Hlavní navigace

Zpracujeme neomezeně incidentů, říká CSO společnosti Thein Martin Půlpán

5. 1. 2022

Sdílet

 Autor: Thein Security
Využíváme zdroje informací o útocích od vendorů námi používaných technologií, ale i další placené informační zdroje, říká CSO společnosti Thein Martin Půlpán.

Začali jste nabízet jako službu bezpečnostní operační středisko (SOC). S jakým zájmem počítáte, když si dnes může takové středisko postavit každý?

Zejména od zákazníků, kteří migrují část infrastruktury do cloudu a jsou nuceni řešit kyberbezpečnost v hybridním prostředí, a to není jednoduchá úloha. Dalšími budou ti, kteří se o vybudování SOCu pokusili a narazili na nedostatek lidí nebo je odradila finanční náročnost projektu.

Co znamená Security as a Service ve vašem pojetí? Jaké služby jsou v tomto konceptu obsaženy a jakou roli tam hraje váš SOC?

Jde o komplex služeb kybernetické bezpečnosti, které na sebe navazují. Rizikové a gap analýzy, tvorba bezpečnostních politik, dodávky bezpečnostních technologií a jejich správné nastavení, proaktivní dohled (SOC), threat hunting, forenzní analýzy, zjišťování zranitelností, penetrační testování, monitoring chování uživatelů, odolnost proti phishingu a sociálnímu inženýrství a vzdělávání uživatelů. SOC je nedílnou součástí celého portfolia. Z pohledu zákazníka je jedno, s kterou službou začne.

V čem se vaše služba odlišuje od konkurence?

SOC s vysokou dostupností nabízí služby 24/7 včetně záložní lokality a dokáže efektivně monitorovat různá cloudová a on-premise prostředí včetně aktivního bezpečnostního monitoringu Microsoft 365.

Každý zákazník má své oddělené datové prostředí, zákaznický portál a reporting. Službu dokážeme nabízet i ve vlastním MS Azure tenantu zákazníka, který si datový prostor platí a spravuje sám. Jedná se o moderní multitenantní cloudovou službu.

Jaké aktuální kybernetické hrozby řeší zákazníci a jak jim může SOC pomoci?

Základní službou je monitoring bezpečnostních incidentů z jakéhokoliv komunikačního prostředí, aplikací či koncových bodů, a to včetně včasné reakce. Jedná se o ochranu proti širokému spektru kybernetických útoků včetně ransomware, sofistikovaným útokům (APT) či předem neznámým útokům (0day). SOC si poradí, jak s plošnými kampaněmi šířenými například phishingem, tak cílenými útoky využívající sociální inženýrství nebo ve spolupráci s insiderem.

Umíte fungovat proaktivně a co vlastně představuje proaktivní dohled?

Proaktivní monitoring je základ našich služeb. Využíváme zdroje informací o útocích od vendorů námi používaných technologií, ale i další placené informační zdroje, které používáme pro tvorbu korelačních pravidel. Pravidla průběžně aplikujeme na sebraná data a logy ze zákaznických systémů. Tím předcházíme kybernetickým útokům, a jsme schopni preventivně reagovat dřív, než potenciální útok začne nebo je hackery zneužita nějaká zranitelnost komunikačních systémů zákazníka.

Velkou výzvou dnešní doby je hybridní prostředí využívající služeb různých cloudů a zároveň existujícího lokálního prostředí. Jak řešíte kybernetickou bezpečnost v tomto prostředí? A jak lze tyto odlišné světy monitorovat, čelit útokům a hledat tam anomálie?

Náš SOC je speciálně postaven tak, aby dokázal propojit hybridní prostředí a byl schopen rychle vyhodnotit velké množství dat bez ohledu na to, zda se jedná o cloud či lokální síť nebo privátní datové centrum. Z těchto důvodů jsme zvolili pokročilou cloudovou technologii a využíváme schopností velmi rychle hledat určité anomálie ve velkém množství dat.

Kolik incidentů jste schopni zpracovat?

Jsme schopni zpracovat v podstatě neomezené množství logů i díky pokročilým technologiím automatizace, strojového učení a umělé inteligence, které v našem řešení postaveném na cloudové technologii Microsoft Sentinel využíváme. Jde o nejpokročilejší systém, který je dnes na trhu. AI a ML nám umožňuje udržet vysokou efektivitu práce operátorů, kteří se tak mohou průběžně vzdělávat a nejsou zahlcení obrovským množstvím nezpracovaných incidentů.

Jste připraveni poskytovat služby dohledu kybernetické bezpečnosti v kritických situacích, během živelních katastrof, výpadku elektřiny či požárního poplachu? SOC musí být přece dostupný za každých podmínek, je pro spoustu zákazníků kritickou službou.

Ano, máme zpracovaný business continuity plán, který reaguje na dostupnost našich služeb. Díky záložní lokalitě a technologii v cloudu může během chvilky fungovat téměř odkudkoli.

Lze monitoring bezpečnostních incidentů provozovaných vaším SOCem v případě detekce hackerského útoku použít například jako forenzní důkaz během soudního řízení? Je možné zpracování incidentů auditovat a zpětně prověřit kroky, které analytici provedli?

Veškeré postupy našich analytiků jsou auditované, data jsou chráněna proti manipulaci a mohou sloužit jako forenzní důkaz, v případě policejního vyšetřování či jako věrohodný důkaz u soudu.

Lze monitoring bezpečnostních incidentů provozovaných vaším SOC v případě detekce hackerského útoku použít například jako forenzní důkaz během soudního řízení? Je možné zpracování incidentů vašim týmem auditovat a zpětně prověřit všechny kroky, které analytici podnikli?

Veškeré postupy našich analytiků jsou auditované, data jsou chráněná proti manipulaci a mohou sloužit jako forenzní důkaz, v případě policejního vyšetřování či jako věrohodný důkaz u soudu.

Jaké jsou vaše ambice s touto službou do budoucna, například v horizontu následujících tří let?

příloha_ovladnete_sva_data

Chceme do dvou let nabízet naši službu globálně, v několika centrech po světě. Technologie i tým je na to připraven.

Článek vyšel v Computerworldu 1/21.


 

Computerworld si můžete objednat i jako klasický časopis. Je jediným odborným měsíčníkem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.

Obsah Computerworldu je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.

Byl pro vás článek přínosný?