Hlavní navigace

Na návštěvě v bezpečnostním dohledovém centru O₂ ITS

 Autor: O₂
Marek Janouš

Společnost O₂ IT Services představila „Security Expert Center“. Jeho službu nabízí nejen těm, kteří spadají pod zákon o kybernetické bezpečnosti, nýbrž komukoli, kdo zpracovává citlivá data.

V úterý 19. dubna otevřela společnost O₂ IT Services formálně svoje komerční dohledové středisko. Na prohlídku pozvala novináře i možné zákazníky.

Běžně jsou podobná centra známa jako SOC — security operations center. Z obchodních důvodů se v O₂ ITS rozhodli pro název „Security Expert Center“, aby bylo zákazníkům už ze zkratky SEC zřejmější, že jde o bezpečnost.

Středisko chystali od loňského března. V provozu je opravdu od počátku prosince a zatím má šest zákazníků. O₂ ITS je ovšem nejmenuje, ale jsou to dílem velké státní instituce (například ministerstva) spadající pod zákon o kybernetické bezpečnosti a dílem zákazníci komerční, a to zatím spíše střední nebo menší.

O₂ ITS sice dodává nebo upravuje také řešení na straně zákazníka, ale SEC je pojato především jako služba za stálý měsíční poplatek. Pro jak malé zákazníky dává smysl? Setkali jsme se i s právními kancelářemi o dvou počítačích, kde se ale spravují důležité smlouvy. Vezmu‑li to na objem dat, chodil by nám od nich tak gigabajt denně a stáli bychom je asi dvacet tisíc měsíčně. Uvážíte‑li, že výstavba vlastního SIEM začíná od dvou miliónů…, odhaduje analytik Petr Tejnský.

SIEM: Security Information and Event Management, tedy řízení informační bezpečnosti a bezpečnostních událostí, vlastně průběžný dohled nad síťovým provozem a sběr záznamů o něm, a možnost analýzy a protiopatření v případě mimořádného jevu, který může znamenat narušení bezpečnosti. (Pojmu SIEM poprvé užil patrně Gartner v roce 2005.)

SEC je prozatím připraven obsloužit asi čtyřicítku zákazníků různé velikosti. Indexovat může celkem 1,7 TB příchozích dat denně (asi sto tisíc EPS, tedy událostí za sekundu). Největší zákazníky vyjde bezpečnostní dohled od SEC zhruba na tři sta tisíc korun měsíčně.

Jak je postaveno

U zákazníka musí být sběrač čili kolektor dat o síťovém provozu a síťových zařízeních. Zpravidla se dodává jako zařízení virtuální (virtual appliance), leč kdyby zákazník neprovozoval žádný virtuální stroj, lze mu dodat sběrač jako hardware. Do uživatelských stanic se zavádějí klientské agenty (podporují Windows a Linux/Unix); ty posílají data do sběrače.

SEC používá ke sběru dat Syslog-ng Premium Edition od Balabitu. Sběr je proti výpadkům zajištěn tříúrovňově: klientské agenty dokáží data podržet po 24 hodin, nemají-li spojení s kolektorem; kolektor je podrží po sedm dní, nemá-li spojení do SEC; v SEC se data ukládají nejméně na tři měsíce, a to zašifrovaně, na důvěryhodném a certifikovaném úložišti, udává Petr Tejnský. Veškerá data jsou časově označena, aby nemohlo dojít k manipulaci; jak to požaduje zákon.

Důležitou výhodou Syslog-ng proti třeba Rsyslog a podobným je řízení datového toku, možnost vyhradit jen určitou šířku pásma, vyzdvihuje Tejnský. Většina útoků způsobí množství zpráv ve velmi krátkém čase, bez řízení toku je snadné zahltit celý řetězec.

Sběrač je se SEC spojen buďto skrze VPN, nebo přes Internet s využitím TLS 1.2. Podle toho, co zákazník požaduje, sděluje Tejnský. TLS 1.2 je, myslím si, v zásadě bezpečné. Kdyby mělo dojít k prolomení TLS, dojde i k prolomení VPN, soudí.

Samo SEC je implementováno v „neveřejném cloudu“. Jeho obsluha však nemusí sedět v té místnosti na fotkách, stačí jim notebook a připojení k internetu. (Přístupová práva řídí Shell Control Box od Balabitu.)

Tým SEC má šest pracovníků a šéfa, zatímco partnerská společnost Axenta poskytuje asi desítku administrátorů a vývojářů; právě ona postavila, spravuje a vyvíjí technické řešení SEC.

Úlohy v týmu SEC

Dva operátoři sledují aktivní kanály a ukazatele, zakládají případy a popisují je; nedokáží‑li sami vyhodnotit, že případ je pouze planým poplachem, předávají ho na analytiky.

Tři analytici, vybaveni analytickými nástroji, doporučují a implementují případná protiopatření.

Expert udržuje a rozšiřuje znalostní databázi — rozpoznává nové případy, rozvíjí stávající. Navrhuje nové korelace, filtry, monitory, aktivní seznamy a kanály, ukazatele a hlášení.

Ve středisku se zatím pracuje osm hodin pět dní v týdnu. Ale někdo na to kouká 24/7, ujišťuje Petr Tejnský. Máme ještě interní dohledové centrum. I analytici mohou být dostupní 24/7, ale zákazníci obvykle požadují řešení bezpečnostních událostí následujícího pracovního dne.

Čtvero základních modulů SEC

  1. Aktivní monitorování všech součástí SEC — jak u zákazníka, tak v datacentru. Na rozpoznávání anomálií je nasazen Flowmon ADS.
  2. Správa logů, tedy posbíraných dat: už výše zmíněný Syslog-ng.
  3. Řízení bezpečnosti. Využíváme HP ArcSight ESM, sděluje Tejnský, a to z toho důvodu, že je nativně multitenantní, umožňuje real‑time korelace bezpečnostních událostí různých typů. To není u SIEM nic nového, ale výhodou ArcSightu je včasná a přesná detekce. Nasazování SIEM běžně způsobí množství planých poplachů, ale ArcSight lze velice rychle naučit, co jsou false positives, lze vymezit různé případy pro různé stavy; plané poplachy se jím dají dost omezit.
    ArcSight se dále vyznačuje tím, že má rozsáhlou kategorizaci a normalizaci dat a více než tři sta chytrých konektorů už v sobě: připojíte jakékoli zařízení, které požadujete, podporuje SAP, různé aplikace a pod. ArcSight zkracuje řešení běžných incidentů z hodin na minuty.
  4. Tiketovací systém a zákaznický portál: Provozujeme iTop; je to open‑source. Zvolili jsme ho proto, že podle ITIL je to best practice. Obsahuje konfigurační databázi CMDB s auditem změn; bez CMDB nepostavíte správný SIEM. iTop má flexibilní správu tiketů nebo analýzu dopadů a závislostí — například které další servery budou ovlivněny výpadkem určitého serveru; to oceníte i při údržbě, popisuje Tejnský.

Odpovědnost ze zákona zůstane na zákazníkovi

Spadá‑li zákazník do působnosti zákona o kybernetické bezpečnosti, odpovědnost vyplývající ze zákona zůstává na něm, upozorňuje ředitel Národního centra kybernetické bezpečnosti Vladimír Rohel. Dodává, že pro podobná centra zatím NCKB nezamýšlí žádné certifikace: Nechceme na začátku regulovat trh a nemáme na to ani kapacity, vysvětluje. Různé certifikace však mohou mít jednotliví pracovníci centra.

Postavit pořádné dohledové centrum je velká investice. Je na vás, abyste si vypsali soutěž tak, aby vám z ní nevyšla garážovka, a musíte si dobře sepsat i smlouvu, doporučuje Rohel. Ředitel komerční divize O₂ IT Services Václav Provazník doplňuje: Do našich smluv dáváme, že zajišťujeme soulad se zákonem o kybernetické bezpečnosti.

Našli jste v článku chybu?

25. 4. 2016 9:41

jiný muf (neregistrovaný)

Rozumím tomu správně, že v rámci zvýšení bezpečnosti svého síťového provozu a důvěryhodnosti své interní IT infrastruktury si mám do svých strojů zavést nějaký proprietární soft, který odesílá veškerý můj vnitřní provoz cizí firmě ven do internetu a nechává ta data kolovat po všech čertech na notebooky nějakých "expertů", co si to můžou prohlížet přes VPN/TLS odkudkoliv? A to je jako bezpečné řešení?

26. 4. 2016 11:42

xxmarv (neregistrovaný)

Sice se mi zdá že článek je spíše psaný PR, ale pro všeobecný přehled je dobré vědět co O2 má. čekal jsem spíše něco co O2 duševně vlastní a kde dá svoje know-how. Zatím to pro něho provádějí externí firmy. No ono už ubylo velkých firem, které chtějí něco řešit. Lépe a výhodněji je si to postavit sám a po té to nabízet zákazníkům.
Co se týče propustnosti sítě, ale v tomto článku zmíněno není. Je zde naznačen kolik zvládne samotný SEC, ale už se opomíjí kolik se zpomalí pak vlastní řešení míněno …

Vitalia.cz: Cena stejného léku se liší i o tisíce

Cena stejného léku se liší i o tisíce

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy