To jest 68. odcinek podcastu Porozmawiajmy o IT, w którym z moim gościem rozmawiam o Centrum Operacji Bezpieczeństwa – Security Operations Center. 

Partnerem odcinka jest firma 3S. 

Przypominam, że w poprzednim odcinku rozmawiałem o tym, czy warto uczyć się języka Python. 

Wszystkie linki i transkrypcję dzisiejszej rozmowy znajdziesz pod adresem porozmawiajmoit.pl/68

Jeśli jeszcze tego nie zrobiłeś, to wystaw ocenę albo recenzję podcastowi w aplikacji, w której tego słuchasz.

Chcę rozszerzać horyzonty osób z branży IT i wierzę, że poprzez wywiady takie jak ten, publikowane jako podcasty, będę to robił z sukcesem.

Już dzisiaj możesz mnie wesprzeć w tej misji, zostając moim patronem na platformie Patronite. 

Wejdź na patronite.pl/porozmawiajmyoit i sprawdź szczegóły! 

Nazywam się Krzysztof Kempiński i życzę Ci miłego słuchania!

 

Odpalamy! 

 

Cześć, mój dzisiejszy gość to ekspert w obszarze bezpieczeństwa w firmie 3S. Firmie wchodzącej w skład grupy 3s, która w sierpniu 2019 roku dołączyła do grupy Play. 3S posiada 4000 km własnej sieci światłowodowej, dysponuje pięcioma ośrodkami Data Center w Polsce, projektuje i wdraża rozwiązania telekomunikacyjne, cloud computingu oraz security. 

Mój dzisiejszy gość to Dawid Skórka. 

 

Cześć, Dawid! Bardzo mi miło gościć cię w podcaście. 

 

Cześć, cześć, witam wszystkich, witam cię! 

 

Z Dawidem porozmawiamy sobie o Centrum Operacji Bezpieczeństwa, czyli Security Operations Center. Czym jest takie centrum i czym się zajmuje. 

Dawid – zawsze na początku pytam moich gości czy słuchają podcastów i jeśli tak, to jakich najczęściej. Jak to wygląda u ciebie? 

 

Tak! Słucham podcastów, dokładnie dwóch. Głównym, którego słucham najczęściej jest to Cyber, Cyber… Fundacji Bezpieczna Cyberprzestrzeń. Drugi, którego słucham jest to podcast Niebezpiecznika, natomiast też nie powiem, że słucham wszystkich po kolei czy też, kiedy odcinki się pokazują, to słucham. 

Natomiast raczej staram się te, które tematyką pasują do moich zainteresowań, mojego obszaru niż słuchać wszystkiego po kolei. 

Oprócz samego słuchania podcastów wolę czytać – jest więc kilka stron internetowych, blogów, z których zdobywam wiedzę. Teraz przede wszystkim Kapitan Hak, Sekurak – są to dwie strony, które sypią wiedzą mocno techniczną. Czytaj też Zaufaną Trzecią Stronę oraz Niebezpiecznika. 

 

Pewnie. Dzięki za te rekomendacje! Gdybyś jeszcze mógł nieco więcej powiedzieć o sobie od strony prywatnej – na początku przybliżyłem cię pod kątem zawodowym, natomiast jestem też ciekaw co osoba, która tak mocno zajmuje się działem bezpieczeństwa IT robi prywatnie.

 

Nieco ponad rok temu urodził mi się syn, więc obecnie swój prywatny czas poświęcam rodzinie i wychowywaniu syna. Natomiast wcześniej, gdy tego czasu było ciut więcej, zajmowałem się pentestingiem delikatnym. Od razu zaznaczam, że nie jestem ekspertem w tej dziedzinie i nie jestem w stanie przepentestować wszystkich rzeczy i bardzo zaawansowanych, natomiast w zaciszu swojego komputera, swojego pokoju starałem się pentestować maszyny dostępne w Internecie. Można je pobrać, odpalić w jakimś hypervisorze i pentestować. 

Oprócz tego to siłownia wchodziła w grę, więc to w sumie tyle!

 

Zanim odpowiemy na pytanie czym tak naprawdę jest Centrum Operacji Bezpieczeństwa, na jakie problemy odpowiada, warto by się było zastanowić czy takie popularne systemy jak firewall, antywirus czy filtrowanie podejrzanych adresów URL czy maili, to jest wystarczające zabezpieczenie dla większości firm pod kątem cyberbezpieczeństwa. 

Co ty o tym myślisz?

 

To pytanie podzielę na dwie części.

Na tapet wezmę firewalla oraz antywirusa. Jeśli mówimy o antywirusie, to jest to podstawowe oprogramowanie, które każda firma powinna posiadać, natomiast firewall, jego konfiguracja jest tak dobra, jak administrator, który tym zarządza. Możesz mieć naprawdę wysokiej klasy sprzęt czy urządzenia, które pracują jako firewall natomiast to, jak administrator go skonfiguruje, to świadczy o twoim bezpieczeństwie. 

 

Jeśli mówimy o antywirusie, to jest to podstawowe oprogramowanie, które każda firma powinna posiadać, natomiast firewall, jego konfiguracja jest tak dobra, jak administrator, który tym zarządza. 

 

Wiele razy zdarzały się tego typu przypadki, że administrator otworzył jakąś furtkę, port czy wystawił RDP-a do Internetu windowsowego i nagle firma miała nieprzyjemności z tego tytułu, występował jakiś incydent, ponieważ ktoś wyeksploitował tego RDP-a i dostał się do wnętrza sieci firmy. Jest to podstawą, natomiast samo rozwiązanie sprzętowe czy też software’owe, ponieważ firewall może być rozpatrywany z dwóch perspektyw. 

Sprzętowej – hardware’owej natomiast może być też software’owy. Tak jak wspomniałem – jest, tak dobry, jak sam administrator zarządzający tym oprogramowaniem. Natomiast jeśli chodzi o filtrowanie podejrzanych adresów URL tutaj też kwestia jest tego typu, że musimy mieć narzędzie, które będzie w stanie pokazać nam, które adresu URL są podejrzane i też je zablokować czy dopuścić ewentualnie – już byśmy otworzyli daną witrynę czy połączyli się z daną stroną internetową. 

Kwestia filtrowania podejrzanych adresów URL jest dosyć skomplikowana, ponieważ też musimy mieć tzw. feedy, które dostarczają nam informacji na bieżąco czy dane URL, czy strona internetowa pokazująca się w Internecie posiada malware’y czy jest potencjalnie bezpieczna. 

 

Wszystkie te rzeczy, o których powiedziałeś mogą być w jakiś sposób zabezpieczeniem na powiedzmy popularne wirusy czy rzeczy, które generalnie są gdzieś rozsiewane po sieci i mają za zadanie atakować szerokie grono potencjalnych ofiar.

Natomiast jestem ciekaw ataków, które są dedykowane – powiedzmy – na zasoby jakiejś konkretnej firmy. To jest częste zagrożenie i w jakim stopniu jest skomplikowane i czasochłonne w przygotowaniu. 

 

Jeśli chodzi o ataki APT, bo w pytaniu akurat mówisz o nich – to są tak zwane advanced persistent threat i z jednej strony nie chciałbym się z tej strony wypowiadać, ponieważ nie należę do żadnej grupy APT i nie wiem dokładnie, jak to wygląda od środka natomiast jeśli mówimy o czasie… Wyobrażam sobie, że przygotowanie do dedykowanego ataku to są tygodnie jak nie miesiące przygotowań przez tego typu grupy! 

Wyobrażam sobie, że w zależności od wektora ataku czy też danych, do których chcą się dostać – stosunkowo to przygotowanie musi być dłuższe. Tak naprawdę, grupy APT stoją za nimi organizacyjnie – czy to są fundowane takie grupy APT przez państwa, czy sponsorowane z prywatnych funduszy. Takie ataki więc mogą obejmować wiele, wiele stref. To może być na przykład kradzież własności intelektualnej, to może być kradzież danych niejawnych. Wpływanie na politykę… Całkowite przejęcie witryny. Możemy też mówić o pozyskiwaniu danych w danej infrastrukturze klienta, więc ataki ATP są o tyle skomplikowane w wychwyceniu, ponieważ staranność w przygotowaniu tego typu grup jest dosyć duża i często niezauważalna przez zwykłe systemy.

Mówiliśmy wcześniej o firewall’u, mówiliśmy wcześniej o antywirusie. Firewall pracuje na regułach. Antywirus działa na tzw. sygnaturach, więc jeśli antywirus nie zna danej sygnatury danego pliku czy danego malware’u antywirus tego nie zablokuje. 

Ciężko jest wyłapać atak ATP. Jednym z ciekawych ataków, który był przeprowadzony na irańskie wirówki do wzbogacania uranu był Stuxnet. Szczerze polecam zapoznanie się z tematem, ponieważ jest to bardzo ciekawy rodzaj ataku, też przygotowany przez grupę APT. 

 

Mówimy tutaj o bardzo poważnych rzeczach, poważnych konsekwencjach takich ataków. Jestem ciekaw jak długo może trwać wykrycie takiego ataku i czy taka reakcja po zidentyfikowaniu właśnie takiego włamania daje wystarczające zabezpieczenie? 

Czy to jest tak, że jeśli w miarę szybko stwierdzimy, że taki atak ma miejsce, w jakiś sposób zareagujemy to, czy daje nam – czy też firmie – to wystarczający komfort bezpieczeństwa? 

 

Posłużę się troszeczkę statystykami z firmy IBM. Średnie wykrycie incydentów sieci w firmie energetycznej to jest na dziś ok. 150 dni. Czyli 5 miesięcy! 

Jeżeli chodzi o służbę zdrowia, ta liczba delikatnie rośnie. Są to 255 dni. Czas, który jest potrzebny na wykrycie jest bardzo duży.

 

Średnie wykrycie incydentów sieci w firmie energetycznej to jest na dziś ok. 150 dni. Czyli 5 miesięcy! Jeżeli chodzi o służbę zdrowia, ta liczba delikatnie rośnie. Są to 255 dni. 

 

Biorąc w takim razie pod uwagę RODO i kary wiążące się z tego typu incydentami, no to na pewno mamy tu do czynienia z dużymi kosztami dla firm. Te koszty na chwilę obecną wyskalowane są… Nie jestem w stanie powiedzieć jak duże. 

Patrząc przez pryzmat Moreli taki incydent może dosyć mocno zaboleć. Z tego, co pamiętam Morele dostały ok. 3 000 000 zł kary. Jeden incydent może poważnie zaszkodzić firmie. Słyszałem o przypadkach, gdzie firmy po incydencie czy po wycieku danych ze względu na dosyć wysoką karę z tytułu RODO czy też z powodu zaszyfrowania dysków, czy jakoś ransomware. W tym przypadku nie były w stanie się podnieść i musiały ogłosić bankructwo. 

Nie mogę tutaj powiedzieć w żadnych wypadku o jakimś komforcie bezpieczeństwa po incydencie. 

 

Czyli nawet te daty, które podałeś, ile dni musi minąć do momentu wykrycia takiego włamania są i tak na tyle duże, że nawet wykrycie incydentu najczęściej nie jest już wystarczająco szybkie, żeby zareagować. To jest przepaść, jeżeli chodzi o czas.

 

Jeśli ktoś się dobierze do naszej sieci, mamy jakieś włamanie, incydent to uzyskanie praw administratora na różnych serwerach czy przejęcie uprawnień administratora-kontrolera domeny to są godziny albo maksymalnie dni. Poruszając się z takimi uprawnieniami po serwerach możemy robić cokolwiek. Możemy wykradać cokolwiek. Mamy wgląd w tajne pliki, jeśli jakaś firma posiada jakąś własność intelektualną. 

Tak naprawdę wykrycie w przypadku energetyki – gdzie to wynosi 150 dni… W ciągu 150 dni można zrobić wszystko w sieci. Wyobraź sobie co u siebie mógłbyś zrobić w ciągu 5 miesięcy. 

 

Jasne! To jest bardzo dużo czasu na różne próby włamań wewnętrznych w sieci, próbę wykradzenia danych. Praktycznie na tyle długi czas, że można naprawdę próbować wszelkiego typu złośliwych operacji, które tylko możemy sobie wyobrazić. 

 

Na dobrą sprawę nie mówię tu tylko o sieci konkretnej firmy i ataku tylko i wyłącznie na nią. Powiedzmy, że jesteś w stanie przejąć uprawnienia czy dostać się do jakiejkolwiek skrzynki pocztowej na main serwerze. Jakiejkolwiek. Będąc handlowcem czy osobą, która ma znajomości czy też będąca w kontakcie z innymi podmiotami jesteś w stanie na przykład za pomocą maila rozesłać jakiś malware i jeszcze dalej atakować inne firmy. Tak naprawdę więc wektor ataku nie skupia się tylko i wyłącznie na tej jednej firmie, która jest atakowana, ale również na instytucjach współpracujących z tą firmą i ewentualnymi partnerami. Wektor ataku więc nie musi się skończyć tylko na tej jednej firmie. 

Przestępca może próbować swoich sił w innym kierunku. 

 

Tutaj na scenę wkracza Centrum Operacji Bezpieczeństwa. Niektórzy w zapewnieniu bezpieczeństwa widzą taką operację okopania się, postawienia wysokich murów, szczelnej bramy i dbania o bezpieczeństwo w ten sposób na zasadzie maksymalnej izolacji. Czyli jednorazowa taka akcja zakrojona na dużą skalę – przygotowania całej takiej twierdzy.

Wiemy jednak z tego co powiedziałeś, że w Internecie obecnie zagrożenia nie są takie statyczne. Trzeba być gotowym na najmniej oczekiwany atak. Nie da się przygotować i również w pełni odizolować.

Centrum Operacji Bezpieczeństwa, o którym od początku zaczynamy rozmawiać, czyli z angielskiego Security Operation Center to właśnie jeden ze sposobów poradzenia sobie z nieprzewidywalnością. Również niemożliwością poradzenia sobie przewidzenia wszystkich możliwych typów ataku.

Jak można zdefiniować czym jest takie centrum? 

 

Trochę odniosę się do twojego twierdzenia – powiedziałeś właśnie o tym okopie, żeby bronić firmy jako twierdzę. Nie neguję tego, to jest bardzo dobre podejście, czyli powiedzmy inwestowanie w systemy IDS, IPS czy nextgen firewalle i tego typu rozwiązania. To wychodzi wyłącznie na plus.

Natomiast jeśli chodzi o SOC-a, czyli nasze Security Operation Center… Skupiamy się na monitorowaniu i analizie aktywności w sieciach, w sieciach naszych klientów, jak i naszej, 3S-owej. Przeglądamy logi, analizujemy punkty końcowe, analizujemy logi z baz danych, aplikacje, witryn internetowych. 

Jesteśmy w stanie analizować i zbierać logi, wysnuwać na ich podstawie jakieś sensowne wnioski z każdego urządzenia, które generuje ci logi. 

SOC jest tak naprawdę odpowiedzialny za zapewnienie, że potencjalne incydenty związane z bezpieczeństwem są poprawnie zidentyfikowane, przeanalizowane i w efekcie raportowane klientowi. 

 

Jakie są kluczowe obszary, za które taki SOC odpowiada?

 

Jeśli o to chodzi, to jest to przede wszystkim monitoring sieci systemów bezpieczeństwa. Zbieramy logi z każdego urządzenia, które jest nam w stanie je wysłać. Oprócz urządzeń sieciowych typu routery, switche, monitorujemy także systemy bezpieczeństwa i systemy operacyjne. Nie ważne, czy są to systemy Windows, Linux czy systemy Unixowe. My te logi korelujemy, analizujemy incydenty w obrębie sieci oraz serwerów. Analizujemy również złośliwe oprogramowanie. Jeśli klient dostanie jakąś fakturę, która jest potencjalnie malware’em, jest w stanie przesłać do nas tego typu fakturę, my ją przeanalizujemy pod kątem potencjalnego oprogramowania. Oczywiście klientowi też dostarczamy raport z tego typu rzeczy. 

Oprócz tego skanujemy też sieć naszym klientom, administrację wewnętrzną i zewnętrzną, jeśli któryś klient chce. Dajemy rekomendację w celu wyeliminowania potencjalnych furtek wejścia oraz rzeczy, które pokaże nam skaner. 

Za te obszary odpowiada SOC. 

Oczywiście w momencie wystąpienia jakiegoś incydentu, dokonujemy oceny, jakiej miał wpływ na daną firmę, na daną działalność gospodarczą. 

 

Z tego, co powiedziałeś, mam obraz, że SOC może być odpowiedzialny za zabezpieczenie, reagowanie dla dużych firm – tych, które tego potrzebują. Dlatego zastanawiam się, czy jest taka miara albo dobra praktyka, która jest przez was stosowana w określeniu, kiedy firma potrzebuje tego typu usług. Czy to jest w jakiś sposób skorelowane z etapem rozwoju, z wielkością, z zaawansowaniem technicznym?

Kiedy, powiedziałbyś, że warto już myśleć o tego typu usługach, a kiedy, powiedzmy, jest na to jeszcze za wcześnie? 

 

To jest ciężkie pytanie i powinno być rozpatrywane z poziomu każdego przedsiębiorstwa tudzież każda firma powinna wykonać sobie analizę ryzyka IT, w której powinna wziąć pod uwagę systemy kluczowe, jakie ma w firmie, systemy backupowe. Co się stanie, kiedy dojdzie do jakiegoś incydentu? 

Weźmy na tapet firmę jak diler samochodów. Co się stanie w momencie, gdy dojdzie do jakiegoś incydentu i zaszyfruje nam wszystkie systemy produkcyjne? 

Firma powinna odpowiedzieć sobie na takie pytanie, co się stanie, jeśli dojdzie do czegoś złego. W przypadku takiej firmy samochodowej, na przykład przestój dwu, trzydniowy, żeby przywrócić systemy IT do działania. To jest brak sprzedaży samochodów, chociażby brak możliwości zamówienia samochodów. Wstrzymana praca warsztatu.

Raz, że wchodzi nam kwestia z RODO, dwa kwestie wizerunkowe. Tych strat – oprócz materialnych, czyli braku obsługi klientów i ewentualnych przychodów, dochodzą kwestie typu wizerunek. Jaka firma potrzebuje tego typu usług? To powinno wyjść każdemu z prostego rachunku straty versus koszt Security Operation Center, ponieważ my jako SOC jesteśmy – jeśli dojdzie do potencjalnego incydentu i jakieś oprogramowanie zacznie szyfrować serwery produkcyjne, my jesteśmy w stanie w ciągu minuty czy kilku minut dać klientowi informację o tym, że coś niedobrego dzieje się na tym i tym serwerze albo raz odetnij go od sieci i zobacz, co tam takiego się dzieje albo admin był na wakacjach i nie zdążył uciąć ataku, żeby przywrócić systemy z backupu jak najszybciej i uciąć potencjalny atak. 

 

Czyli każda firma powinna sobie przeanalizować, jakie jest ryzyko potencjalnych strat, które wynika z tego, że zbyt długo będzie ta informacja oczekiwana. Na to, że jest jakieś włamanie, coś złego się dzieje. 

Jeśli, powiedzmy, potrafię sobie wyobrazić firmy, które całościowo opierają swoje działanie o systemy informatyczne, to naturalnie ryzyko związane z tym, że takie serwery przestaną działać są równoważne z zaprzestaniem działania firmy. Wówczas jest to bardzo dobra przesłanka, bardzo dobry kandydat, żeby właśnie korzystać z tego typu usług. 

Natomiast jeśli IT jest tylko małym wycinkiem czy dodatkiem do całości działań to wówczas tu jest kwestia rozważenia, czy faktycznie niezbędne jest decydowanie się na tego typu usługi.

Czy to jest mniej więcej dobry sposób, w jaki ja to zrozumiałem? 

 

Dokładnie tak. Teraz próbuję sobie przypomnieć, pomyśleć jaka firma nie potrzebowałaby tego typu usług i jaka firma nie potrzebowałaby wiedzieć o tym, czy coś niedobrego w ich sieci się dzieje. 

Na obecną chwilę nie jestem w stanie wymyślić takiej firmy – chyba że ktoś prowadzi biuro rachunkowe w książkach i księgach, nie używa systemów IT. Rzeczywiście – taka firma może nie potrzebować usług tego typu. 

 

Teraz próbuję sobie przypomnieć, pomyśleć jaka firma nie potrzebowałaby tego typu usług i jaka firma nie potrzebowałaby wiedzieć o tym, czy coś niedobrego w ich sieci się dzieje. Na obecną chwilę nie jestem w stanie wymyślić takiej firmy – chyba że ktoś prowadzi biuro rachunkowe w książkach i księgach, nie używa systemów IT. 

 

Tak! Słusznie zauważyłeś, że IT przesiąka każdą działalność. Ciężko wyobrazić sobie firmy, które w jakiś sposób nie byłyby, chociaż w małym stopniu zależne od tego typu systemów. 

 

Weź pod uwagę fakt, że praktycznie każda firma posiada jakiegoś CRM-a, jakiś system fakturujący. Przetwarzają te dane osobowe, więc nie jestem w stanie teraz wymyślić miejsca, gdzie firma nie ma klientów czy nie przetwarza danych osobowych. To jest przede wszystkim wyznacznik  – być może jeden z nich – przetwarzanie danych osobowych lub cała infrastruktura IT, która powinna świadczyć o tym, że tego typu usługi się przydają. 

 

Okej. Gdy w Internecie poszukałem hasła Security Operations Center i przeszedłem na zakładkę ze zdjęciami, to zobaczyłem takie obrazki niczym z NASA. Przedstawiające grupę ludzi siedzących przed mnóstwem monitorów, obserwujących jakieś znaczki niczym z matrixa, mnóstwo wykresów, logów i tego typu obrazy. Jestem ciekaw, jak w praktyce wygląda praca takiego zespołu jak, chociażby twój? Jak na co dzień, powiedzmy, wykonuje się zadania w takim zespole? 

 

Oczywiście, nie mamy aż tylu monitorów, które widziałeś na zdjęciach! Jednak tak – mamy wiele monitorów i na nie patrzymy. Faktem – często są to wykresy o atakach, globalne incydenty, które się dzieją, ponieważ też obserwujemy trendy w Internecie, które dzieją się w czasie rzeczywistym w Internecie, próbujemy na to reagować. 

Jako SOC też oczywiście monitorujemy tego typu rzeczy i mamy tzw. feedy, które dostarczamy naszemu SM-owi, które potrafi wykryć różne, rozmaite rzeczy oraz adresy IP, czy to hasze plików na przykład. Z tego wysnuwamy sensowne wnioski. 

Natomiast jeśli chodzi o samo przedstawienie, jak to wygląda, to pierwsza linia SOC-a, czyli nocka ma wiele monitorów i patrzy na różne, rozmaite wykresy i różne, rozmaite incydenty, które na obecną chwilę dzieją się w czasie rzeczywistym. 

Jestem też pracownikiem drugiej linii SOC-a, oprócz tego, że jestem kierownikiem, robię rzeczy techniczne i ze swoim zespołem obsługuje te incydenty, więc my akurat mamy na ten moment kilka monitorów i ważną rzeczą, którą obserwujemy na co dzień to są incydenty naszych klientów. 

Jeśli coś się nowego stanie, dostaniemy informację na maila. Mamy też główny monitor, na którym te incydenty się pokazują. Reagujemy do tego stosowanie szybko. 

 

Wygląda to podobnie jak w NASA, natomiast nie jest aż tak przerażająco jakby się mogło wydawać.

 

Czy też, podobnie jak w NASA siedzicie w bunkrze czy niekoniecznie? 

 

Jeśli chodzi o bunkier to faktycznie trochę tam siedzimy! Pracownicy naszej firmy się śmieją, że jesteśmy zabunkrowani. To wszystko wynika z tego, że mamy ustawę o KSC, która mówi o tym, jak powinno takie pomieszczenie wyglądać. 

Oprócz samych zabezpieczeń systemowych, które stosujemy w SOC-u, oczywiście to pomieszczenie musi być odpowiednio przygotowane. Mówimy tu, chociażby o drzwiach, które muszą spełniać odpowiednie normy. Norma na włamanie oraz ognioodporna. 

Grubość ścian musi być odpowiednia, szyby muszą być odpowiednio zabezpieczone. Oczywiście cała infrastruktura typu ppoż., odpowiednio zrobiona elektryka, więc KSC mocno nas ogranicza w naszej działalności. 

To nie może być po prostu pokój zwykły, biurowy, przedzielony płytami kartonowo – gipsowymi. Musimy spełniać odpowiednie normy, żeby świadczyć usługi dla klientów usług kluczowych w państwie. I to właśnie ustawa KSC nam narzuca. 

 

Z jakich narzędzi od strony technologicznej korzysta SOC? Czy to jest tylko podłączenie się pod rozwiązania w firmie, którą monitorujecie czy też jest to dodanie nowych elementów na przykład do infrastruktury tej firmy po to, żeby być w stanie ją monitorować? 

 

Głównym narzędziem jest SIEM – Security Information and Event Management, to jest narzędzie czy system, który zbiera nam logi ze wszystkiego, co się da i co chcemy podłączyć. 

Ten system za pomocą reguł, które są wbudowane, napisaliśmy, tworzy właśnie incydenty i to jest jeden z systemów, z których korzystamy.

Następny to jest system SOAR-owy. Jest to Security Orchestration Automation and Response. Czyli jeśli coś się stało – ten system prowadzi pracownika za rękę, co ma sprawdzić, gdzie ma sprawdzić, jak ma wejść. Jak ma poinformować klienta, co ma takiego klient zrobić. To jest więc know-how, czyli w zależności od rodzaju incydentu on mówi, jakie czynności trzeba wykonać, żeby obsłużyć incydent.

On od wystąpienia incydentu do jego rozwiązania prowadzi nas za rękę. To są główne narzędzia, z których korzystamy. Oczywiście, jeśli chodzi od strony klienckiej, oprócz tych systemowo-sieciowej, czyli jakieś tam urządzenia, routery, serwery i tak dalej. Zbieramy też informacje z IDS-ów, IPS-ów. Z firewalli. Z application FireWall. To wszystko dostarcza nam niezbędną wiedzę, w której obszarze jesteśmy w stanie wysnuć jakieś konkretne wnioski lub też na przykład skorelować incydenty, skorelować różne logi, więc na podstawie tego tworzą się incydenty i z tego tytułu informujemy klienta o tym, że coś niedobrego dzieje się u niego w sieci.

 

Jasne. Mówiliśmy trochę prześmiewczo o tym bunkrze. Chciałem zapytać czy to jest taka praca w modelu 24/7 pod dużą presją? Jakie umiejętności trzeba posiadać, żeby pracować w takiej roli? 

 

Czy to jest praca pod dużą presją? Wydaje mi się, że raczej jest to praca pod presją czasu, ponieważ chcemy klientom zagwarantować jak najniższe SLA. W związku, z czym czas jest tutaj kluczowy. 

Od momentu wystąpienia incydentów chcemy unieszkodliwić go w jak najszybszym czasie. Fakt – może być to praca związana z dawką stresu i rzeczywiście, umiejętność radzenia sobie z tego typu sytuacjami jest wskazane. 

Oprócz tego z takich umiejętności miękkich, które należy posiadać to na pewno dobrą zdolność komunikacji. Jest ona kluczowa. Trzeba umieć napisać sensownego maila, jak i technicznego, jak i nietechnicznego do prezesa zarządu czy do kogoś, jeśli ma takie życzenie, że wystąpiło to i to, i potrafić opisać incydent w formie jak najmniej technicznej tak, aby osoba, która jest nietechniczna czyta tego typu zgłoszenie, żeby wiedziała, z czym ma do czynienia. 

Oprócz umiejętności miękkich to na pewno praca zespołowa. Jesteśmy zespołem, dzielimy się wiedzą, staramy się ją propagować. Nie zamykamy się tylko i wyłącznie w naszym pokoju, ale też nasze działy IT czy nasi specjaliści od wdrożeń – też staramy się dzielić z nimi wiedzą, więc praca zespołowa jest tutaj kluczowa i nieodzowna. 

Oprócz umiejętności miękkich trzeba posiadać także kompetencje techniczne i zakres jest dosyć szeroki, ponieważ oprócz zarządzania systemami i sieciami, trzeba potrafić przeczytać jakiś kod malware’owy. Trzeba znać troszeczkę algorytmów, baz danych. Żeby być specjalistą i pracować jako bezpiecznik to jednak ten skillset jest dosyć duży. Wydaje mi się, że jest to chyba z jedna z podstaw, dla których specjalistów na naszym rynku jest tak niewielu, ponieważ na obecną chwilę jest bardzo duży niedobór specjalistów z zakresu bezpieczeństwa i ciężko pozyskać dobrego pracownika, który umie wiele i przy okazji potrafi połączyć te dwa skillsety, czyli umiejętności miękkie i twarde. Na ten moment jest to dosyć ciężkie. 

 

Oprócz umiejętności miękkich trzeba posiadać także kompetencje techniczne i zakres jest dosyć szeroki, ponieważ oprócz zarządzania systemami i sieciami, trzeba potrafić przeczytać jakiś kod malware’owy. Trzeba znać troszeczkę algorytmów, baz danych. 

 

To jest zestaw kompetencji, który rzadko idzie w parze. 

Czy takie systemy monitorujecie całą dobę czy tylko w tradycyjnych, urzędowych godzinach? 

 

Z założenia monitorujemy 24/7 przez 365 dni roku, więc ta ochrona i informacja o wystąpieniu incydentów jest przez cały czas.

W zależności od tego, jak klient chciałby być powiadamiany, ponieważ w nocy nie chce, żeby do niego dzwonić, więc wystarczy sms czy mail. Informujemy go w ten sposób. Tak naprawdę od klienta zależy, od tego jaką informację dostają i czy telefoniczną, mailową czy smsową. 

Monitorujemy naszych klientów przez całą dobę, 365 dni w roku. Nie ważne czy są święta, niedziele, weekendy – pracujemy całą dobę. 

 

Okej. W jakim stopniu powszechne jest budowanie takiego centrum w firmach? Jakie są powody dla których odsetek takich firm, które decydują się na inwestycję w tym obszarze jest bardzo mały? 

 

Powiem szczerze, że pieniądze są tutaj głównym wyznacznikiem tego typu inwestycji, ponieważ zakup samego specjalistycznego oprogramowania typu SIEM czy nawet SOAR to są setki tysięcy złotych. W skali roku to jest być może jeden z czynników, jeden z problemów. Natomiast oprócz tego, że mamy pieniądze i chcielibyśmy je wydać na jakiś fajny system do monitorowania sieci, żebyśmy poczuli się troszkę bezpieczniej, jest kolejna rzecz, która jest problemem. Wspominałem o niej wcześniej: brak specjalistów na rynku. Możemy oferować naprawdę wysokie pieniądze specjalistom, których jest mało. Żeby zatrudnić takiego człowieka, trzeba się naprawdę nagłowić i dosyć mocno poszukać tej osoby, żeby przyszła do ciebie pracować. 

Z drugiej strony – to też jest warunek pieniężny, ponieważ specjalista tez nie zarabia mało, a nie może być to jeden specjalista. Chcielibyśmy monitorować tę infrastrukturę 24/7, tych specjalistów musi być co najmniej pięciu, żeby 365 dni w roku tymi osobami obstawić. Wiadomo, mamy urlopy, mamy zwolnienia chorobowe i tak dalej, tak więc to jest największy problem.

Raz – specjaliści, dwa – duży wydatek na sam początek. Oprócz tych systemów, które kosztują wiele, mamy mieć jeszcze zbudowaną pod to dobrze infrastrukturę. Musimy kupić dwa serwery, dosyć mocne, ponieważ system SIEM bardzo mocno obciąża procesor i RAM. Żeby to zadziałało w klastrze. Też infrastruktura serwerowa jest dosyć droga, więc żeby zatrudnić ileś osób, wydać na software i hardware to są w granicach lekką ręką ok. 300 000 – jednokrotny wydatek. 

Oprócz tego, że kupisz sobie samego SIEM-a to później musisz nad nim bardzo mocno popracować, ponieważ firmy, które dostarczają oprogramowanie nie znają twojej infrastruktury i tego SIEM-a trzeba pod siebie dostosować, żeby te incydenty, które powstają miały rzeczywiście jakikolwiek sens. Żeby odsiać tzw. false positive’y. To też jest tak kilka miesięcy co najmniej pracy nad samym SIEM-em i nad systemem SOAR-owym, by rzeczywiście miał to ręce i nogi. 

Czas, pieniądze i brak specjalistów to są takie trzy wyznaczniki, które rzeczywiście mogą być problemem dla firm chcących zbudować sobie tego typu centrum.

 

Okej, czyli duża inwestycja. To jeśli nie budować takiego centrum w ramach swoich kompetencji, swojej firmy to może lepszym pomysłem będzie współpraca z dostawcą zarządzanych usług bezpieczeństwa, takich właśnie jak grupa 3S, w której pracujesz. Myślisz, że jest to większe rozwiązanie dla większości klientów?

 

Zgadza się. Przede wszystkim czas uruchomienia takiej usługi jest zdecydowanie krótszy. Raz, że mamy specjalistów i nie mówię tutaj tylko w ramach swojego zespołu. Czyli bezpieczników. Mamy także specjalistów jak programiści, ludzi, którzy budują sieć, osoby odpowiedzialne za różnego rodzaju systemy czy to Microsoft czy Linux. 

Różnego rodzaju wdrożenia i usługi. Nawet jeśli mamy z czymś problem i czegoś możemy nie wiedzieć, jeśli coś się stanie, mamy dokąd się udać i jesteśmy w stanie zasięgnąć opinii osoby, która zjadła na tym zęby.

Zdecydowanie jest to tańsze, ponieważ odchodzi na zakup systemów, które kosztują setki tysięcy to jeszcze jest to monitoring 24/7 i my dbamy o to, by klient był bezpieczny. Dobrze jest swoją infrastrukturę oddać w ręce tego typu usługodawcy. 

Część klientów zastanawia się, ale jak to jest, jakoś te logi muszą być wysyłane, muszą być przechowywane więc robimy to dwojako, jeśli chodzi o wdrożenia. 

Możemy taki collector umieścić u klienta w sieci z bazą danych więc te logi nie wychodzą nigdzie poza sieć klienta a druga zagwozdka klientów może być taka, że jak się z nimi łączymy i spinamy tunel VPN-owy, że klienci myślą, że mamy, potocznie, wjazd do ich sieci.

Oczywiście możemy to zrobić w tego typu sposób, że klient nam wysyła logi, my już w drugą stronę nie możemy się do nich dostać. Sposobów na rozwiązanie tego typu problemów jest naprawdę wiele i szczerze powiedziawszy, zachęcam. 

 

Jako 3S świadczycie również usługi SOC as a service. Mógłbyś powiedzieć jak taka usługa działa i kto jest jej adresatem? 

 

Jest to oferta dla każdej firmy, która przetwarza dane osobowe lub ma jakąś infrastrukturę krytyczną. 

Mówiliśmy wcześniej o analizie bezpieczeństwa i tych kluczowych systemów firmy, co by się stało, gdyby zaszyfrowało nam część serwerów? Nie moglibyśmy pracować. Dla każdej firmy, która jest świadoma, ponieważ świadomość bezpieczeństwa jest tu kluczową rzeczą. Bo jak możemy rozmawiać o bezpieczeństwie z klientem, który nie wie czym jest bezpieczeństwo i ewentualnie jakie zagrożenia panują w sieci, na co jest narażony. Zazwyczaj są to klienci świadomi ewentualnie są to podmioty, które też miały już do czynienia z incydentami wskutek których doszło do jakichś naruszeń bądź też kar z tytułu RODO. 

 

Kwestia jest rzeczywiście tej infrastruktury kluczowej, którą klient posiada w zakresie jej musi na podstawie analizy bezpieczeństwa podać taką decyzję, czy jednak… Co się stanie, jeśli nie będę działał tydzień, czy będą jakieś negatywne skutki tego działania? Czy jestem w stanie żyć bez systemów IT, ponieważ wiele firm na tę chwilę podchodzi do tego typu tak, że w sumie to mi sie nic nie stało, więc chyba jestem bezpieczny. Tak naprawdę jest to trochę błędne myślenie, ponieważ prędzej czy później do tego ataku dojdzie. Tylko ktoś jeszcze nie obrał tej firmy za cel 

 

Każdy klient czy każda firma, która chciałaby monitorować swoją infrastrukturę, czy to krytyczną, czy całą, jak na przykład zachowanie użytkowników, czy ktoś nie wchodzi na strony potencjalnie uznane za niebezpieczne lub na przykład któraś z końcówek nie łączy się z serwerem CNC. Tego typu rzeczy wykrywamy. Jeśli miałbym podać skalę to dla przedsiębiorstw jest to… Od 20 osób wzwyż. Powiedzmy, limitu tutaj nie ma. Kwestia jest rzeczywiście tej infrastruktury kluczowej, którą klient posiada w zakresie jej musi na podstawie analizy bezpieczeństwa podać taką decyzję, czy jednak… Co się stanie, jeśli nie będę działał tydzień, czy będą jakieś negatywne skutki tego działania? Czy jestem w stanie żyć bez systemów IT, ponieważ wiele firm na tę chwilę podchodzi do tego typu tak, że w sumie to mi się nic nie stało, więc chyba jestem bezpieczny. Tak naprawdę jest to trochę błędne myślenie, ponieważ prędzej czy później do tego ataku dojdzie. Tylko ktoś jeszcze nie obrał tej firmy za cel, więc to jest kwestia czasu. Prędzej czy później te ataki będą. 

One są, mają miejsce i będą miały miejsce. Są coraz bardziej wysublimowane. Fakt, dział bezpieczeństwa coraz bardziej się rozrasta, coraz więcej ataku jest w stanie odeprzeć, natomiast pomysłowość tych przestępców czy hakerów jest coraz większa.

Mówiłem o ransomware i o szyfrowaniu serwerów, gdzie to na początku było wymuszenie okupu. Zaszyfrowaliśmy ci stację robocze czy serwery i tak dalej. Zapłać nam określoną ilość bitcoinów, to my ci to odszyfrujemy. Natomiast teraz doszło do tego typu incydentów, że przestępcy najpierw wykradają dane, późnej szyfrują i mówią: jak nam nie zapłacisz, to my to opublikujemy. Pomysłowość przestępców nie zna granic. Z tego tytułu firma musi podejść do tego dojrzale i określić, czy taka usługa jest im potrzebna czy nie.

 

Czy myślisz, że taka świadomość, o której tutaj mówimy, świadomość zagrożeń, które mogą wynikać z takich cyberzagrożeń – czy będzie rosła? Czy usługi, o których tutaj rozmawiamy będą się rozwijać i czy staną się bardziej dostępne dla szerszego grona firm? Myślisz, że to jest ten kierunek, który będzie obrany przez branżę w najbliższym czasie? 

 

Jeśli chodzi o rynek security i konferencji wszystkich, które teraz mają miejsce, to ta świadomość rośnie i to zdecydowanie widać. Widać to po imprezach branżowych, gdzie coraz więcej specjalistów, prezesów, osób, które są decyzyjne jeździ na tego typu spotkania, oni są uświadamiani. 

Są też prowadzone różne szkolenia z tytułu bezpieczeństwa, więc my jako polska czy różne firmy, które zajmują się budowaniem tej świadomości i mają ofertę szkoleniową, robią całkiem dobrą robotę. 

Coraz więcej firm jest świadoma zagrożeń. Te zagrożenia rzeczywiście opisują już portale, które zazwyczaj zajmowały się wiadomościami z Polski czy ze świata, więc ta świadomość bezpieczeństwa jest budowana coraz lepiej i szersze grono odbiorców sięga. 

Te usługi na pewno będą się rozwijały, ataki też się rozwijają. Kiedyś nie było czegoś takiego jak ransomware. Kiedyś te ataki były mniej wysublimowane. W tym momencie obserwujemy dosyć duże, szczególnie związane z koronawirusem. Przychodziły smsy: słuchaj, twoja paczka czeka do dezynfekcji, opłać tyle pieniędzy i my ci ją wyślemy. Pomysłowość atakujących rośnie. Jest to szybki zarobek dla przestępców. Ciężko jest ich namierzyć. 

Jeśli więc miałbym podsumować, te usługi na pewno będą się rozwijały, trafią do szerszego grona firm i będą coraz bardziej dostępne.

 

Okej, super! Dawid, bardzo ci dziękuję za ciekawą rozmowę, za podzielenie się informacjami o cyberbezpieczeństwie, o tym, jak działa Centrum Obsługi Bezpieczeństwa. 

Mogę ci chyba tylko życzyć jak najmniej incydentów. Wielkie dzięki jeszcze raz i powiedz proszę, gdzie cię można znaleźć w Internecie, gdyby ktoś chciał się z tobą skontaktować i może zapytać o te aspekty? 

 

Znaleźć mnie może na LinkedInie, jeśli chodzi o tę strefę służbową. Natomiast też chciałbym podziękować za rozmowę i pozdrawiam wszystkich! 

 

Do usłyszenia, cześć! 

 

Cześć!

 

I to na tyle z tego, co przygotowałem dla ciebie na dzisiaj. Mam nadzieję, że po przesłuchaniu naszej rozmowy z Dawidem wiesz czym jest i jak działa Centrum Operacji Bezpieczeństwa w IT. 

Tak jak mówiłem w intro, założyłem profil na Patronite. Możesz wesprzeć moją działalność kwota już od 5 złotych miesięcznie. Chciałbym oddelegować kilka rzeczy, które wykonuję przy każdym podcaście a zaoszczędzony czas wykorzystać na przygotowanie dla Ciebie jeszcze lepszych treści. 

Sam jestem patronem kilku twórców internetowych i widzę, że taka pomoc daje dużą satysfakcję obu stronom.

Mój profil znajdziesz pod adresem patronite.pl/porozmawiajmyoit

Znajdziesz go też w notatce do tego odcinka.

Cały czas aktywna jest moja akcja związana z pomocą w IT. Z chęcią, zupełnie za darmo umówię się z Tobą na rozmowę i pomogę w miarę swojej wiedzy, z wyborem technologii, prowadzeniem projektu i rozwojem kariery. 

Możesz ustalić ze mną spotkanie już teraz, wysyłając maila na krzysztof@porozmawiajmyoit.pl 

Jeśli spodobał Ci się ten odcinek i nie chcesz przegapić kolejnych epizodów podcastu zasubskrybuj go w swojej aplikacji podcastowej. 

Nazywam się Krzysztof Kempiński a to był odcinek podcastu Porozmawiajmy o IT o Centrum Operacji Bezpieczeństwa – Security Operations Center.

Zapraszam do kolejnego odcinka już za tydzień! 

 

Cześć!