IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Jak jsme na tom se SOC

Axenta SOC

Vzhledem k tomu, že v rámci zákona o kybernetické bezpečnosti (ZoKB) je zvýšený zájem o komplexní služby v oblasti kybernetické bezpečnosti, hovoříme o službách takzvaných SOC tedy Security Operation Center. Jak si SOC stojí v rámci České republiky?

Pokoušeli jsme se to zjistit pomocí vyhledávače Google a ten nám našel odkazy na následující firmy, které provozují SOC (v abecedním pořadí): Anect, AutoCont CZ, Axenta, Cesnet, Corpus Solution, Caleum, Ness, NGSS.

Těch společnostní, které mají svá SOC v České republice, je zcela určitě více, ale pravděpodobně jejich marketingová oddělení trošku zaspala, protože bychom očekávali daleko větší nával na první stránce Googlu v případě vyhledávání klíčového slova Security Operation Center.

V každém případě naše redakce nespí a pilně sbírá všechna data o všech možných službách a SOC v České republice i ve Slovenské republice. Jejich úplný seznam vám představíme v dalším dvojčísle (červen-červenec 2018) našeho časopisu ICT NETWORK NEWS.

Nabídkami práce v těchto operačních centrech se to také jen hemží a náš předpoklad je, že specialisté pro tyto práce budou stále chybět.

Většinou mají firmy buď specialisty na kybernetickou bezpečnosti anebo mají technologie a know-how. Pokud vlastní oboje, je to již dobrý základ pro to, aby si pořídili SOC a tyto zkušenosti a služby nabízeli na trhu, kde je stále větší poptávka na poli kybernetické bezpečnosti.

Které služby jsou nejvíce nabízeny těmito organizacemi?

Axenta– monitoring různých událostí pro jejich následné vyhodnocení,

– detekce kybernetických bezpečnostních událostí,

– sběr a vyhodnocení kybernetických bezpečnostních událostí,

– nastavení SIEM.

Na pár otázek jsme se zeptali Lukáše Přibyla ze společnosti AXENTA, které v tomto měsíci představí svůj SOC.

Jak si vybrat SOC?

Odpověď není jednoduchá, protože parametrů je více a všechny jsou důležité. Začněme tím, co je to SOC. SOC je soubor technologie k automatizovanému vyhodnocování stavu bezpečnosti nad datovými aktivy a tým špičkových lidí, kteří jsou schopni rychle a správně reagovat na události, které tento systém nachází.

Tedy doporučuji vybírat SOC podle toho, kdo z nabízejících má dlouholeté zkušenosti v oblasti implementací, provozu a servisu bezpečnostních technologií jako jsou log management, monitoring datových toků, monitoring a řízení privilegovaných uživatelů a v neposlední řadě SIEM – Security Information and Event Management. A stejně důležitou roli hraje tým, který je zákazníkům poskytován jako služba. Bez zkušených, vycvičených lidí se tato služba prostě neobejde. Dále je potřeba si dát pozor na SOC od poskytovatelů na trhu, kteří vlastně jen přeprodávají know-how světových vendorů. To bych ani nenazval SOC, ale přeprodej služby. V kostce lze říci, že nikdo si nepřeje, aby požár jeho domu řešili hasiči, kteří do práce nastoupili včera a přijeli s půjčenou stříkačkou…

Je rozdíl mezi službami SOC v zahraničí a u nás?

V zásadě není a ani nemůže být – z principu věci. Je to jako srovnat Passat a Mondeo. Nemohou se moc lišit, když mají mít stejný účel. Rozdíl je jen ve zkušenostech, protože na západ od našich hranic začali dříve. Speciálním případem je USA, což je kolébka produktu SIEM, který jsem zmiňoval v předchozí odpovědi. Dnes už přední výrobci této technologie začínají počítat s tím, že vyškolených lidí do týmu SOC je málo a lepší to nebude. A pod tíhou této myšlenky začali dodávat na trh speciální nástroje, které umožní i málo školeným operátorům SOC hledat události podobně rychle a intuitivně jaké je např. hledání na serveru Google. Také zde existují nápovědy, klíčová slova apod. Rychlost a přesnost hledání se zlepšuje a to řádově. Ovšem tyto technologie jsou dostupné i u nás a v našem SOC je samozřejmě máme také.

Jsou některé SOC propojeny?

Nevím o tom. SOC má sledovat bezpečnost dat klientů a ani jednotliví klienti nesmějí vidět svoje data navzájem. Takže propojení konkurenčních SOC už vůbec nepřipadá v úvahu z byznysových důvodů. A propojení SOC v jednotlivých organizacích také není, protože když už se nachází více SOC v jedné organizaci, tak provozovatel ví, proč a není žádoucí je propojit. V úvahu přichází propojení SOC v rámci služby poskytované provozovatelem pro zákazníky. Příklad může být takto: zákazníci v ČR využívají SOC v ČR, zákazníci stejné firmy ze SR využívají SOC v SR. Oba SOC jsou propojeny v rámci sdílení HW a v případě výpadku SOC služby v ČR, zaskakuje SOC provozovaný v SR a zákazník netrpí výpadkem služby. Samozřejmě data jsou šifrována, komunikace je zabezpečena atd. A toto je zrovna příklad fungování našeho SOC.