top of page

Kas yra SOC - paaiškiname paprastai

  • prieš 6 dienas
  • 6 min. skaitymo

Įsivaizduokite naktinį sargą, kuris budi, kol jūs miegate. Jis nestato tvorų ir nemontuoja spynų - tai padaryta anksčiau, statybų metu. Jo darbas yra stebėti, pastebėti ir laiku sureaguoti į galimas grėsmes. Pamatęs judesį prie sandėlio antrą valandą nakties, jis nelauks ryto, o patikrins, kas vyksta.


Būtent taip veikia SOC. Tad kas yra SOC? Saugumo operacijų centras (angl. Security Operations Center) - tai žmonių, procesų ir įrankių komanda, kuri nuolat stebi organizacijos skaitmeninę aplinką: tinklą, kompiuterius, serverius, kitas sistemas. Koks yra SOC tikslas? Pastebėti įsilaužimą ar jo bandymą kuo anksčiau, kol tai dar smulkus įvykis, o ne verslą stabdantis incidentas.


Kodėl nepakanka spynų ir tvorų?


Dauguma organizacijų kibernetinį saugumą įsivaizduoja kaip apsaugos priemones: ugniasienę, antivirusinę programą, ilgus bei sudėtingus slaptažodžius. Tai svarbu - bet tai tik spynos ir tvoros. Jos atbaido dalį piktavalių, tačiau neatsako į esminį klausimą: kas dabar vyksta sistemose?


Pavyzdžiui, antivirusinė programa gali sustabdyti kenkėjišką failą, tačiau nepastebės, kad kažkas sekmadienio naktį sėkmingai prisijungė prie buhalterės paskyros, valandą naršė po dokumentus ir persisiuntė jų kopijas. Iš antivirusinės perspektyvos - jokio viruso, jokio įsilaužimo signalo, o neįprastas elgesys yra praleidžiamas pro jos akis.


Laiko tam yra: „Mandiant" tyrimų duomenimis, nuo įsilaužimo iki jo aptikimo praeina vidutiniškai apie 14 dienų, o dalis įsilaužimų lieka nepastebėti mėnesiais. Visą tą laiką piktavaliai tyrinėja sistemas, renka duomenis ir ruošiasi pagrindiniam smūgiui - pavyzdžiui, duomenų šifravimui ir išpirkos reikalavimui. Kuo anksčiau piktavaliai pastebimi, tuo pigesnė ir paprastesnė incidento istorija.


2023 metais nuo įsilaužimo iki jo aptikimo vidutiniškai praeidavo 10 dienų, 2024 metais - 11 dienų, o 2025 metais - net 14 dienų

Ką saugumo operacijų centras realiai daro?


SOC darbą galima suskirstyti į kelias nuolat vykstančias veiklas, kuriose nėra jokių paslapčių ar stebuklų - tik sisteminga priežiūra.


SOC veiklos

Renka ir saugo įvykių žurnalus


Kiekvienas kompiuteris, serveris ar sistema nuolat rašo „dienoraštį" - įvykių žurnalus (angl. - logs): kas prisijungė, kada, iš kur, kas buvo pakeista. SOC šiuos žurnalus centralizuotai surenka ir saugo.


Kam reikia kaupti įrenginių „dienoraščius"? Pirma, be jų neįmanoma analizė - tai tarsi naktinio sargo akys ir kameros. Antra, įvykus incidentui žurnalai leidžia atsakyti į klausimus „kaip piktavaliai pateko?" ir „ką jie pasiekė?". Be jų incidento tyrimas primena gaisro priežasties paiešką iki pamatų sudegusio namo pelenuose.


Analizuoja ir stebi


Surinkti įvykių žurnalai analizuojami automatiniais įrankiais, o įtartinus signalus peržiūri žmonės - SOC analitikai. Būtent žmogus atskiria, ar prisijungimas iš kito miesto yra komandiruotėje esančio darbuotojo, ar piktavalio su pavogtu slaptažodžiu.


Stebėsena gali vykti darbo valandomis (9/5) arba visą parą (24/7). Skirtumas paprastas: piktavaliai mėgsta naktis, savaitgalius ir šventes - būtent tada, kai niekas nežiūri, miega. JAV FTB ir kibernetinio saugumo agentūra CISA net paskelbusios atskirą įspėjimą: išpirkos atakos (angl. - ransomware) dažniausiai pradedamos prieš šventes ir savaitgalius, kai biurai tušti.


Išpirkos ataka (angl. - ransomware) - kenkėjiška programa, kuri užšifruoja jūsų įmonės duomenis, kad negalėtumėte jų pasiekti, o nusikaltėliai reikalauja išpirkos už jų atrakinimą (ir dažnai grasina paviešinti pavogtą informaciją). Tokia ataka gali sustabdyti įmonės veiklą, todėl svarbi apsauga - atsarginės kopijos ir darbuotojų budrumas neatidaryti įtartinų priedų bei nuorodų.


Ieško pažeidžiamumų


Pažeidžiamumas - tai saugumo spraga sistemoje, pro kurią piktavalis gali patekti vidun: pasenusi programinė įranga su žinomu būdu apeiti jos apsaugą, klaidingai sukonfigūruotas serveris, užmirštas testinis prisijungimas su visomis administratoriaus teisėmis. SOC reguliariai skenuoja organizacijos sistemas ir tokias spragas suranda anksčiau nei piktavaliai. Tai tarsi sargas, kuris apeidamas teritoriją patikrina, ar visos durys užrakintos - ir praneša apie tas, kurios liko pravertos ir turi būti uždarytos namo gyventojų.


Reaguoja į incidentus


Aptikus grėsmę, SOC įvertina jos rimtumą, informuoja organizaciją ir padeda suvaldyti situaciją: izoliuoti paveiktą kompiuterį ar kitą įrenginį, blokuoti piktavalio prieigą, išsiaiškinti, kas įvyko. Sutartyse tai dažnai apibrėžiama reakcijos laiku - per kiek valandų nuo grėsmės aptikimo pradedama reaguoti.


Čia svarbu suprasti ribą: SOC yra sargas ir pirmoji pagalba, bet ne visos organizacijos IT skyrius. Incidento suvaldymas - bendras SOC, organizacijos vadovybės ir IT komandos darbas, kuriame kiekvienas turi savo vaidmenį. Todėl pasirengimas incidentams - planai, kontaktai, atsakomybės - turi būti sudėlioti iš anksto.


Medžioja grėsmes


Brandžiausia SOC veikla - grėsmių medžioklė (angl. threat hunting): analitikai ne laukia automatinių signalų, o patys aktyviai ieško įsilaužimo pėdsakų, kurių įrankiai galėjo nepastebėti. Grįžtant prie sargo analogijos - jis ne tik reaguoja į judesio jutiklius, bet ir pats patikrina tamsiausius kampus juos apšviesdamas žibintu.


Koks praktinis skirtumas (ne)turint SOC?


Reakcija į incidentą su ir be SOC

Įprasta situacija - vėlus penktadienio vakaras privačioje klinikoje, darbuotojai jau grįžę namo, registratūra uždaryta, klinikos durys užrakintos. Staiga, 23 val. vakaro buhalterės paskyra prisijungia prie failų serverio ir per pusvalandį atsisiunčia dviejų tūkstančių pacientų failus - nors pati buhalterė tuo metu guli lovoje ir skaito knygą, o per įprastą darbo dieną atsidaro vos kelis failus, kurie net nebūna susiję su konkrečiais pacientais.


Be stebėsenos šis įvykis liktų nepastebėtas iki pirmadienio - o greičiausiai ir gerokai ilgiau, nes įvykių žurnalai (įrenginių "dienoraščiai") retai peržiūrimi be aiškios priežasties. SOC analitikas tokį signalą pamato tą patį vakarą: neįprastas laikas, neįprasta apimtis, neįprastas elgesys. Jis susisiekia sutartu kanalu, paskyra laikinai užblokuojama, slaptažodis pakeičiamas. Pirmadienį paaiškėja, kad buhalterė prieš savaitę įvedė prisijungimo duomenis netikrame „sistemos atnaujinimo" puslapyje - klasikinis phishing atvejis, nuo kurio padėtų apsisaugoti papildomi darbuotojų mokymai bei phishing testai.


Phishing'as - sukčiavimo forma, kada pasitelkiant netikras (bet panašias į tikras) interneto svetaines ar elektroninio pašto laiškus piktavaliai siekia išgauti prisijungimo duomenis (kodus, slaptažodžius) prie bankų, informacinių sistemų ar įrankių.


Skirtumas tarp šių dviejų scenarijų - ne technologija. Abiem atvejais sistemos buvo tos pačios. Skirtumas - ar kažkas pastebėjo neįprastą naudojimąsi sistemomis.


„Ar mūsų IT žmogus negali to daryti pats?"


Tai dažniausias klausimas, kurį girdime iš įmonių vadovų. Ir jis visiškai logiškas - juk IT administratorius jau prižiūri sistemas.


Bet čia verta atskirti du skirtingus darbus. IT administratoriaus užduotis - kad viskas veiktų: kompiuteriai įsijungtų, el. paštas būtų gaunamas, o failai serveriuose būtų prieinami. SOC užduotis - kad viskas veiktų saugiai ir tinkamai, o tiksliau - pastebėti, kai kažkas veikia ne taip, kaip turėtų. Tai skirtingos kompetencijos, skirtingi įrankiai ir, svarbiausia, skirtingas laikas: stebėsena negali būti darbas „kai lieka laiko nuo pagrindinių darbų".


IT administravimo ir saugumo stebėjimo atskyrimui yra ir praktiškesnė priežastis. Jei tas pats žmogus ir konfigūruoja sistemas, ir vertina jų saugumą, jis tikrina pats save - o savo klaidas pastebėti sunkiai. Savo ruožtu, nepriklausomas žvilgsnis iš šalies pastebi tai, prie ko vidinė akis jau priprato.


SOC ir kibernetinio saugumo vadovas - ne tas pats


Jei skaitėte ankstesnius mūsų įrašus, žinote palyginimą: kibernetinio saugumo vadovas (CISO) yra organizacijos saugumo architektas - jis projektuoja, konsultuoja ir prižiūri visumą. SOC šioje analogijoje - naktinis sargas: kasdienė, nepertraukiama stebėsena ir reagavimas.


Architektas ir be sargo žino, kaip namas turi būti saugus, bet nemato, kas vyksta jame šiąnakt. Savo ruožtu, sargas be architekto mato įvykius, bet nesudėlioja visumos: kokios rizikos svarbiausios, ką keisti procesuose, kaip atitikti teisinius reikalavimus. Stipriausias rezultatas - kai abu dirba kartu ir kalbasi tarpusavyje.



CISO (saugumo architektas)

SOC (saugumo sargas)

Veiklos pobūdžio esmė

Kibernetinio saugumo projektavimas

Kasdienis budėjimas ir stebėjimas

Atsako į klausimą

Kas daroma, kad būtų saugu?

Kas vyksta sistemose dabar?

Atliekami darbai

Rizikos valdymo planai, tvarkų paruošimas, mokymai ir testavimas

Įrenginių žurnalų sekimas, analizė, reagavimas į incidentus

Darbo ritmas

Strateginis - mėnesiniu ir metiniu ciklu

Taktinis - 9/5 arba 24/7

Kas atsitinka neturint?

Padrikos kibernetinio saugumo priemonės, užtikrinimas

Neprižiūrimas saugumas, padrikas incidentų aptikimas


Ką sako įstatymas?


Kibernetinio saugumo įstatymas (KSĮ, perkeliantis ES TIS2/NIS2 direktyvą) iš įmonių reikalauja ne tik apsaugos priemonių, bet ir gebėjimo pastebėti bei valdyti incidentus: rinkti ir saugoti įvykių žurnalus, stebėti tinklą ir sistemas, pranešti NKSC apie incidentą per 24 valandas nuo jo nustatymo.


Praktikoje tai reiškia paprastą dalyką: jei niekas nestebi jūsų sistemų, incidento tiesiog nepastebėsite - ir apie jį nepranešite laiku. Nuolatinė stebėsena iš „gerai būtų turėti" tapo teisiniu reikalavimu daugeliui Lietuvos organizacijų.


Ar visiems reikia to paties?


Ne. SOC paslauga paprastai skirstoma į lygius - nuo bazinio iki pilno valdymo: mažai organizacijai nereikia (ir neapsimoka) to paties, ko reikia dideliam kritinės infrastruktūros valdytojui.


Bazinis lygis įprastai apima žurnalų rinkimą, saugojimą ir mėnesines ataskaitas - tai minimalus pagrindas, kurio reikalauja įstatymas. Toliau prisideda nuolatinė žurnalų analizė ir stebėsena darbo valandomis arba 24/7, reguliarus pažeidžiamumų skenavimas, greitesnis reakcijos laikas ir incidentų tyrimas. Aukščiausiame lygyje - aktyvi grėsmių medžioklė ir galimybė nuotoliniu būdu izoliuoti užkrėstus įrenginius, kol grėsmė neišplito po visą tinklą.


Svarbiausia - pasirinkti lygį pagal savo veiklos rizikas ir teisinius reikalavimus, o ne pagal principą „paimsim pigiausią, kad būtų". Čia labai praverčia saugumo vadovo (CISO) žvilgsnis: jis padeda įvertinti, ko organizacijai realiai reikia.


Trys klausimai, kuriuos verta užduoti jau šiandien


Nepriklausomai nuo to, ar svarstote apie SOC, atsakymus į šiuos klausimus verta žinoti kiekvienam vadovui. Kviečiame užduoti juos savo IT komandai ar IT paslaugų tiekėjui:


  1. Ar renkame įvykių žurnalus iš svarbiausių sistemų ir kiek laiko juos saugome? Jei atsakymas „nežinau" arba „turbūt", incidento atveju nebus iš ko atkurti įvykių eigos, suprasti incidento kilmės.

  2. Kas pastebėtų neįprastą prisijungimą penktadienio naktį - ir per kiek laiko? „Pirmadienį, kai ateisime į darbą" yra sąžiningas, bet dažnu atveju brangus atsakymas, nes piktavaliams išeiginių nėra.

  3. Jei incidentas įvyktų rytoj - ar žinotume, ką pranešti NKSC per 24 valandas? Pranešti reikia ne „kažkas atsitiko blogai", o kas įvyko konkrečiai ir koks poveikis. Be žurnalų ir stebėsenos to atsakyti neįmanoma.


Jei bent į vieną klausimą atsakymo nėra - tai ne priekaištas, o dabartinės situacijos žemėlapis, nuo kurio ir pradedamas gerinti įmonės kibernetinis saugumas.


Sargas, kuris budi, kol jūs miegate


Kibernetinio saugumo užtikrinimas ilgą laiką buvo suprantamas kaip vienkartinis darbas: įdiegti programas ar įrangą, sukonfigūruoti, aprašyti dokumentaciją. SOC atspindi naują, brandesnį požiūrį - saugumas yra nuolatinis procesas. O kadangi savo budinčios komandos mažesnėms organizacijoms išlaikyti neapsimoka, natūralus kelias - juo dalintis: išorinis SOC stebi kelias organizacijas, mažindamas individualias išlaidas.


Kibernetinis saugumas - nuolatinis procesas, o ne vienkartinis darbas

Jei jūsų organizacijai reikalinga nuolatinė stebėsena pagal Kibernetinio saugumo įstatymą arba tiesiog norite žinoti, kas vyksta jūsų tinkle - pasikalbėkime. Kartu su mūsų teikiama išorinio kibernetinio saugumo vadovo (CISO) paslauga tai leidžia turėti ir strategiją, ir kasdienę stebėseną iš vienų rankų.



 
 

Ženkite pirmąjį žingsnį

Kibernetinio saugumo atitiktis neįvyksta per dieną - susisiekite su mumis ir pradėkite jos siekti

bottom of page