Dátum publikácie:13. 10. 2022
1. ÚVOD
Kybernetická bezpečnosť: pojmy, definície, predpisy, zákony, medzinárodné normy, a mnohé iné. A tiež systémy, technológie a riešenia vrátane ich implementácie. Ako sa v tom všetkom vyznať? Áno, odborná komunita tomu rozumie, denné štúdium problematiky, denná prax v reálnom živote, používanie skratiek a zaužívaných slangových výrazov je normálnou súčasťou ich odborného jazyka. Pojmy ako SIEM, RED TEAMS, BUGS, SOC a mnohé ďalšie sú bežnou súčasťou ich rozhovorov a už sa vôbec neprekladajú do slovenčiny. Ako sa v tom všetkom má zorientovať bežný pracovník zabezpečujúci IT v malých organizáciách, malých obciach, e-shopoch a pod., ktoré pôsobia mimo tohto typu odbornosti a chcú sa aspoň trošku zorientovať v problematike kybernetickej bezpečnosti? Resp. chcú aspoň čiastočne porozumieť potenciálnym diskusiám v oblasti kybernetickej bezpečnosti, ak reálne potrebujú túto oblasť vyriešiť?
Tento krátky článok má za cieľ priblížiť bežným ľuďom aspoň niektoré zo základných a často používaných riešení a pojmov v oblasti riadenia kybernetickej bezpečnosti. Ide teda o naozaj vysokoúrovňový rámcový pohľad na niektoré z riešení pre účely prvotného zorientovania sa v často používaných skratkách a pojmoch. Bežný čitateľ tak získa základné informácie, vďaka ktorým bude aspoň trošku „v obraze“.
2. SIEM
Skratka „SIEM“ v angličtine znamená „Security Incident and Event Management“, do slovenčiny je to možné preložiť napr. ako „Riadenie bezpečnostných incidentov a udalostí“. Ide o plne automatizovaný monitorovací a auditný nástroj, teda o komplexné riešenie určené na centralizáciu, aktívne sledovanie a vyhodnocovanie v reálnom čase všetkých relevantných bezpečnostných informácií (napr. logovacie záznamy) sústredených na jedno miesto zo sietí a informačných systémov organizácie. Teda je možné hovoriť o bezpečnostnom monitorovaní informačno-komunikačného technického a technologického prostredia organizácie. Výstupom takéhoto nástroja je okrem iných aj záznam/vyhodnotenie údajov z udalostí v infraštruktúre organizácie, určenie vzájomných vzťahov, detekcia potenciálnych hrozieb a zraniteľností, resp. bezpečnostných incidentov, normalizácia formátov čiastkových údajov, sledovanie neobvyklého správania sa používateľov a pod. vo forme prehľadných výstupov (reportov).
Poskytovateľov takýchto riešení je na trhu relatívne veľa, je preto potrebné sa pri výbere správneho dodávateľa zorientovať minimálne získaním informácií a prehľadu od organizácií podobnej veľkosti a typu, ktoré už tieto riešenia implementovali. Je vhodné spýtať sa ich na skúsenosti a praktické výhody u nich nasadených riešení. Ako to pri profesionálnych riešeniach býva, je vhodné obrátiť sa na dodávateľa s overiteľnými referenciami a dlhoročnými skúsenosťami v rámci implementácií a prevádzkou tohto typu bezpečnostného riešenia.
3. SOC
Skratka „SOC“ v angličtine znamená „Security Operations Center“, do slovenčiny je to možné preložiť napr. ako „Bezpečnostné operačné centrum“. Ide o samostatné a nezávislé (a najmä z pohľadu vybudovania aj finančne náročné) pracovisko (obvykle v priestoroch dodávateľa – to v prípade poskytnutia SOC ako služby) alebo v priestoroch samotnej organizácie (ak si SOC organizácia vybuduje sama). Účelom SOC je nepretržité monitorovanie, odhaľovanie, prešetrovanie, reakcia a samozrejme aj predchádzanie kybernetickým bezpečnostným hrozbám s cieľom monitorovať, hodnotiť a chrániť klientov alebo samých seba pred kybernetickými útokmi.
V praxi sú tímy pôsobiace na pracoviskách SOC dodávateľa v rámci zmlúv s klientmi priamo zodpovedné za monitorovanie a ochranu aktív klienta. Okrem toho chránia jeho obchodné a duševné vlastníctvo, ako aj ochranu údajov o personálnych zdrojoch. Majú v kompetencii prevenciu a detekciu v rámci monitorovania siete a prevádzky v nej, ďalej vyšetrovanie podozrivých aktivít vrátane identifikácie a triedenia typov prípadných bezpečnostných incidentov a reakcie na ne, ako aj odpovede na bezpečnostné incidenty vo forme koordinácie reakcie na nápravu vzniknutých problémov. V realite sa v prípade výskytu bezpečnostných incidentov napr. izolujú relevantné koncové body, zabraňuje sa spusteniu alebo šíreniu škodlivých aktivít a pod. Nakoniec je v rámci činnosti SOC realizovaná snaha o obnovu systémov a údajov do pôvodného stavu (do popredia vtedy vstupujú kvalitné zálohy).
Pri tomto type bezpečnostného riešenia vo forme služby nie je poskytovateľov až tak veľa (globálne však nájdete určite aspoň 15 poskytovateľov SOC vo forme externej služby, lokálne na Slovensku a v Čechách je počet poskytovateľov SOC podobný). Je to spôsobené mimoriadnou náročnosťou na technické, technologické a personálne vybavenie SOC pracoviska. Pri rozhodovaní o výbere vhodného dodávateľa alebo vybudovaní vlastného SOC je preto potrebné zvážiť efektivitu a návratnosť investícií. Je tiež vhodné vedieť, na čo chcete klásť dôraz – niektorí dodávatelia sa viac zameriavajú na správu bezpečnostných udalostí, iní viac na správu detekcie incidentov, ďalší viac na správu zabezpečenia koncových bodov, mnohí majú konzole pre správu vlastných produktov, iní zase umožňujú pripojenie k rozsiahlejšiemu radu bezpečnostných nástrojov. Pýtajte sa potenciálneho poskytovateľa najmä na poslanie jeho SOC, na zloženie personálu SOC, na potrebu rozšírenia vašej infraštruktúry, na frekvenciu skenovania vašej infraštruktúry, na spôsoby auditovania v súlade s platnými predpismi a v neposlednom rade na cenu za poskytovanú službu.
4. BUGS
...
Autor: DATAsec.sk; Ing. Stanislav Guláš
Súvisiace právne predpisy ZZ SR
Súhlas s použitím cookies
Vlastné nastavenie cookies