7 minute read
Pomáháme s budováním aktivního SOCu
Jindřich Šavel, obchodní ředitel společnosti Novicom, nám prozradil, které trendy jsou zásadní v oblasti kybernetické bezpečnosti a proč je budoucnost v externích SOCích. Řeč byla také o inovacích v produktovém portfoliu Novicomu a partnerské síti, u které si společnost zakládá na exkluzivitě.
Jak se vám momentálně daří
Novicomu se daří v souladu s našimi plány a představami, odráží se to v rozšiřování prodejů, rozrůstají se nám interní týmy, prodejní týmy, vývojové týmy. Neusínáme na vavřínech a to, co vyděláme, opět investujeme do dalšího rozvoje, pokračujeme dál a těšíme se na budoucnost.
Oblast kybernetické bezpečnosti je momentálně jednou z těch nejzajímavějších v IT, které trendy zde podle vás dominují?
V současné době pozorujeme, že se v kybernetické bezpečnosti naráží na limity v oblasti lidských zdrojů. Čím dále více se projevuje, že širší nabídka technologií nenachází uplatnění, jelikož na jejich obsluhu chybějí lidé. Vypadá to tak, že se nakupují další a další produkty, které zůstávají nevyužity. Jen to, že se něco koupí a nainstaluje, budí často falešné zdání bezpečnosti. Je ale důležité si uvědomit, že neexistuje jeden všeobjímající produkt, který by komplexně řešil kybernetickou bezpečnost. Přitom neustále narůstá počet toho, co je zapotřebí chránit, objevují se nové hrozby a současně s tím je bohužel stále méně kvalifikovaných lidí, kteří by dokázali dostatečnou ochranu zajistit.
Jak se dá tento stav řešit?
Možností řešení je více. První trend je příchod nových nástrojů, které především v oblasti detekce začínají využívat umělou inteligenci. Umělá inteligence je oblast, které se momentálně přikládá obrovský význam. Nehledejme v tom však nic nadpřirozeného, nejde o žádný centrální mozek lidstva. Dnes to není nic jiného než samoučicí mechanismy, které dokážou rychleji vyhodnocovat to, co by lidé dělali nepoměrně delší dobu. Tedy umělá inteligence zrychluje detekce a do určité míry může proaktivně nabídnout cesty vedoucí k reakci. Samozřejmě že pouze detekce nestačí. Jsou zde nástroje, které se snaží automatizovat detekované události – zrychlovat reakci, to znamená integrovat celou řadu funkcí do jednoho nástroje, kde vše probíhá efektivněji. Zajímavé je, že těchto nástrojů je řádově méně než nástrojů pokročilé detekce kybernetických hrozeb. Do této oblasti spadají naše řešení, zejména Novicom AddNet, který unikátně integruje DDI a NAC.
Dalším trendem, který je pro kybernetickou bezpečnost momentálně příznačný, je outsourcing. Jde o zásadní mentální předěl, dodnes se většina organizací zaměřovala pouze na provoz a bezpečnost nikdo příliš neřešil. Nicméně s tímto už není možné dál pracovat. Jak jsem říkal, lidí je málo, a vybudovat ve velké firmě interní SOC, který by zahrnoval všechna spektra činnosti, by vyžadovalo obrovský tým a investice. Když si vezmete jen analytický tým, což je pomyslná špička, jde o pět šest analytiků, těch je velký nedostatek, a firmy, které by se chtěly vydat cestou vlastního SOCu, by jen za tento analytický tým vydaly enormní sumu. Z toho jasně vychází, že pro drtivou většinu firem jde o ekonomický nesmysl. Budoucnost je tedy, podle mého názoru, v externích SOCích. Tuto oblast hodně sledujeme, v současné době v České republice nabízí služby SOC dvanáct komerčních organizací, je možné, že v tuto chvíli někdo další vzniká. Cílem organizací hledajících důkladné bezpečnostní řešení by měl být právě externí SOC.
Je tomu více než rok, co nabylo účinnosti GDPR. Můžete nějak zhodnotit, jak se odrazilo ve vnímání kyberbezpečnosti? Začaly se firmy o tuto oblast alespoň více zajímat?
Zjišťovali jsme si, jak GDPR vnímají naši zákazníci. Vesměs berou GDPR negativně, dokonce až jako sprosté slovo. Lidé jsou přesyceni. Praktických dopadů na realizaci technických opatření je jako šafránu. Na trhu bude zřejmě hodně nevytížených GDPR konzultantů. Nicméně organizace, které mají citlivá data uživatelů, se musely k GDPR nějak postavit. Řeč je hlavně o finančních institucích. Ostatní to poněkud bagatelizovaly, udělaly nezbytnou administrativu, zavedly šanony, ale že by někdo opravdu kvůli GDPR vyřešil celou svou bezpečnost, to si moc nemyslím. Mimochodem, Česká republika v tomto ohledu není výjimka. Jeden velký pozitivní přínos ale GDPR mělo – hodně se začalo o kybernetické bezpečnosti mluvit a povědomí o tom, co je v souvislosti s ní zapotřebí řešit, se zásadně zvýšilo.
Pojďme k vašemu produktovému portfoliu. Co všechno momentálně nabízíte a které oblasti kybernetické bezpečnosti tím řešíte?
V posledním roce nám nepřibyly nové produkty, nicméně neustále šlechtíme a prohlubujeme ty stávající. Čím dál více se naše produkty prosazují ve strategii tzv. aktivního SOCu. Nechceme bojovat se svými konkurenty v oblasti NAC stejnými produkty. Když nabízíte totéž, co ostatní, neodlišíte se. Proto jsme přišli s integrovanými nástroji, které se snaží být komplementem vrcholového bezpečnostního dohledu. Firmy, které nabízejí SOC jako službu, toto vítají a vyhovuje jim, že jsme schopni posunout jejich služby ze základního pasivního módu, v němž dnes prakticky všechny fungují, do aktivního režimu. Naše produkty, AddNet a BVS (Business Visibility Suite), do toho konceptu zapadají. BVS je na začátku a snaží se zmapovat veškerá aktiva v organizacích na základě reálné komunikace, dále je klasifikuje, organizuje, taguje. Ve druhé fázi sleduje jejich komunikaci, zda je validní, zda komunikuje s daty, se kterými má, tedy sleduje, co je a co není normální a zda je pořádek v aktivitách. Dalším krokem je navázání těchto aktivit na provozované byznysové služby, tedy aplikace a podobně. Čili BVS lze použít jako nástroj pro byznys impact analýzu. Ve finále nespočívá užitečnost BVS jen v interní analýze, ale jde o nezbytnou podmínku, aby SOCy byly schopny nabízet aktivní služby, tedy aktivní incident response. AddNet je nástroj pro incident response samotný. Externímu operátorovi SOCu lze například dát roli, aby mohl riziková zařízení přesouvat do karantény. Tyto role posilujeme o možnost sběru dat ze vzdálených lokalit, tedy sbírání syslogů, IP fixu, netflow a podobně.
Na začátku června jste na svém semináři představili novinky a nové funkce, můžete je přiblížit našim čtenářům?
Své produkty a jejich funkce jsme opět prohloubili. U BVS jsme naznačovali, že přibude bezpečnostní modul. Ve finále jsme se rozhodli, že jej uděláme součástí byznys modulu.
Rozšířili jsme tedy naši BVS Business Edition, která nyní přichází s integrací oblastí správy síťových aktiv, byznys procesů a nově i kritických zranitelností, a to pomocí přidané bezpečnostní funkcionality. Staví na osvědčeném způsobu správy komunikací síťových aktiv a vizualizací závislostí byznys procesů na těchto zařízeních. K aktuálnímu pohledu propojení IT aktiv a byznys služeb tak BVS Business Edition přináší nově i rozměr IT bezpečnosti, kdy u jednotlivých detekovaných IT aktiv v síti bude připojena informace o identifikovaných zranitelnostech. Tato data získává BVS z výstupů ze skenerů zranitelností, a párováním s IP adresami tak dostává aktivum uvnitř BVS nový informační rozměr. Ve výsledku jsme tak schopni říci, jak změna zranitelnosti ovlivní konkrétní vrcholovou provozovanou byznys službu. Byznys uživatelé, manažeři, operátoři i bezpečnostní specialisté tak mohou díky nové verzi Novicom BVS Business Edition z jednoho místa zjišťovat klíčové informace pro prioritizaci činností, řídit kontinuitu a minimalizovat rizika negativních dopadů na organizaci kvůli bezpečnostním slabinám. Jde o poměrně zásadní věc. Samozřejmě došlo i na vizuální úpravy, zrychlení, zkrátka evoluce.
U AddNetu pokračujeme směrem k bezpečnosti, prohloubili jsme funkci NACu o pokročilé služby a možnost aplikování bezpečnostních politik, vytváření dynamických access control listů (DACL), jejich správu. Jsme schopni i při připojení kdekoliv v rozsáhlé síti aplikovat politiky určené jedné konkrétní skupině, které jsou dynamické a flexibilní. Dochází tedy ke standardizaci, ze které sekundárně těží správci firewallů, kterým stačí nastavit globální politiky a nemusejí vytvářet další pravidla podle lokalit a podobně. Takže přichází zjednodušení správy switchů, firewallů a podobně, jelikož budeme globálně aplikovat bezpečnostní politiky při řízení přístupu do sítě. Podařilo se nám vše udělat tak, aby vzniklo heterogenní prostředí. Většina našich konkurentů v NACu tyto pokročilé bezpečnostní politiky dělá pouze pro svůj hardware. Když shrnu novinky v AddNetu do čtyř hlavních bodů, jde o: 1) automatické zařazení do karantény na základě provedení health checku na klientech, 2) bezpečnostní politiky díky DACL na úrovni přístupových switchů, 3) možnost nastavení přihlašovacího času a 4) real-time informace z NAC provozu.
Co vývoj produktů a prohlubování funkcí motivuje? Jde o reakci na požadavky zákazníků, pracujete aktivně se zpětnou vazbou?
Jde o kombinaci požadavků zákazníků a sledování aktuálních trendů. Například jsme zjistili, že pokročilé síťové politiky jsme schopni obstarat relativně bez problémů, oproti tomu šel trend, který v případě ransomwaru říká, že když už dojde k infekci, šíří se velice rychle. Proto jsme došli ke zjištění, že detekce je sice nezbytná, ale stejně důležitá je i prevence. Tyto politiky nám proto umožňují, že zařízení v jedné VLAN mohou komunikovat směrem k informačním zdrojům, například k SAPu, na Exchange a podobě, ale navzájem se prostřednictvím konvenčních protokolů nevidí, což je zásadní – například pomocí samba protokolu se ransomware šířit zkrátka nebude.
Jak je na tom vaše partnerská síť?
Partnerská síť roste, přesto není naším cílem mít jako partnera úplně každého. Snažíme se partnerskou síť budovat chytře tak, aby měli partneři neustále k dispozici něco, co je svým způsobem exkluzivní a umožní jim odlišit se od konkurence. Preferujeme tedy partnery, kteří jsou schopni spojit naše produkty se svou přidanou hodnotou. V České republice tedy nebudeme mít stovky partnerů, budeme se pohybovat v desítkách, ale půjde o takové partnery, kteří chápou naše produkty a mají sami co nabídnout. Rosteme pomalu, řízeně a s důrazem na kvalitu. Naši síť se budeme i nadále snažit optimalizovat z hlediska procesů a podpory, kterou nabízejí naši distributoři.
Jak vypadá váš typický partner?
Máme tři druhy partnerů. První jsou systémoví integrátoři, kteří mají znalosti z hlediska networkingu nebo bezpečnosti, dodávají střední a vyšší modely switchů, umějí implementovat firewally, pracují s log managementem. Druhým typem jsou firmy, které nabízejí SOC jako službu, třetím typem jsou firmy, které se orientují na další telekomunikační služby, jako jsou telco provideři. Poslední dvě uvedené skupiny preferují nabízet naše řešení formou služby, první je zaměřená na projekty, nicméně naší velkou výhodou je, že jim všem zpřístupníme své technologie i formou možného čerpání opexových prostředků. Jinými slovy řešíme financování tak, aby si naši partneři mohli naše produkty zahrnout do svých dlouhodobých projektů a vydělávali na nich tak, že je budou nabízet formou služby.
Kde se vám kromě České republiky podařilo uspět?
V současné době se nám daří v Polsku, na Slovensku a ve Vietnamu. Snažíme se také uspět v německy hovořících zemích a zajímají nás i další země v západní a střední Evropě. Děláme průzkum bojem i ve vzdálenějších lokalitách, jako je jihovýchodní Asie, Afrika nebo Amerika. Zde se však ještě nemůžeme bavit o tom, že zde máme fungující partnerskou síť.
Jsou nějaké výrazné rozdíly ve vnímání bezpečnosti mezi zeměmi, ve kterých působíte?
Rozhodně. Například polský trh je relativně rozvinutý z hlediska nasazování NAC nástrojů, je tam vyšší konkurence, ale například jsou tam pouze tři firmy, které SOC nabízejí. U nás je situace úplně obráceně, u nás je mimo finanční sektor penetrace NAC do 10 %. Rozdíly jsou i v celkovém přístupu. V Asii chtějí lidé detaily o produktech a službách, než se pro něco rozhodnou, situaci v Evropě znáte a v Africe a Americe je technické detaily téměř vůbec nezajímají. Čili pokaždé je nutné aplikovat úplně jiný přístup – někde musíme zjednodušovat, jinde mít připraveny dodatečné informace. Obecně přístup k bezpečnosti určují výrobci, kteří se snaží být globálně aktivní. Co se týče skladby stovek produktů, které se zde nacházejí, jde o velice podobná prostředí. Z hlediska budování SOC jde však o velké rozdíly, někde je to stále na začátku, v jiných zemích naopak na velice vysoké úrovni. Princip budování aktivního SOCu, tedy nabídky i aktivního incident responsu, je v plenkách téměř všude, proto jsme rádi, že jsme jedním z lídrů této myšlenky.
Na co se budete v dohledné době zaměřovat?
Na další rozvoj našich produktů a plánujeme i rozšiřování týmu. Už nyní zde máme kolegy, kteří jsou vyhrazeni přímo pro partnery zabývající se SOCem. Věnujeme se více i aktivnímu otevírání koncových příležitostí. Nicméně ty směrujeme na naše partnery, takže rozvoj příležitostí se snažíme dělat strukturovaně. K tomu jsme se uchýlili, jelikož partneři potřebují příklady. Přinesli jsme politiku aktivního SOCu, kterou nikdo nenabízel. Musíme tedy s někým celý proces projít od začátku do konce, abychom ukázali, že to má smysl a funguje to. Jsou zde produkty, které prodáváme jinak než ostatní, a proto je na nás, abychom prošlapali cesty a partnerům usnadnili jejich podnikání.
Rozšiřujeme také vývojářské týmy, posilujeme i management, podporu, chystáme posílení na úrovni řízení.
Jakou cestou chcete, aby se ubírala partnerská spolupráce?
Pracujeme také na tom, aby byli i naši partneři více soběstační, posilujeme naši implementační metodiku, kterou jsme nově zapouzdřili do portálového rozhraní, takže jsme schopni dát našim partnerům nástroj, pomocí kterého mohou řídit svůj projekt, a my na druhé straně můžeme metodicky pomoci a současně provádět kontrolu kvality projektů, čehož si lidé hodně cení. Pracujeme také na tom, abychom lépe sdíleli své know-how s partnery, což bude lépe viditelné z dlouhodobého hlediska. Naší vizí je, aby kombinace našeho know-how a produktů umožnila našim partnerům poskytovat lépe jejich služby.
