Centrum Operacji Bezpieczeństwa — Security Operations Center

Krzysztof Kempiński
Jun 8 · 11 min read
Image for post
Image for post

W ramach podcastu “Porozmawiajmy o IT” miałem okazję porozmawiać z Dawidem Skórką o Security Operations Center.

Posłuchaj naszej rozmowy w wersji audio 🎧 👇

Cześć, mój dzisiejszy gość to ekspert w obszarze bezpieczeństwa w firmie 3S. Firmie wchodzącej w skład grupy 3s, która w sierpniu 2019 roku dołączyła do grupy Play. 3S posiada 4000 km własnej sieci światłowodowej, dysponuje pięcioma ośrodkami Data Center w Polsce, projektuje i wdraża rozwiązania telekomunikacyjne, cloud computingu oraz security.

Mój dzisiejszy gość to Dawid Skórka.

Cześć, Dawid! Bardzo mi miło gościć cię w podcaście.

Cześć, cześć, witam wszystkich, witam cię!

Z Dawidem porozmawiamy sobie o Centrum Operacji Bezpieczeństwa, czyli Security Operations Center. Czym jest takie centrum i czym się zajmuje.

Dawid — zawsze na początku pytam moich gości czy słuchają podcastów i jeśli tak, to jakich najczęściej. Jak to wygląda u ciebie?

Tak! Słucham podcastów, dokładnie dwóch. Głównym, którego słucham najczęściej jest to Cyber, Cyber… Fundacji Bezpieczna Cyberprzestrzeń. Drugi, którego słucham jest to podcast Niebezpiecznika, natomiast też nie powiem, że słucham wszystkich po kolei czy też, kiedy odcinki się pokazują, to słucham.

Natomiast raczej staram się te, które tematyką pasują do moich zainteresowań, mojego obszaru niż słuchać wszystkiego po kolei.

Oprócz samego słuchania podcastów wolę czytać — jest więc kilka stron internetowych, blogów, z których zdobywam wiedzę. Teraz przede wszystkim Kapitan Hak, Sekurak — są to dwie strony, które sypią wiedzą mocno techniczną. Czytaj też Zaufaną Trzecią Stronę oraz Niebezpiecznika.

Pewnie. Dzięki za te rekomendacje! Gdybyś jeszcze mógł nieco więcej powiedzieć o sobie od strony prywatnej — na początku przybliżyłem cię pod kątem zawodowym, natomiast jestem też ciekaw co osoba, która tak mocno zajmuje się działem bezpieczeństwa IT robi prywatnie.

Nieco ponad rok temu urodził mi się syn, więc obecnie swój prywatny czas poświęcam rodzinie i wychowywaniu syna. Natomiast wcześniej, gdy tego czasu było ciut więcej, zajmowałem się pentestingiem delikatnym. Od razu zaznaczam, że nie jestem ekspertem w tej dziedzinie i nie jestem w stanie przepentestować wszystkich rzeczy i bardzo zaawansowanych, natomiast w zaciszu swojego komputera, swojego pokoju starałem się pentestować maszyny dostępne w Internecie. Można je pobrać, odpalić w jakimś hypervisorze i pentestować.

Oprócz tego to siłownia wchodziła w grę, więc to w sumie tyle!

Zanim odpowiemy na pytanie czym tak naprawdę jest Centrum Operacji Bezpieczeństwa, na jakie problemy odpowiada, warto by się było zastanowić czy takie popularne systemy jak firewall, antywirus czy filtrowanie podejrzanych adresów URL czy maili, to jest wystarczające zabezpieczenie dla większości firm pod kątem cyberbezpieczeństwa.

Co ty o tym myślisz?

To pytanie podzielę na dwie części.

Na tapet wezmę firewalla oraz antywirusa. Jeśli mówimy o antywirusie, to jest to podstawowe oprogramowanie, które każda firma powinna posiadać, natomiast firewall, jego konfiguracja jest tak dobra, jak administrator, który tym zarządza. Możesz mieć naprawdę wysokiej klasy sprzęt czy urządzenia, które pracują jako firewall natomiast to, jak administrator go skonfiguruje, to świadczy o twoim bezpieczeństwie.

Jeśli mówimy o antywirusie, to jest to podstawowe oprogramowanie, które każda firma powinna posiadać, natomiast firewall, jego konfiguracja jest tak dobra, jak administrator, który tym zarządza.

Wiele razy zdarzały się tego typu przypadki, że administrator otworzył jakąś furtkę, port czy wystawił RDP-a do Internetu windowsowego i nagle firma miała nieprzyjemności z tego tytułu, występował jakiś incydent, ponieważ ktoś wyeksploitował tego RDP-a i dostał się do wnętrza sieci firmy. Jest to podstawą, natomiast samo rozwiązanie sprzętowe czy też software’owe, ponieważ firewall może być rozpatrywany z dwóch perspektyw.

Sprzętowej — hardware’owej natomiast może być też software’owy. Tak jak wspomniałem — jest, tak dobry, jak sam administrator zarządzający tym oprogramowaniem. Natomiast jeśli chodzi o filtrowanie podejrzanych adresów URL tutaj też kwestia jest tego typu, że musimy mieć narzędzie, które będzie w stanie pokazać nam, które adresu URL są podejrzane i też je zablokować czy dopuścić ewentualnie — już byśmy otworzyli daną witrynę czy połączyli się z daną stroną internetową.

Kwestia filtrowania podejrzanych adresów URL jest dosyć skomplikowana, ponieważ też musimy mieć tzw. feedy, które dostarczają nam informacji na bieżąco czy dane URL, czy strona internetowa pokazująca się w Internecie posiada malware’y czy jest potencjalnie bezpieczna.

Wszystkie te rzeczy, o których powiedziałeś mogą być w jakiś sposób zabezpieczeniem na powiedzmy popularne wirusy czy rzeczy, które generalnie są gdzieś rozsiewane po sieci i mają za zadanie atakować szerokie grono potencjalnych ofiar.

Natomiast jestem ciekaw ataków, które są dedykowane — powiedzmy — na zasoby jakiejś konkretnej firmy. To jest częste zagrożenie i w jakim stopniu jest skomplikowane i czasochłonne w przygotowaniu.

Jeśli chodzi o ataki APT, bo w pytaniu akurat mówisz o nich — to są tak zwane advanced persistent threat i z jednej strony nie chciałbym się z tej strony wypowiadać, ponieważ nie należę do żadnej grupy APT i nie wiem dokładnie, jak to wygląda od środka natomiast jeśli mówimy o czasie… Wyobrażam sobie, że przygotowanie do dedykowanego ataku to są tygodnie jak nie miesiące przygotowań przez tego typu grupy!

Wyobrażam sobie, że w zależności od wektora ataku czy też danych, do których chcą się dostać — stosunkowo to przygotowanie musi być dłuższe. Tak naprawdę, grupy APT stoją za nimi organizacyjnie — czy to są fundowane takie grupy APT przez państwa, czy sponsorowane z prywatnych funduszy. Takie ataki więc mogą obejmować wiele, wiele stref. To może być na przykład kradzież własności intelektualnej, to może być kradzież danych niejawnych. Wpływanie na politykę… Całkowite przejęcie witryny. Możemy też mówić o pozyskiwaniu danych w danej infrastrukturze klienta, więc ataki ATP są o tyle skomplikowane w wychwyceniu, ponieważ staranność w przygotowaniu tego typu grup jest dosyć duża i często niezauważalna przez zwykłe systemy.

Mówiliśmy wcześniej o firewall’u, mówiliśmy wcześniej o antywirusie. Firewall pracuje na regułach. Antywirus działa na tzw. sygnaturach, więc jeśli antywirus nie zna danej sygnatury danego pliku czy danego malware’u antywirus tego nie zablokuje.

Ciężko jest wyłapać atak ATP. Jednym z ciekawych ataków, który był przeprowadzony na irańskie wirówki do wzbogacania uranu był Stuxnet. Szczerze polecam zapoznanie się z tematem, ponieważ jest to bardzo ciekawy rodzaj ataku, też przygotowany przez grupę APT.

Mówimy tutaj o bardzo poważnych rzeczach, poważnych konsekwencjach takich ataków. Jestem ciekaw jak długo może trwać wykrycie takiego ataku i czy taka reakcja po zidentyfikowaniu właśnie takiego włamania daje wystarczające zabezpieczenie?

Czy to jest tak, że jeśli w miarę szybko stwierdzimy, że taki atak ma miejsce, w jakiś sposób zareagujemy to, czy daje nam — czy też firmie — to wystarczający komfort bezpieczeństwa?

Posłużę się troszeczkę statystykami z firmy IBM. Średnie wykrycie incydentów sieci w firmie energetycznej to jest na dziś ok. 150 dni. Czyli 5 miesięcy!

Jeżeli chodzi o służbę zdrowia, ta liczba delikatnie rośnie. Są to 255 dni. Czas, który jest potrzebny na wykrycie jest bardzo duży.

Średnie wykrycie incydentów sieci w firmie energetycznej to jest na dziś ok. 150 dni. Czyli 5 miesięcy! Jeżeli chodzi o służbę zdrowia, ta liczba delikatnie rośnie. Są to 255 dni.

Biorąc w takim razie pod uwagę RODO i kary wiążące się z tego typu incydentami, no to na pewno mamy tu do czynienia z dużymi kosztami dla firm. Te koszty na chwilę obecną wyskalowane są… Nie jestem w stanie powiedzieć jak duże.

Patrząc przez pryzmat Moreli taki incydent może dosyć mocno zaboleć. Z tego, co pamiętam Morele dostały ok. 3 000 000 zł kary. Jeden incydent może poważnie zaszkodzić firmie. Słyszałem o przypadkach, gdzie firmy po incydencie czy po wycieku danych ze względu na dosyć wysoką karę z tytułu RODO czy też z powodu zaszyfrowania dysków, czy jakoś ransomware. W tym przypadku nie były w stanie się podnieść i musiały ogłosić bankructwo.

Nie mogę tutaj powiedzieć w żadnych wypadku o jakimś komforcie bezpieczeństwa po incydencie.

Czyli nawet te daty, które podałeś, ile dni musi minąć do momentu wykrycia takiego włamania są i tak na tyle duże, że nawet wykrycie incydentu najczęściej nie jest już wystarczająco szybkie, żeby zareagować. To jest przepaść, jeżeli chodzi o czas.

Jeśli ktoś się dobierze do naszej sieci, mamy jakieś włamanie, incydent to uzyskanie praw administratora na różnych serwerach czy przejęcie uprawnień administratora-kontrolera domeny to są godziny albo maksymalnie dni. Poruszając się z takimi uprawnieniami po serwerach możemy robić cokolwiek. Możemy wykradać cokolwiek. Mamy wgląd w tajne pliki, jeśli jakaś firma posiada jakąś własność intelektualną.

Tak naprawdę wykrycie w przypadku energetyki — gdzie to wynosi 150 dni… W ciągu 150 dni można zrobić wszystko w sieci. Wyobraź sobie co u siebie mógłbyś zrobić w ciągu 5 miesięcy.

Jasne! To jest bardzo dużo czasu na różne próby włamań wewnętrznych w sieci, próbę wykradzenia danych. Praktycznie na tyle długi czas, że można naprawdę próbować wszelkiego typu złośliwych operacji, które tylko możemy sobie wyobrazić.

Na dobrą sprawę nie mówię tu tylko o sieci konkretnej firmy i ataku tylko i wyłącznie na nią. Powiedzmy, że jesteś w stanie przejąć uprawnienia czy dostać się do jakiejkolwiek skrzynki pocztowej na main serwerze. Jakiejkolwiek. Będąc handlowcem czy osobą, która ma znajomości czy też będąca w kontakcie z innymi podmiotami jesteś w stanie na przykład za pomocą maila rozesłać jakiś malware i jeszcze dalej atakować inne firmy. Tak naprawdę więc wektor ataku nie skupia się tylko i wyłącznie na tej jednej firmie, która jest atakowana, ale również na instytucjach współpracujących z tą firmą i ewentualnymi partnerami. Wektor ataku więc nie musi się skończyć tylko na tej jednej firmie.

Przestępca może próbować swoich sił w innym kierunku.

Tutaj na scenę wkracza Centrum Operacji Bezpieczeństwa. Niektórzy w zapewnieniu bezpieczeństwa widzą taką operację okopania się, postawienia wysokich murów, szczelnej bramy i dbania o bezpieczeństwo w ten sposób na zasadzie maksymalnej izolacji. Czyli jednorazowa taka akcja zakrojona na dużą skalę — przygotowania całej takiej twierdzy.

Wiemy jednak z tego co powiedziałeś, że w Internecie obecnie zagrożenia nie są takie statyczne. Trzeba być gotowym na najmniej oczekiwany atak. Nie da się przygotować i również w pełni odizolować.

Centrum Operacji Bezpieczeństwa, o którym od początku zaczynamy rozmawiać, czyli z angielskiego Security Operation Center to właśnie jeden ze sposobów poradzenia sobie z nieprzewidywalnością. Również niemożliwością poradzenia sobie przewidzenia wszystkich możliwych typów ataku.

Jak można zdefiniować czym jest takie centrum?

Trochę odniosę się do twojego twierdzenia — powiedziałeś właśnie o tym okopie, żeby bronić firmy jako twierdzę. Nie neguję tego, to jest bardzo dobre podejście, czyli powiedzmy inwestowanie w systemy IDS, IPS czy nextgen firewalle i tego typu rozwiązania. To wychodzi wyłącznie na plus.

Natomiast jeśli chodzi o SOC-a, czyli nasze Security Operation Center… Skupiamy się na monitorowaniu i analizie aktywności w sieciach, w sieciach naszych klientów, jak i naszej, 3S-owej. Przeglądamy logi, analizujemy punkty końcowe, analizujemy logi z baz danych, aplikacje, witryn internetowych.

Jesteśmy w stanie analizować i zbierać logi, wysnuwać na ich podstawie jakieś sensowne wnioski z każdego urządzenia, które generuje ci logi.

SOC jest tak naprawdę odpowiedzialny za zapewnienie, że potencjalne incydenty związane z bezpieczeństwem są poprawnie zidentyfikowane, przeanalizowane i w efekcie raportowane klientowi.

Jakie są kluczowe obszary, za które taki SOC odpowiada?

Jeśli o to chodzi, to jest to przede wszystkim monitoring sieci systemów bezpieczeństwa. Zbieramy logi z każdego urządzenia, które jest nam w stanie je wysłać. Oprócz urządzeń sieciowych typu routery, switche, monitorujemy także systemy bezpieczeństwa i systemy operacyjne. Nie ważne, czy są to systemy Windows, Linux czy systemy Unixowe. My te logi korelujemy, analizujemy incydenty w obrębie sieci oraz serwerów. Analizujemy również złośliwe oprogramowanie. Jeśli klient dostanie jakąś fakturę, która jest potencjalnie malware’em, jest w stanie przesłać do nas tego typu fakturę, my ją przeanalizujemy pod kątem potencjalnego oprogramowania. Oczywiście klientowi też dostarczamy raport z tego typu rzeczy.

Oprócz tego skanujemy też sieć naszym klientom, administrację wewnętrzną i zewnętrzną, jeśli któryś klient chce. Dajemy rekomendację w celu wyeliminowania potencjalnych furtek wejścia oraz rzeczy, które pokaże nam skaner.

Za te obszary odpowiada SOC.

Oczywiście w momencie wystąpienia jakiegoś incydentu, dokonujemy oceny, jakiej miał wpływ na daną firmę, na daną działalność gospodarczą.

Z tego, co powiedziałeś, mam obraz, że SOC może być odpowiedzialny za zabezpieczenie, reagowanie dla dużych firm — tych, które tego potrzebują. Dlatego zastanawiam się, czy jest taka miara albo dobra praktyka, która jest przez was stosowana w określeniu, kiedy firma potrzebuje tego typu usług. Czy to jest w jakiś sposób skorelowane z etapem rozwoju, z wielkością, z zaawansowaniem technicznym?

Kiedy, powiedziałbyś, że warto już myśleć o tego typu usługach, a kiedy, powiedzmy, jest na to jeszcze za wcześnie?

To jest ciężkie pytanie i powinno być rozpatrywane z poziomu każdego przedsiębiorstwa tudzież każda firma powinna wykonać sobie analizę ryzyka IT, w której powinna wziąć pod uwagę systemy kluczowe, jakie ma w firmie, systemy backupowe. Co się stanie, kiedy dojdzie do jakiegoś incydentu?

Weźmy na tapet firmę jak diler samochodów. Co się stanie w momencie, gdy dojdzie do jakiegoś incydentu i zaszyfruje nam wszystkie systemy produkcyjne?

Firma powinna odpowiedzieć sobie na takie pytanie, co się stanie, jeśli dojdzie do czegoś złego. W przypadku takiej firmy samochodowej, na przykład przestój dwu, trzydniowy, żeby przywrócić systemy IT do działania. To jest brak sprzedaży samochodów, chociażby brak możliwości zamówienia samochodów. Wstrzymana praca warsztatu.

Raz, że wchodzi nam kwestia z RODO, dwa kwestie wizerunkowe. Tych strat — oprócz materialnych, czyli braku obsługi klientów i ewentualnych przychodów, dochodzą kwestie typu wizerunek. Jaka firma potrzebuje tego typu usług? To powinno wyjść każdemu z prostego rachunku straty versus koszt Security Operation Center, ponieważ my jako SOC jesteśmy — jeśli dojdzie do potencjalnego incydentu i jakieś oprogramowanie zacznie szyfrować serwery produkcyjne, my jesteśmy w stanie w ciągu minuty czy kilku minut dać klientowi informację o tym, że coś niedobrego dzieje się na tym i tym serwerze albo raz odetnij go od sieci i zobacz, co tam takiego się dzieje albo admin był na wakacjach i nie zdążył uciąć ataku, żeby przywrócić systemy z backupu jak najszybciej i uciąć potencjalny atak.

Czyli każda firma powinna sobie przeanalizować, jakie jest ryzyko potencjalnych strat, które wynika z tego, że zbyt długo będzie ta informacja oczekiwana. Na to, że jest jakieś włamanie, coś złego się dzieje.

Jeśli, powiedzmy, potrafię sobie wyobrazić firmy, które całościowo opierają swoje działanie o systemy informatyczne, to naturalnie ryzyko związane z tym, że takie serwery przestaną działać są równoważne z zaprzestaniem działania firmy. Wówczas jest to bardzo dobra przesłanka, bardzo dobry kandydat, żeby właśnie korzystać z tego typu usług.

Natomiast jeśli IT jest tylko małym wycinkiem czy dodatkiem do całości działań to wówczas tu jest kwestia rozważenia, czy faktycznie niezbędne jest decydowanie się na tego typu usługi.

Czy to jest mniej więcej dobry sposób, w jaki ja to zrozumiałem?

Dokładnie tak. Teraz próbuję sobie przypomnieć, pomyśleć jaka firma nie potrzebowałaby tego typu usług i jaka firma nie potrzebowałaby wiedzieć o tym, czy coś niedobrego w ich sieci się dzieje.

Na obecną chwilę nie jestem w stanie wymyślić takiej firmy — chyba że ktoś prowadzi biuro rachunkowe w książkach i księgach, nie używa systemów IT. Rzeczywiście — taka firma może nie potrzebować usług tego typu.

Teraz próbuję sobie przypomnieć, pomyśleć jaka firma nie potrzebowałaby tego typu usług i jaka firma nie potrzebowałaby wiedzieć o tym, czy coś niedobrego w ich sieci się dzieje. Na obecną chwilę nie jestem w stanie wymyślić takiej firmy — chyba że ktoś prowadzi biuro rachunkowe w książkach i księgach, nie używa systemów IT.

Tak! Słusznie zauważyłeś, że IT przesiąka każdą działalność. Ciężko wyobrazić sobie firmy, które w jakiś sposób nie byłyby, chociaż w małym stopniu zależne od tego typu systemów.

Weź pod uwagę fakt, że praktycznie każda firma posiada jakiegoś CRM-a, jakiś system fakturujący. Przetwarzają te dane osobowe, więc nie jestem w stanie teraz wymyślić miejsca, gdzie firma nie ma klientów czy nie przetwarza danych osobowych. To jest przede wszystkim wyznacznik — być może jeden z nich — przetwarzanie danych osobowych lub cała infrastruktura IT, która powinna świadczyć o tym, że tego typu usługi się przydają.

Czytaj dalej na: https://porozmawiajmyoit.pl/poit-068-security-operations-center/

kkempin’s dev blog

Dev and life blog.

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store