Objavljeno: 28.11.2023 | Avtor: Miran Varga | Monitor December 2023

Evolucija varnostnooperativnih centrov

Največji izziv varnostnooperativnih centrov bo zmanjšati kadrovsko podhranjenost in njihovo preobremenjenost.

Pogovori o načinih za učinkovitejše odkrivanje groženj, kar predstavlja vsakdanje delo varnostnooperativnih centrov (SOC), segajo že v čas začetkov interneta. Že takrat so se varnostni strokovnjaki spraševali, ali je nemara bolje prepoznati škodljive kode z varnostnimi podpisi ali z oblikovanjem profilov obnašanja. Dobili smo protivirusne programe, ki so za svoje učinkovito delovanje zahtevali vedno sveže podpise o škodljivih kodah. Vmes so se razvijali tudi t. i. peskovniki, kjer se je potencialno škodljiva koda lahko zagnala brez posledic za osrednji sistem in analizirala. Konec 80. let prejšnjega stoletja smo bili priče prvim prototipom odkrivanja vdorov na podlagi anomalij, v 90. letih pa prvi avtomatizaciji odzivanja na grožnje. Konec 90. let so se pojavili prvi izdelki SIEM (angl. Security Information and Event Management), ki so obljubljali, da bodo rešili preobremenjenost sistema za odkrivanje vdorov (IDS) z opozorili in s strah vzbujajočimi »lažno pozitivnimi rezultati«.

Prevrtimo čas naprej. Škodljivih kod danes mrgoli, zgolj tradicionalni načini in metode zaščite jim niso več kos. Že res, da nam v tem primeru lahko močno pomaga avtomatizacija, vendar celo varnostni strokovnjaki dvomijo, da je pri odkrivanju zlonamernih dejanj enako učinkovita kot ročno preiskovanje strokovnjakov. Dodatna težava je v tem, da je tudi varnostnih orodij danes pravzaprav preveč. V preteklih letih so številni poskusi združitve teh v superorodje s pristopom »vse pod eno streho« propadli.

Nova orodja, star pristop

Danes v bistvu poskušamo rešiti zelo podobne težave kot pred desetletji – ugotoviti hočemo, ali je neka programska koda (ali zgolj del nje) škodljiva. In ker je programske kode skoraj neskončno, varnostni strokovnjaki pregorevajo. Doživljajo utrujenost in celo izgorelost zaradi visoke stopnje lažnih pozitivnih rezultatov, preveč je podatkov in opozoril. Težava je v tem, da večina varnostnooperativnih centrov, pa tudi oddelkov IT, ki skrbijo za varnost digitalne krajine podjetij, še vedno dela po starem. Varnostne rešitve, razvite v zadnjih desetletjih, bi se verjetno res izkazale za učinkovite, če bi varnostni problemi ostali nespremenjeni. Tu pa nastopi glavna težava: varnostne grožnje se spreminjajo izredno hitro, mutirajo, inovirajo … Medtem pa se mlajši zaposleni v SOC učijo uporabljati enake analitične tehnike kot v času, ko so se tedenska poročila o dnevnikih varnostnih dogodkov čistila ročno in so se ti dnevniki merili v megabajtih.

Edino, kar se je v tem času zares spremenilo, je prisotnost tehnologij v računalniškem oblaku. Medtem ko je tehnologija v 20. stoletju pomagala avtomatizirati ponavljajoča se opravila, se vloga tehnologije v 21. stoletju osredotoča na avtomatizacijo ponavljajočih se kognitivnih procesov oziroma odločitev. V nasprotnem primeru bi avtomatizacija poskrbela za rutinske naloge, vendar bi količina nerutinskih nalog – tistih, ki zahtevajo razmišljanje – še vedno preobremenila razpoložljive človeške analitike v SOC. V poslu je imperativ »sprejeti pravo odločitev hitreje kot konkurent«. V svetu varnosti pa je analogija naslednja: zaustaviti napadalca, preden bi povzročil večjo škodo.

(Pre)velika površina za napade

Podatkovna jezera, umetna inteligenca (AI), strojno učenje (ML), analiza velikih količin podatkov, računalništvo v oblaku in na robu, internet stvari (IoT) – vse našteto podjetjem pomaga poslovati bolje. A vedno več tehnologije in naprav v poslovnih okoljih in v oblaku je povzročilo še nekaj – eksponentno rast površine za napade. Varnostni strokovnjaki, tako tisti v podjetju kot tisti v varnostnooperativnih centrih, morajo zdaj varovati bistveno večjo digitalno krajino podjetij. In ta izziv je iz dneva v dan večji, saj napadalci potrebujejo le eno ranljivost, da sprožijo svoj napad …

Površina digitalnih napadov se je močno povečala tudi zaradi prehoda številnih podjetij in organizacij na delo na daljavo ter zaradi večje medsebojne povezanosti osebnih računalnikov in pametnih naprav, ki se povezujejo s svetovnim spletom. Za številna podjetja velja, da je njihovo informacijsko okolje danes zelo kompleksno, sestavljeno iz kombinacije lokalnih sistemov, računalništva v oblaku in računalništva na robu, kar ustvarja potrebo po boljšem odkrivanju, analizi in odzivanju na varnostne grožnje.

Nepregleden in nevaren kibernetski prostor

Kibernetski ekosistem je v negotovem položaju. Nove tehnologije, kot so internet stvari, strojno učenje in umetna inteligenca ter 5G, ustvarjajo operativne premike, ki zahtevajo nove in predvsem robustnejše strategije kibernetske varnosti. Izziv kibernetske varnosti še poslabšuje globalno pomanjkanje usposobljenih strokovnjakov za kibernetsko varnost in strokovnega znanja.

Nenazadnje je skrb vzbujajoče tudi dejstvo, da kibernetski kriminal, med katerim so tudi akterji, ki jih podpirajo posamezne države, predstavlja veliko bolj izpopolnjeno in sposobno grožnjo. Prek forumov temnega dela spleta si kibernetski napadalci izmenjujejo vire in taktike ter uporabljajo napredna hekerska orodja, ki jim omogočajo odkrivanje ranljivih ciljev za infiltracijo zlonamerne programske opreme ter avtomatizacijo napadov. Posamezno podjetje s povprečnim oddelkom IT, ki v Sloveniji skorajda ne zaposluje namenskih varnostnih strokovnjakov, bo težko kos napadu, ki ga pripravijo visoko usposobljeni napadalci. Prav zato se vedno več podjetij odloča za najem storitev varnostnooperativnega centra, a tudi SOC niso vsemogočni.

Vidijo »vse«

Eden od bistvenih in pomembnih dosežkov za spopadanje s številnimi izzivi kibernetskih groženj je razvoj okrepljenih zmogljivosti v SOC, ki jih uporabljajo podjetja, vlada in organizacije. SOC zagotavljajo strukturo za upravljanje operativnih tveganj, ki omogoča organizacijo, spremljanje in odzivanje na grožnje kibernetske varnosti. Varnostnooperativni center namreč zaposluje vse profile varnostnih strokovnjakov, zato lahko upravlja poslovne informacijske ter nadzorne sisteme in fizično varnost. Zasnovan je tako, da zagotavlja neprekinjeno preprečevanje, zaščito, odkrivanje in zmanjševanje groženj IKT-okoljem. Ekipe strokovnjakov v SOC tudi odkrivajo ranljivosti, se odzivajo na grožnje in obravnavajo varnostne incidente. Odstotek uspešnosti SOC v obrambi proti napadalcem in škodljivi kodi pa je odvisen predvsem od hitrosti in natančnosti razlage analiziranih podatkov ter odzivanja analitikov in varnostne ekipe na grožnje. Laično bi lahko zapisali, da SOC vidi »vse«, kar se dogaja v kibernetskem prostoru, obenem pa je pomembno tudi, kako hitro in pravilno se na grožnje odzove.

Tudi SOC morajo postati (še) boljši

V času, ko vse več podjetij in organizacij išče pomoč za varovanje svoje digitalne krajine prav pri ponudnikih storitev varnostnooperativnih centrov, postaja jasno, da se morajo tudi ti še izboljšati. Tako univerzalni kot tisti, ki so specializirani za posamezno področje (bančništvo, energetiko, kritično infrastrukturo ipd.). Kako? Strokovnjaki izpostavljajo več področij izboljšav.

Prvo je izboljšana varnostna pripravljenost. SOC pomaga izboljšati varnostno držo organizacije s stalnim spremljanjem varnostnih groženj in ranljivosti ter z ustreznim ukrepanjem za njihovo odpravo. S tem lahko pomaga preprečevati varnostne incidente in zaščititi digitalno krajino ter vire podjetja. Za kaj takega pa mora SOC kar najbolje poznati podjetje, njegovo delovanje in grožnje, ki mu pretijo, če naj oblikuje kar najboljšo strategijo varovanja.

Že res, da SOC vidi »skoraj vse«, saj zagotavlja centraliziran pregled nad varnostno držo organizacije, kar strokovnjakom za varnost omogoča, da enostavno opazijo, kaj se dogaja v omrežjih, sistemih in aplikacijah organizacije. A prav ta vidljivost bi lahko bila po mnenju varnostnih strokovnjakov še boljša – več in boljši varnostni strokovnjaki ter analitiki bi zagotavljali boljše vpoglede v podatke o napadih in boljšo obrambo.

Eno od področij, kjer je vedno mogoč napredek, je odzivni čas. SOC podjetjem omogoča hitrejši odziv na varnostne incidente in grožnje, saj zagotavlja namensko ekipo varnostnih strokovnjakov, ki so usposobljeni za obravnavo tovrstnih dogodkov. A tudi v SOC obstajajo načini, kako še hitreje prepoznati vektorje napada in napadalce ter se pravilno in hitreje odzvati. Na področju odzivanja obstaja veliko prostora za napredek, a zanj je nujno boljše usklajevanje med predstavniki podjetja in SOC, vključno z izvajanjem in vzdrževanjem varnostnih politik in postopkov, uvajanjem varnostnih tehnologij in usposabljanjem osebja o najboljših varnostnih praksah.

Kadrovska podhranjenost in preobremenjenost

Na področju kibernetske varnosti – in še posebej na področju delovanja SOC – je treba na ravni skupnosti in posameznih organizacij opraviti še veliko dela, da bi rešili nekatere od opisanih težav. Toda število ljudi, ki imajo vizijo, izkušnje in spretnosti za njihovo reševanje, ne narašča dovolj hitro. Celo nasprotno, obsežno in vse večje pomanjkanje talentov je eden izmed najbolj kritičnih izzivov, s katerimi se danes sooča svet kibernetske varnosti.

Pravzaprav nikjer v panogi IT ne vlada tako izrazito pomanjkanje talentov kot prav na področju kibernetske varnosti. Študije ocenjujejo, da je prostih delovnih mest v svetu kibernetske varnosti okoli pet milijonov, od tega samo v Evropi primanjkuje okoli milijon varnostnih strokovnjakov. Slaba novica: za prav toliko, torej milijon, pa se vsako leto poglobi globalna vrzel pri povpraševanju po kadrih s področja kibernetske varnosti. To težavo izpostavljajo tudi varnostnooperativni centri sami, saj pomanjkanje usposobljenega osebja že vrsto let kraljuje na lestvicah njihovih izzivov, sledita pa mu pomanjkanje učinkovite orkestracije in avtomatizacije.

Tudi znotraj SOC odmeva še dodaten kadrovski izziv, in sicer visoka fluktuacija kadrov. Obdobju uvajanja in usposabljanja varnostnih analitikov 1. stopnje, ki traja skoraj eno leto, sledi povprečna delovna doba le dveh let – kar pomeni majhno donosnost kadrovske naložbe za SOC. Mnogi kadri namreč izgorijo ali pa sprejmejo finančno privlačnejše ponudbe podjetij, ki »krvavo« potrebujejo varnostne strokovnjake.

Tehnologija ni nujno rešitev

Ponudniki kibernetske varnosti so se odzvali tako, da so trg preplavili z več varnostnimi orodji, ki je vsako specializirano za različna področja. Toda to je samo še povečalo izziv pomanjkanja delovne sile. Več varnostnih orodij vodi v več opozoril, ki jih je treba obravnavati. Vedno večja specializacija varnostnih rešitev povzroča potrebo po večjem številu varnostnih kadrov pa tudi po večji specializaciji na področju kibernetske varnosti. Delno kot odgovor na pomanjkanje talentov in potrebo po specializaciji so se SOC odločili za dvo- ali tristopenjsko strukturo analitikov, pri čemer je vstopna raven ena običajno najobsežnejša in pogosto oddana v zunanje izvajanje. Specializacija je običajno v rokah manjše skupine strokovnjakov, ki jih je težko dobiti (in plačati). Po triaži prevzamejo delo skupine za odzivanje na incidente (IR), ki izvedejo obvladovanje in nadaljnjo preiskavo. Ta skupina mora imeti zlasti visoko raven poznavanja vse večjega števila varnostnih orodij in osnovne infrastrukture, da lahko organizira korake sanacije. S tem povezani stroški usposabljanja prav tako povečujejo skupne stroške SOC in stroške ohranjanja talentov. Posledica: tudi SOC dodatne stroške prevalijo na stranke/naročnike. Brez konkretnih odgovorov, kako področju kibernetske varnosti zagotoviti (čim) več kadrov, bodo računi zanjo vse višji ...

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji