O wyzwaniach towarzyszących zespołom SOC, technologiach, które je wspierają (lepiej lub gorzej), a także o perspektywach na przyszłość rozmawiamy z Michałem Horubałą, Dyrektorem Zespołu SOC360, ekspertem z wieloletnim doświadczeniem w branży bezpieczeństwa IT.

Jakie jest największe wyzwanie, przed którym stoją obecnie zespoły SOC?

Jeśli odpowiedzi na to pytanie poszukamy w sieci lub zadamy je Chatowi GPT, to zapewne dowiemy się, że: “Jednym z największych wyzwań w SOC jest ogromna ilość i złożoność alertów bezpieczeństwa.” To rzeczywiście wyzwanie, ale na tym właśnie polega nasza praca; złożone alerty to jej istota. Jeśli mamy do czynienia z dużą ilością fałszywych alarmów lub zdarzeń, które nie przyczyniają się do wykrywania realnych zagrożeń, analizujemy dane i szukamy sposobów na optymalizację detekcji lub rozwiązań problemów, które są przyczyną tych zdarzeń.

Moim zdaniem największym wyzwaniem współczesnego SOCa jest nadążanie za tempem w “wyścigu Czerwonej Królowej". Codziennie, co tydzień, co miesiąc i co rok stajemy przed nowymi wyzwaniami, ponieważ w świecie cyberbezpieczeństwa nic nie jest stałe. Musimy “biec ile sił, żeby utrzymać się w tym samym miejscu, a jeśli chcemy dostać się w inne miejsce, musimy biec dwa razy szybciej.” To prowadzi nas do hipotezy Czerwonej Królowej, którą możemy łatwo zaadaptować do każdej misji SOC: musimy stale się dostosowywać i ewoluować, aby przetrwać w starciu z nieustannie rozwijającymi się przeciwnikami. Co więcej, w cyberbezpieczeństwie adaptacja i ewolucja muszą postępować w ekstremalnie szybkim tempie. To oznacza ciągłe zmiany. Nigdy nie możemy powiedzieć, że nasze narzędzia są doskonale dostrojone, nasze detekcje są skuteczne, znamy naszych przeciwników oraz ich techniki i taktyki, nasze procesy i procedury są ukończone, a struktura i organizacja naszego zespołu są perfekcyjne. Największym wyzwaniem jest więc osiągnięcie zdolności do zmian przy jednoczesnym utrzymaniu skuteczności misji SOC i dobrostanu zespołu.

Jakie są przykłady wyzwań, które zmuszają ekspertów SOC do ciągłego adaptowania się?

Na przykład proces tworzenia reguł detekcji (Detection Engineering). Narzędzia XDR/EDR są dość dobre choć dalekie od ideału w wykrywaniu złośliwego oprogramowania. Jednak problem polega na tym, że grupy ransomware w większości swoich ataków nie korzystają z malware’u, lecz z setek narzędzi i technik, które są trudne do wykrycia, ponieważ same w sobie nie są złośliwe. Najlepszym przykładem są narzędzia RMM (Remote Monitoring and Management), takie jak AnyDesk, TeamViewer, a także aplikacje typu Advanced IP Scanner, Filezilla, Rclone, ADFind itp., skrypty PowerShell, czy też wiele narzędzi LotL (Living of the Land).

Pojawiają się także nowe narzędzia typu RAT i InfoStealer, dostępne w programach MaaS (Malware as a Service), które wymykają się mechanizmom detekcji. By je skutecznie wykrywać, musimy bowiem wiedzieć, że te narzędzia i techniki są używane. To oznacza konieczność utrzymania procesu Threat Intelligence, czyli ciągłe zdobywanie, analizowanie i selekcjonowanie informacji o technikach ataku.

Nie mówię tu o wprowadzaniu IOC (Indicators of Compromise) do systemów – to najczęściej nie wystarczy. Przydatne okazuje się natomiast śledzenie 500+ kont na Twitterze i innych platformach, czytanie raportów, a przede wszystkim analizowanie danych i wyciąganie wniosków z własnych śledztw. W następnym kroku dzielimy się przefiltrowanymi odkryciami z zespołem i – co ważniejsze – stosujemy je operacyjnie.

To prowadzi nas do procesu Threat Huntingu. W SOC360 przeszukujemy dane w systemach naszych klientów pod kątem nowych informacji, dostosowujemy zapytania, by ograniczyć fałszywe alarmy lub symulujemy zagrożenia w laboratorium. Obsługujemy ponad 10 różnych narzędzi EDR/XDR. Każde ma inny język zapytań, zestawy danych i pola danych. Po zweryfikowaniu wyników procesu Threat Hunting, przechodzimy do tworzenia reguł wykrywania (Detection Engineering). To jest dynamiczny proces, który musi funkcjonować nieustannie, tak abyśmy zawsze deptali po piętach naszym przeciwnikom, bo to oni narzucają tempo w wyścigu Czerwonej Królowej.

Inny przykład to szybka adaptacja rozwiązań chmurowych przez naszych klientów. Nie możemy już ukrywać się za “murami” perymetru sieci korporacyjnych. Musimy zmienić nasz punkt widzenia, wypracować nowe sposoby myślenia o infrastrukturze IT, użytkownikach, usługach i lokalizacji danych. W rezultacie zespoły SOC muszą cały czas ewoluować, aby dostosować się do stale rozwijanych narzędzi, takich jak środowisko Microsoft XDR (Defender for Endpoints, for CloudApp, for Identity, for Office365, for IoT, Sentinel), które włączyliśmy do naszych procesów ponad dwa lata temu. Zatem znów musimy: “biec, ile sił, aby pozostać w tym samym miejscu.”

Czy powyższe wyzwania można rozwiązać za pomocą technologii? Jeśli tak, co chciałbyś, aby dostawcy narzędzi poprawili, by ułatwić pracę specjalistom SOC?

Największego wyzwania nie da się rozwiązać za pomocą technologii i nie będzie się raczej dało w najbliższej przyszłości. Nasi przeciwnicy to ludzie, nie technologie. Ludzie, którzy używają technologii bez ograniczeń prawa, zgodności, miejsca i czasu. Są oni wspierani gwałtownie rozwijającym się ekosystemem cyberprzestępczej ekonomii. Napędzani nieograniczonymi możliwościami i okazjami, aby zrealizować swoje marzenia i zaspokoić potrzeby. Dlatego zgadzam się z Brucem Schneierem: „Jeśli myślisz, że technologia może rozwiązać twoje problemy z bezpieczeństwem, to znaczy, że nie rozumiesz problemów ani technologii.”

Oczywiście, narzędzia do wykrywania zagrożeń, wspierane technologiami AI i ML, zwiększają możliwości zespołów SOC. Pozwalają nam biec szybciej. Jednak to wyścig, którego tempo stale rośnie, ponieważ możliwości rosną dla wszystkich jego uczestników.

Oczekuję od dostawców dostarczania lepszych narzędzi detekcji i skutecznych narzędzi reakcji, które zapewniają większą widoczność i kontekst dla analityków SOC.

Wielu dostawców na szczęście już to robi. Pracujemy z wysokiej jakości narzędziami EDR, XDR, NDR, które pomagają nam w wykonywaniu naszej pracy. Gdybyśmy tylko mogli nakłonić wszystkich naszych klientów do korzystania z narzędzi, do których mamy zaufanie… Jednak często musimy pracować z systemami należącymi do klientów i wydobywać z nich to, co najlepsze.

Czego naprawdę potrzebuje nasz zespół SOC? Systemu zarządzania incydentami, który pozwala nam oznaczać i notować każdy obiekt, łączyć obiekty oraz wspierać analityków poprzez sugerowanie właściwych pytań na podstawie właściwości i relacji między obiektami. Potrzebujemy pytań, nie odpowiedzi. Niestety żaden dostawca nie oferuje takiego systemu. Dlatego opracowaliśmy go we własnym zakresie.

Jeśli chodzi o sztuczną inteligencję, to uważam, że powinniśmy ostrożnie korzystać z AI wspierającej pracę SOC. Obserwujemy, jak analitycy SOC wykorzystują narzędzia LMM i wyciągamy alarmujące wnioski. Porównaliśmy rozwój umiejętności analityków SOC, którzy mogli używać czatów LMM podczas pracy, z tymi, którzy ich nie używali. I co się okazało? Kiedy po prostu pytasz i dostajesz odpowiedź, możesz łatwo pominąć proces poznawczy, który towarzyszy Ci, gdy samodzielnie szukasz rozwiązania. AI może się mylić (i często to robi). Odpowiedzi i sugestie mogą być płytkie i ogólnikowe. Dlatego trzeba zrozumieć zagadnienie, aby móc ocenić wynik pracy AI i postawić właściwe pytania.

Z naszych obserwacji wynika, że asystent AI może być pomocnym narzędziem dla doświadczonego analityka, który pozwala zaoszczędzić czas. Jednak nadmierne poleganie na tej technologii może doprowadzić do sytuacji, w której zabraknie nam doświadczonych analityków, którzy będą w stanie ocenić jakość wyników dostarczanych przez AI. Kontynuujemy eksperymenty, ale jesteśmy ostrożni.

Czy niedobór kompetencji to realny problem, z którym się borykacie? Jeśli tak, jak go rozwiązujecie w SOC360?

Jako firma świadcząca usługi MDR/SOC as a Service obróciliśmy słynny niedobór umiejętności i talentów na naszą korzyść. Jest wielu utalentowanych, kreatywnych i zmotywowanych ludzi, którzy próbują wejść do branży cyberbezpieczeństwa. Zatrudniamy ich i zapewniamy im warunki do rozwoju. Nie oczekujemy od kandydatów doświadczenia w cyberbezpieczeństwie. W wielu przypadkach takie doświadczenie może być nawet niekorzystne.

Nasz proces rekrutacyjny jest uproszczony i odbywa się dość często, ponieważ zespół stale rośnie. Nie korzystamy z usług agencji rekrutacyjnych – nasi pracownicy polecają pracę w SOC360 swoim znajomym, szukamy talentów na uczelniach technicznych i na konferencjach branżowych.

W trosce o wysoki poziom kompetencji naszych analityków, opracowaliśmy program szkoleniowy o nazwie SOC360 Academy. Każdy nowy członek zespołu przechodzi przez program edukacyjny i treningowy, a po zakończeniu edukacji wstępnej zaczyna pracować pod nadzorem doświadczonych koleżanek i kolegów. Dzięki zasięgowi naszych usług dysponujemy unikalnymi warunkami do rozwoju i zdobywania doświadczenia.

Aby unikać błędów, wdrożyliśmy również proces kontroli jakości z pętlą informacji zwrotnej, który pozwala na anonimową ocenę losowych zgłoszeń przez innych członków zespołu. Rozwinęliśmy kulturę zadawania pytań bez obaw przed oceną (w końcu każdy zaczynał w ten sam sposób) i dzielenia się wiedzą. Zespół SOC360 pracuje bez podziału na linie, więc analitycy mogą pracować nad każdym przypadkiem tak głęboko, jak tylko chcą i poprosić o pomoc lub zaangażować kolegów, gdy napotkają trudności.

Nasz system zgłoszeń zgromadził już ponad 300 000 analiz incydentów, które mogą służyć jako punkt wyjścia dla mniej doświadczonych pracowników. Każdy nowy przypadek w systemie jest wzbogacany o odniesienia do podobnych przypadków. Obsługujemy dziesiątki organizacji, chronimy setki tysięcy punktów końcowych i użytkowników, pracujemy z rozwiązaniami XDR, EDR, NDR, oraz systemami bezpieczeństwa chmury od kilku dostawców. To znakomite środowisko do szlifowania umiejętności – najlepsze, z jakim się spotkałem.

Ważnym aspektem rozwoju zespołu są także certyfikaty z zakresu bezpieczeństwa ofensywnego i defensywnego, które każdy członek zespołu musi zdobyć. Zapewniamy naszym ludziom czas na naukę i finansowanie kursów.

Dbamy również o to, aby analitycy angażowali się w projekty i aktywności wspierające pracę SOC (Threat Intelligence, Threat Hunting, Detection Engineering, rozwój narzędzi, testy i wdrożenia itp.) Każdy może brać w nich udział. Oczywiście to wszystko musi być połączone z odpowiednim systemem wynagrodzeń. Pensje naszych ludzi rosną wraz ze wzrostem ich kompetencji i wartości rynkowej.

Jakie możliwości widzisz przed zespołami SOC?

Obserwujemy wzrost zainteresowania usługami SOC w związku z nowymi regulacjami prawnymi, takimi jak NIS2 i DORA. Według Business Insider NIS2 rozszerza zakres obowiązków dotyczących cyberbezpieczeństwa z 400 na 39 tys. firm i instytucji w Polsce. De facto oznacza to, że kilkanaście tysięcy firm potrzebuje usługi SOC.

Zauważamy również wzrost świadomości potrzeb dbania o cyberbezpieczeństwo wśród naszych obecnych i potencjalnych klientów, szczególnie w kontekście rosnącej liczby ataków ransomware.

Wyzwaniem, i jednocześnie szansą, jest również rosnące wykorzystanie chmury publicznej.

IT staje się coraz trudniejsze do kontrolowania z perspektywy cyberbezpieczeństwa. W tym pędzącym świecie widzę ogromne możliwości dla organizacji SOC i profesjonalistów, którzy potrafią dostosować się do nowych warunków. Cyberbezpieczeństwo jest niezwykle dynamiczne. Właśnie w tej dynamice kryją się największe możliwości dla naszej branży. Musimy jednak biec ile sił, a nawet dwa razy szybciej, aby dotrzymać kroku w wyścigu i w pełni wykorzystać te szanse.

Zespół SOC360 monitoruje systemy cyberbezpieczeństwa 24/7, analizuje zdarzenia, wykrywa i reaguje na incydenty, aby organizacje mogły bezpiecznie realizować swoje misje. Do grupy naszych klientów należą największe polskie firmy komercyjne z różnych sektorów gospodarki. Zapewniamy bezpieczeństwo środowisk rozproszonych w 10 krajach w Europie i Azji. Pracujemy z systemami EDR/XDR, NDR i SIEM od wiodących producentów oraz monitorujemy środowiska w chmurze. Jeśli chciałbyś/ chciałabyś wdrożyć usługę SOC w swojej organizacji, skontaktuj się z nami.

Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.