Az IT biztonság területének talán az egyik legösszetettebb - és jelenleg az egyik legfelkapottabb - fogalma az automatizáció. Esetünkben ez egy elég tág fogalom, amelynek rengeteg aspektusa van: ide tartozik például a machine learning, vagyis hogy miként lehet olyan rendszereket építeni, amelyek különösebb emberi beavatkozás nélkül képesek tanulni, s ide tartozik a robotika is. Sok nagyvállalat - többek között pénzintézetek - foglalkozik e témakörrel abból a szempontból, hogy gépekkel tudják kiváltani a humán erőforrás egy részét. Éppen ezért nem csak IT, hanem döntéshozói szempontból is rendkívül fontos, hogy megismerjük ezen automatizáció lehetőségeit, előnyeit.
Miért van szükség az IT biztonság automatizációjára?
Az IT biztonság automatizációja tulajdonképpen egy üzleti projekt, amelynek fő mozgatórugói megegyeznek az IT szektoron belül megszokottakkal. Az egyik ilyen indítóok például az lehet, ha nincs megfelelő számú szakértő a piacon. Ez esetben valamiképp helyettesíteni kell őket. Anélkül kell csonka létszámmal dolgozni, hogy veszítenénk a hatékonyságunkból. Szintén hajtóerő lehet, hogy egyre bonyolultabb rendszerekkel dolgozunk, egyre összetettebb architektúrákat működtetünk. Ennek köszönhetően a hibalehetőségek száma is jelentősen megnőtt, márpedig ezeket a versenyképességünk megtartása érdekében - amennyire csak lehet - meg kell próbálnunk kiküszöbölni. Emellett nyilván gyorsítani is kell e folyamatokat, hiszen a versenyképesség egyik kulcsfontosságú eleme, hogy kellő gyorsasággal reagáljunk, amikor egy folyamatot végigviszünk annak lezárásáig. Ráadásul a mostani támadások jóval kifinomultabbak, mint régen, így az észlelésük és elhárításuk egyaránt bonyolult technikai rendszereket és összetett folyamatokat igényel. A hatékony fellépéshez több csoport együttműködésére van szükség. Mindezek alapján közel sem mindenki számára egyértelmű, hogy ezekre az üzletet veszélyeztető fenyegetésekre mi a jó válasz, s miként lehet gyors megoldást találni.
E kihívásoknak köszönhetően az üzleti élet számos területén tolódik el hangsúly az intelligens automatizálás irányába. Amerikában és Nyugat-Európában már nagyjából két éve dolgoznak ezen, olyan esetek elemzésével, amelyekkel modellezhető, hogyan építhető fel egy vállalati szintű program, milyen buktatók adódhatnak, s miként lehet gyors sikereket elérni. Ezen átalakítás hullámai érték el most a biztonsági világot is, a Security Operation Automation and Response technológia területén. S mivel ennyire erős az összefonódás a két terület között, ez a problémakör egyszerre érinti az IT biztonságot és a vele amúgy is kéz a kézben járó IT üzemeltetést.
Buktatók
Összetettsége okán a cégek számára meglehetősen nehéz kérdés, hogy hol is kezdjenek hozzá a biztonsági automatizáláshoz. Kézenfekvő persze, hogy arra a területre koncentráljanak, ahol a legtöbb megtérülés érhető el, a lehető legegyszerűbb módon, s az üzleti szempontú igényeket a lehető legolcsóbban lehet kielégíteni.
Biztonság szempontjából sok cégnél volt fókuszban eddig is a megelőzés, s ha sikerült egy működőképes modellt összehozni, nem feltétlenül ezen a részen érdemes most automatizálásban gondolkodni. Vállalati szinten maguk a gyártók gondoskodnak arról, hogy minél korszerűbb eszközökkel rukkoljanak elő, amelyek viszonylag kevés emberi beavatkozás nélkül is alkalmasabb a bonyolult feladatok megoldására. Van azonban e területnek egy olyan része is, ahol a technológia nem képzelhető el humán interakció nélkül: a biztonság felügyeleti rendszerek.
Addig már eljutottunk, hogy a gépek riasztanak bármilyen észlelt probléma esetén, ám e ponttól kezdve hatékony humán erőforrásra lenne szükség a felmerülő kihívások megoldására. S itt szokott elvérezni a cégek nagy része. Korábbi kutatásaink és a friss céges egyeztetések alapján egyértelműen látszik, hogy a cégek igen eltérő érettségi szinten vannak ezt illetően. A nemzetközi trendekhez hasonlóan itthon is jellemző, hogy még a megfelelő számban és minőségben rendelkezésre álló, szükséges technológia birtokában, saját szakértőkkel a hátuk mögött is kihívást jelent számukra az összehangolt együttműködés. A folyamatok nincsenek megfelelően rögzítve, a csoportok közötti információátadásnak nincsenek megteremtve a feltételei, és a nagy mennyiségű információ elemzése sincs kiegészítve kellő technológiával és üzleti kontextussal. Márpedig meglehetősen nehéz úgy megfelelő döntést hozni, hogy a temérdek információ - például rengeteg riasztás - özönéből nem tudjuk kimazsolázni, melyek a valóban üzletileg kritikus fenyegetések.
Mi a megoldás?
Sajnos faék egyszerűségű megoldás ez esetben nem létezik. A megfejtés az automatizálás lehet. A biztonsági felügyeleti rendszert üzemeltető csapat egyik feladata a vállalatot fenyegető kockázatok észlelése, s annak gyors eldöntése, hogy az adott fenyegetés valóban kritikus-e vagy sem. Emellett kötelességük, hogy szükség esetén a lehető leggyorsabban és leghatékonyabban reagáljanak, akár önállóan, akár más csapatokkal együttműködve.
Sajnos azonban - és ezt a nemzetközi trendek is megerősítik - a folyamatok jelenleg nem ilyen gördülékenyek: hol a részlegek, hol a szoftverek nem működnek együtt
Ahhoz, hogy mindez működőképessé váljon, a munka két aspektusának kell megfelelni, amihez a detektálási és a válaszadási oldalt is rendbe kell tenni.
Ha e kettőt külön kezeljük, akkor a feladat nem megoldható egyszerűen egy új technológia bevezetésével. Ezért létfontosságú felmérni, hogy a folyamat szabályozási szintjén adott pillanatban hogyan áll a vállalat: ha a két végletet nézzük, akkor ad hoc működnek, vagy nagyon szabályozottan, a kockázatokat minden pillanatban mérlegelő módon. Ha ez a felmérés megtörténik, már könnyebb kijelölni a megfelelő utat.
Nyilván szükség van egy olyan platformra is, amely ezt a típusú tevékenységet támogatja. Ez lehet a Soar technológia (Security operation, Automation and Response), amelynek bevezetésében szakértők tudnak segíteni a cégnek. Ők tudják meghatározni, hogy a folyamatokat milyen módon lehet automatizálni és az adott platformra megvalósítani. Automatizálni szinte mindent lehet, a kérdés leginkább csak az, hogy mivel kezdjük el. Osztályozni kell a tennivalókat fontosság szerint, ami nem mindig egyszerű feladat, mert előfordulhat, hogy olyan folyamatba futunk bele, amit első ránézésre nem tudunk automatizálni biztonsági szempontból. Viszont ha egy ilyen folyamat üzleti szempontból létfontosságú, akkor érdemes jobban belenyúlni és esetleg úgy átalakítani, hogy később mégis automatizálhatóvá váljon.
A folyamat lépései
Ha egy cég megkeres bennünket azzal, hogy biztonsági rendszerét szeretné hatékonyabbá tenni, esetleg konkrétan az automatizáláson gondolkodik, akkor a módszertanok viszonylag egyszerűek. Először is elvégezhetünk egy felmérést, melynek során a nemzetközi iránymutatások, sztenderdek alapján elemezzük a cég jelenlegi működését, illetve azt, hogy életciklusilag hol tart a biztonsági rendszerek tekintetében. Ezek alapján kiszűrhető, hogy melyek azok a technológia illetve folyamat szintű problémák - akár humán erőforrás szintű problémák - amelyeket kezelni kell. Ebből készítünk egy road mapet az ügyfél számára - ez egy több negyedéven, akár éveken keresztül is áthúzódó fejlesztési terv -, amely mindhárom fontos layert egyszerre kezeli, így a segítségünkkel az ügyfél képes lesz a jelenlegi technológiákat jobban kihasználni. Ugyanis nem kizárólag új technológiák bevezetésével lehet csak fejlődni, hanem a jelenlegiek optimalizálásával is. A meglévő folyamatok átalakítása is jó eredményt hozhat.
Egy adott ponton elképzelhető, hogy bevezetünk egy SOAR platformot ha szükséges, de akár azt is lehetséges, hogy ezt szolgáltatásként megkapják.
A variációs lehetőségek száma hatalmas, így az is javasolt, hogy készüljön egy “automatizálási blueprint”, módszertani leírás, amellyel a döntéshozók számára is egyértelműen szemléltethetők a változtatások és azok hatásai.
Hozzátenném, hogy több céggel dolgozunk együtt jelenleg is, és vannak olyan futó projektjeink, ahol kifejezetten biztonság felügyeleti csapatokat, vagy ahol SOC csapatokat, illetve azok működését próbáljuk most hatékonyabbá tenni. Mindezt egy automatizálási projekt keretein belül is.
Bár mindez nem egyszerű, a szakértők bevonásával jelentősen csökkenthető a bevezetési idő, így véleményünk szerint mindenképpen érdemes ebbe az irányba elindulni.
Töltsd le a Virtual Cyber Security Summit egyik előadását
Még több szakmai részlet hangzott el a nemrégiben megrendezésre került Virtual Cyber Security Summit eseményünkön, ahol SOC-ot támogató legújabb megoldásokról, egyes szervezetek kihívásairól és iparági specialitásokról is szó esett.
