Monitorowanie bezpieczeństwa - trendy i kierunki rozwoju SOC

Jak zmienia się sposób działania zespołów odpowiedzialnych za monitorowanie bezpieczeństwa IT w firmach i jakie są najważniejsze trendy w tej dziedzinie to główne elementy prezentacji, którą podczas konferencji SEMAFOR 2018 przedstawił Tomasz Wojciechowski, lider zespołu Cyber Security w firmie PwC.

SOC (Security Operations Center) to jednostka organizacyjna w firmach odpowiedzialna za bezpieczeństwo systemów IT. Główne zadania jej pracowników to identyfikacja i obsługa incydentów, zarządzanie podatnościami, operacyjne zarządzanie i wykorzystanie technologii bezpieczeństwa IT oraz analiza ryzyk z obszaru cyberbezpieczeństwa.

Jak wynika z badań statystycznych, w firmowych działach SOC na świecie zatrudnionych jest średnio 2-5 pracowników.

Zobacz również:

“Jeśli jednak chodzi o poziom dojrzałości stosowanych w SOC rozwiązań organizacyjnych i technicznych to wciąż pozostaje on względnie niski i nie widać istotnych zmian w ostatnich latach” mówi Tomasz Wojciechowski. W kontekście SOC najbardziej dojrzałe są rozwiązania wykorzystywane w takich branżach, jak usługi, służba zdrowia i sektor energetyczny.

Największym problemem jaki mają obecnie firmy i organizacje to niedostatek wykwalifikowanych pracowników, którzy mogliby wzmocnić działy bezpieczeństwa.

Niestety przyszłość nie rysuje się optymistycznie. Według prognoz ISACA w 2019 roku będzie 1 milion wolnych wakatów dotyczących stanowisk w obszarze cybersecurity. A analitycy Cybersecurity Ventures szacują, że do 2021 roku liczba ta wzrośnie aż do 3,5 miliona. Już obecnie 45% firm i organizacji ma problem w zatrudnianiu specjalistów ds. bezpieczeństwa, jak wynika z danych zaprezentowanych w raporcie ESG/ISSA.

Jednocześnie zwiększa się zakres działania i odpowiedzialności SOC o nowe obszary takie, jak systemy IoT (internet rzeczy) lub OT (Operational Technology).

Problemy ten mają wpływ na trendy i kierunki rozwoju SOC. Coraz większego znaczenia nabierają technologie umożliwiające automatyzację działania systemów bezpieczeństwa, koncepcje co-sourcingu/hybrydyzacji SOC, centralizacji działów bezpieczeństwa w firmach o strukturze rozproszonej, a także rozwiązań pozwalających na mierzenie efektywności SOC i skuteczności zaimplementowanych mechanizmów bezpieczeństwa.

Automatyzacja SOC

Automatyzacja umożliwia zmniejszenie problemów związanych z brakami kadrowymi.

Typowe obszary w których możliwe jest jej wykorzystanie to:

- wdrożenie mechanizmów pozwalających na wzbogacenie dostępnych danych dotyczących incydentów o informacje pochodzące z różnych systemów.

- automatyzacja decyzji, czyli systemy umożliwiające podejmowanie automatycznych decyzji w oparciu o odpowiednio skonfigurowany workflow.

- rozwiązania do zautomatyzowanego, efektywnego i wydajnego zarządzania logami, platformami SIEM i innymi systemami bezpieczeństwa wykorzystywanymi w firmie.

Przyszłość technologii bezpieczeństwa

Jeśli chodzi o te technologie to największe nadzieje na zwiększenie poziomu bezpieczeństwa budzi wykorzystanie:

• automatyzacji

• sztucznej inteligencji

• systemów data lake

Oprócz tego możliwe jest wykorzystanie mechanizmów sztucznej inteligencji. „To obecnie wciąż niezbyt dojrzała technologia, ale w niedalekiej przyszłości zostanie najprawdopodobniej znacznie szerzej niż dotąd wykorzystana do wspomagania pracy SOC, uważa Tomasz Wojciechowski.

Główne obszary zastosowań sztucznej inteligencji w SOC to:

- automatyczna eksploracja danych – użycie uczenia maszynowego w celu identyfikacji nieznanych wzorców lub wskazania obszarów wymagających dalszej analizy.

- wsparcie procesów decyzyjnych – wsparcie analityków SOC w podejmowaniu decyzji podczas analizy incydentu przy wykorzystaniu informacji dotyczących poprzednich cykli obsługi incydentów.

Uczenie maszynowe i tworzenie wzorców zagrożeń (wzorców incydentów), po uzupełnieniu o dodatkowe informacje umożliwia stworzenie systemu dostarczającego gotowych propozycji działań dla analityków zajmujących się bezpieczeństwem

Zakres i metody działania SOC ewoluują wraz z zagrożeniami oraz wprowadzaniem nowych technologii. Można tu wymienić popularyzację zastosowań takich technologii i rozwiązań jak:

- oprogramowanie wspierające działania proaktywne (Threat Intelligence, Threat hunting, analizy malware)

- nowe technologie wspierające SOC (automatyka, sztuczna inteligencja, data lake, endpoint visibility)

- obsługa nowych obszarów wymagających kontrolowania bezpieczeństwa (IoT, OT)

Zastosowania niektóre prezentowanych technologii to wciąż kwestia przyszłości. „Na razie nie widziałem jeszcze działu SOC monitorującego system IoT” przyznaje Tomasz Wojciechowski.

Co-sourcing/hybrydyzacja SOC

Bezpieczeństwo może być obsługiwane przez lokalny dział SOC lub przy wykorzystaniu outsourcingu czyli usług świadczonych przez zewnętrzne firmy. Oba te modele mają zalety i wady, dlatego pojawiła się koncepcja co-sourcingu/hybrydyzacji SOC czyli wykorzystania zarówno firmowego działu SOC, jak i zewnętrznych usług. Rozwiązanie takie umożliwia:

- zachowanie zalet lokalnego SOC (kontekst incydentów, zachowanie wiedzy w organizacji, kontakty i ścieżki eskalacji, działanie poza zakontraktowanym SLA).

- zachowanie zalet SOC w modelu outsourcingu (obniżenie kosztów, zapewnienie dostępności wykwalifikowanych pracowników oraz wiedzy niezależnych ekspertów)

Centralizacja SOC

W przypadku firm działających w skali globalnej lub mających rozproszoną strukturę wykorzystanie lokalnych działów SOC działających w różnych oddziałach i jednostkach stwarza problemy związane z utrudnioną komunikacją między ich pracownikami, a często również brakiem jednolitych standardów dotyczących technologii i procesów. Oprócz tego różne, działające niezależnie zespoły pracowników mogą mieć różne problemy.

Dobrym rozwiązaniem może być centralizacja SOC. Utworzenie jednolitej struktury umożliwia zwiększenie efektywności działania dzięki możliwości współdzielenia informacji o incydentach, a także metodach przeciwdziałania i eliminacji zagrożeń.

Globalny rynek SOC jest obecnie warty około 10 miliardów USD, a rynek cybersecurity rozwija się w tempie 10-15% w skali roku. Podstawą dla efektywnego działania systemów bezpieczeństwa są jednak ludzie wsparci odpowiednimi technologiami, mówi Tomasz Wojciechowski.