Bezpečnostné operačné centrum (SOC) je centrom riadenia siete – monitoruje sieťovú prevádzku, zariadenia, anomálie a výstrahy, aby analytici mohli vyšetrovať a zmierňovať incidenty a odstraňovať problémy. Či už ide o interný tím alebo služby poskytované prostredníctvom externého poskytovateľa bezpečnostných služieb (MSSP), tím tvoria bezpečnostní analytici a inžinieri, ktorí chránia kľúčové aktíva a prevádzku a zároveň zabezpečujú súlad s priemyselnými a vládnymi predpismi.
Tradičné SOC sa zameriavali iba na IT siete. Keďže riaditelia pre informačnú bezpečnosť (CISO) čoraz viac preberajú zodpovednosť za riadenie podnikových rizík, integrácia bezpečnosti ICS (systémov priemyselného riadenia) do existujúcich SOC sa stáva bežnejšou praxou. Podľa prieskumu SANS 2024 ICS/OT má 62,7 % oslovených organizácií SOC a 29,6 % má zlúčené IT/OT SOC. Len 8,8 % má interné SOC výhradne pre OT.
Žiaľ, namiesto zlúčeného SOC sa častejšie stretávame s tradičným IT SOC tímom, ktorý poskytuje službu novému „zákazníkovi“ – prevádzkovej jednotke (OT). Často sa to odohráva ako učebnicový príklad poskytovateľa, ktorý nerozumie svojmu zákazníkovi. Dochádzať by malo k masívnemu prenosu vedomostí, ktorý sa však často nedeje.
Tu je niekoľko stratégií, ako zabezpečiť, aby vaše zlúčené SOC bolo efektívne a výkonné: V skratke – zapojte OT tímy včas, porozumejte ich kľúčovým systémom a rešpektujte ich prevádzkové obmedzenia.
Výhody zjednoteného IT/OT SOC
Ak je to správne nastavené, zlúčené SOC prináša viacero výhod:
Silnejšia bezpečnosť: Spoločne využívané odborné znalosti a zdroje z IT a OT zabezpečujú komplexný prístup k bezpečnosti, ktorý zohľadňuje jedinečné charakteristiky a zraniteľnosti oboch prostredí.
Vyššia efektivita: Zlúčené IT/OT SOC dokáže zjednodušiť detekciu a reakcie na incidenty odstránením potreby prenášať udalosti medzi IT a OT tímami, čím sa skracuje čas riešenia problémov.
Lepší prehľad: Zlúčené SOC poskytuje jednotný pohľad na hrozby a zraniteľnosti, čo zabezpečuje kompletný situačný prehľad potrebný na ochranu obchodných aj priemyselných častí organizácie.
Lepšia spolupráca: Spoločné pracovisko pre IT a OT odborníkov podporuje spoluprácu a komunikáciu medzi oboma skupinami.
Cudzincami v cudzej krajine
Zlúčené SOC tímy často tvoria analytici z prostredia IT bezpečnosti, pre ktorých sú OT praktiky neznámym teritóriom. Priemyselná kybernetická bezpečnosť je často o kompenzačných kontrolách – často jediné, čo môžete urobiť, je neustále monitorovanie bez okamžitého (či akéhokoľvek) zásahu. Tento prístup je pre tradičných IT analytikov úplne cudzí.
V priemyselných prostrediach sa vždy plánuje na „najhorší deň“ – aká katastrofa by mohla nastať a ohroziť tisíce ľudí? Priemerný SOC analytik nie je vycvičený takto uvažovať.
Pri reakciách na incidenty sa IT tímy odmeňujú za rýchlosť, vrátane automatizácie. Bežná reakcia na bezpečnostný incident v IT je jeho okamžité zablokovanie – čo však v OT prostredí zvyčajne nie je vhodné. Každý komponent v ICS sieti je súčasťou širšieho procesu v distribuovanom prostredí – odstránenie jedného článku môže narušiť celý reťazec. Reakcie v OT musia zohľadniť kritickosť a vplyv na fyzické procesy a bezpečnosť. Preto často zahŕňajú manuálny zásah.
Prejdite sa po výrobnej hale
Vytvorenie zlúčeného IT/OT SOC ďaleko presahuje len „nalievanie“ údajov z priemyselného prostredia do SIEM systému alebo inej IT bezpečnostnej platformy. Ideálne je mať v SOC odborníka na OT/ICS bezpečnosť – ale taký je vzácnosť. Mnohé tímy považujú za jednoduchšie vyškoliť IT odborníkov na OT špecifiká než naopak.
Nič nenahradí osobnú prítomnosť na výrobnej hale – hovoriť s vedúcimi výroby, inžiniermi a operátormi, ktorí rozumejú ICS systémom, aj keď nikdy nepočuli o deep packet inspection (DPI), laterálnom pohybe či APT hrozbách. Tímy tu uvidia zariadenia staré desaťročia, ktoré sú od základu nebezpečné, a procesy bežiace 24/7/365, s úzkym ročným oknom na údržbu a aktualizácie.
Stať sa známou tvárou a ochota učiť sa výrazne pomáha premostiť kultúrnu priepasť medzi IT a OT. Rovnako ako keď cudzinec v cudzej krajine povie aspoň „prosím“ a „ďakujem“ v miestnom jazyku – keď členovia IT SOC tímu prejavia úprimný záujem porozumieť prevádzkovému prostrediu, otvárajú dvere k efektívnej spolupráci.
Stíšte šum
Ladenie výstrah je jedným z najlepších spôsobov, ako zmierniť napätie medzi IT a OT – a zároveň vyťažiť maximum z OT monitorovania a detekcie hrozieb. V priemyselných prostrediach existujú desiatky typov výstrah a úrovní závažnosti. Mnohé výstrahy, ktoré upútajú pozornosť IT analytika, sú len „šumom“ pre OT operátora, ktorý pozná svoje prostredie.
Nastavenie prahových hodnôt špecifických pre dané procesné premenné, ktoré potláčajú výstrahy spôsobujúce rušenie, ušetrí tímu SOC veľa času. Ak zariadenie v priemyselnom procese stratí 10 paketov, nie je to veľký problém. Ak však začne strácať stovky paketov, treba to preveriť.
Zavedenie jednotnej bezpečnostnej a riadiacej funkcie
Na správnu ochranu OT systémov sú potrebné zručnosti z IT aj vedomosti z OT. Gartner už v roku 2017 odporúčal organizáciám presunúť sa k integrovanému IT/OT SOC:
„V neustále sa vyvíjajúcej hrozbovej krajine je jednotná bezpečnostná a riadiaca funkcia lepšie pripravená čeliť hrozbám naprieč IT aj OT. Jeden líder tejto funkcie môže zároveň niesť zodpovednosť za celkové digitálne riziko organizácie. Navyše možno vzácne bezpečnostné zdroje využiť na riešenie problémov v oboch oblastiach.“
Gartner, How to Organize Security and Risk Management in a Converged IT/OT Environment, 2017.
Organizáciám chvíľu trvalo, kým túto radu začali nasledovať, a stále máme málo údajov o tempe integrácie SOC. No zlúčené SOC sa stáva faktickým nástrojom na presadzovanie riadenia podnikových rizík. Aby fungovalo, musia byť zamestnanci SOC vyškolení o citlivosti a kritickosti OT sietí a ich obmedzeniach pri zmierňovaní hrozieb. Musia tiež mať správne nástroje – OT-špecifické riešenia, ktoré bezpečne monitorujú siete a zariadenia, rozumejú neznámym protokolom a využívajú OT-špecifickú spravodajskú činnosť o hrozbách. A musia byť ochotní spolupracovať s OT odborníkmi, ktorí im vysvetlia dôležitý kontext a pomôžu s bezpečným riešením incidentov.