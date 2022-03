V desítkách milionů se počítají výdaje firmy Thein Security, která vznikla postupnou fúzí českých kybernetických firem, a nyní investuje do stavby bezpečnostního operačního střediska (SOC). A upřímně řečeno, při pohledu na ono centrum na pražském Pankráci byste to asi ani nepoznali. Srdcem SOCu je na první pohled běžná kancelářská místnost za bezpečnostnímu dveřmi, kde u obyčejných stolů sedí před počítači bezpečnostní specialisté.

„Primárně hledáme lidi s analytickým myšlením. Stojí za zmínku, že velmi dobré předpoklady mívají ženy, které jsou v analytické práci velmi pečlivé. Přitom nemusí mít velké počítačové znalosti. To je naučíme,“ říká bezpečnostní expert Martin Půlpán.

Primárně právě do lidí pak jdou ony desetimilionové investice, a to zejména do jejich kontinuálního vzdělávání, protože svět hackerů se neustále vyvíjí a bezpečáci také nesmí ustrnout na místě. Jinak by nebyli v jejich chytání a prevenci úspěšní, a právě za to mají klienti firmy platit. Aby jejich data a obecně IT podnikové prostředí zůstalo v bezpečí.

Takové zajištění kyberbezpečnosti formou služby se vyplatí, to vám poví každý, kdo byl terčem kybernetického útoku, který ochromil jeho firmu. Při dobře provedeném útoku firma přestane na několik dní, týdnů, ale i měsíců fungovat a takový útok může nést i poškozenou reputaci způsobenou třeba únikem citlivých zákaznických dat nebo firemního know-how, což v konečném důsledku může být ještě horší než dočasný výpadek prodejů či výroby.

V čem je lepší kyberbezpečnost jako služba než vlastní in-house? Právě v těch nákladech na specialistech, může si vaše firma dovolit trénovat a zaměstnávat tolik bezpečnostních odborníků? A hlavně – pokud je vůbec sežene, protože nejsou.

Není lepší si kyberklid outsourcovat a podnikat tam, kde vám to jde nejlépe? A je také dobré zmínit, že veškeré́ postupy SOC analytiků jsou auditované́, data jsou chráněná proti manipulaci a mohou sloužit jako forenzní důkaz.

A jak to v SOCu Thein Security funguje?

SOC Thein Security je postaven v cloudovém prostředí Microsoft Azure a disponuje nativním propojením s Azure prostředím, a to včetně proaktivního bezpečnostního monitoringu.

„Nastavení bezpečnostního monitoringu dalších cloudových prostředí je též otázkou několika minut a je jedno zda jde o Amazon Cloud nebo Google Cloud,“ doplňuje Martin Půlpán.

Základní službou je monitoring bezpečnostních incidentů z jakéhokoliv komunikačního prostředí, aplikací či koncových bodů, a to včetně včasné reakce. Jedná se o ochranu proti širokému spektru kybernetických útoků včetně ransomware, sofistikovaným útokům (APT) či předem neznámým útokům (0day). SOC si poradí, jak s plošnými kampaněmi šířenými například phishingem, tak cílenými útoky využívající sociální inženýrství nebo ve spolupráci s insiderem.

I když se ke zpracování a ukládání logů používá zabezpečené cloudové prostředí, které, jak praxe ukazuje, je výrazně bezpečnější než běžné lokální komunikační sítě, je velmi jednoduché do bezpečnostního systému připojit jakýkoliv lokální zdroj logů, ať jde o servery, aktivní síťové prvky, bezpečnostní technologie od různých výrobců, osobní počítače nebo celé aplikace. SOC umí aktivně monitorovat jak cloudové tak lokální prostředí.

V době cloudové je vhodné zmínit, že přesunem klíčových dat do cloudových služeb velkých dodavatelů jako třeba Microsoft 365 není dobré zapomínat ani na ochranu tohoto prostředí, byť v něm bezpečnost zaručuje sám dodavatel.

Je totiž nutné nastavit v tomto hybridním prostření jednotná bezpečnostní pravidla a následně tato prostředí proaktivně monitorovat.

Klíčovou technologií a srdcem celého bezpečnostního monitorovacího centra je technologie Microsoft Sentinel, který je provozován pro každého zákazníka zvlášť ve vlastním zabezpečeném tenantu. Selektivně sesbíraná data ze sítě zákazníka a z cloudového prostředí se ukládají v zákaznickém tenantu, který může využívat nejen prostředí SOCu, ale i u zákazníku v jeho vlastním tenantu v rámci firemního Microsoft Azure prostoru.

Zatím pracují v popisovaném SOCu necelé dvě desítky lidí, ale plánuje se růst až na čtyřicet specialistů, kteří budou nad bezpečnostní dat desítek až stovek zákazníků bdít nonstop.

Thein Security SOC totiž může díky cloudové technologii zpracovat v podstatě̌ neomezené́ množství́ logů, protože využívá neomezenou kapacitu MS Azure cloudu, pokročilé technologie automatizace, strojového učení́ a umělou inteligenci.

„Data ale samozřejmě dovedeme sbírat selektivně, jen z klíčových systémů nebo určitých bodů komunikační infrastruktury zákazníka,“ upozorňuje Martin Půlpán.