Pokud v současné době nemáte své vlastní provozní centrum zabezpečení, máte dvě možnosti, jak ho získat: vytvořte si vlastní nebo využijte nějaký soubor spravovaných služeb. V minulých letech byly tyto dvě cesty odlišné a bylo relativně snadné se rozhodnout podle nákladů na personál a dovedností.
Nyní ale obor SOCaaS dozrál do bodu, kdy se dodavatelé spravovaných služeb stávají nedílnou součástí praxe. Jak se bezpečnostní nástroje založené na cloudu zlepšily, přesunuly se do tohoto prostředí také datová centra a aplikace.
Některé ze zde popisovaných služeb samy sebe označují jako SOCaaS, zatímco jiné používají jiná označení spravovaných služeb.
Jedním z měřítek této zralosti je, že trh zaznamenal v posledních několika letech mnoho fúzí a akvizic, počínaje nákupem společnosti AlienVault firmou AT&T před několika lety. Dále to byla společnost CrowdStrike kupující Humio, potom eSentire, která převzala CyFIR, Sophos koupil Braintrace, Rapid7 pak IntSights, HelpSystems zase Alert Logic a konečně Google, jenž oznámil akvizici společnosti Mandiant (poté, co se tato firma oddělila od mateřského FireEye).
Tyto fúze ilustrují, že na trhu bezpečnostních služeb došlo k rozmazání hranic. Rozdělení na spravované služby zabezpečení (MSS, Managed Security Services), spravované detekce a reakce (MDR, Managed Detection and Response) a SOCaaS nemusejí být dostatečně zřetelné.
Další důkaz o tomto vývoji souvisí s ještě jinou zkratkou – SASE (Secure Access Service Edge). Tento termín obvykle odkazuje na konsolidované bezpečnostní nástroje, jak se rozmohla hybridní cloudová prostředí.
Je potřeba se nenechat zahltit množstvím rozdílů mezi nástroji. Klíčová je schopnost používat všechna tato řešení v nějakém integrovaném celku a nenechat se pohřbít lavinou různých upozornění. SOCaaS může pomoci zaplnit mezery mezi různými nástroji a představit integrovaný pohled na vaši bezpečnostní scenérii.
A aby byly věci ještě komplikovanější, má každý dodavatel jiný příběh o původu založený na firmě, která se věnovala konkrétní specializaci zabezpečení. Tento svůj původ vnášejí do svých nástrojů, marketingu a způsobu balení podrobností.
Někteří dodavatelé začínají jako dodavatelé správy bezpečnostních událostí (Alert Logic), jiní jako dodavatelé spravované detekce (Network Technology Partners, nyní po sloučení s Business System Solutions) nebo dodavatelé spravovaného zabezpečení koncových bodů (Symantec, nyní jako součást Broadcom, a Trustwave).
Někteří si vyvinuli své konzole typu SOC pro správu vlastních produktů a následně z nich udělali obecnější nástroje, které se mohou připojit k širší řadě nástrojů (Critical Start například využívá mobilní aplikaci, zatímco společnosti Arctic Wolf a DigitalHands si vyvinuly své vlastní nástroje.)
Někteří přišli z divizí služeb nějakého většího výrobce počítačů (IBM, Dell a HP). Jiní začínají provozovat svá vlastní spravovaná centra provozu sítí (NOC, Network Operations Center) a poté dojde k rozvětvení směrem k zabezpečení (AccountabilIT).
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
Moderní model SOC
Gartner se v tom pokusil udělat pořádek ve své zprávě z roku 2021. „Moderní SOC je cokoli, co klient potřebuje. Musí být flexibilní včetně různých ochranných nástrojů pro zkoumání podvodů, síťových a fyzických vniknutí, monitorování bezpečnostních událostí, analýzy protokolů, skenování zranitelností a reakcí na incidenty.“
„Změnilo se to, že mnoho IT manažerů přešlo z roviny zvažující outsourcing svého zabezpečení k pochopení, že nemohou udržet krok s nejnovějšími hrozbami a technologiemi,“ popisuje Charlotte Baker, výkonná ředitelka společnosti DigitalHands, poskytovatele spravovaných bezpečnostních služeb.
Gartner doporučuje, aby si každý podnik upřímně zodpověděl otázku: kolik bezpečnostních funkcí dokáže zvládnout interně a dělat je efektivně? Vyžaduje to ale zjistit mezery a zda by je dokázal potenciální dodavatel spravovaných služeb vyplnit.
„Nemůžete udržet krok s poptávkou po zkušených profesionálech z oboru zabezpečení informací,“ konstatuje Andrew Dutton, který provozuje bezpečnostní poradenskou firmu. „Prostě jim nemůžete dostatečně zaplatit, zejména pokud jste menší společnost.“
Cílem by mělo být to, co uvádí white paper Splunku – tj. aby organizace umožnila svému personálu SOC předcházet hrozbám, což znamená, že musí růst a vyvíjet se podle toho, jak se mění scenérie hrozeb.
Splunk má podle svých slov desetistupňový koncept, který zahrnuje načítání dat, detekci bezpečnostních událostí, automatizaci a organizaci reakce a vytváření dalších doporučení.
Pokud se to zdá být vzhledem k vašim současným personálním modelům příliš, měli byste zvolit nějakou podobu spravovaného SOC.
Gartner doporučuje ve svém tržním průvodci pro služby MDR (2021 Market Guide for Managed Detection and Response), že by měly firmy začít vyhodnocovat svá rizika a cíle spíše než se zaměřovat na sběr dat v širokém měřítku.
Analytici předpovídají, že do roku 2025 bude polovina organizací využívat služby MDR pro monitorování a detekci hrozeb a pro funkce reakce, které nabízejí schopnosti omezení šíření a zmírnění hrozeb.
Popisují několik rozdílů mezi dodavateli MDR a dalšími spravovanými bezpečnostními službami včetně toho, jaký kontext služby používají k monitorování protokolů událostí, jak na dálku spravují zařízení, zda poskytují portál pro svou službu a jakým způsobem řeší reakci na incidenty.
Deset otázek pro poskytovatele SOCaaS
Při sestavování poptávek či dotazníků je dobré zahrnout několik důležitých otázek.
- Jaké je poslání vašeho SOC a je odpovědné vašim celkovým firemním cílům pro redukci rizika? Odpovídá vaše SOC současné scenérii hrozeb? „Došlo k posunu od funkcí SOC či spravované služby k pochopení toho, jaké problémy musejí podniky řešit,“ popisuje Tom Gorup, viceprezident provozu zabezpečení společnosti Alert Logic.
- Jak jakékoli spravované SOC rozšíří vaši současnou bezpečnostní infrastrukturu? Pokud již máte fyzické SOC (ve své provozovně), budete ho muset zaplnit personálem, když se vaše organizace přesune zpět do kanceláří poté, co zcela převedete SOC do virtuální podoby? Potřebujete další technologie k monitorování hrozeb, které pocházejí z vašeho souboru cloudových aplikací? Jak budou interagovat s vašimi dosavadními nástroji při identifikaci a ošetření těchto hrozeb? Jak definujete a monitorujete normální chování sítě a jak sledujete měnící se pracovní prostředí?
- Jak se to liší od přístupu čistě monitorovaných služeb? Tato odpověď by vám měla pomoci pochopit odlišnosti jednotlivých dodavatelů. Například společnost Alert Logic začala s řešením SIEM a následně přidala další ochranné technologie na základě svých vlastních globálních telemetrických dat a programů monitorování hrozeb.
- Kolik starších řešení SIEM a systémů technické podpory podporujete? Někteří dodavatelé chtějí, abyste přešli na jejich vlastní řešení. Jiní (jako DigitalHands) nabízejí širší podporu pro vaše starší systémy pro obě technologie, zatímco někteří (jako Network Technology Partners) mají svou vlastní sadu rozhraní API, kterou je potřebné použít.
- Jaké agenty a servery musejí zákazníci nainstalovat ve svých prostorách? Většina dodavatelů vyžaduje pro monitoring vaší infrastruktury dvě položky: agenty a speciální server, který shromažďuje provoz a slouží k běhu proprietárních aplikací dodavatele. Některé vyžadují více agentů pro konkrétní úlohy, jako je jeden pro čisté monitorování a další pro nápravy.
- Jak často dodavatel posuzuje, resp. skenuje vaši infrastrukturu? Monitorování je různé – od kontinuálního až po čtvrtletní skenování – a může se lišit pro váš cloud a pro vybavení ve vaší infrastruktuře. Pokud je to možné, zvolte častější monitorování – a související oznamování. Ověřte si, zda bude mít SOC celkovou viditelnost dat napříč vaším podnikem včetně stěžejních firemních dat a důležitých dat zákazníků.
- Jak zajistíte audity dodržování předpisů? Někteří dodavatelé zahrnují audity jakožto součást své ceny, někteří je účtují navíc a jiní vás odkážou na třetí stranu, abyste mohli získat zcela nezávislý pohled na to, co dělají. Další, jako např. Bolton Labs, nenabízejí vůbec žádné služby pro oblast dodržování předpisů. Pro každý přístup existují dobré důvody. Jde jen o to, abyste věděli, za co platíte.
- Jaká je typická cílová velikost jejich zákazníků? Někteří dodavatelé jsou více zaměřeni na trh středně velkých, či dokonce malých firem. Jiní dokážou růst a přizpůsobit měřítko velmi velkým sítím pokrývajícím více kontinentů. Zjistěte si, jaké je pro ně optimum a kdy by už na vás nemuseli stačit.
- Kdo je v personálu jejich SOC? Budete chtít vědět, jaký druh školení, certifikací a dalších úrovní dovedností mají lidé, kteří dohlížejí na vaši síť a koncové body. Na lidech často záleží více než na skutečném vybavení. Koneckonců to je přece důvod, proč si najímáte dodavatele – abyste nemuseli mít vlastní personál.
- Jaká je cena? Součástí problému je, že možná nevíte, kolik serverů, koncových bodů nebo aplikací budete chránit, monitorovat nebo jinak podrobovat působnosti svého dodavatele.
Autor: David Strom