CSIRT vs. SOC – co je co a jaké jsou jejich úlohy?

CSIRT vs. SOC

AxentaUplatňování kyberzákona v ČR a na Slovensku nabírá na obrátkách. Spolu s tím sílí i bolest hlavy u některých (nejen) novopečených manažerů kyberbezpečnosti, na které najednou zaútočila armáda obchodníků, kteří se předhánějí s tím, kdo nabízí lepší produkt, koho nextgen je více next, kdo má umělejší inteligenci a kolik devítek se dá ještě napsat za desetinnou čárku v 99,9% hrozeb, před kterými vás daný produkt ochrání.

Možná jste si takový produkt koupili a jste úspěšně chráněni před (limitně) 100% všech hrozeb a můžete klidně spát. Pokud ne, patříte do šťastnější skupinky, která si uvědomuje, že koupit si další krabici do sbírky nemusí být zcela nejlepší řešení a hledáte komplexnější přístup k řešení kyberbezpečnosti.

Pokud patříte do druhé skupiny, pravděpodobně se často setkáváte s pojmy CSIRT a SOC. Každý je však vysvětluje jinak. Co tedy znamenají pro nás?

Častokrát se můžeme setkat s tím, že oba pojmy pojmenovávají totéž, tedy bezpečnostní tým, který se zabývá všemi bezpečnostními věcmi v organizaci. Takový bezpečnostní tým v sobě zahrnuje instalaci a nasazení různých bezpečnostních nástrojů, zpracování logů, monitoring síťového provozu, bezpečnostní analýzy, detekci incidentů, reakci na tyto incidenty se všemi souvisejícími činnostmi apod.

To, že se to tak používá však ještě neznamená, že se to používá správně. Pro výše řečené by se hodil spíše název blue tým, tedy tým, který má na starosti obranné funkce, jako protiváha red teamu, který má na starosti funkce útočné, jako např. vulnerability assessment nebo penetrační testování. Proto netřeba generalizovat, zejména, pokud umíme poměrně dobře oddělit jednotlivé funkce blue týmu a přiřadit je kam patří.

Začnu od konce a to pojmem CSIRT, resp. jeho analogiemi CERT, CIRT, případně CIRC. Samotný název Computer Security Incident Response Team říká, že jde o nějaký tým, který se zabývá incident response, což se obvykle překládá jako reakce na incidenty. Pokud dospecifikujeme, že se jedná o koordinaci incident response, jde o správný popis. Hlavním úkolem CSIRT týmu je zajišťovat a koordinovat řešení bezpečnostních incidentů a to jak uvnitř organizace tak i mimo ni v rámci koordinace s orgány činnými v trestním řízení, s právníky, médii, s ostatními CSIRT týmy apod.

To slovíčko koordinace je třeba proto, že CSIRT tým nemusí mít mandát k provedení konkrétní finální reakce na incident, jako např. reimage stroje, zablokování IP na firewallu a pod. Tyto činnosti tak vykonávají obvykle odpovídající součásti IT oddělení na doporučení nebo pokyn CSIRTu. V rámci oddělení odpovědností to dokonce dává smysl. CSIRT však musí umět daný incident komplexně vyhodnotit a zvolit nejlepší postup pro jeho vyřešení a to včetně dodání služeb, které v dané organizaci chybí, což typicky bývá zejména forenzní analýza (disků, paměti, síťového provozu) potřebná při incident response.

Před tím než přijde na scénu CSIRT však působí SOC neboli Security Operations Center nebo v našich podmínkách, možná trochu nesprávně pojmenované, bezpečnostní dohledové centrum. Výsledkem činnosti SOCu je právě detekce potenciálního bezpečnostního incidentu, který dále řeší CSIRT. SOC má proto na starosti hlavně sběr a analýzu dat z různých zdrojů v organizaci. Mohou to být logy z pracovních stanic, firewallové logy, logy z domény, data z různých nástrojů pro analýzu chování uživatelů, na analýzu síťového provozu nebo např. i phishingové e-maily, které přišly uživatelům. Důležitým úkolem je také získávat a zpracovávat informace o zranitelnostech využívaného softwaru a hardwaru.

SOC však nesbírá a neanalyzuje pouze interní data, ale také threat intelligence data, tedy data o potenciálních hrozbách a to nejen na úrovni konkrétních IP adres, které např. někde šíří malware, ale zejména na úrovni analýzy postupů a technik potenciálních útočníků, které následně může SOC detekovat i ve vlastních datech. Můžeme jít i výše, na úroveň taktických a strategických analýz, ale to se už dostáváme více do působnosti specializovaných threat intelligence týmů než do SOCu jako takového.

Vše, co jsem napsal výše by se dalo shrnout mnohem jednodušeji – SOC sbírá data a hledá v nich bezpečnostní problémy = potenciální incidenty, které následně řeší CSIRT tým. Dost jednoduché, že? V reálu však může být dost obtížné zachovat takovéto čisté rozdělení. Ale o tom někdy jindy …

Dávid Kosť, Lead Security Analyst, Axenta a.s

Související články

Leave a Comment