Tématem tohoto setkání, které se konalo online, byly SIEM, SOC a SOAR systémy. S touto problematikou seznámili účastníky Maroš Barabas, expert na SOC ze společnosti AEC a Marián Daníšek, člen Rady CSO Clubu a IT manažer v ProCare a Svete Zdravia. Setkání uzavřela panelová diskuse, jíž se zúčastnili i další členové Rady CSO Clubu.
Součástí každé správně uchopené podnikové informační architektury by měla být i kybernetická bezpečnost. A to nejen z pohledu využití technologií, ale také zapojení lidí a přizpůsobení procesů napříč celou organizací. Jenže u bezpečnosti v IT je potíž v tom, že může souviset s mnoha různými incidenty prakticky na všech úrovních, od virové nákazy přes náhodné průniky a odmítnutí služby až po cílené a precizně ukrývané procházení celého prostředí. Doby, kdy bylo možné bezpečnost řešit tak nějak od stolu, jsou tedy dávno pryč.
Řešte problémy v reálném čase
Základním předpokladem úspěšné ucelené ochrany je mít k dispozici přehled v reálném čase o všech aktivitách. Na úrovní síťové infrastruktury i aplikačního portfolia – jinými slovy, zdrojem informací pro potřebný vhled je široká škála prvků. Tato data je vhodné soustředit do jednoho místa, nad kterým lze v reálném čase provádět podrobná šetření včetně korelací a behaviorálních analýz. S touto koncepcí pracují tzv. SIEM (Security Information and Event Management) nástroje, které díky zpracování dat pocházejících z celé architektury (či její významné části) a hledání souvislostí umožňují odhalit i podezřelé chování, které by při osamocené analýze jednotlivých zdrojů zůstalo ukryté.
Součástí SIEM řešení je předávání varování a zpráv dál, například do tzv. SOC (Security Operations Center). SOC nejčastěji představuje vzdálené dohledové centrum, které přebírá informace z klientské infrastruktury a umožňuje – opět v reálném čase – v dostatečné šíři analyzovat vstupní data a vedle odhalení incidentu zajistit i včasné řešení případného bezpečnostního incidentu. Významnou výhodou je to, že SOC využívají nejmodernější technologie i specialisty, kteří přesně ví nejen k čemu může dojít, ale také jak situaci řešit. Firma díky SOC získává komplexní zajištění i vysokou míru ochrany, obojí při snížení interních nákladů. Vhodné je služby SOC integrovat s tzv. NOC (Network Operations Center), které mají na starosti síťovou problematiku.
Pomyslným vrcholem možných technologií a řešení jsou pak tzv. SOAR, tedy Security Orchestration, Automation and Response – tedy platformy, které vedle propojení široké škály informací automatizují provádění různorodých analýz i potřebných reaktivních kroků. „Na první pohled by se mohlo zdát, že jde vlastně o SIEM, nicméně není tomu tak – SOAR přináší pokročilé možnosti reakcí. Ve skutečnosti bývá SIEM jedním ze vstupů pro SOAR platformu, která díky automatizaci analýz i reakcí posouvá kybernetickou bezpečnost na zcela novou úroveň,“ dodává Marián Daníšek, člen Rady CSO Clubu a IT manažer v ProCare a Svete Zdravia.
Staňte se členem CSO Clubu i vy! Zaregistrujte se na csoclub.cz.
PŘEDPLATNÉ
ČLÁNKY DO MAILU