Blog

SOC je o lidech. A není pro všechny.

SOC všude kam se podíváš a pro každého útěcha zajištění kybernetické bezpečnosti. Tak tomu dnes ale není. SOC je především o lidech a ne technologiích. A ne každá organizace může ze dne na den efektivně SOC adaptovat.

Trh je přesycen SOC (Security Operations Center), to je očividné. Zároveň je stále více patrné, že je vlastně jedno, jakou zbraň lidem dáte do ruky, pokud má stejnou kadenci, úsťovou rychlost a kvalitu (tím myslím nástroje SOC analytika). Trend ukazuje, že dříve či později bude mít většina organizací Microsoft Sentinel nebo podobný cloud-based SIEM a pak se bude střílet stejnými zbraněmi.

Co to však znamená? Že poskytovaní SOC ještě více než dnes nebude o nástrojích, ale o lidech a o tom, jak jsou zkušení a dobří. A hlavně o tom, zda dokážou detekovat či případně zastavit útok. Důležitá bude tedy i rychlost reakce a SLA služby, nikoliv nástrojů. To je taky jeden z důvodů, proč testujeme SOC pro zákazníky (musí vědět, zda to, co si pořídili skutečně funguje) a proč na straně dodavatele trénujeme SOC analytiky, aby dokázali hrozbu odhalit dříve, než skutečně nastane (simulací opravdu skutečných útoků a vysvětlováním souvislostí).

Ideální je stav, když přijedete k požáru ve chvíli, kdy někdo hází sirku do seníku, ale může se i stát (a ne náhodou, ale relativně s jistotou), že přijedete až když je seník v plamenech a pak je nutné mít i kam zavolat, aby se problém dostatečně rychle vyšetřil a opravil a hoření ustalo (incident response a forenzní tým). Vy jste pak mohli v klidu dýchat, byť budete mít očouzené tváře a ruce a asi i pár kaček v peněžence vám ubyde.

SOC nelze připojit na prostředí, které chátrá a které sami pořádně neznáte. Pokud ho nebudete znát vy, pak jej pravděpodobně nebude znát ani váš dodavatel. Pokud vám bude padat zeď u vchodových dveří a otevřou se pouhým ťuknutím, pak vás žádný SOC na světě nezachrání, a to ani kdyby měl analytiky té nejvyšší třídy. Nejdřív to totiž musíte mít doma v pořádku, poznat se a pochopit, zda jste dostatečně vyspěli na to, abyste adaptovali SOC, i kdyby měl být externí.

Nevěřte dodavateli, který bude tvrdit, že připojí cokoliv a kdykoliv. Pokud prostředí nevěříte vy, pak vám pouhý SOC nepomůže. Mapujte, sledujte, kontrolujte, auditujte, nechte si poradit a plánujte a až teprve pak to půjde.

Bude to stát peníze? Ano, bude. Bude to stát hodně? Ano, bude. Přece sami nevěříte, že vám skupina SOC analytiků bude za pomoci jejich technologie dohledovat celé prostředí 24x7x365 za pár tisíc korun?!

Bude adaptace SOCu trvat dlouho? Možná a záleží, jak na tom jste. Když to neuděláte, tak co se stane? Možná nic a možná vás někdo vyhladí z kybernetického prostoru. V tom lepším případě to bude stát jen pár Bitcoinů a následné nervy, kdy se vaše data objeví v internetu, ale možná taky zavřete a půjdete o dům dál do jiného businessu nebo si s péčí řádného hospodáře půjdete na chvíli odpočinout.

Rozhodnutí je vždy na vás majitelé/majitelky a ředitelé/ředitelky malých, či velkých organizací. My vás v tom sice nenecháme, ale už mockrát jsme museli bohužel říct „Promiňte, ale zde vám už pomoci nedokážeme“, tak na to prosím myslete až budete plánovat aktivity a rozpočty na další fiskální rok a lidem budete připravovat KPI.