie. Praktycznie każdy wiedział, że SIEM-a trzeba mieć. Są to faktycznie niesamowicie interesujące rozwiązania, które powodują że będzie można gromadzić informacje płynące z bardzo wielu różnych źródeł i będzie można korelować tego typu informacje. Lecz znowu jak przyszło co do czego, to bardzo często okazywało się, że SIEM-y stały w firmach, ale ilość źródeł do których były podłączane, była bardzo ograniczona. W ostatecznym rozrachunku brakowało ludzi, którzy tak naprawdę patrzyliby na to co taki SIEM pokazuje. SIEM-y były, ale nie działały.

W tym momencie mamy kolejną potężną modę – budujemy SOC-i, budujemy rozwiązania i kolejne firmy zaczynają się chwalić. Jest to bardzo pozytywny trend tak naprawdę, ale w ostateczności dosyć często okazuje się, że te SOC-i tak naprawdę polegają na tym, że ci informatycy, którzy zawsze zajmowali się u nas obsługą IT, to ciągle robią dokładnie to samo, ciągle są na dyżurze telefonicznym i jeżeli ktoś do nich przypadkiem zadzwoni że jest problem, to zaczną się tym zajmować, tym razem w trybie 24 godzinnym. To, kto do nich zadzwoni czy skąd tak naprawdę będzie informacja o tym że jest jakieś bardzo poważne wydarzenie którym należy się zajmować, to znowu wtórny szczegół, którym w tym momencie nie warto się zajmować.

Zaryzykowałbym stwierdzenie, że wszystkie z tych mechanizmów które wymieniłem, czyli zarówno IDS/IPS, SIEM i SOC, to rozwiązania które są tak naprawdę niezbędne w każdej firmie, która troszczy się o bezpieczeństwo informacji, ale najbardziej istotne jest to, żeby tak naprawdę te rozwiązania zaczęły działać i by zostały w ostatecznym rozrachunku wdrożone. A jak to poznać? Poznać można po odpowiedzi na najbardziej prozaiczne pytanie, a mianowicie: „Co tam słychać w bezpieczeństwie? Kto nas dzisiaj atakuje?” Dlaczego jest to takie istotne? Ponieważ jak Państwo prawdopodobnie wiedzą, na co dzień wszyscy jesteśmy atakowani i te ataki są w pełni zautomatyzowane. Nie jest tak, że nie ma incydentów, bardzo dużo firm po prostu ich nie obserwuje i na tak zadane pytanie bardzo często słyszymy odpowiedź: „w sumie nie wiemy”.

Zarówno sondy, IDS-y, IPS-y, rozwiązania klasy SIEM jak i sam zespół SOC, to tak naprawdę mechanizmy kontrolne. Żeby taki mechanizm kontrolny dobrze działał i przynosił oczekiwane rezultaty, powinien być przede wszystkim dobrze zaprojektowany i w sposób skuteczny eksploatowany. Co to tak naprawdę może znaczyć? Przede wszystkim tego typu rozwiązania powinny być dobrze skonfigurowane. Powinny być na bieżąco utrzymywane, by przez cały czas posiadać aktualne reguły, sygnatury czy monitorować sprzęt, który świeżo znalazł się w naszej sieci. Tego typu mechanizmy kontrolne, powinny być na bieżąco utrzymywane i stale monitorowane, czyli ktoś przez cały czas powinien interesować się tym czy jest jakiś atak, czy ataku nie ma, czy organizacja ma problem, czy tego problemu nie ma. Jeżeli te rzeczy nie są zapewnione, to tak naprawdę mechanizmy kontrolne – czyli te narzędzia bezpieczeństwa, które tak mozolnie wdrażamy – bardzo często są de facto szkodnikami i zaczynają przeszkadzać organizacji. Dlaczego? Po pierwsze dają fałszywe poczucie bezpieczeństwa. „Mamy kolejne pudełka w serwerowni, jesteśmy bezpieczni” – czy to prawda? Nie do końca. Są szkodnikami również dlatego, że bardzo często kosztują dużo więcej niż wnoszą rzeczywistej wartości. Jeżeli rozwiązanie stoi, grzeje się, a tak naprawdę nikt z niego nie korzysta, to jest to typowy przejaw niegospodarności. Kolejna przyczyna tego, że nazywam takie mechanizmy szkodnikami, polega na tym że tego typu mechanizmy gromadzą dowody niedochowania należytej staranności. Ponieważ proszę zwrócić uwagę na to, jak kłopotliwa sytuacja może pojawić się w momencie gdy analizujemy jakiś incydent lub włamanie i okazuje się, że automatyczne systemy wszystko wykryły. Zostały wykryte próby rekonesansu, zostały wykryte próby ataku, cały przebieg może nawet być był śledzony przez systemy, które już funkcjonują w organizacji, ale po prostu nikt na to w żaden sposób nie zareagował.

O tym czy mechanizmy kontrolne i zabezpieczenia, są skuteczne, dowiadujemy się tak naprawdę w sytuacji, kiedy organizacja ma problem. Jeżeli ktoś powie „sprawdzam” i nas zaatakuje, to wtedy dowiemy się czy wszystkie te inwestycje, które zostały poczynione, miały na celu rzeczywistą, adekwatną odpowiedź na wcześniej zidentyfikowane ryzyko, czy też tak naprawdę miały na celu spowodowanie, że kolejne tabele w arkuszach excelowych zaczną się świecić na piękny zielony kolor, a wartości z tego nie będzie żadnej. Więc mamy tutaj podejście albo rzeczywistej odpowiedzi na ryzyko, albo jedynie skoncentrowania się na tym by zapewnić minimalną zgodność. I proszę mnie tutaj źle nie zrozumieć, nie jestem żadnym przeciwnikiem zapewnienia zgodności – czyli tych wszystkich tematów związanych z compliance – ale chciałbym Państwu zwrócić uwagę na jedną rzecz. Cały proces zapewnienia zgodności, ma na celu zapewnienie minimum, którego niedopełnienie powoduje że organizacja powinna spotkać się z jakimiś sankcjami. To minimum niekoniecznie jest adekwatne do rzeczywistych ryzyk, które dotyczą każdą kolejną organizację. Czyli jeżeli przyjdzie co do czego, jeżeli organizacja będzie miała problem, może okazać się że to, że posiadamy rozwiązania, to jednak jest sporo za mało. Jak najlepiej zweryfikować to czy nasze mechanizmy tak naprawdę działają? Przeprowadzić jakąś prostą symulację ataku, dokonać pilnej zmiany konfiguracyjnej, zweryfikować bezpieczeństwo jakiegoś kluczowego elementu związanego z bezpieczeństwem. Jeżeli okaże się, że nasza organizacja tego nie potrafi, to z tą skutecznością jest coś nie w porządku.

Żeby usługi bezpieczeństwa były skuteczne, powinny na stałe być związane z organizacją, funkcjonować na co dzień w środowiskach, w których my na co dzień pracujemy. Tutaj należy zwrócić uwagę na kilka takich podstawowych elementów/faz. Przede wszystkim mamy część związaną z prewencją, czyli z przygotowywaniem procedur, zasad, z kupowaniem, wdrażaniem, konfigurowaniem oprogramowania czy innych rozwiązań, które spowodują że w ostateczny sposób organizacja będzie jakoś w stanie zareagować, czy będzie się w stanie chronić przed przynajmniej najbardziej prostymi atakami. Ale oprócz tych mechanizmów prewencyjnych, bardzo istotne jest zapewnienie monitorowania, właściwego reagowania i usuwania skutków różnego rodzaju niepożądanych zdarzeń. I te trzy elementy, czyli monitorowanie, reagowanie i remediacja, to są tak naprawdę zadania dla zespołów Security Operations Center (SOC).

Nawiązując do tytułu mojej prezentacji – „Jak wdrożyć SOC?” – tak naprawdę muszę Państwu powiedzieć, że jest to rzecz absolutnie banalna. Należy zapewnić odpowiednio wykształcony zespół, który będzie przestrzegać bardzo fajnych, superskutecznych procedur wykorzystujących najlepsze na świecie technologie. I to jest bardzo krótki przepis na zbudowanie SOC-a. Mam nadzieję, że Państwo się ze mną zgodzą. Idąc odrobinę bardziej w stronę szczegółów, powinniśmy popatrzeć na to, o jakich procesach, o jakich technologiach czy na jakich kompetencjach powinniśmy się skoncentrować. Przede wszystkim – jaka jest główna rola zespołów takich jak SOC? Jest to wykrywanie i reagowanie na niebezpieczne sytuacje. De facto można wyróżnić sześć takich najbardziej typowych przypadków ataków czy niebezpiecznych zachowań, jakie można zaobserwować w infrastrukturze: przede wszystkim jest to kradzież informacji, instalacja złośliwego oprogramowania, modyfikacja istotnych elementów infrastruktury (czy ewentualnie informacji) czy też wykorzystywanie infrastruktury do niecnych celów, czyli wykorzystywania infrastruktury nie w taki sposób, w jaki życzyłby sobie tego jej właściciel. Zespoły SOC powinny być również przygotowane do tego by reagować na ataki odmowy dostępu lub wykrywać i przeciwdziałać sytuacjom takim jak nadużywanie uprawnień przez użytkowników. Jakie są najczęstsze trudności, którym powinna zapobiegać organizacja? Przede wszystkim jest to kwestia zapewnienia stałego monitorowania czy stałej pracy. Proszę Państwa, proszę zwrócić uwagę na to, by ktoś cały czas, 24 godziny na dobę, 7 dni w tygodniu, 365 dni w roku, monitorował nasze bezpieczeństwo. Jeżeli oczekujemy, że będzie to człowiek, a nie jakiś automat który reaguje na znane sygnatury, to jeżeli oczekujemy takiego poziomu ochrony, potrzebujemy odpowiedniego zespołu ludzi, którzy są w stanie pracować na bieżąco, niezależnie od tego czy jest weekend, noc, urlop i czy ktoś zaczął akurat chorować i poszedł na zwolnienie. Następnym tematem, którym należy się zainteresować, jest kwestia zapewnienia kolejnych linii wsparcia. W którym momencie należy problem eskalować? W którym momencie należy powiadamiać kolejne linie wsparcia? W którym momencie należy powiadamiać rzecznika prasowego? W którym momencie należy informować organy państwa? Tego typu kwestie również powinny być wcześniej przygotowywane do tego by organizacja była w stanie zareagować. Najbardziej oczywistymi kwestiami związanymi z zapewnianiem procesów, jest zapewnienie scenariusza reagowania na te rodzaje niepożądanych zdarzeń, które tutaj wyświetliłem. Jeżeli coś się stanie, pracownik powinien niezależnie od tego która jest godzina, zareagować w taki sposób, a nie inny, zgodnie z posiadanymi uprawnieniami. Chciałbym tu jeszcze zwrócić uwagę na jeden, bardzo istotny szczegół, ponieważ SOC-i, czy tego typu zespoły które monitorują bezpieczeństwo, nie zawsze tylko i wyłącznie zajmują się monitorowaniem. Owszem, monitorowanie jest najbardziej podstawową czynnością, którą realizują, ale w przypadkach wcześniej zdefiniowanych, w przypadkach szczególnie niebezpiecznych, jeżeli mamy do czynienia z jakimś aktywnym atakiem na bardzo istotną infrastrukturę, to ktoś również powinien zareagować. W najbardziej skrajnym przypadku taka osoba powinna odłączyć firmę od Internetu lub odłączyć jakiś element infrastruktury. To nie są decyzje, które mogą być podejmowane ot tak, po prostu, bez żadnego przygotowania i żadnych wcześniejszych ustaleń, tylko i wyłącznie z tego powodu, że firma, która świadczy usługi bezpieczeństwa ma tego typu możliwości techniczne. Chciałbym jeszcze zwrócić uwagę na to, że procesy te powinny zapewniać, że organizacja jest w stanie w odpowiedni sposób wykorzystywać dobrodziejstwa, które płyną z każdej kolejnej technologii, która jest tam wdrażana.

Jeżeli mowa już o technologiach, to jakie technologie tak naprawdę powinny funkcjonować w SOC-u lub w firmach, które na poważnie myślą o bezpieczeństwie? Powinniśmy mieć szereg rozwiązań. Tych rozwiązań jest bardzo dużo i są to rozwiązania takie jak antymalware, rozwiązania chroniące przed atakami DDoS, rozwiązania klasy Endpoint Protection, rozwiązania klasy Security Baselines, Cyber Threat Intelligence, szereg różnego rodzaju rozwiązań, które tak naprawdę odpowiadają na któreś konkretnie zidentyfikowane ryzyko. Czy to ryzyko jest jakoś bardzo istotne dla organizacji czy też mniej, to tak naprawdę powinno wynikać z analiz które Państwo przeprowadzą. W każdym razie ilość technologii która jest możliwa do wykorzystania, jest potężna. Tutaj wymieniłem te najbardziej „grube klocki”, może tego wszystkiego być dużo więcej. To, na co chciałbym zwrócić Państwa szczególną uwagę, to że wszystkie te technologie powinny być tak naprawdę spinane w centralnym miejscu. Jest klasa systemów SIEM (Security Information and Event Management) i to w ramach tych systemów gromadzone powinny być informacje na temat tego, co niedobrego się dzieje. To w ramach systemów tej klasy, mają miejsce korelacje, czyli powiązywanie wydarzeń, które miały miejsce w różnych elementach infrastruktury i które następnie zgodnie ze zdefiniowanymi scenariuszami, są obsługiwane przez zespoły SOC.

Mieliśmy proszę Państwa procesy, mieliśmy technologie i dochodzimy do największego tak naprawdę wyzwania, czyli do personelu. Otóż żeby mieć zespół SOC i świadczyć tego typu usługi, przede wszystkim potrzebny jest człowiek. Potrzebny jest ktoś, kto popatrzy na to co wypluwają te wszystkie bezduszne maszyny, kto na podstawie swojego własnego doświadczenia podejmie decyzję czy to już jest problem czy nie, czy należy to eskalować czy nie, czy należy zareagować w taki czy inny sposób. To nie powinny być automaty, które już podejmują tego typu decyzje. To powinien być człowiek, który nadzoruje, w jaki sposób technologia funkcjonuje. Więc najczęstsze trudności w przypadku tworzenia całego SOC-a polegają na tym żeby w ogóle znaleźć takich ludzi. Osoby które mają doświadczenie, które mają chęć nauki i ciekawość świata, które się przez cały czas się uczą, bo pamiętajmy że bezpieczeństwo ewoluuje, a ataków jest coraz więcej każdego dnia. To powinny być osoby, które charakteryzują się pasją do nowych technologii, kwestii cyberbezpieczeństwa, a przede wszystkim proszę Państwa to powinny być osoby które tworzą zespół. Nie chodzi nam jednak zazwyczaj o to by mieć kilku supermenów, którzy tak naprawdę potrafią zrobić wszystko „od a do z”, którzy są niesamowicie mądrzy, inteligentni, potrafią każdy możliwy problem rozwiązać. Nie chodzi o budowanie zespołów z takich ludzi, bo takich ludzi nie ma. Tak naprawdę każda osoba ma swoją specjalizację, każda osoba jest dobra w swojej dziedzinie i dopiero wtedy kiedy ta grupa ekspertów zaczyna pracować jako jedność, to wtedy zaczyna być widać jakąkolwiek wartość płynącą z tego, że tego typu zespół istnieje.

O jakich rolach powinniśmy pomyśleć jeżeli chcemy zbudować u siebie SOC-a? Oczywiście przede wszystkim mamy tę pierwszą linię, czyli grupę osób które przez cały czas, na bieżąco siedzą i patrzą co tam ciekawego dzieje się w bezpieczeństwie i które potrafią odpowiedzieć na pytanie „Co tam ciekawego w bezpieczeństwie słychać”. Druga linia to grupa osób, u których już ma miejsce pierwsza eskalacja. Są to osoby, które zazwyczaj patrzą na to, że już miało miejsce jakieś naruszenie. Są to osoby, które decydują na ile to naruszenie jest poważne i które bardzo często utrzymują relacje z klientem i są w stanie powiedzieć „Szanowny kliencie, miałeś włamanie”. Trzecia linia to specjaliści, którzy zajmują się zaawansowanymi analizami i potrafią zorientować się w jaki sposób działa tak naprawdę te złośliwe oprogramowanie, które są w stanie zidentyfikować jak ten incydent tak naprawdę wyglądał. Ale oprócz tych najbardziej oczywistych trzech linii, o których prawdopodobnie wszyscy z Państwa już nie raz słyszeli, pamiętajmy jeszcze o tym, że jest potrzebny sztab ludzi, którzy zajmują się typowymi wdrożeniami i którzy zajmują się bieżącą konfiguracją narzędzi. Powinno być zapewnione wsparcie administracyjne, bo pamiętajmy na jakich systemach operacyjnych te wszystkie rozwiązania funkcjonują. Powinny być zatrudnione osoby, które zajmują się koordynacją, zapewnieniem ciągłej pracy i właściwych ścieżek eskalacyjnych. Bardzo często okazuje się, że należy tworzyć własne narzędzia, że nawet najlepsze technologie które są, nie do końca odpowiadają potrzebom każdego konkretnego zespołu. Dlatego zespół deweloperów również się przydaje, zespół osób które rozwijają nowe technologie specjalnie pod kątem potrzeb danej organizacji czy jej profilu. Oprócz tego mamy jeszcze specjalistów od usług zaawansowanych.

Mówiąc jeszcze o ludziach, pojawia się jeszcze jedna istotna kwestia, którą już trochę poruszyłem: doświadczenie. Ponieważ niestety, ale dosyć często okazuje się, że te zespoły SOC w rzeczywistości funkcjonują w taki sposób, że jest to dwóch lub trzech studentów, którzy w przerwie między zajęciami, czekając na kolejny egzamin na sesji, siedzą pod telefonem i liczą że ktoś do nich zadzwoni. Czy te osoby są w stanie zareagować właściwie na trudne, bardzo zaawansowane przypadki ataków? Nie mówię już o tych atakach o których wspominał Adam w trakcie poprzedniego wystąpienia, ale przynajmniej o przypadku normalnego, solidnego ataku na organizację. Taki student bardzo często jest bo jest, ale żeby mógł skutecznie zareagować, to powinien właśnie funkcjonować zgodnie z procesami i w całym dużym zespole.

To co tutaj Państwu na slajdzie pokazuję, to są wybrane certyfikaty zespołu, któremu mam okazję przewodzić. Ludzie u nas są doświadczeni, certyfikowani, są to osoby które już coś potrafią, a bardzo często nawet potrafią bardzo dużo. Chciałbym tutaj zwrócić uwagę na szczegóły, na które Państwo być może nie zwrócili uwagi, ale 14 z nas postanowiło podczas tej konferencji dzielić się swoim doświadczeniem. 14 osób nie miało żadnego problemu, żadnych oporów, by opowiedzieć o tematach na których naprawdę się zna.

Wspomniałem o usługach profesjonalnych. Oprócz tych codziennych kwestii związanych z usługami zarządzanymi, czyli z tym że przez cały czas jest monitoring, że przez cały czas jak coś się dzieje, jest reakcja we wcześniej zdefiniowany sposób. Oprócz tego organizacja powinna być w stanie zapewniać, że to bezpieczeństwo jest. Jak możemy oczekiwać tego, że organizacja będzie wdrażała lub będzie świadczyła usługi bezpieczeństwa, jeżeli sama organizacja nie potrafi przeprowadzić prostych testów penetracyjnych lub jeżeli nie potrafi dokonać analizy jakiegoś złośliwego oprogramowania, które tak naprawdę zaatakowało w tym momencie naszych klientów?

Coraz częściej też można spotkać się z taką retoryką, że SOC jest lekiem na całe zło – „ wdrożycie SOC-a, będziecie bezpieczni”. Otóż nie jest tak w pełni. Oczywiście SOC się przydaje, ale tak naprawdę to co jest kluczem do tego by nasza infrastruktura była bezpieczna, to zapewnienie bezpiecznej infrastruktury, zapewnienie tego że informatyka wykonuje na co dzień swoje obowiązki w taki sposób, jak należy, że rozwiązania są odpowiednio skonfigurowane, zabezpieczone i oczywiście odpowiednio monitorowane. Jeżeli taka infrastruktura funkcjonuje, to potem pojawia się taki zespół SOC, który może monitorować, pilnować w sposób ciągły tego, czy te bezpieczeństwo jest zapewnione. Prędzej czy później okaże się, że ktoś zaatakuje organizację i wtedy znowu ten zespół SOC będzie mógł się wykazać, będzie mógł wziąć na cel takie złośliwe oprogramowanie lub hakera i pozbyć się incydentu. I to co znowu jest bardzo istotne proszę Państwa, to że po takich incydentach należy znowu wyciągać wnioski i należy zapewniać, że organizacja czegoś się nauczy, z incydentu wyciągnie wnioski, ponownie utwardzi infrastrukturę i znowu ten cykl będzie przebiegał.

Ponieważ SOC, to kolejny mechanizm kontrolny, chciałbym żeby Państwo patrzyli na takie zespoły jak SOC, jako na kolejne zabezpieczenie. Mamy firewalle, antywirusy, łatki, rozwiązania klasy SIEM i mamy zespoły typu SOC. Jest to kolejny mechanizm kontrolny, który tak naprawdę stanowi odpowiedź na ryzyko, które mniej więcej brzmi w taki sposób, że „moja organizacja nie wykryje i/lub nie będzie w stanie właściwie zareagować na cyberatak”. Tak naprawdę w tym momencie zbliżyliśmy się do najbardziej fundamentalnego pytania – po co w ogóle budować tego typu zespoły i po co przez cały czas monitorować bezpieczeństwo naszej infrastruktury? Odpowiedzi są dwie. Po pierwsze jesteśmy coraz bardziej uzależnieni od nowych technologii – zakładam że żadnego z Państwa tutaj by nie było w dniu dzisiejszym, gdyby Państwa organizacja mogła sobie poradzić bez komputerów i prowadzić w ten sposób działalność. Druga kwestia polega na tym, że te ataki są. Ataki są na co dzień, jest ich bardzo dużo i w większości przypadków faktycznie są to zautomatyzowane ataki, które stosunkowo łatwo można wykryć, ale jeżeli ktoś ma pecha i stanie się celem ataku, to wtedy musi sobie poradzić. Musi sobie poradzić niezależnie od tego która to jest godzina, bo pamiętajmy o tym, że nasi informatycy pracują zazwyczaj między godziną 8 a 16, 9 a 17, a przestępców proszę Państwa to zupełnie nie interesuje. Przestępca nie interesuje się tym czy organizacja w ogóle potrafi się ochronić. Przestępcy nie interesują się tym w jakich godzinach pracuje zespół IT. Przestępcy nie interesują się tym, czy Państwo mają pieniądze na bezpieczeństwo i czy plan budżetowy zakładał tego typu inwestycje. Przestępcy nie interesują się nawet tym czy jest co kraść, czy po prostu Państwa zaatakują bo istnieją Państwo w Internecie – to może być już wystarczający powód. I chciałbym tutaj zwrócić uwagę na to, że brak Państwa umiejętności zareagowania, nie jest usprawiedliwieniem dla braku skutecznych działań, a także nie zwalnia z odpowiedzialności.

Chciałbym zwrócić uwagę na jeden bardzo istotny fakt – w nowym rozporządzeniu RODO słowo „skuteczny” jest odmienione 60 razy. Jeżeli ktoś się do Państwa infrastruktury włamie, to czy będzie to dowód na to że są Państwo nieskuteczni? Tak. Czy będzie to podstawą do wyciągnięcia konsekwencji? Moim zdaniem tak. Naprawdę jest już pora na to, by w sposób usystematyzowany i odpowiedzialny zacząć podchodzić do bezpieczeństwa.

Ostatnie pytanie na które przede wszystkim powinniśmy sobie jeszcze odpowiedzieć, to czy takie zespoły jak SOC należy samodzielnie wdrażać, budować organicznie, czy też warto to kupić jako usługę? I tutaj też odpowiedź nie jest jednoznaczna. Przede wszystkim powinniśmy wziąć pod uwagę możliwości naszego zespołu. Jeżeli posiadamy faktycznie duży zespół informatyków, którzy posiadają bardzo interesujące umiejętności i którzy potrafią samodzielnie przeciwdziałać atakom, rozwijać oprogramowanie, monitorować infrastrukturę w trybie 24/7, to faktycznie może warto coś takiego budować samodzielnie. W innych przypadkach warto skorzystać z usług. Jeżeli nasza organizacja jest poddawana ciągłym atakom, czyli ta ekspozycja jest bardzo wysoka, to może jest to najwyższa pora na to by zacząć zajmować się tym zagadnieniem w sposób skuteczny. Bardzo istotną kwestią – tak naprawdę kluczową jeżeli chodzi o decyzję co robić z tym bezpieczeństwem – jest kwestia naszego apetytu na ryzyko, ponieważ niektóre organizacje będą się interesowały kwestią zgodności czy też najbardziej kluczowa dla nich będzie moda, a w przypadku innych organizacji decyzja o stworzeniu SOC-a będzie odpowiedzią na bardzo konkretne, zidentyfikowane ryzyko i w przypadku tych organizacji powinno im raczej zależeć na tym, by zostało to zrobione w sposób dobry i skuteczny.

I tak już zupełnie na koniec: w dniu wczorajszym, kiedy przygotowywałem się do dzisiejszego wykładu, podszedł do mnie mój sześcioletni synek i spytał się o czym będę mówił. W momencie jak to usłyszał, popatrzył się na mnie zdziwiony i powiedział: „Tato, ale to banalne. Bierze się jabłko, bierze się sokownik i jest sok”. Proszę Państwa, to co Państwu pokazałem na kilku poprzednich slajdach, to jest dowód na to, że stworzenie SOC-u jest banalne: trzeba mieć dobre procesy, dobre technologie i dobry zespół. Najbardziej kluczowe elementy w tym zakresie wymieniłem na slajdach. Nic tylko budować SOC.

Jakub Syta
EXATEL