Security Operations Center: parasol bezpieczeństwa

Usługa Security Operations Center – SOC – T-Mobile rozwija się i adaptuje do skokowo rosnącego zapotrzebowania rynku na całościowe podejście do bezpieczeństwa. Rozmawiamy o niej z Jakubem Cierpka, ekspertem ds. cyberbezpieczeństwa w T-Mobile Polska.

W ostatnim czasie wiele się zmieniło w naszym życiu, także w sposobie wykorzystania technologii. W jaki sposób zmienia to wyzwania, przed jakimi stają Security Operations Centers (SOC)?

W ciągu ostatniego roku bardzo dużą część naszego życia przekierowaliśmy na online. Ilość ruchu prywatnego i związanego z pracą zdecydowanie wzrosła. Bezpieczeństwo tego cyber-ekosystemu jest dzisiaj w zasadniczej mierze zależne od pracy SOC’ów.

Można by to uznać za pierwszą istotną zmianę – SOC to pierwotnie koncepcja do obsługi B2B…

SOC-i takie jak nasz, od początku zajmowały się także ochroną indywidualnych osób – klientów operatora telekomunikacyjnego. Wprowadzenie masowego modelu pracy zdalnej i hybrydowej sprawiło, że zapotrzebowanie na tego typu usługę dla biznesu jest coraz większe.

Co się zmienia zatem w skali i charakterze zagrożeń dla użytkownika? Jak przystosowuje się do tego SOC?

Od zawsze w cyberprzestrzeni najłatwiej jest oszukać osobę prywatną. Scenariusz takiego ataku jest też „rozwojowy” dla cyberprzestępcy. Osoba prywatna może okazać się przecież ważnym menedżerem dużej firmy albo urzędnikiem. Pierwszy wektor ataku zwykle jest miękki – nakłonienie do otwarcia SMS-a albo maila, zainstalowania jakiegoś oprogramowania.

Bardzo popularne – a więc skuteczne – są pozornie proste ataki typu malware, polegające np. na tym, że użytkownik końcowy zainstaluje playera, aby odtworzyć premierę filmu. Player okazuje się ransomware’m, szyfrującym dane i wymuszającym okup. Taki malware może też wniknąć do sieci firmowej i ułatwić wykradzenie albo zaszyfrowanie danych firmy. W ostatnim czasie głośne były przypadki wymuszania okupu od jednego z większych polskich producentów gier komputerowych czy właściciela rurociągów w USA. Do opinii publicznej trafia tylko część informacji o takich zdarzeniach. Obu stronom nie zależy na rozgłosie, najczęściej dochodzi więc do opłacenia okupu.

A stary, sprawdzony phishing?

Klasyczny phishing nadal jest skuteczny, co potwierdza duża liczba ataków tą metodą. Szalenie popularne stały się jednak także ataki vishing – voice phishing, polegające na wyłudzeniu danych w rozmowie telefonicznej. Czasem pozyskiwane są wprost wpłaty lub poufne dane, ale może też nastąpić przekierowanie na fałszywą witrynę. Vishing i Phishing bywają wówczas bramą do dalszego ataku w oparciu o pozyskane dane. Mamy rzeczywiście do czynienia z wielką falą zautomatyzowanych ataków. Wykorzystują one przede wszystkim luki w oprogramowaniu.

Czy SOC pomaga się przed tym zabezpieczyć?

Ochrona przed tego typu atakami bywa niezwykle trudna. Często mamy do czynienia z błyskawicznie przeprowadzanym atakiem na dużą skalę: wystawienie i zarejestrowanie witryny, zwykle 1-2 dni przed atakiem, rozesłanie SMS-ów czy maili do przeciętnie 10 – 100 tys. użytkowników i zwinięcie strony – domena porzucana bywa już nawet w dniu ataku, po zebraniu określonej kwoty wpłat. Ochrona musi więc zadziałać bardzo sprawnie. Z reguły alert trafia na skrzynkę CERT-ową, skąd SOC powinien szybko uzyskać taką informację. W przypadku nagłego wzrostu wywołań świeżej witryny – możemy odcinać ruch do tego adresu. Podstawowe wyzwania przed SOC pozostają niezmienne: to śledzenie ruchu internetowego i zjawisk w otoczeniu ochranianego klienta w czasie rzeczywistym.

Działanie SOC to jednak nie tylko przeglądanie tego, co się dzieje w infrastrukturze klienta. Jego skuteczność zależy od umiejętności dostosowania się do specyfiki środowiska i modelu działania klienta. Procesy biznesowe są unikalne i SOC musi je odwzorowywać. Na początku zatem analizujemy procesy i szacujemy dla nich ryzyko. To pierwszy etap, polegający na skatalogowaniu technologii wspomagających działanie procesów biznesowych, opisaniu ryzyka i utworzeniu katalogu zagrożeń, a na samym końcu zdefiniowanie najbardziej prawdopodobnych wektorów ataku. Takie przygotowanie i dostosowanie indywidualne usługi trwa przeciętnie od 2 tygodni do miesiąca, a w przypadku bardzo dużych organizacji proces ten może trwać nawet ponad rok.

Przy rozległych firmach jest to wyzwanie…

Odpowiednie ramy i standardy dostarczają amerykański SANS Institute, NIST czy europejska ENISA. Ważnym elementem jest framework MITRE ATT&CK – są w nim rozpisane wszystkie wektory wykorzystywane dotychczas w atakach. Do takiej matrycy przykłada się wektory ataku danej firmy, które wcześniej zostały zidentyfikowane, aby oceniać właściwie jej sytuację. Tworzymy w oparciu o to szablony i plany reakcji w przypadku wystąpienia danego ryzyka, a nasze ustalenia wpisywane są do polityki bezpieczeństwa firmy. SOC jest ponadto instytucją uczącą się, uwzględnia analizy post mortem po każdym ataku.

Więcej okazji do realizacji scenariusza ataku, więcej ruchu, więcej firm zetknęło się ze skutecznym atakiem. Jak to wpłynęło na zainteresowanie usługą SOC?

W T-Mobile klientów w grupie dużych, przybyło w okresie pandemii około 100%. Do tej grupy dołączają również mniejsze firmy zainteresowane ochroną swoich systemów. W obu przypadkach, SOC jako usługę zamawiają podmioty, które same nie zdecydowały się wcześniej budować takiej kompetencji. Taka sytuacja jest dość często spotykana, ponieważ stworzenie takiej jednostki nawet dla dużych firm jest często poza zasięgiem możliwości budżetowych.

Kumulują się więc dwa trendy: gwałtownie skalują się i różnicują zagrożenia i przyrost klientów do obsłużenia. W jaki sposób w tej sytuacji skaluje się usługę SOC?

Idziemy w stronę automatyzacji realizowanych zadań. Wspominana już heterogeniczność środowiska bezpieczeństwa wymaga automatyzacji analizy przy pomocy rozwiązania Security, Orchestration, Automation and Response (SOAR). Dzięki SOAR analityk bezpieczeństwa tylko wydaje ostateczną decyzję, czy należy reagować. Zdecydowanie skraca to proces reakcji i poprawia jego efektywność.

Drugi krok w stronę automatyzacji SOC to zaprzężenie do pracy sztucznej inteligencji (AI). Rozwiązania te uczą się prawdziwych, naturalnych wzorców ruchu aby odsiewać „szum”, w szczególności zjawiska pozornie niebezpieczne, „false positives”. Przy skali parametrów i charakterystyk ruchu to bardzo ważne i trudne zadanie. Zauważyli to cyberprzestępcy, którzy często maskują swoje prawdziwe wektory ataku poprzez wywoływanie „false positives”, angażując siły i uwagę operatorów i systemów na innym obszarze niż ten, gdzie naprawdę nastąpi atak. Rozwiązanie AI pozwala na bieżąco interpretować właściwy kontekst i decydować, co jest prawdziwym, a co pozornym zagrożeniem.

Co z kompetencjami firm w zakresie bezpieczeństwa? Firmy nie budują własnych, ale nie byłoby dobrze, aby całkiem się ich pozbywały decydując się na SOC?

W toku współpracy z nami w ramach usługi SOC specjaliści nabywają odpowiednich kompetencji, ponieważ równoległym elementem usługi jest działalność uświadamiająca użytkowników. Prowadzimy np. kontrolowane ataki z realistycznymi scenariuszami, sprawdzamy poziom wiedzy i odporności, a następnie działamy na rzecz jego podnoszenia. To praktyczne wdrażanie kultury ZeroTrust i zdolności firmy do przetrwania w świecie cyfrowym.

Zdecydowanie przyśpieszyła też adaptacja modelu chmury obliczeniowej. Czy usługa SOC jest wówczas potrzebna?

Rozwój chmury nie stoi w kontrze do zainteresowania usługą SOC. Oczywiście, takie środowisko jest doskonale zabezpieczone, ale włamanie do aplikacji chmurowej może posłużyć np. do uruchomienia przez włamywacza nadprogramowej liczby nodów, co zaburzy chmurowy plan ekonomiczny danej firmy.

Wykorzystanie architektury chmurowej wymaga również objęcia jej opieką SOC. Trzeba opisać scenariusze wykorzystania, potencjalne ryzyko, a także przygotować zasady zapobiegania i reagowania. Chmura jako taka jest bezpieczna. Wiele jednak zależy od jej użytkowników. SOC musi zatem rozstrzygnąć jak ich zabezpieczyć, aby cyberprzestępca nie mógł wykorzystać miękkiego wektora ataku.

Nowoczesny SOC rysuje nam się zatem jako instancja, która rozumie całość architektury, hybrydy, jaką dziś jest IT…

Rzeczywiście, skuteczny SOC nie może działać wycinkowo. Obecne możliwości rozumienia i orkiestracji bezpieczeństwa wynikają z rozwiązań, ale w zasadniczym stopniu z zespołu specjalistów, który go tworzy.

W naszym przypadku są to doświadczeni eksperci, którzy równolegle pracują nad bezpieczeństwem własnym T-Mobile, a doświadczenia te wykorzystują do obsługi SOC jako usługi realizowanej dla naszych klientów. To niebagatelny kapitał – bowiem czerpie ze skali całej globalnej grupy Deutsche Telecom. W ramach tej grupy posiadamy sieć lokalnych CERT-ów na poszczególnych rynkach, które wymieniają się informacjami i udostępniają je naszym ekspertom. Usługi SOC dla klientów są realizowane z danego rynku – także w Polsce wsparcie dostarcza tutaj umiejscowiony zespół SOC T-Mobile Polska.

Gdyby w 3-4 punktach wskazać najważniejsze zalety SOC pozyskiwanego jako usługa od T-Mobile, byłyby to…

To, co dziś przekonuje klientów do usługi SOC T-Mobile, to:
• oszczędność kosztu pozyskania i utrzymania kompetencji bezpieczeństwa;
• dostęp do doświadczenia całej grupy Deutsche Telecom – decydujący o skuteczności naszego SOC ;
• dopasowanie usługi do procesów biznesowych klienta;
• wykorzystanie informacji z sieci własnych CERT’ów T-Mobile.

Dodałbym na koniec fakt szybkiego, sprawnego wdrożenia usługi. Potrzeba, która wynika z poczucia zagrożenia, albo z wymogów regulacyjnych (mamy już klientów, którzy mają prawny wymóg posiadania SOC), może być szybko i skutecznie zrealizowana. Usługa SOC daje rzeczywisty, kompletny i najszerszy parasol bezpieczeństwa.