Provocări în realizarea și operaţionalizarea unui Security Operation Center din perspectivă managerială

Provocări în realizarea și operaţionalizarea unui Security Operation Center din perspectivă managerială

129

autor: Eduard Bisceanu

În perioada ultimului an, peisajul amenințărilor de securitate cibernetică s-a schimbat semnificativ, pe fondul creșterii impactului unor atacuri informatice realizate pe scară largă și utilizării unor instrumente specializate în acest scop, dezvoltate de instituții guvernamentale de elită, dezvăluite și puse la dispoziția publicului prin intermediul unor canale de distribuție de tip wikileaks.

Eduard Bisceanu

Deși această evoluţie ar merita o analiză mult mai atentă și fără interpretări părtinitoare, o să încerc în acest articol să identific câteva dintre provocările cu care se confruntă structurile de securitate din cadrul unor organizaţii de business sau instituţii publice a căror activitate este expusă semnificativ online și, evident, câteva tendinţe pe care ar trebui să le urmeze pentru a avea succes în protejarea datelor și infrastructurilor asociate.
Citesc cu mare interes o serie de articole și publicaţii valoroase care aduc în atenţia publicului specializat sau a celui general o serie de inovaţii tehnologice (blockchain, machine learning, big data analytics, artificial intelligence etc.) care vor schimba sau deja schimbă profund modalitatea de proiectare și implementare a sistemelor informatice în orice domeniu. Vorbind însă despre transformare digitală și despre organizaţii mari, domenii economice super reglementate (ex: domeniul financiar-bancar), precum și despre costurile semnificative pe care le impune orice program strategic disruptiv de informatizare, ar trebui să realizăm că implementarea noilor tehnologii nu se poate realiza cu rapiditatea cu care noile inovaţii sunt implementate în produse/servicii comerciale.
Astfel, specialiștii de securitate se află în faţa unor alegeri dificile, având de protejat infrastructuri realizate după concepte a căror viabilitate tehnologică nu mai permite un grad de protecţie adecvat, sau a căror schimbare presupune schimbări organizaţionale majore și costuri semnificative, având de evaluat o piaţă de securitate care evoluează constant și dispunând de bugete limitate care nu le permit o adaptabilitate permanentă la tendinţele evidenţiate de realitate în domeniul securităţii cibernetice.
În funcţie de gradul de maturitate organizaţională, de profitabilitatea sau disponibilitatea investiţională, apreciez că ne aflăm într-un moment în care managementul oricărei organizaţii care ar trebui să fie preocupată de propriul nivel de securitate, ar trebui să-și adapteze conduita investiţională la aceste noi tendinţe și să ceară departamentelor interne specializate (CIO, CISO) să lucreze împreună pentru a identifica cele mai adecvate strategii și modalităţi pragmatice de a face faţă cu succes noilor categorii de ameninţări cibernetice care se manifestă la nivel global.
Subiectul abordat permite o dezvoltare amplă, iar, în opinia mea, competenţele și cunoștinţele necesare identificării unor soluţii viabile se regăsesc rar la o singură persoană, indiferent de profilul profesional și nivelul de specializare. De aceea, o să mă opresc asupra unui singur proces, complex, care poate și este necesar a fi optimizat în cadrul oricărei organizaţii care utilizează o infrastructură informatică complexă: monitorizarea în scopul prevenirii, detecţiei și răspunsului la incidente de securitate cibernetică și cadrul organizatoric, procedural și tehnologic necesar implementării eficiente a unui astfel de proces prin intermediul unei structuri de tip SOC – Security Operation Center.
Din experienţa personală și interacţiunea cu membri ai comunităţii experţilor în domeniul securităţii IT am concluzionat că există mai multe viziuni de valoare asupra a ceea ce trebuie să însemne un SOC. Vorbind însă de eficienţă și de o concepţie funcţională a unei astfel de structuri am identificat și aspecte negative privind abordarea acestui subiect, generate în special de evaluări exclusiv tehnice sau care sunt centrate în jurul unei soluţii tehnologice specifice adusă pe piaţă de un jucător sau altul care a identificat această oportunitate/nevoie.
Pentru o construcţie funcţională de succes, realizarea unui SOC trebuie să plece de la definirea clară a nevoii pentru care o astfel de structură este necesară. De exemplu, în cazul unei bănci care furnizează servicii online 24/7, ca marea majoritate a instituţiilor financiare, activitatea de monitorizare desfășurată în mod curent de o echipă de securitate exclusiv în timpul programului de lucru nu mai este suficientă, chiar dacă instituţia dispune de cele mai performante tehnologii de securitate.
Monitorizarea incidentelor de securitate devine astfel un proces de business, care trebuie realizat în mod constant, în primă instanţă prin utilizarea mecanismelor tehnologice existente deja în cadrul unei organizaţii. De multe ori, manageri cu experienţă, unii dintre ei cu background în domeniul tehnologiei, asaltaţi de volumul de informaţii specializate din spaţiul public, mă întreabă de unde să înceapă demersurile de dezvoltare și operaţionalizare a unui SOC.
Aproape întotdeauna, soluţiile sunt la îndemână și presupun decizii și măsuri organizatorice simple, costuri acceptabile, cel puţin în prima fază, astfel:
Identificarea personalului cheie disponibil, evaluarea competenţelor necesare și a resurselor de timp ce trebuie alocate asigurării funcţionalităţii permanente a unui SOC. Optimizarea activităţilor curente și estimarea necesarului de personal. Evaluarea oportunităţii menţinerii întregii funcţionalităţi a SOC în interiorul organizaţiei versus externalizare;
Inventarierea tehnologiilor de securitate existente în vederea identificării capabilităţilor de monitorizare de care acestea dispun deja. De regulă, orice infrastructură care funcţionează astăzi online și susţine funcţionalitatea unui business sau a unei instituţii dispune deja de câteva platforme tehnologice de bază care-i permit să fie operată în condiţii de siguranţă minimă (network firewall, application firewall, antivirus/ antimalware, IPS/IDS, end-point security, DLP, SIEM etc.). Dacă nu este deja gândit ca atare, primul pas pentru realizarea unui SOC este identificarea unui spaţiu comun, adecvat, în interiorul căruia vor fi centralizate și integrate (acolo unde este tehnologic posibil) capabilităţile de monitorizare identificate deja;
Crearea unor proceduri simple de lucru și asigurarea personalului necesar operaţionalizării. Procedurile tre- buie menţinute simple și este necesar să acopere, adaptat capabilităţilor tehnologice existente, toate tipurile de activităţi curente, precum și situaţiile de potenţială criză. Trebuie avută în vedere în principal funcţia preventivă a unui SOC, însă managementul incidentelor de securitate cibernetică detectate este un proces care trebuie documentat adecvat. Dincolo de cadrul procedural, competenţele și resursele aflate la dispoziţia echipei care operează SOC-ul, capabilitatea de a identifica indicatori de atac sau de compromitere și a genera alerte specifice, precum și mecanismele de escaladare decizională în cazul unui incident pot genera diferenţe majore privind gradul de operaţionalizare și eficienţă a unei astfel de structuri. Nu trebuie ignorate, în funcţie de nevoile specifice, capabilităţile specifice proceselor de business continuity și disaster recovery;
Evaluarea riscurilor de securitate și a evoluţiei/ tipologiei noilor tipuri de ameninţări cibernetice, expunerea organizaţiei în raport cu acestea și identificarea gap-urilor tehnologice și funcţionale pentru operaţionalizarea SOC-ului.
Această primă etapă, care poate avea grade de complexitate diferite, permite organizaţiei să realizeze, cu costuri minime, o platformă de bază pentru operaţionalizarea ulterioară a unui SOC în conformitate cu nevoile actuale, posibilităţile tehnologice oferite de piaţă și disponibilitatea investiţională.
Din acest punct de vedere, piaţa de securitate a început să se adapteze, iar la nivel global există jucători importanţi care și-au adaptat serviciile pentru a putea asigura servicii de tip SOC. Tendinţele de creștere semnificative înregistrate de piaţa de cloud indică ca potenţială direcţie de viitor externalizarea, cel puţin parţială, a unor funcţionalităţi critice specifice unei structuri de tip SOC. Avantajele externalizării vin din resursele specializate disponibile la nivelul unei astfel de companii, posibilitatea externalizării controlate a unor riscuri și acoperirea contractuală a acestora, eficientizarea costurilor (se achiziţionează servicii, nu tehnologii, care vin la pachet cu costuri mari de mentenanţă, riscuri de fi depășite de evoluţia tehnologică în domeniu sau de anatomia ameninţărilor, etc.). Printre dezavantaje ar merita menţionate limitările legale generate de impactul cadrului de reglementare care guvernează anumite sectoare, dificultatea de a transparentiza costurile în raport cu serviciile achiziţionate, însă, cea mai importantă provocare este identificarea mecanismelor de încredere între furnizorul de servicii și client, această provocare fiind și cel mai mare obstacol în evoluţia pieţei de cloud în anumite părţi ale lumii (Europa Centrală și de Est este un exemplu relevant).
Monitorizarea infrastructurii cu scopul identificării cât mai rapide a unor potenţiale atacuri cibernetice, precum și derularea unor activităţi curente de monitorizare a vulnerabilităţilor de securitate existente la nivelul infrastructurilor IT sunt procese ce pot asigura cu succes existenţa unei organizaţii online.
Totuși, având în vedere noile provocări evidenţiate de tipologia evolutivă a ultimelor atacuri cibernetice realizate pe scară largă și în special caracteristicile vectorilor de distribuţie a unor programe de tip malware și capacitatea distructivă sau de persistenţă acestora la nivelul infrastructurilor afectate, simple măsuri organizaţionale sau utilizarea ca atare a capabilităţilor oferite de tehnologiile clasice/consacrate de securitate nu mai sunt suficiente pentru asigurarea unor funcţionalităţi preventive eficiente sau a unor capacităţi tehnologice de răspuns la atacuri cibernetice adecvate.
Totodată, deși în prezent, piaţa de securitate cibernetică generează noi produse/servicii bazate pe inovaţii tehnologice spectaculoase, lipsa de maturitate și eficienţă demonstrată/demonstrabilă a acestora precum și costurile semnificative de achiziţie, creează probleme majore în identificarea unei soluţii corecte, indiferent de tipul organizaţiei necesar a fi protejată.
Din această perspectivă, după parcurgerea etapelor iniţiale menţionate mai sus, pentru operaţionalizarea reală a unui SOC în mediul de securitate cibernetică actual, trebuie avute în vedere următoarele provocări/ necesităţi funcţionale:
Creșterea gradului de automatizare în cadrul SOC-ului prin integrarea și filtrarea datelor colectate, în scopul generării de ALERTE utile. Integrarea a cât mai multe surse de date și capabilitatea filtrării acestora în scopul identificării unor indicatori relevanţi sunt obiective declarate ale mai multor firme de securitate, care furnizează soluţii de tipul big data analytics destinate componentei de securitate cibernetică. Într-o notă personală, aș menţiona aici că nu mă refer la soluţiile consacrate de tip SIEM, care, deși relevante în arhitectura unei structuri de tip SOC, sunt limitate ca eficienţă, mai ales pe componenta preventivă. Soluţiile evaluate de mine în acest domeniu, fie nu m-au convins funcţional, fie m-au descurajat la nivel de costuri;
Integrarea cu tehnologiile existente a unor surse de încredere care furnizează indicatori de atac sau indicatori de compromitere. În acest domeniu sunt prezenţi pe piaţă o serie de jucători, atât producători de soluţii de securitate care integrează în produsele/serviciile proprii capabilităţi de Cyber Threat Intelligence, dar și furnizori specializaţi care colectează din surse multiple informaţii relevante și le livrează în diverse format-uri clienţilor. Departe de a fi o piaţă matură, diferenţele semnificative între jucătorii de pe această piaţă sunt date de capabilităţile de integrare cu diverse alte tehnologii (integrarea unei platforme de tip CTI cu o platformă analitică poate fi vitală pentru generarea de alerte viabile de securitate) și pe rapiditatea/viabilitatea indicatorilor pe care îi furnizează. Ca remarcă, în prezent, o serie de organizaţii cumpără servicii de CTI care le livrează indicatori relevanţi, dar nu dispun de capabilităţi manuale sau automate de utilizare/căutare după astfel de indicatori la nivelul infrastructurii proprii, ceea ce face o astfel de soluţie aproape inutilă;
Integrarea în cadrul arhitecturii de securitate a unor soluţii tehnologice care folosesc algoritmi de machine learning. Deși pe piaţă există deja jucători relevanţi care recomandă înlocuirea totală a soluţiilor consacrate de securitate cu tehnologii bazate pe machine learning, personal nu recomand o astfel de abordare, cel puţin nu în prezent. Companii relevante ca Microsoft au integrat deja în produsele și serviciile de securitate pe care le oferă servicii care au la bază machine learning. Microsoft și CrowdStrike oferă astfel de soluţii prin analiza unei cantităţi uriașe de date colectate în cloud, pe când companii gen Dark Trace sau VECTRA se bazează pe identificarea de anomalii prin învăţarea comportamentului „normal” al infrastructurii monitorizate. Noile tehnologii bazate pe machine learning vin cu funcţionalităţi unice și cu o semnificativă valoare adăugată arhitecturii de securitate a oricărei organizaţii, precum și la o creștere substanţială a gradului de funcţionalitate a unei structuri de tip SOC. Recomandarea mea în acest domeniu pentru orice organizaţie este să solicite teste extinse în infrastructura proprie înainte de achiziţionarea unor astfel de tehnologii, iar scenariile de test să fie cât mai aproape de realitate. De asemenea, costurile de achiziţie și costurile ulterioare ale unei astfel de soluţii sunt relevante în cadrul oricărei analize comparative pentru produse/servicii cu funcţionalităţi oarecum similare.
Fără a avea pretenţia că am acoperit suficient sau în cele mai relevante detalii subiectul abordat, articolul este generat strict de experienţa profesională proprie și cred că poate contribui la înţelegerea fenomenului și provocărilor cu care se confruntă în prezent orice organizaţie în realizarea și operaţionalizarea unui Security Operation Center, mai ales din perspectivă managerială.

Eduard Bisceanu

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.