CLOUDY podcast | #28 Jak funguje nonstop ochrana před hackery?
- News
Co jsou bezpečnostní dohledová centra? SOC?
SOC nebo Security Operation Center, dívá na firmu jako na celek z bezpečnostního hlediska.
Čili jelikož máme kopec každodenních kybernetických útoků, je to vlastně ochrana před těmito útoky, tak?
Přesně tak, ve světle každodenních útoků můžeme říci, že každá taková firma by měla mít takové centrum v nějaké podobě. Nemusí to být oficiálně nazváno, že to je SOC, ale mělo by to mít tu schopnost řešit bezpečnostní incidenty.
Bezpečnostní incidenty dnes jsou takové, že se nevyhýbají ani velkým ani malým firmám. Takže neplatí „my jsme moc velcí, na nás si netroufnou nebo naopak my jsme moc malí, hackery nezajímáme“.
Jak dlouho může být firma hacknutá, aniž si toho někdo všimne?
To je různé. Jsou typy útoků, kdy útočníci jsou někdy měsíce až léta v té infrastruktuře. Čili to může být reálné tak, že se ten útočník pohybuje v té infrastruktuře velmi dlouho, než je odhalen při tomto typu útoků.
Hlavně u velkých firem se nebavíme o tom, že je třeba kontrolovat jeden server, ale tisíce, jde o obrovské množství dat, apod. Není to jako když mám dům a vidím, že tento člověk je v něm cizí, je to jako mít nákupní centrum plné lidí a tam je těžší určit, kdo je ten nezvaný host.
Co tedy taková SOC centra vlastně nabízejí a dělají?
Řeší prevenci a přípravu na řešení incidentů. Čili oni neřeší věci jen když je už problém, ale nastavují věci tak, aby tam byla nějaká prevence před problémem.
Ale samozřejmě ta primární činnost, abych to velmi zjednodušil, je detekce těch bezpečnostních incidentů a řešení bezpečnostních incidentů tak, aby měl co nejmenší dopad.
Třeba si uvědomit, že ty hackerské skupiny dnes fungují jako reálný byznys. To znamená, že jedna část z těch útočníků se zaměřuje jen na průnik do infrastruktury, infiltruje se do té organizace – už tam má otevřená zadní vrátka a prodává ten otevřený přístup další hackerské společnosti, která například dělá jen mapování, ta ho prodá dále která řekněme šifruje a už vyjednává se společností o výkupném. Výhodou je alespoň to, že tyto hackerské skupiny často bojují i mezi sebou navzájem.
SOC ale tedy není jen o té technologii, je to io těch lidech a jejich znalostech, kteří vědí na co se mají zaměřit vyznají se v tom a umí řešit situace.
Ne každý si může dovolit mít SOC tým. Je možné si tuto službu zajistit mimo své zaměstnance?
V nějaké formě by měla mít každá firma, která to s bezpečností myslí alespoň trochu vážně nějakou formu SOC. Nemusí to být dedikované místo, kde je velkým napsáno SOC a bude mít deset analytiků, kteří řeší agendu. Mohou to být jeden-dva lidé, kteří umí zareagovat na ty problémy. Vybudovat si vlastní SOC tým je náročné a také nákladné.
Zároveň je možno si službu takového SOC týmu outsourcovat. Předchází tomu samozřejmě nějaká smluvní dohoda, podepsání dohody o mlčenlivosti, nastavení kompetencí, přehled o samotné bezpečnostní situaci ve firmě a pod. Takže je možné si takovou službu zajistit i mimo vlastní řady.
Takže zjednodušeně stačí si zavolat: „Dobrý den mám zájem o SOC služby...“?
Přesně tak, na naší stránce, si najdete kontakt, zavoláte si a řeknete co vás trápí, domluví se nějaké setkání, představa, nacenění a pod. Takže i když se věnujete řekněme prodeji nábytku a nemáte ambici si řešit kyber-bezpečnost sami, umíte si ji zajistit takto.
Jaká je budoucnost takových center?
Za mě ten tlak na ta centra bude jen růst, ať už je to legislativní tlak nebo počet těch útoků, které bude třeba řešit. Samozřejmě, my nevíme teď, jestli něco změní AI, zda postkvantové šifrování a pod. Velmi podstatné bude mít ve svém SOC týmu ty kvalitní lidi, kteří rozumějí věcem.
Celý podcast si můžete poslechnout na Spotify, Apple podcastech nebo prohlédnout na YouTube.
