Incidenskezelés szolgáltatásként (x)

Alulfinanszírozottak, kevés szakemberrel dolgoznak és incidenskezelésben ijesztően lassúak a hazai cégek - osztotta meg az egyszerű igazságot a HWSW informatikai biztonsággal foglalkozó meetupján Keleti Arthur, a T-Systems IT-biztonsági stratégája. A felrajzolt helyzetkép nem túl vidám: egy zsarolóvírus azonosításától számítva akár napok is eltelhetnek, amíg az IT visszaállítja a klienseket és az adatokat, a teljes időtartam az incidens kezelésére pedig ennek akár duplája is lehet. Nem ritkák az olyan esetek sem, ahol hónapokig húzódik a helyzet megoldása.

Komplex probléma

A problémának sok oka van és egyiket sem egyszerű megoldani. A legfontosabb, hogy általános informatikai üzemeltetőt ma már viszonylag könnyű találni a munkaerőpiacon, specializált szakembereket azonban fokozatosan egyre nehezebb. A biztonsági szakértők a legfelsőbb kasztot képezik, a tényleg kompetens, gyakorlattal rendelkező, folyamatosan tanuló biztonsági mérnökök nagyon kevesen vannak itthon - és épp ebből kifolyólag drága is az alkalmazásuk. A legfrissebb Hays Salary Guide szerint az üzemeltetői szegmensben messze biztonsági szakemberek keresik a legtöbbet, tulajdonképpen ez az egyetlen üzemeltető kompetencia, melyben akár a fejlesztési fizetések fölött lehet keresni.

A fentiek eredője, hogy az informatikai infrastruktúra kiépítésére és működtetésére már van forrás szinte mindenhol, annak biztonságossá tételére, megvédésére viszont nincs. Ideális esetben néhány (1-3) ember feladata az IT-biztonság, ők azonban tipikusan a szervezeti szabályokat írják, azokat betartatják, új rendszereket vizsgálnak be és a régieket üzemeltetik, az incidensek kezelésére, azok tempós elhárítására így sem idő, sem erőforrás nem marad.

Érdemes ezzel kontrasztba állítani azt, ami a támadó oldalon rendelkezésre áll: a gazdasági-pénzügyi előnyszerzésre (például ransomware-re) szakosodott csapatok elit szakembereket képesek foglalkoztatni, akiket a vastagon jövedelmező tevékenység szépen el is tud tartani. Ezek a komoly, illegális üzleti vállalkozások ma már nagyon gyorsan nagyon hatékony támadásokat tudnak bevinni a vállalati rendszerek ellen. Az aszimmetria kiütközik a motivációban is, a támadók elsődleges (sőt: egyetlen) célja a rendszerekbe való bejutás, míg a védekező oldalon ennek megelőzése sokadrangú kérdés.

Kívülről érkezhet a megoldás

Ha házon belül gyakorlatilag lehetetlen kompetens IT biztonsági szervezetet felépíteni (legalábbis elfogadható áron), akkor érdemes megfontolni a külső segítséget, amely pusztán méretgazdaságossági okokból is sokkal hatékonyabban működhet a belső csapatnál. Ilyent kínál egyébként a T-Systems is, a cég Security Operations Centere heti hét napos, napi 24 órás ügyeletet biztosít, operátorok, elemzők csapataival. A T-Systems csapata egyébként nem most alakult, már 2000 óta gyűjti a tapasztalatokat ezen a területen, ami értelemszerűen rengeteg tudást és krízishelyzetben is helyt álló embereket jelent.

A T-Systems SOC elemzőinek munkájába a 60 fős biztonsági kompetenciaközpont egésze besegít, hiszen az azonosítás mellett az adekvát, ügyfélrendszer-specifikus választintézkedés is fontos. A központban napi 20-50 incidenst vizsgálnak ki a SOC ügyfeleinél. A potenciális biztonsági incidenseket első körben automatizált rendszerek vizsgálják, ezek feladata kiszűrni a triviálisan azonosítható fals pozitív eseményeket. Ezt követően kerülnek az adatok az operátorokhoz, akik alaposabban megvizsgálják ezeket és validálják a fontos incidenseket. Az ilyen eseményekkel pedig utolsó körben az elemzők foglalkoznak - ők azok, akik képesek összefüggésében látni az incidens elemeit és fel tudják ismerni a támadási mintázatokat. A tevékenység kritikus eleme a gyorsaság, a belső IT-val szemben az SOC elemzői sokkal fürgébben tudják észrevenni és elhárítani az incidenseket, köszönhetően a megfelelően képzett és tapasztalt szakembereknek.

Az incidenskezelésnek része a felfedezett kártevők elemzése, ezt a cég saját laborjaiban illetve partnerintézményekkel közösen végzi. Ez a “boncolás”, vagyis a kártevő működésének visszafejtése segít megérteni annak működését és értelemszerűen hozzásegít a védelem kiterjesztéséhez is.

A szervezet kibervédelmi hírszerzéssel (“threat intelligence”) is foglalkozik, ennek része a partnerektől származó adat, a saját tevékenység során megszerzett információk, az anyavállalat Deutsche Telekom infrastruktúráját folyamatosan érő támadások, de a proaktív információgyűjtés is, a saját mézesbödönöktől (“honeypot”) az ismertebb csoportok tevékenységének követéséig. Ezekből a csapat egyedi jelentéseket készít a kliensek számára, amely segít priorizálni a védekezés különböző aspektusait.

Komoly kihívás, hogy az SOC kliensei különböző iparágakból érkeznek és egészen változatos szoftverkörnyezeteket használnak. Ez egyrészt rendszerintegrációs feladatot jelent, hiszen a különböző naplótároló és -elemző rendszereket össze kell kötni az SOC saját megoldásaival, ez már önmagában komplex feladat. De meg kell ismeri alaposan a védendő infrastruktúrát is, ami komoly, rendszeres képzések nélkül nem lenne kivitelezhető. Szintén folyamatos tréningek segítenek abban, hogy a csapat a bevetésre váró védelmi technológiákkal megismerkednek és naprakész maradjon a több, mint 40 különböző kibervédelmi területtel, amelyen az SOC jelen van.

(A T-Systems Magyarország megbízásából készített anyag)