Security Operation Center (SOC) байгуулна гэдэг нь тийм ч амар ажил биш. Олон төрлийн судалгаа шинжилгээ, систем төхөөрөмжүүдийн уялдаа холбоо, тохиргоо суурлиулалт мөн аюулгүй байдлын мэргэжилтнүүдийн хомсдлоос үүдсэн асуудлуудыг ихээхэн цаг, хөрөнгө зарцуулан шийдсэн нь маш том амжилт. Хийх ажил үүгээр дуусахгүй, харин ч эсрэгээрээ Security Operation Center (SOC) байгуулснаар зогсолтгүй ажиллаж, тасралтгүй сайжруулах ажил эхлэх юм.
Харамсалтай нь ихээхэн хөрөнгө оруулалт хийгдэж, олон хүний хичээл зүтгэл байсан ч байгууллагын аюулгүй байдлыг хангаж чадахгүй байсаар л байх явдал тохиолддог байна.
Харин танай байгууллагын SOC хэр үр дүнтэй ажиллаж байгаа вэ? Та ч бас энэ тухай бодоод үзхэд илүүдэхгүй ба доорх 3 асуултад хариулаад үзээрэй.
- Танай байгууллага цахим халдлагад тухай бүрт нь хариу арга хэмжээ авч, аюулыг бууруулж чадаж байна уу?
- Халдлагыг дахин үүсгэхгүй байх талаар болон дахиж үүссэн ч ямар шат дарааллаар хариу арга хэмжээ авах тодорхой процессыг тэр дор нь үүсгэж чадаж байна уу?
- Үүссэн будлиан, үйл явдал бүрийн автоматаар баримтжуулж дараа нь хяналт тавьж чадаж байна уу?
Нэгээс дээш “ҮГҮЙ” гэсэн хариулт болон тодорхой хариулт өгч чадахгүй байгаа бол танай байгууллагын SOC ч бас бүрэн үр дүнтэй байдлаар ажиллахгүй байна гэж үзэж болно.
Тэгвэл танай SOC шаардлагадаа хүрэхгүй байгааг яаж мэдэх вэ? Та доорхи тохиолдлууд танайд гарч байгаа эсэхийг шалгаад үзээрэй.
1. Investigate буюу халдлагыг шалгахдаа танай Аюулгүй Байдлын Аналист “Notepad” (Text Editor) ашиглаж байна уу?
Хэрэв танд доор зурагт үзүүлж буй Notepad-ны хэрэглээ танил харагдаж байгаа бол та SOC-ын системдээ томоохон хөрөнгө оруулалт хийх зайлшгүй шаардлагатай болсон гэсэн үг.
.png)
Яг энэхүү зураг дээр үзүүлсэн шиг нэг цонхноос бүх мэдээлээ харж, шалгах боломжгүй, хэд хэдэн системээс лог цуглуулж, түүнийгээ өөртөө хялбар байдлаар нэг цонх дээр тэмдэглэж байж арга хэмжээ авч байгаа бол танай байгууллага бүхэлдээ эсдэлд байна гэсэн үг. Яагаад гэвэл танай байгууллагын Халдлагыг Илрүүлэх Хугацаа (MTTD) болон Хариу Арга Хэмжээ Авах Хугацаа (MTTR) нь гар ажиллагаа, системүүдийн уялдаа холбоо муутай байгаагаас үүдэн маш өндөр болох юм.
Тиймээс зөвхөн нэг цонхноос бүрэн Investigate хийх боломжтой систем зайлшгүй шаардлагатай болжээ. Товчхондоо бол одоо ашиглаж буй SIEM системээ сайжруулах эсвэл солих талаар бодох цаг аль хэдийн ирсэн байна.
2. Хэтэрхий их “ШУУГИАН”-тай байна уу?
Ямар нэгэн халдлага, мэдээллийн аюулгүй байдалтай холбоотой анхааруулга (alarm) мэдэгдлийг Noise буюу Шуугиан гэж нэрлэдэг.
Security Information and Event Management (SIEM) систем нь төрөл бүрийн систем төхөөрөмжүүдээс лог мэдээлэл авч түүн дээрээ боловсруулалт хийж, тухай бүрт харгалзах эрсдлийн үнэлгээг өгсний үндсэн дээр Security Event үүсгэдэг ба цаашлаад Аюулгүй Байдлын мэргэжилтнүүдэд анхааруулга мэдэгдэл болгон хүргэдэг.
Гэтэл өдөрт хэдэн зуун Alarm үүсэж, имэйл мэдэгдлүүд хэдэн мянгаараа ирж байна уу?
Магадгүй та манай SOC сайн ажиллаж, үйл явдал бүрийг барьж авч байна гэж бодож байгаа бол энэ нь өрөөсгөл ойлголт болох юм.
Хамгийн чухал зүйл бол үүссэн Анхааруулга бүрийг шалгаж аюулыг зайлуулах юм. Гэтэл хэдэн зуун анхааруулга өдөр бүр шинээр үүсэж байхад танай мэргэжилтнүүд бүгдийг нь шалгаж амжих уу гэдэг нь л асуудал. Шалгалаа ч хэр их цаг зарцуулах, түүний хэдэн хувь нь False Positive буюу Хуурамч Илрүүлэлт вэ гэдгийг маш чухлаар анхаарах хэрэгтэй. Энэ тохиодолд та анхааруулга үүсгэж буй системийн тохиргоо болон үүсгэсэн дүрмүүдийг дахин шалгаж Fine-Tuning буюу Сайжруулалт хийх шаардлагатай. Fine-Tuning хийснээр илрүүлэлтийн оновч сайжирч, Халдлагыг Илрүүлэх Хугацаа (MTTD) хугацаа багасч бодит эрсдлийг богино хугацаанд таниж чаддаг болох юм.
Тиймээс тодорхой цар хүрээнд, үр дагавар нь өндөр хохиролтой байх халдлагуудыг тодорхойлж тухай бүрт нарийн шалгаж, таслан зогсоох шаардлагатай ба хуурамч илрүүлэлтийг бууруулхад анхаардаг байх ёстой.
3. Халдлагыг таслан зогсоох “ХАРИУ АРГА ХЭМЖЭЭ”
Ямар ч үйл ажиллагаа явуулхад ажиллах хүч ямагт хязгаарлагдмал байдаг. Мэргэжилтнүүдийг бүтээмж өндөртэй ажиллуулах нь байгууллагаас цогц бодлогыг шаарддаг, гэтэл Аюулгүй Байдлын Мэргэжилтнүүд тань асуудал бүрт гар бие оролцох нь ашигтай байх уу?
Мэдээллийн Аюулгүй Байдал талаас нь хархад хэдий чадварлаг мэргэжилтэн байгаад ч тэр мэргэжилтэн яг л машин шиг хурдтай ажиллаж тухайн агшинд л хариу үзүүлж чадахгүй бол шалгаж байх хооронд нь халдлага амжилттай болж дуусна. Харин үүссэн хохирлыг арилгахын тулд дахиад л олон хүн, олон цагийг зарцуулах БОНУС ажил орж ирнэ. Цахим аюулгүй байдал асар хурдацтай өөрчлөгдөж буй энэ цаг үед уламжлалт аргаар хамгаалснаар тэсч үлдэх магадлал тун бага. Хэдийн өнөөдөр ихээхэн хичээл зүтгэл гарган тэсч үлдлээ ч маргааш дахин өөр эрсдлийн өмнө бууж өгөх магадлалтай.
Тиймээс зөвхөн нэг цонхноос бүрэн Investigate хийх боломжтой, мөн автоматаар халдлагад хариу үзүүлэх Security Automation and Orchestration Response (SOAR) системийг нэвтрүүлэх зайлшгүй шаардлагатай болсон байна. Заналхийлж буй эрсдэл бүрийг автоматжуулах боломжгүй ч түгээмэл тохиолддог, мөн учрах магадлал өндөртэй халдлагуудыг бүрэн автоматаар таслан зогсоодог болсноор танай байгууллагын мэдээллийн аюулгүй байдлын чанар эрс сайжрахаас гадна ажиллах хүчний үр ашиг нэмэгдэх юм.
“Gartner”-аас гаргасан судалгаан дээр “2021 он гэхэд томоохон байгууллагуудын SOC-ын 70% нь SOAR системийг нэвтрүүлнэ” гэсэн таамаглал гаргасан байна.
Emerging Technology Analysis: SOAR Solutions: https://www.gartner.com/en/documents/3895089
Хэрэв дээрх асуудлууд танай байгууллагад тулгарч байгаа бол та бидэнтэй холбогдоорой. Бид уламжлалт SIEM-ыг өөртөө агуулснаас гадна халдлагад автоматаар хариу үйлдэл үзүүлэх SOAR систем болох “LogRhythm – Next Generation SIEM” шийдлийг санал болгож байгаа бөгөөд энэхүү Next Generation SIEM нь дангаараа SOC-ын өдөр тутмын үйл ажиллагааг бүрэн хангах шийдэл юм.
Нийтлэгч: Ж.Гомборагчаа
CCSE
