CLOUDY podcast | #28 Ako funguje nonstop ochrana pred hackermi?
Čo sú to bezpečnostné dohľadové centrá, tzv. SOC?
SOC alebo Security Operation Center, pozerá na firmu ako na celok z bezpečnostného hľadiska.
Čiže keďže máme kopec každodenných kybernetických útokov, je to vlastne ochrana pred týmito útokmi, tak?
Presne tak, v svetle každodenných útokov môžeme povedať, že každá taká firma by mala mať takéto centrum v nejakej podobe. Nemusí to byť oficiálne nazvané, že to je SOC, ale malo by to mať tú schopnosť riešiť bezpečnostné incidenty.
Bezpečnostné incidenty dnes sú také, že sa nevyhýbajú ani veľkým ani malým firmám. Takže neplatí „my sme moc veľkí, na nás si netrúfnu alebo naopak my sme moc malí, hackerov nezaujímame“.
Ako dlho môže byť firma hacknutá bez toho, že si to niekto všimne?
To je rôzne. Sú typy útokov, kedy útočníci sú niekedy mesiace až roky v tej infraštruktúre. Čiže to môže byť reálne tak, že sa ten útočník pohybuje v tej infraštruktúre veľmi dlho, kým je odhalený pri tomto type útokov.
Hlavne pri veľkých firmách sa nebavíme o tom, že treba kontrolovať jeden server, ale tisícky, ide o obrovské množstvo dát, a pod.... Nie je to ako keď mám dom a vidím, že tento človek je v ňom cudzí, je to ako mať nákupné centrum plné ľudí a tam je ťažšie určiť, kto je ten nepozvaný hosť.
Čo teda takéto SOC centrá vlastne ponúkajú a robia?
Riešia prevenciu a prípravu na riešenie incidentov. Čiže oni neriešia veci iba keď je už problém, ale nastavujú veci tak, aby tam bola nejaká prevencia pred problémom.
Ale samozrejme tá primárna činnosť, aby som to veľmi zjednodušil, je detekcia tých bezpečnostných incidentov a riešenie bezpečnostných incidentov tak, aby mal čo najmenší dopad.
Treba si uvedomiť, že tie hackerské skupiny dnes fungujú ako reálny biznis. To znamená, že jedna časť z tých útočníkov sa zameriava len na prienik do infraštruktúry, infiltruje sa do tej organizácie - už tam má otvorené zadné vrátka a predáva ten otvorený prístup ďalšej hackerskej spoločnosti, ktorá napríklad robí len mapovanie, tá ho predá ďalej ktorá povedzme šifruje a už vyjednáva so spoločnosťou o výkupnom. Výhodou je aspoň to, že tieto hackerské skupiny často bojujú aj medzi sebou navzájom.
SOC ale teda nie je len o tej technológií, je to aj o tých ľuďoch a ich vedomostiach, ktorí vedia na čo sa majú zamerať vyznajú sa v tom a vedia riešiť situácie.
Nie každý si môže dovoliť mať SOC tím. Je možné si túto službu zabezpečiť mimo svojich zamestnancov?
V nejakej forme by mala mať každá firma, ktorá to s bezpečnosťou myslí aspoň trochu vážne nejakú formu SOC-u. Nemusí to byť dedikované miesto, kde je veľkým napísané SOC a bude amť desať analytikov, ktorí riešia agendu. Môžu to byť jeden-dvaja ľudia, ktorí vedia zareagovať na tie problémy. Vybudovať si vlastný SOC tím je náročné a aj nákladné.
Zároveň je možné si službu takéhoto SOC tímu outsourcovať. Predchádza tomu samozrejme nejaká zmluvná dohoda, podpísanie dohody o mlčanlivosti, nastavenie si kompetencií, prehľad o samotnej bezpečnostnej situácii vo firme a pod. Takže je možné si takúto službu zabezpečiť aj mimo vlastných radov.
Takže zjednodušene stačí si zavolať: „Dobrý deň mám záujem o SOC služby...“?
Presne tak, na našej stránke, si nájdete kontakt, zavoláte si a poviete čo vás trápi, dohodne sa nejaké stretnutie, predstava, nacenenie a pod. Takže aj keď sa venujete povedzme predaju nábytku a nemáte ambíciu si riešiť kyber-bezpečnosť sami, viete si ju zabezpečiť takto.
Aká je budúcnosť takýchto centier?
Za mňa ten tlak na tie centrá bude iba rásť, či už je to legislatívny tlak alebo počet tých útokov, ktoré bude treba riešiť. Samozrejme, my nevieme teraz, či niečo zmení AI, či postkvantové šifrovanie a pod. Veľmi podstatné bude mať vo svojom SOC tíme tých kvalitných ľudí, ktorí rozumejú veciam.
Celý podcast si môžete vypočuť na Spotify, Apple podcastoch alebo pozrieť na YouTube.
