O technologii SOAR a dalších pokročilých nástrojích v rámci kyberbezpečnosti spolu hovořili Petr Smolník, šéfredaktor vydavatelství AVERIA.NEWS, a Jan Kozák, projektový manažer ve společnosti AXENTA.

Petr Smolník: Rád bych navázal na minulý rozhovor, kdy jste zmínil slovo, o kterém jsem psal už před třemi lety, a dnes vidím, že ho běžně používáte. Jedná se o technologii SOAR, kterou sice známe déle, ale každý k ní neměl přístup. Řekněte nám k tomu prosím něco více. Jak se technologie vyvinula? Jakou s ní máte zkušenosti a o co vlastně jde?

Jan Kozák: Děkuji za tuto otázku. SOAR technologii implementujeme zhruba tři a půl roku, takže to přesně koresponduje s tím, jak jste říkal, že před třemi lety se o ní začalo intenzivněji hovořit. Používáme ji hlavně proto, že řešíme nedostatek personálních zdrojů, jak jsme se bavili předchozím rozhovoru.

Cílem SOARu v naší firmě je odlehčit základní rozhodování L1 operátorů, protože musí manuálně vyhodnocovat obrovské množství podobných, opakujících se událostí v nástrojích typu SIEM. To je nástroj postavený na základních bazálních pravidlech, případně u pokročilejších systémů s prvky strojového učení. Operátor musí na každou z těchto událostí reagovat, byť by byla pořád stejná a opakovaná. Může si sice pomoci pravidly, která např. více stejných událostí uzavřou, ale stále je nutné pravidelně stav vyhodnocovat a upravovat ručně.

Rozvinuli jsme a zdokonalujeme automatizaci v technologii SOAR, která na základě předchozích zkušeností a rozhodnutí operátora dokáže celý proces zautomatizovat. Takže když to vezmu úplně laicky – pokud vznikne bezpečnostní událost na základě detekce v SIEM, která už vznikla mnohokrát předtím a vždy bylo výsledkem založení tiketu a nahlášení události našemu koncovému zákazníkovi, pro kterého zajišťujeme monitoring kybernetické bezpečnosti, tak SOAR na základě předdefinované procedury celý proces zautomatizuje.

PS: Můžu k tomu říct příklad? Protože tomu ne každý úplně rozumí. Došlo k pokusu o nabourání, to znamená někdo vstoupil na doménu a pokusil se zadat heslo. Zadal ho čtyřikrát, přičemž je tam nastaveno, že po třetí to spadne do nouzovému režimu a zablokuje se přístup k dané doméně. A existuje určitý proces, jak to vrátit, změna hesla a tak dále. Zjednodušeně lze říct, že například takový proces umí SOAR vyřešit bez lidského zásahu.

JK: To je pěkný příklad, děkuji za něj. Technicky ano, ale i v případě využití automatizace by měl do procesu vstoupit člověk, který by měl udělat finální rozhodnutí. Stroj vyhodnotí pokusy o neúspěšná i úspěšná přihlášení, už ví a predikuje, že je to například pokus o útok na daný účet. Může vidět, z jaké je to domény. Umí nasát všechny informace ze všech systémů od klienta a vzájemně je na základě automatizace propojit.

Představte si SOAR jako obrovský framework, obrovskou krabici, která umí spoustu programovacích jazyků, spoustu automatizace, napojit se na vaše systémy, integrovat je a celé to zautomatizovat. Tak jak dneska CNC automatizovaně vyrábí palubní desky nebo tištěné spoje, tak SOAR dělá to stejné, jen na základě předem nastaveného programu. Takže technik či operátor dostane výsledek, stiskne pouze jediné tlačítko – tam je lidský faktor, o kterém jsem hovořil – a SOAR vytvoří tiket. Tedy pošle zákazníkovi zprávu do jeho helpdeskového portálu, vytočí telefonní číslo, a dokonce jsme i tak daleko, že pokud s tím zákazník v podmínkách souhlasil, umělá inteligence mu zavolá a sdělí následující: „Dobrý den, byl vám založen tiket, jedná se o bezpečnostní událost následujícího  charakteru, váš stroj z této IP adresy komunikuje s podezřelým webem, nebo v našem případě se někdo pokusil opakovaně zadat neúspěšně heslo k vašemu systému, na třetí pokus se mu to povedlo, bylo to na této IP adrese, doporučujeme zablokovat, zkontrolovat, vyšetřit. Přejete si spojit s operátorem nebo odpovíte na tiket?“ Na základě těchto informací je schopen se technik zákazníka správně rozhodnout.

Takže dnes jsem již tak daleko, že komunikaci za nás může řešit umělá inteligence s využitím pokročilých jazykových modelů. Může mluvil prakticky všemi jazyky. Reálně tedy mluvím s někým, kdo se mnou komunikuje mou řečí, tváří se jako reálný člověk, dokonce lze jít i tak daleko, že můžeme uskutečnit videohovor, kde je renderovaná osoba, která s klientem hovoří. Samozřejmě pokud klient s takovým přístupem souhlasí, protože v kybernetické bezpečnosti je stále individuální přístup důležitý, jelikož se většinou jedná o citlivé záležitosti.

PS: Je možné i nastavení tak, aby rovnou zablokoval port a klientovi oznámil, že byl učiněn útok na hesla a že je zablokovaný systém a doporučuje změnu hesla?

JK: Ano, to se bavíme o automatizované odpovědi/reakci, to je to R na konci názvu, což právě znamená response, tj. aktivní odpověď. Tedy, ano, je to možné, ale hlavně u těch z našeho pohledu „vyzrálých“ klientů.

Bavili jsme se spolu v předchozích rozhovorech o tom, že pokud zákazník řídí bezpečnost informací ve společnosti a řeší kybernetická rizika a má vypracovanou  identifikaci aktiv a identifikaci rizik a jejich dopadů, tak si je většinou vědom i toho jaké dopady na jeho byznys má automatizovaná reakce na bezpečnostní incident např. v podobě zablokování komunikace mezi napadeným serverem a zbytkem infrastruktury.

Uvedu to na krásném příkladu, který jsme řešili nedávno. Provozuji obchod, velký e-shop, kde je můj obrat za den v řádu milionů korun. Každý výpadek mě tedy stojí poměrně hodně finančních prostředků. A já jako klient se musím rozhodnout a musím být natolik vyzrálý, že tomu bezpečnostnímu dohledu řeknu, kdy už je adekvátní e-shop při napadení zablokovat, a kdy ještě čekáme a pozorujeme útočníka, jak se v tom e-shopu pohybuje.

Protože někdy je lepší tam útočníka nějakou dobu nechat s tím, že způsobí škodu v řádu statisíců, ale e-shop zatím vydělá miliony. Takže vždy musím porovnat následky pro mě a můj byznys versus to, co je útočník schopen získat.

Možná ještě jedna analogie k e-shopu. Jak moc mi ublíží, když dojde k zašifrování jedné pracovní stanice, versus jak moc mi ublíží, když dojde k zašifrování všech informačních systémů? To znamená, že někdy je lepší útočníka „nakrmit“, nechat ho pohybovat se v systému, o kterém si myslí, že už jej má pod kontrolou, a mít nad ním dohled, než ho začít blokovat a tím mu ukázat, že již o něm víme. Ta problematika je široká a toto jsou jenom bazální příklady. Samozřejmě bychom si o tom mohli dlouze povídat.

Součástí moderního monitoringu kybernetické bezpečnosti není jen vyhodnocování nastalé události, ale obsahuje i taktiky/strategie a techniky. Např. techniky sledování útočníka, lákání ho na něco, co se tváří jako reálný informační systém. Technologie jsou tak daleko, že mohu vytvářet firmu ve firmě. Ono to vypadá jako reálná data, vypadá to jako reálná síť a útočník je celý šťastný, že se do té sítě dostal. Vůbec netuší, že se pohybuje v bublině, kterou jsem mu vytvořil a díky tomu ho sleduji, zjišťuji, jak se chová a můžu to zpětně zanést do svých detekčních systémů. Takže příště, až se stejnou taktikou bude snažit dostat do mé reálné sítě, odhalím ho daleko rychleji a daleko dříve mu ten přístup zablokuji, protože už vím, jak se chová.

PS: Skvělé. Děkuji a přeji hezký den.

JK: Také děkuji.