Na návštěvě v bezpečnostním dohledovém centru O2 IT Services
Společnost O2 IT Services představila „Security Expert Center“. Jeho službu nabízí nejen těm, kteří spadají pod zákon o kybernetické bezpečnosti, nýbrž komukoli, kdo zpracovává citlivá data.
V úterý 19. dubna otevřela společnost O2 IT Services formálně svoje komerční dohledové středisko. Na prohlídku pozvala novináře i možné zákazníky.
Běžně jsou podobná centra známa jako SOC — security operations center. Z obchodních důvodů se v O2 ITS rozhodli pro název „Security Expert Center“, aby bylo zákazníkům už ze zkratky SEC zřejmější, že jde o bezpečnost.
Středisko chystali od loňského března. V provozu je opravdu od počátku prosince a zatím má šest zákazníků. O2 ITS je ovšem nejmenuje, ale jsou to dílem velké státní instituce (například ministerstva) spadající pod zákon o kybernetické bezpečnosti a dílem zákazníci komerční, a to zatím spíše střední nebo menší.
O2 ITS sice dodává nebo upravuje také řešení na straně zákazníka, ale SEC je pojato především jako služba za stálý měsíční poplatek. Pro jak malé zákazníky dává smysl? „Setkali jsme se i s právními kancelářemi o dvou počítačích, kde se ale spravují důležité smlouvy. Vezmu li to na objem dat, chodil by nám od nich tak gigabajt denně a stáli bychom je asi dvacet tisíc měsíčně. Uvážíte li, že výstavba vlastního SIEM začíná od dvou miliónů…,“ odhaduje analytik Petr Tejnský.
SIEM: Security Information and Event Management, tedy řízení informační bezpečnosti a bezpečnostních událostí, vlastně průběžný dohled nad síťovým provozem a sběr záznamů o něm, a možnost analýzy a protiopatření v případě mimořádného jevu, který může znamenat narušení bezpečnosti. (Pojmu SIEM poprvé užil patrně Gartner v roce 2005.)
SEC je prozatím připraven obsloužit asi čtyřicítku zákazníků různé velikosti. Indexovat může celkem 1,7 TB příchozích dat denně (asi sto tisíc EPS, tedy událostí za sekundu). Největší zákazníky vyjde bezpečnostní dohled od SEC zhruba na tři sta tisíc korun měsíčně.
Jak je postaveno
U zákazníka musí být sběrač čili kolektor dat o síťovém provozu a síťových zařízeních. Zpravidla se dodává jako zařízení virtuální (virtual appliance), leč kdyby zákazník neprovozoval žádný virtuální stroj, lze mu dodat sběrač jako hardware. Do uživatelských stanic se zavádějí klientské agenty (podporují Windows a Linux/Unix); ty posílají data do sběrače.
SEC používá ke sběru dat Syslog-ng Premium Edition od Balabitu. Sběr je proti výpadkům zajištěn tříúrovňově: klientské agenty dokáží data podržet po 24 hodin, nemají-li spojení s kolektorem; kolektor je podrží po sedm dní, nemá-li spojení do SEC; v SEC se data ukládají nejméně na tři měsíce, a to „zašifrovaně, na důvěryhodném a certifikovaném úložišti,“ udává Petr Tejnský. „Veškerá data jsou časově označena, aby nemohlo dojít k manipulaci; jak to požaduje zákon.“
„Důležitou výhodou Syslog-ng proti třeba Rsyslog a podobným je řízení datového toku, možnost vyhradit jen určitou šířku pásma,“ vyzdvihuje Tejnský. „Většina útoků způsobí množství zpráv ve velmi krátkém čase, bez řízení toku je snadné zahltit celý řetězec.“
Sběrač je se SEC spojen buďto skrze VPN, nebo přes Internet s využitím TLS 1.2. „Podle toho, co zákazník požaduje,“ sděluje Tejnský. „TLS 1.2 je, myslím si, v zásadě bezpečné. Kdyby mělo dojít k prolomení TLS, dojde i k prolomení VPN,“ soudí.
Samo SEC je implementováno v „neveřejném cloudu“. Jeho obsluha však nemusí sedět v té místnosti na fotkách, stačí jim notebook a připojení k internetu. (Přístupová práva řídí Shell Control Box od Balabitu.)
Tým SEC má šest pracovníků a šéfa, zatímco partnerská společnost Axenta poskytuje asi desítku administrátorů a vývojářů; právě ona postavila, spravuje a vyvíjí technické řešení SEC.
- Dva operátoři sledují aktivní kanály a ukazatele, zakládají případy a popisují je; nedokáží li sami vyhodnotit, že případ je pouze planým poplachem, předávají ho na analytiky.
- Tři analytici, vybaveni analytickými nástroji, doporučují a implementují případná protiopatření.
- Expert udržuje a rozšiřuje znalostní databázi — rozpoznává nové případy, rozvíjí stávající. Navrhuje nové korelace, filtry, monitory, aktivní seznamy a kanály, ukazatele a hlášení.
Ve středisku se zatím pracuje osm hodin pět dní v týdnu. „Ale někdo na to kouká 24/7,“ ujišťuje Petr Tejnský. „Máme ještě interní dohledové centrum. I analytici mohou být dostupní 24/7, ale zákazníci obvykle požadují řešení bezpečnostních událostí následujícího pracovního dne.“
Čtvero základních modulů SEC
1. Aktivní monitorování všech součástí SEC — jak u zákazníka, tak v datacentru. Na rozpoznávání anomálií je nasazen Flowmon ADS.
2. Správa logů, tedy posbíraných dat: už výše zmíněný Syslog-ng.
3. Řízení bezpečnosti. „Využíváme HP ArcSight ESM,“ sděluje Tejnský, „a to z toho důvodu, že je nativně multitenantní, umožňuje real time korelace bezpečnostních událostí různých typů. To není u SIEM nic nového, ale výhodou ArcSightu je včasná a přesná detekce. Nasazování SIEM běžně způsobí množství planých poplachů, ale ArcSight lze velice rychle naučit, co jsou false positives, lze vymezit různé případy pro různé stavy; plané poplachy se jím dají dost omezit.
ArcSight se dále vyznačuje tím, že má rozsáhlou kategorizaci a normalizaci dat a více než tři sta chytrých konektorů už v sobě: připojíte jakékoli zařízení, které požadujete, podporuje SAP, různé aplikace a pod. ArcSight zkracuje řešení běžných incidentů z hodin na minuty.“
4. Tiketovací systém a zákaznický portál: „Provozujeme iTop; je to open source. Zvolili jsme ho proto, že podle ITIL je to best practice. Obsahuje konfigurační databázi CMDB s auditem změn; bez CMDB nepostavíte správný SIEM. iTop má flexibilní správu tiketů nebo analýzu dopadů a závislostí — například které další servery budou ovlivněny výpadkem určitého serveru; to oceníte i při údržbě,“ popisuje Tejnský.
Odpovědnost ze zákona zůstane na zákazníkovi
Spadá li zákazník do působnosti zákona o kybernetické bezpečnosti, odpovědnost vyplývající ze zákona zůstává na něm, upozorňuje ředitel Národního centra kybernetické bezpečnosti Vladimír Rohel. Dodává, že pro podobná centra zatím NCKB nezamýšlí žádné certifikace: „Nechceme na začátku regulovat trh a nemáme na to ani kapacity,“ vysvětluje. Různé certifikace však mohou mít jednotliví pracovníci centra.
„Postavit pořádné dohledové centrum je velká investice. Je na vás, abyste si vypsali soutěž tak, aby vám z ní nevyšla garážovka, a musíte si dobře sepsat i smlouvu,“ doporučuje Rohel. Ředitel komerční divize O2 IT Services Václav Provazník doplňuje: „Do našich smluv dáváme, že zajišťujeme soulad se zákonem o kybernetické bezpečnosti.“
Prohlédnout fotogalerii Na návštěvě v „Security Expert Center“ O2 IT Services.
Zdroj: Marek Janouš, ROOT.CZ, http://www.root.cz/clanky/na-navsteve-v-bezpecnostnim-dohledovem-centru-o2-its/#ic=gallery-header&icc=backlink