V době absolutního nedostatku odborníků na IT a ještě lépe na bezpečnost se před pár lety objevila bezpečnostní dohledová centra (SOC, Security Operations Center), která s pomocí aktivních i externích specialistů a odborníků neustále monitorují celou IT infrastrukturu organizace. Monitorují provoz na síti, vznik nových bezpečnostních hrozeb a těm, kdo tuto službu využívají, zabezpečují bezpečný a bezporuchový provoz jejich byznysu. Není to vždy stoprocentní, protože zloději dat jsou vždy o malý krůček vpředu a chvilku to trvá, než se podaří kód ataku odhalit a najít cestu k jeho deaktivování. To té doby jsou nastavena vnitřní pravidla, aby se nebezpečný kód nemohl v rámci organizace šířit a škodit.
Každý podnik nebo firma má tedy dvě cesty, jak se bránit před napadením, buď se spolehne na sebe (pokud má dostatek vzdělaných odborníků) anebo svěří ochranu – jako služby, SaaS – právě dohledovému centru, SOC.
V tomto příspěvku se podíváme na práci dohledového bezpečnostního centra, abychom pochopili, aspoň částečně „jak se to dělá“ a měli představu o tom, jaký druh ochrany zvolit. V tom nám pomůže i rozbor nákladů a výpočet efektivity, pokud služeb SOC využijete.
Za dodané podklady k tomuto článku a pomoc při jeho tvorbě děkujeme Ireně Hýskové, výkonné ředitelce společnosti Thein Security a Michalu Polesnému, finančnímu řediteli skupiny Thein, kteří nám poodkryli pokličku tajemství, co se za SOC skrývá a hlavně, kolik to stojí, s čím, jako finanční ředitelé ve spolupráci s CIO máte počítat.
A ještě douška, obrovskou rychlostí se na nás řítí směrnice EU NIS2, která brzy vstoupí v platnost a vy musíte už poměrně brzy rozhodnout, jakou volbu ochrany společnosti přijmete a kolik vás to může stát – a jaké jsou výhody a nevýhody jednotlivých bezpečnostních řešení.
Každodenní práce v SOC
Kybernetické hrozby jsou stále sofistikovanější a neustále se vyvíjejí. V první linii obrany proti těmto hrozbám stojí bezpečnostní specialisté pracující v bezpečnostních dohledových centrech. Jsou to týmy odborníků na kybernetickou bezpečnost, kteří se zaměřují na detekci a řešení bezpečnostních incidentů. Práce v SOC je náročná a vyžaduje vysokou odbornost a zkušenosti. Jak ale vypadá jejich každodenní práce a s jakými výzvami se setkávají?
Práce SOC pro analytiky začíná s převzetím směny, což je klíčový okamžik, kdy je prioritou zachování odpovědnosti vůči zákazníkovi, který svěřil do rukou „svoji firmu“. Bezpečnostní specialisté, známí také jako SOC analytici, nepřetržitě sledují data z různých zdrojů, jako jsou síťové, systémové a auditní logy a bezpečnostní senzory s cílem identifikovat potenciální bezpečnostní ohrožení – události a incidenty nebo jakékoliv neobvyklé aktivity ve svěřeném zákaznickém prostředí.
V moderních bezpečnostních SOC dohledových centrech se na denní bázi využívají také automatizační detekční nástroje, které řadu incidentů dokážou automaticky analyzovat a označit jen úzkou skupinu incidentů, kterou poté musí SOC specialista prioritně řešit. Moderní detekční a automatizační nástroje (např. SOAR – Security Bezpečnostní orchestrace, automatizace a reakce) umožňují propojit často zcela nesourodé zákaznické systémy a poskytnou celkový obraz o aktuálním stavu bezpečnosti. Tyto sofistikované nástroje jsou velmi užitečné, jelikož pomáhají specialistům se orientovat v nadměrném počtu řešených událostí, ale plná automatizace bezpečnostního dohledu je bez té lidské nemožná.
Pokud je detekován potenciální incident, bezpečnostní specialisté jej vyhodnocují. Pokud se potvrdí, že se jedná o bezpečnostní hrozbu, specialisté podniknou kroky k jejímu neprodlenému vyřešení. K těmto krokům může patřit například blokování IP adresy útočníka, izolace napadených systémů nebo v případě nižší závažnosti informace o incidentu dotčeným stranám.
Nedílnou součástí je komunikace s týmem. Specialisté pravidelně komunikují s ostatními členy týmu a managementem a sdílejí informace o aktuálních hrozbách a incidentech. Aby byli vždy o krok napřed před kybernetickými zločinci, musejí pravidelně aktualizovat a upravují nástroje a systémy, které v SOC využívají, aby schopnost reakce odpovídala aktuální bezpečnostní situaci, ve které se zákazník nachází.
Výzvy, s nimiž se SOC specialisté setkávají
V oblasti kybernetické bezpečnosti jsou odborníci vystavování rychle se měnícímu prostředí a kybernetickým hrozbám, které vyžadují neustálou ostražitost a pravidelné průběžné vzdělávání. SOC se často potýká s obrovským objemem dat, což klade na pracovníky nemalé nároky a vyžaduje pokročilé analytické schopnosti.
Řešení kybernetických útoků bývá provázáno stresem a tlakem, zejména v případě závažných incidentů s velkými dopady na organizaci. Pokud je zákazník v pozici úplné paralýzy systémů, často není schopen ani konstruktivně spolupracovat na řešení. Dlouhodobý nedostatek takto kvalifikovaných odborníků v oblasti kybernetické bezpečnosti ztěžuje situaci, což vede k vyšší zátěži na existující týmy. Dohled a správa velkého počtu různorodých technologií, které organizace využívají, přináší další komplikace při monitorování a zajištění bezpečnosti.
„Systematická práce SOC analytiků je klíčová pro zajištění požadované úrovně kybernetické bezpečnosti organizací. Ačkoli je to role plná výzev, je to také role nesmírně důležitá a odměňující. Bezpečnostní specialisté v SOC jsou první linií obrany proti kybernetickým hrozbám a hrají zásadní roli v ochraně digitálního světa firem. Jejich odbornost, odhodlání a neustálé vzdělávání jsou klíčové pro boj proti kybernetickým zločincům a ochranu našich informačních systémů,“ upřesňuje Irena Hýsková, výkonná ředitelka Thein Security, která vlastní bezpečnostní středisko SOC již několik let úspěšně provozuje.
Nic není zadarmo
Investice do Security Operations Center (SOC) může představovat značné počáteční náklady pro mnoho organizací. V dnešní digitální éře však mohou náklady na kybernetické incidenty rychle narůst. Jak tedy vyčíslit návratnost investice (ROI) do SOC a jaká je skutečná ekonomická hodnota takového centra?
Náklady spojené s provozem SOC
Náklady spojené s provozem Security Operations Center (SOC) zahrnují technologické výdaje, jako je pořízení, licencování a údržbu bezpečnostních nástrojů a platforem. Další částí nákladů jsou lidské zdroje, které zahrnují platy a další výhody pro personál SOC, jakož i náklady spojené s jejich vzděláváním a školením. Infrastrukturní náklady tvoří další část nákladů na fyzické prostory, energii, chlazení a další provozní náklady nezbytné pro provoz SOC. Vyžaduje totiž záložní redundantní prostory, kam se tým přesune v případě výpadku elektřiny či jiných potenciálních problémů. Důležité je počítat s investicemi spojenými s aktualizacemi a inovacemi technologií a nezbytných postupů pro udržení efektivity a konkurenceschopnosti SOC.
Úspory a výnosy z investice do SOC
Prevence finančních ztrát je klíčovým cílem kybernetické bezpečnosti, zahrnující ochranu před finančními ztrátami způsobenými kybernetickými útoky, pokutami za nesplnění regulací a ztrátou obchodních příležitostí. Důležitou součástí je také ochrana pověsti značky a udržení důvěry zákazníků, což je klíčové pro dlouhodobý úspěch organizace. Rychlá detekce a reakce na kybernetické hrozby mohou výrazně snížit dobu výpadku systémů a služeb, což přispívá k minimalizaci finančních ztrát a zachování produktivity. Prevence nebo minimalizace škod způsobených kybernetickými incidenty může dále vést ke snížení nákladů na obnovu a obnovení provozu. Důležitým aspektem je také udržení souladu s průmyslovými a vládními regulacemi, což může předejít pokutám a sankcím a zajišťuje bezpečnost a integritu dat a systémů organizace.
Výpočet ROI pro SOC
Návratnost investice (ROI) do SOC je poměr výnosů k nákladům. ROI lze vypočítat pomocí následujícího vzorce:
ROI = (Celkový zisk z investice – Počáteční náklady na investici) / Počáteční náklady na investici
Při hodnocení ROI je důležité zahrnout nejen přímé finanční úspory, ale také měkké výhody, jako je ochrana značky, zákaznická loajalita a konkurenční výhoda.
Závěrem
Ekonomika SOC je složitá a zahrnuje mnoho proměnných. Zatímco počáteční náklady mohou být vysoké, potenciální úspory a výhody z dlouhodobé ochrany před kybernetickými hrozbami jsou obrovské. Pro mnoho organizací je investice do SOC nejen základním krokem k zajištění kybernetické bezpečnosti, ale také klíčovou investicí do jejich budoucnosti a dlouhodobého úspěchu.