SOC-as-a-Service. Czy outsourcing cyberbezpieczeństwa się opłaca?

Materiał sponsorowany

Cyberbezpieczeństwo stało się w ostatnich latach jedną z najbardziej krytycznych kwestii dotykających polskie podmioty – zarówno publiczne, jak i prywatne. Każdego tygodnia można przeczytać doniesienia o cyberatakach, których ofiarą padają urzędy, fabryki, wodociągi czy sklepy. Nierzadko efektem incydentu jest wyciek wrażliwych danych osobowych, które w niepowołanych rękach mogą wyrządzić poważne szkody.

Jednocześnie w ciągu ostatnich kilku lat na popularności zyskuje outsourcing bezpieczeństwa IT do wyspecjalizowanych zespołów SOC. Jeden z nich posiada Netia. SOC Netii świadczy usługi komercyjne od kilku lat. Siłą usługi jest zespół doświadczonych specjalistów – ponad 20 osobowy team ekspertów świadczący usługi dla kilkudziesięciu klientów z różnych branż: edukacji, przemysłu, bankowości, zdrowia itp. Z Piotrem Morozem, Dyrektor ds. Usług Bezpieczeństwa z tegoż zespołu rozmawialiśmy nie tylko o monitoringu zagrożeń czy ekonomii, lecz także o nadchodzących działaniach wynikających z nowych przepisów.

Paweł Makowiec, CyberDefence24.pl: Na czyje potrzeby miał odpowiadać SOC stworzony przez Netię? Od początku zakładano, że jego działalność będzie obejmowała klientów, czy ten zakres pojawił się dopiero w późniejszym okresie jego istnienia?

Piotr Moroz, Netia SOC: Budowa SOC tylko na wewnętrzne potrzeby była i jest dosyć kosztowna. W związku z tym od początku zakładaliśmy, że zaczynamy budować zespół, w oparciu o który stworzymy usługi dla zewnętrznych klientów. W ten sposób częściowo zwrócą się koszty tworzenia kadry, narzędzi, pomieszczeń. A to wszystko wiąże się z konkretnymi, niemałymi wydatkami.

Ile trwa uruchamianie SOC-a?

To zależy. Uruchomienie usługi SOC nie polega jedynie na tym, że dostajemy narzędzie, z którego możemy korzystać. Przedsięwzięcie jest realizowane w ścisłej współpracy z klientem, dlatego że w ramach usługi zwykle dostarczamy rozwiązanie do monitorowania i zbierania logów. To jednak po stronie klienta - administratorów, służb IT - leży konfiguracja wszystkich źródeł. Musimy wspólnie skonfigurować na przykład VPN, aby logi mogły trafiać do nas.

W niektórych wdrożeniach uruchamiamy pierwszy etap monitorowania nawet w ciągu 30 dni. Na tym etapie podłączamy najbardziej istotne źródła. Dopiero w późniejszym okresie dokładamy kolejne źródła, reguły, raporty, które zostały na początku zaplanowane. Po jakimś czasie - może to być nawet pół roku - posiadamy komplet wszystkich przewidzianych źródeł. Do tego momentu monitoring jednak już działa; nie jest to „pusty” okres, w którym tylko wdrażamy usługę.

Jak wygląda współpraca po wdrożeniu?

Ona jest oczywiście kontynuowana. Organizujemy z klientem przynajmniej raz w miesiącu spotkania, żeby omówić co się wydarzyło, jakie były alerty, czy warto wdrożyć nowe reguły, czy były zmiany itd. Infrastruktura po stronie klientów zwykle „żyje”; to nie jest tak, że przez 5 lat nic się w niej nie zmienia. Wycofuje się niektóre systemy, na ich miejsce pojawiają się nowe, więc też w trakcie współpracy skupiamy się na wypracowaniu świeżego podejścia i innych rozwiązań.

Monitoring musi być ciągły

Nadzór nad infrastrukturą IT musi być prowadzony w sposób ciągły. Jak wygląda on w praktyce i z jakimi wyzwaniami dla zespołu się wiąże?

Zagrożenia, które dotyczą naszej infrastruktury, nie dzieją się tylko w godzinach pracy. Incydenty mogą się wydarzyć w każdej chwili. Jest takie branżowe powiedzenie, że jak coś ma się ma się wydarzyć, to będzie to z reguły piątek 17:00, kiedy wszyscy wyruszają na weekend i nikogo nie ma już w pracy.

W związku z tym monitorowanie musi się odbywać cały czas, dlatego że dziś kluczowy jest czas reakcji - im wcześniej odkryjemy incydent, tym większe mamy szanse na to, żeby ograniczyć, zmniejszyć jego zakres.

Do tego potrzeba dedykowanego zespołu, bo minęły już czasy, gdy rolą administratora było codzienne przeglądanie dzienników w systemie. Dzisiaj to jest nierealne, bo zdarzeń jest tak dużo i w tak szybkim tempie się pojawiają, że jedyną możliwością jest monitorowanie na bieżąco w oparciu o takie rozwiązania właśnie jak bezpieczeństwo informacji, zarządzanie, budowa alertów. Także reguły systemowe muszą być aktualizowane; nasze otoczenie się zmienia, zagrożenia się zmieniają, pojawiają się nowe ataki, nowe IoC.

Skoro o nadzorze mowa: jak wyglądają kwestie identyfikacji zagrożeń w przypadku Netii? Wykorzystywane są analizy, techniki, a może inne metody? Jakie działania podejmujecie, gdy zidentyfikujecie zagrożenie?

Źródeł informacji o zagrożeniach mamy wiele i są one różne. Korzystamy zarówno z komercyjnych źródeł, jak i publicznych. Są też dostępne publiczne informacje dotyczące różnego rodzaju indicators of compromise (IoC) - podejrzane domeny, podejrzane IP, hasze, nowe typy ataków, sygnatury czy reguły tego, co można znaleźć w logach, a co może świadczyć o prawdopodobnym ataku.

Rozwijamy też własne cyber threat intelligence (CTI), czyli pozyskiwanie, zbieranie informacji o zagrożeniach z różnych źródeł i przekładanie tego na ocenę ryzyka dla naszych klientów. Zaletą komercyjnego SOC-a jest to, że widząc nieznane dotychczas IP działające dosyć podejrzanie, możemy też te IoC wykorzystywać od razu do monitorowania pozostałych klientów i sprawdzania czy też są zagrożeni.

Cyberwojna trwa

Co ze sferą cyberataków? Czy dostrzegliście pewne wyraźne zmiany w działaniu lub charakterze akcji cyberprzestępców?

Cały czas jest podobnie. Najbardziej widoczne zagrożenie to ransomware. Jednakże z racji tego, że grupy hakerskie się mocno wyspecjalizowały, są „unarzędziowione”, czyli mają gotowe rozwiązania, to zaczynają coraz częściej działać na szeroką skalę.  Wrzucają to samo złośliwe oprogramowanie w różnych akcjach phishingowych, na zasadzie „co się uda, to się uda”. Nie atakują konkretnych firm, tylko liczą, że dana próba gdzieś się powiedzie. Malware zostanie uruchomiony i uzyskają dostęp. Do tego dochodzi również skanowanie i wykorzystanie znanych podatności. O tym teraz dużo się mówi, bo to są widoczne ataki - firma przestaje po prostu po nich działać.

Natomiast w tle jest wzrost zagrożenia związanego z grupami APT, zwłaszcza sponsorowanymi przez państwa. Wiadomo, że mamy duże zagrożenie ze strony rosyjskiej, ale też widzimy aktywność grup chińskich. W ostatnim czasie pojawiło się sporo notyfikacji amerykańskich mówiących o aktywności wspomnianych grup, jeżeli chodzi o infrastrukturę krytyczną. Obserwujemy to także w Polsce.

Mówimy jednak o mniej dostrzegalnym zagrożeniu, bo zaawansowani aktorzy starają się pozostawać w jak największym ukryciu - nawet jeżeli uzyskają dostęp do jakiejś infrastruktury, to starają się jak najdłużej tym nie chwalić.

Powiedziałby Pan, że jesteśmy na cyberwojnie?

Tak. Co do tego nie ma wątpliwości. Cyberwojna już trwa od paru lat i obejmuje np. ataki typu DDoS, zwłaszcza grup rosyjskich. Nie było u nas na szczęście tak spektakularnych ataków jak na przykład na operatora komórkowego Kyivstar w Ukrainie, kiedy uzyskano dostęp do jego sieci i systemów dużo wcześniej, a potem wyłączono znaczną część infrastruktury.

Cyberwojna się toczy i grupy - przede wszystkim rosyjskie i chińskie - próbują uzyskać dostęp do naszej infrastruktury krytycznej. Z jednej strony w celu pozyskania informacji, a z drugiej też po to, aby w godzinie „zero” tę infrastrukturę krytyczną zaburzyć. I to niestety jest duże wyzwanie, ponieważ często mamy do czynienia z grupami bardzo zaawansowanymi, dysponującymi środkami finansowymi, dużym zapleczem i wsparciem swoich rządów.

Bardzo dużo mówi się o rozwoju sztucznej inteligencji i innych rewolucyjnych technologiach. Jak wygląda ich wykorzystanie w przypadku Netii?

Tak naprawdę mamy dwa wątki. Pierwszy jest związany z ochroną w zakresie sztucznej inteligencji w ogóle. Rzadko spotykamy sytuacje, w których przedsiębiorstwa korzystały z AI w zaawansowany sposób, a duże firmy, jeżeli już używają, to raczej uruchamiają rozwiązania na wewnętrzne potrzeby lub korzystają po prostu z dużych dostawców.

Z drugiej strony wykorzystuje się AI do pomocy, np. automatyzacji procesów. Tutaj widzimy pewną szansę, analizujemy i testujemy rozwiązania. Na razie nie wygląda na to, żeby sztuczna inteligencja miała zastąpić analityków cyberbezpieczeństwa. Ona może rzeczywiście pomóc w podstawowych zadaniach, np. inżynierii wstecznej, podstawowej analizie adresów IP, domen, zbieraniu informacji z internetu.

Tak czy inaczej, dzisiaj nic nie zastąpi analityka z pewnym doświadczeniem. Sztuczna inteligencja jeszcze nie jest aż tak „inteligentna”, żeby „wejść w buty” człowieka i nie zapowiada się na to, żeby w najbliższej przyszłości to się zdarzyło.

Rynek SOC będzie się rozwijał

Outsourcing w przypadku cyberochrony jest coraz powszechniejszy. Co oznacza skorzystanie z modelu SOC-as-a-Service we współpracy z Netią w porównaniu z własnym centrum cyberbezpieczeństwa firmy?

Jedną z zalet jest to, że mamy spore doświadczenie merytoryczne, którym możemy się dzielić: realizujemy od dłuższego czasu usługi zarówno na własne potrzeby, jak i na potrzeby kilkudziesięciu klientów. Nie zaczynamy od zera. Wiemy, przed czym się chronić, potrafimy ocenić te zagrożenia. Mamy wiedzę związaną z gotowymi regułami, raportami, wiemy co w jakiej kolejności podłączyć, żeby lepiej chronić infrastrukturę, generujemy wciąż nowe pomysły.

Oprócz tego kluczową zaletą outsourcingu SOC są koszty. Dzisiaj korzystanie z zewnętrznego SOCa jest zdecydowanie dużo tańsze niż budowa SOC we własnym zakresie, szczególnie jeżeli policzymy koszty utrzymania zespołu pracującego całodobowo. Te przysłowiowe pięć osób jest tak naprawdę nierealne. Musi ich być więcej w związku z urlopami pracowników. Minimalna liczba osób, które trzeba zatrudnić to przynajmniej 7-8. Rynek jest trudny i niełatwo znaleźć specjalistów. Do tego dochodzi ich szkolenie i oczywiście odpowiednie narzędzia.

Gdy zaczniemy wszystko podliczać, koszty stają się naprawdę wysokie. Jasne, że dużym firmom, które mają bardzo rozbudowaną infrastrukturę, to się może opłacać. Jednak w wielu przypadkach taki SOC komercyjny wnosi więcej niż jego budowa we własnym zakresie.

Jak Pana zdaniem wygląda przyszłość zespołów SOC w Polsce? Czy mają szansę na rozwój?

Wszystkie znaki legislacyjne wskazują na to, że rynek będzie się rozwijał. Teraz mamy Krajowy System Cyberbezpieczeństwa, wcześniej mieliśmy rozporządzenie DORA. Koniecznością jest już monitorowanie cyberbezpieczeństwa na bieżąco, a to oznacza, że siłą rzeczy będziemy kierowali się w stronę SOC-ów. Nie każdą firmę będzie stać na to, żeby budować go we własnym zakresie, albo nie będzie to też kosztowo uzasadnione, więc pojawi się pole do rozwoju właśnie zespołów takich jak mój.

Zaletą jest również to, że SOC, który współpracuje z wieloma klientami, może wiedzę i doświadczenia dzielić między nimi. A w przypadku małego zespołu w mniejszej firmie, to zawsze będzie kłopot.

Co czeka Netia SOC? "Dostosujemy się"

Jakie kierunki działań przewiduje Netia w celu sprostania nowym wyzwaniom?

W zakresie regulacji monitorujemy to, co się dzieje w otoczeniu i dostosowujemy się do tego - nasze procesy, procedury wewnętrzne na bieżąco zmieniamy zgodnie z nowymi regulacjami.

Natomiast z punktu widzenia zagrożeń, tego co nas czeka w najbliższej przyszłości, to warto zwrócić uwagę na bieżące analizowanie i przewidywanie tego, co będzie się działo; jakie zagrożenia mogą się pojawić. To część usług jak chociażby cyber threat intelligence, które dostarczamy. Tworzymy okresowe raporty dla klientów z analizami jak wygląda krajobraz zagrożeń. Są również oczywiście źródła ogólnodostępne, jak raporty dotyczące horyzontu zagrożeń, okresowo publikowane przez np. Europejską Agencję Bezpieczeństwa.

Jeżeli prezydent podpisze nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, to jak to wpłynie na sytuację w branży?

To zależy, jakie ma się podejście do tego tematu. Nowelizacja KSC ciągnie się dosyć długo: z jednej strony był czas, aby przyjrzeć się sytuacji i pewne przygotowania poczynić, budując plan dostosowania do nowych przepisów.

Budowa cyberbezpieczeństwa pociąga za sobą często niemałe koszty, a mam wrażenie, że dopóki regulator tego nie wymaga i nic się nie wydarzyło, to przedsiębiorstwa wolą jeszcze z wydatkami zaczekać. Zapewne pewna grupa firm opracowała już plan pozwalający im na dostosowanie się do nowelizacji KSC.

Jest też cała rzesza firm, które zakładają, że nie wiadomo, kiedy ustawa zostanie podpisana. Wolą zostawić przygotowania na późniejszy czas a o cyberbezpieczeństwo będą się martwić, jak przepisy wejdą już w życie.

Podejście „to jest problem jutrzejszego mnie”.

Dokładnie. Jak z wszystkimi przepisami, trochę będzie zależało od tego, kiedy nowelizacja faktycznie zostanie podpisana i jak będzie egzekwowana. Najpierw na celowniku będą większe firmy, które będą trochę lepiej przygotowane.

Oprócz samej legislacji ustawowej, sporo też zależy od tego, na ile uruchomione zostaną działania, które dadzą tym mniejszym firmom narzędzia oraz wskazówki jakich standardów powinny się trzymać, jak je wdrażać. To jest czasami spory problem.

Mam wrażenie, że w wielu krajach, w Europie również, oprócz przepisów publikuje się też dosyć szczegółowe wytyczne np. jak do danego tematu podchodzić, żeby firmy nie musiały zgadywać, w jaki sposób interpretować ogólne przepisy ustaw. Małe firmy mogą mieć kłopot ze rozumieniem wszystkich zapisów i problemy z ich realizacją. Jeżeli rząd im pomoże, efekt będzie lepszy.

Dziękuję za rozmowę.

Dowiedz się więcej o Netia SOC »