Monitorowanie bezpieczeństwa - trendy i kierunki rozwoju SOC
- 30.03.2018, godz. 00:32
Jak zmienia się sposób działania zespołów odpowiedzialnych za monitorowanie bezpieczeństwa IT w firmach i jakie są najważniejsze trendy w tej dziedzinie to główne elementy prezentacji, którą podczas konferencji SEMAFOR 2018 przedstawił Tomasz Wojciechowski, lider zespołu Cyber Security w firmie PwC.
SOC (Security Operations Center) to jednostka organizacyjna w firmach odpowiedzialna za bezpieczeństwo systemów IT. Główne zadania jej pracowników to identyfikacja i obsługa incydentów, zarządzanie podatnościami, operacyjne zarządzanie i wykorzystanie technologii bezpieczeństwa IT oraz analiza ryzyk z obszaru cyberbezpieczeństwa.
Jak wynika z badań statystycznych, w firmowych działach SOC na świecie zatrudnionych jest średnio 2-5 pracowników.
Zobacz również:
- Nowy rozdział oprogramowania motoryzacyjnego
- Ruszył konkurs z programu Fundusze Europejskie dla Polski Wschodniej na automatyzację i robotyzację firm
“Jeśli jednak chodzi o poziom dojrzałości stosowanych w SOC rozwiązań organizacyjnych i technicznych to wciąż pozostaje on względnie niski i nie widać istotnych zmian w ostatnich latach” mówi Tomasz Wojciechowski. W kontekście SOC najbardziej dojrzałe są rozwiązania wykorzystywane w takich branżach, jak usługi, służba zdrowia i sektor energetyczny.
Największym problemem jaki mają obecnie firmy i organizacje to niedostatek wykwalifikowanych pracowników, którzy mogliby wzmocnić działy bezpieczeństwa.
Niestety przyszłość nie rysuje się optymistycznie. Według prognoz ISACA w 2019 roku będzie 1 milion wolnych wakatów dotyczących stanowisk w obszarze cybersecurity. A analitycy Cybersecurity Ventures szacują, że do 2021 roku liczba ta wzrośnie aż do 3,5 miliona. Już obecnie 45% firm i organizacji ma problem w zatrudnianiu specjalistów ds. bezpieczeństwa, jak wynika z danych zaprezentowanych w raporcie ESG/ISSA.
Jednocześnie zwiększa się zakres działania i odpowiedzialności SOC o nowe obszary takie, jak systemy IoT (internet rzeczy) lub OT (Operational Technology).
Problemy ten mają wpływ na trendy i kierunki rozwoju SOC. Coraz większego znaczenia nabierają technologie umożliwiające automatyzację działania systemów bezpieczeństwa, koncepcje co-sourcingu/hybrydyzacji SOC, centralizacji działów bezpieczeństwa w firmach o strukturze rozproszonej, a także rozwiązań pozwalających na mierzenie efektywności SOC i skuteczności zaimplementowanych mechanizmów bezpieczeństwa.
Automatyzacja SOC
Automatyzacja umożliwia zmniejszenie problemów związanych z brakami kadrowymi.
Typowe obszary w których możliwe jest jej wykorzystanie to:
- wdrożenie mechanizmów pozwalających na wzbogacenie dostępnych danych dotyczących incydentów o informacje pochodzące z różnych systemów.
- automatyzacja decyzji, czyli systemy umożliwiające podejmowanie automatycznych decyzji w oparciu o odpowiednio skonfigurowany workflow.
- rozwiązania do zautomatyzowanego, efektywnego i wydajnego zarządzania logami, platformami SIEM i innymi systemami bezpieczeństwa wykorzystywanymi w firmie.
Jeśli chodzi o te technologie to największe nadzieje na zwiększenie poziomu bezpieczeństwa budzi wykorzystanie:
• automatyzacji
• sztucznej inteligencji
• systemów data lake
Oprócz tego możliwe jest wykorzystanie mechanizmów sztucznej inteligencji. „To obecnie wciąż niezbyt dojrzała technologia, ale w niedalekiej przyszłości zostanie najprawdopodobniej znacznie szerzej niż dotąd wykorzystana do wspomagania pracy SOC, uważa Tomasz Wojciechowski.
Główne obszary zastosowań sztucznej inteligencji w SOC to:
- automatyczna eksploracja danych – użycie uczenia maszynowego w celu identyfikacji nieznanych wzorców lub wskazania obszarów wymagających dalszej analizy.
- wsparcie procesów decyzyjnych – wsparcie analityków SOC w podejmowaniu decyzji podczas analizy incydentu przy wykorzystaniu informacji dotyczących poprzednich cykli obsługi incydentów.
Uczenie maszynowe i tworzenie wzorców zagrożeń (wzorców incydentów), po uzupełnieniu o dodatkowe informacje umożliwia stworzenie systemu dostarczającego gotowych propozycji działań dla analityków zajmujących się bezpieczeństwem
Zakres i metody działania SOC ewoluują wraz z zagrożeniami oraz wprowadzaniem nowych technologii. Można tu wymienić popularyzację zastosowań takich technologii i rozwiązań jak:
- oprogramowanie wspierające działania proaktywne (Threat Intelligence, Threat hunting, analizy malware)
- nowe technologie wspierające SOC (automatyka, sztuczna inteligencja, data lake, endpoint visibility)
- obsługa nowych obszarów wymagających kontrolowania bezpieczeństwa (IoT, OT)
Zastosowania niektóre prezentowanych technologii to wciąż kwestia przyszłości. „Na razie nie widziałem jeszcze działu SOC monitorującego system IoT” przyznaje Tomasz Wojciechowski.
Co-sourcing/hybrydyzacja SOC
Bezpieczeństwo może być obsługiwane przez lokalny dział SOC lub przy wykorzystaniu outsourcingu czyli usług świadczonych przez zewnętrzne firmy. Oba te modele mają zalety i wady, dlatego pojawiła się koncepcja co-sourcingu/hybrydyzacji SOC czyli wykorzystania zarówno firmowego działu SOC, jak i zewnętrznych usług. Rozwiązanie takie umożliwia:
- zachowanie zalet lokalnego SOC (kontekst incydentów, zachowanie wiedzy w organizacji, kontakty i ścieżki eskalacji, działanie poza zakontraktowanym SLA).
- zachowanie zalet SOC w modelu outsourcingu (obniżenie kosztów, zapewnienie dostępności wykwalifikowanych pracowników oraz wiedzy niezależnych ekspertów)
Centralizacja SOC
W przypadku firm działających w skali globalnej lub mających rozproszoną strukturę wykorzystanie lokalnych działów SOC działających w różnych oddziałach i jednostkach stwarza problemy związane z utrudnioną komunikacją między ich pracownikami, a często również brakiem jednolitych standardów dotyczących technologii i procesów. Oprócz tego różne, działające niezależnie zespoły pracowników mogą mieć różne problemy.
Dobrym rozwiązaniem może być centralizacja SOC. Utworzenie jednolitej struktury umożliwia zwiększenie efektywności działania dzięki możliwości współdzielenia informacji o incydentach, a także metodach przeciwdziałania i eliminacji zagrożeń.
Globalny rynek SOC jest obecnie warty około 10 miliardów USD, a rynek cybersecurity rozwija się w tempie 10-15% w skali roku. Podstawą dla efektywnego działania systemów bezpieczeństwa są jednak ludzie wsparci odpowiednimi technologiami, mówi Tomasz Wojciechowski.