Bezpečnostné operačné centrum (SOC) je formalizovaná funkcia v spoločnosti, ktorú zastrešujú odborníci (interní alebo externí) a ktorá sa zameriava na prevenciu, detekciu, analýzu a reakciu na kybernetické incidenty. Vybudovanie formálneho SOC je typickým krokom pri zvyšovaní vyspelosti a efektívnosti kybernetickej obrany organizácie. SOC poskytuje služby od prevencie hrozieb až po detekciu a reakciu na incidenty. Prevádzka SOC však nie je len o kúpe technológie a zamestnaní bezpečnostných analytikov – vytvorenie infraštruktúry na efektívnu prevádzku SOC je výzvou, s ktorou zápasia bezpečnostné tímy aj poskytovatelia spravovaných bezpečnostných služieb.
Prevádzka SOC je navyše čoraz náročnejšia. Bezpečnostné tímy dnes musia dozerať a reagovať na prostredia, ktoré sa nepodobajú tradičným IT sieťam. Mnohé podniky v kritických odvetviach, ako sú potravinárstvo a farmácia, musia rozšíriť pokrytie SOC aj na oblasť prevádzkovej technológie (OT). To si vyžaduje integráciu nových technológií, spoluprácu s novými tímami a prehodnotenie poskytovania SOC služieb v prostredí OT.
Čo je OT SOC?
Ak by sme mali zhrnúť hlavné poslanie väčšiny SOC, je ním efektívna detekcia a reakcia na kybernetické hrozby a zraniteľnosti v prostredí organizácie. SOC môže poskytovať rôzne služby, ako napríklad monitorovanie udalostí alebo správu zraniteľností v podnikových systémoch. Na rozdiel od podnikových prostredí sú OT prostredia typicky:
Distribuované: Používateľ má viacero prevádzok a rozptýlené siete.
Zastaralé: Staršie systémy často nezvládajú moderné bezpečnostné technológie.
Izolované: Obmedzená komunikácia medzi vlastníkom aktív a IT/bezpečnostnými tímami.
Cieľom OT SOC je zvládnuť tieto výzvy poskytovaním detekcie a reakcie na incidenty v OT prostrediach prostredníctvom integrácie telemetrie a procesov špecifických pre tieto prostredia. Firmy majú pri monitorovaní OT prostredí tri základné možnosti:
Integrovaný IT/OT SOC
Stratégia: SOC je zodpovedné za pokrytie IT aj OT aktív.
Výhody: Najnákladovo efektívnejší prístup, zjednodušená reakcia na incidenty, nižšie náklady na správu životného cyklu technológií.
Nevýhody: Vyššie nároky na zvyšovanie kvalifikácie zamestnancov a potenciálny nedostatok špecializácie na OT monitoring.
Samostatný interný OT SOC
Stratégia: Firma vytvorí vlastné SOC výhradne na detekciu a reakciu v oblasti OT. Tento prístup sa volí najmä z dôvodu regulačných požiadaviek alebo technických limitácií pri integrácii OT do IT SOC.
Výhody: Viac prispôsobená reakcia na OT incidenty, jednoduchšia správa viacerých prevádzok a rozšírenie prípadov použitia aj mimo oblasti bezpečnosti.
Nevýhody: Najnákladnejší model vzhľadom na technológie, infraštruktúru a ľudské zdroje. Prevádzka a udržateľnosť môžu byť dlhodobo náročné.
Externý MSSP pre OT SOC
Stratégia: Externý poskytovateľ služieb zabezpečuje monitorovanie a reakciu v oblasti OT. Tento model je čoraz populárnejší vďaka rozvoju OT schopností MSSP a automatizačných firiem.
Výhody: Nižšie náklady v porovnaní s vybudovaním interného OT SOC, pričom sa zachováva špecializácia na OT monitoring.
Nevýhody: Závislosť od externého partnera, vyššie riziko problémov v komunikácii medzi externým OT a interným IT SOC.
Každá spoločnosť je jedinečná a má preto rôzne požiadavky. Pri budovaní OT SOC je dôležité pristupovať k monitorovaniu OT prostredí prakticky a neponáhľať sa unáhlene k riešeniu.
Pochopenie aktuálnych schopností a zdrojov SOC
Aby ste vedeli, kam smerujete, musíte najprv pochopiť, kde sa nachádzate. Preskúmajte svoje prostredie, aby ste lepšie pochopili vašu súčasnú technologickú infraštruktúru. Koľko zdrojov máte vo svojom SOC? Má niekto z tímu skúsenosti s monitorovaním OT prostredí? Väčšina organizácií má len minimálnu kapacitu na monitorovanie ďalších OT dátových zdrojov a obmedzené pochopenie OT prostredí. Bez dôkladnej znalosti svojich súčasných schopností sa môže ľahko stať, že plány na budúci stav budú príliš ambiciózne.
Definovanie vízie a cieľov OT SOC
Bez jasných cieľov sa väčšina iniciatív nikdy skutočne nerozbehne.
Ciele môžu definovať požadované pokrytie, poskytované funkcie, požiadavky na reportovanie a viac.
Sú nevyhnutné na to, aby vaša organizácia zostala sústredená na to, čo je pre ňu najdôležitejšie, a zároveň zabezpečovala efektívnu rovnováhu medzi nákladmi a zmierňovaním rizika.
Publikácia NISTIR 8428 "Digital Forensics and Incident Response Framework for OT" poskytuje skvelý rámec na pochopenie základných fáz monitorovania OT a môže vám pomôcť pri definovaní vízie vášho OT SOC. Jasne definované ciele vám umožnia rozhodnúť sa, či je pre vašu organizáciu vhodnejší integrovaný IT/OT SOC, samostatný OT SOC, alebo využitie služieb poskytovateľa spravovaných bezpečnostných služieb (MSSP) pre OT SOC.
Stanovenie IT/OT plánov pre detekciu a reakciu na kritické OT prípady
Zameranie je dôležité pre efektívne dosahovanie akéhokoľvek cieľa. To platí aj pre váš OT SOC.
OT monitorovacie technológie môžu poskytovať obrovské množstvo informácií, ktoré môžu byť pre organizáciu ťažko spracovateľné.
Definovanie kritických prípadov použitia – ako napríklad detekcia neautorizovaných zariadení v sieti alebo malvéru v OT sieti – je kľúčové.
Je taktiež dôležité vypracovať pracovné postupy na riešenie týchto prípadov, aby ste dokázali odfiltrovať šum a zvýšiť hodnotu vašich investícií.
Zaistite, aby boli do vašej stratégie zahrnuté OT zdroje, keďže kľúčovým aspektom IT/OT konvergencie je spolupráca medzi IT a OT tímami.
Bežné výzvy, s ktorými sa organizácie stretávajú pri vývoji týchto workflowov:
Nedostatočné znalosti bezpečnostných analytikov pri reakcii na OT alerty,
Napätie alebo chýbajúca komunikácia medzi IT a OT tímami,
Nedostatočné plánovanie/testovanie reakčných plánov.
Príklad: Väčšina organizácií nemá jasne stanovené plány na správu incidentov v OT prostredí v prípade kompromitácie IT prostredia.
Tieto výzvy je možné prekonať organizovaním workshopov a tvorbou playbookov za účasti odborníkov z rôznych oblastí IT a OT.
Vypracovanie technologického a personálneho plánu pre zapojenie OT
Po definovaní procesov je ďalším krokom stanoviť požiadavky na zdroje a technológie.
V oblasti zdrojov mnohé organizácie:
rozvíjajú schopnosti svojich bezpečnostných analytikov, prijímajú alebo presúvajú OT pracovníkov do SOC tímu,alebo outsourcujú túto odbornosť na účely incident response (IR).
Pre väčšinu organizácií úspešný model zahŕňa:
základné školenie všetkých SOC analytikov o OT prostredí, a jedného dedikovaného odborníka na detailnú znalosť OT aktív.
Cieľ v oblasti zdrojov je minimalizovať počet falošných poplachov, aby eskalované prípady mali vyššiu relevantnosť pre OT prostredie.
Pre viac informácií o potrebných kompetenciách v rôznych OT rolách je užitočný rámec kompetencií od CSA Singapore.
V oblasti technológií:
Kľúčové riešenia zahŕňajú platformy na ochranu kyber-fyzických systémov, endpoint ochranu a firewally.
Tieto riešenia môžu byť doplnené ďalšími OT bezpečnostnými technológiami a OT logovaním.
Technológia môže ovplyvniť požiadavky na zdroje alebo naopak – zdroje môžu ovplyvniť požiadavky na technológie.
Bežné výzvy:
Nedostatočné ladenie alertov → únava z veľkého množstva notifikácií,
Nedostatočný rozpočet na rovnomerné pokrytie všetkých lokalít.
Ak zohľadníte kritickosť jednotlivých zariadení, môžete prispôsobiť požiadavky pre rôzne typy lokalít.
Otestujte svoj plán na jednej lokalite, dolaďte stratégiu a vytvorte metodiku škálovania
Dokonalosť je nepriateľom pokroku. Ako sa vaša OT SOC stratégia v oblasti ľudí, procesov a technológií vyvíja, bude prirodzená snaha všetko "dokonale" pripraviť pred nasadením.
Je však lepšie zvoliť iteratívny prístup, pretože:
Každá lokalita je v OT prostredí špecifická,
Neustále sa budete učiť a prispôsobovať.
Odporúča sa začať na jednej lokalite s partnerom, s ktorým bude možné efektívne zaviesť dizajn monitorovania.
Pilotná implementácia vám umožní odhaliť a napraviť chyby pred väčším škálovaním na ďalšie lokality alebo obchodné jednotky.
Nasadenie a spustenie SOC služieb naprieč flotilou lokalít
Implementácia silnejších bezpečnostných praktík v OT prostrediach naprieč lokalitami predstavuje dlhodobú cestu.
Táto cesta si vyžiada:
efektívne plánovanie kapitálových výdavkov a zdrojov, zosúladenie s organizačnými prioritami, a najmä podporu nielen zo strany IT/SOC tímov, ale aj tímov operatívy.
Najlepšou cestou je vytvoriť plán zavádzania s jasnou komunikáciou:
čo sa bude realizovať,
kedy sa to uskutoční,
a prečo je to pre organizáciu dôležité.
Ako začať
Tak ako pri každej ceste, prvý krok je najdôležitejší. Pochopenie a zmierňovanie kybernetických rizík v OT prostrediach je čoraz naliehavejšou témou. Budovanie efektívneho monitorovania je len jednou súčasťou komplexnej stratégie.
Prvé odporúčania:
Vnímajte túto iniciatívu ako kontinuálnu cestu, nie ako jednorazový projekt,
Nájdite si zástancu OT ako hlavného partnera pre strategické diskusie,
Nadmerná spolupráca je kľúčová – ak niekoho nezapojíte, môže sa stať prekážkou. Minimálne by mali byť zastúpené tímy inžinieringu, prevádzky a SOC,
Spolupracujte s dôveryhodnými partnermi, ktorí majú skúsenosti s OT.
Cesta môže byť dlhá, ale ako sa hovorí:
Slona zjete len po jednom súste.