Állandó harc és verseny: kontroll alatt a kiberbűnözés (interjú)

2020.07.03

A T-Systems biztonsági központjában napi 24 órában gépek, algoritmusok és szakértők monitorozzák a gyanús hálózati tevékenységet. Hlavaty Győzővel, a CTRL központ vezetőjével a SOC történetéről, a legnagyobb kihívásokról és arról beszélgettünk, hogy a COVID-19 hogyan változtatta meg a csapat munkáját.

Állandó harc és verseny: kontroll alatt a kiberbűnözés (interjú)

IVSZ: Mesélj egy kicsit magadról, illetve arról az útról, ami a CTRL központ vezetői pozíciójához vezetett!

Hlavaty Győző: A kilencvenes években a Műegyetemre jártam, de fiatalon jobban érdekelt a kultúra, így Csillaghegyre, a méltán híres Banán Klubba kerültem, ahol technikusként, pályázatíróként majd később ügyvezetőként dolgoztam. A Banánból egy tartalomszolgáltatóhoz mentem dolgozni, akik már az ezredforduló előtt élőben közvetítettek interneten a diósgyőri Kaláka folkfesztiválról. Ez annyira új technológiának számított abban az időben, hogy más nem is próbálkozott ilyennel. Onnan átnyergeltem az Icon Kft-be, a T-Systems elődcégébe. Nagyon tetszett, rengeteg újdonságot lehetett tanulni. Így érkeztem vissza a műszaki pályára. Végigjártam a szamárlétrát, mérnök, szenior mérnök, majd architect lettem, idén tavasszal pedig jött a felkérés a CTRL vezetésére.

Hlavaty Győző - T-systems

Hlavaty Győző (CTRL központ vezető, T-Systems)

IVSZ: Hogyan jött létre mai formájában a CTRL, miért gondoltátok, hogy szükség van egy ilyen központra?

H. Gy.: A T-Systems elődcégeinél, a PC-alapú szerverek piacának megerősödésével párhuzamosan elindult az IT biztonság üzletág, aminek szépen lassan a részévé váltam, mert éppen felhasználókezeléssel (is) foglalkoztam. Az akkori csapat 2000 környékén kezdett saját naplóelemző szoftvert fejleszteni a BME-vel közösen. Ebből rengeteg tapasztalatot szereztünk, például rájöttünk arra, hogy a „dobozos” naplóelemzők komoly helyzeti előnyben vannak az egyedi fejlesztéssel szemben, amit nehezen tudunk behozni, ezért kezdtünk el dobozos szoftverekkel foglalkozni. Közben kevesebb volt a felhasználókezelési munka, így én telepítettem az első néhány dobozos naplóelemző rendszert ügyfeleinknél. Ebből később kialakult egy kisebb, hat fős csapat a KFKI-n belül, akik naplóelemzési szolgáltatásokat csináltak, így kezdtünk. Ahogy ezeket a rendszereket egyre több helyre tudtuk értékesíteni, úgy az ügyfelek is megértették, hogy a naplóelemzés milyen fontos.

IVSZ: Milyen problémákkal, kihívásokkal kellett ez idő alatt szembenéznetek?

H. Gy.: Magyarország pici ország, így sok olyan céggel találkoztunk, ahol a biztonsági csapat egy személyből állt. A naplóelemzők értékesítésekor sokszor kiderült, hogy ez a személy egyszerre volt az üzemeltetési csapat egyik tagja és a biztonságis is. Rájöttünk, hogy hiába vannak ott a naplóelemzőink, hiába zúg a sarokban egy-egy nagy kapacitású eszköz, egyszerűen nem volt humánerő, aki fel tudta volna dolgozni az ebből kieső adatokat. Ezek a naplóelemzők egyébként már második generációs SOC (Security Operations Center) alapjaként működhettek volna. Tudtuk, hogy az egykori PSZÁF (ma már az MNB területe) megkövetelte a pénzintézetektől a folyamatos naplóelemzést, emiatt kidolgoztunk egy szolgáltatást, ami kifejezetten azzal foglalkozott, hogy ügyfeleink meg tudjanak felelni az audit elvárásoknak. 2008-2009 környékén pedig kezdtek érkezni a pénzügyi megrendelések. Ez a szolgáltatás tekinthető a mostani CTRL elődjének.

Ez az akkori elvárásoknak megfelelően praktikusan azt jelentette, hogy naponta egyszer átnéztük a naplókat, amit igény szerint ki tudtunk egészíteni 5*8 órás folyamatos monitoringgal. Elkezdtek viszont olyan ügyfelek jelentkezni, akik ugyanezt a tevékenységet folyamatosan, napi 24 órában igényelték. Ahogy ezeket az igényeket észleltük, tudtuk, hogy szintet kell lépnünk, ez lett a CTRL-központ 2017 végén, ahol olyan környezetet építettünk fel, amiben a régi tevékenységünket is tudjuk folytatni, de arra is képesek vagyunk, hogy 7/24-ben monitorozzuk az ügyfeleket, válaszlépéseket dolgozzunk ki, vagy riasztást küldjünk nekik kritikus dolgok észlelésekor. Szóval, ez lett a SOC-központ – ezzel 2017 végén mi voltunk az első, dedikáltan az ügyfelek kiszolgálására szánt központ. Mindez nem volt könnyű feladat, hiszen akkoriban nem léteztek best practice-ek, nemzetközi tanulmányokat kellett olvasni és kitalálni, hogyan kell felépíteni egy 7/24-es üzemet, ez mérnökként komoly kihívást jelentett. A későbbiekben ezt a környezetet további szolgáltatásokkal egészítettük ki: ilyen például a sérülékenység vizsgálati-, vagy penetration-teszt szolgáltatásunk, ami elsőre meglepő lehet, de ha tudod, hogy melyik eszközeid sérülékenyebbek, azokra kiemelt figyelmet tudsz fordítani. Végzünk még az előzőekhez lazábban kapcsolódó tevékenységeket, mint például biztonsági incidensnél eseti alapon történő kivizsgálással (forensics), vagy biztonsági naplózással, tanácsadással.

IVSZ: Ezek szerint ehhez létre kellett hozni egy külön egységet, esetleg külön épületben, dedikált csapattal?

H. Gy.: Így van! Már a korábbi szolgáltatásunknak is volt dedikált helyszíne, de az mindössze 3-4 ember munkáját tudta támogatni. Amikor megálmodtuk az újgenerációs SOC-központunkat, akkor eleve bővíthetőre terveztük, hogy akár egyszerre 20 ember munkáját is ki tudja szolgálni. A Dataplex kiszolgálóépületében lett saját dedikált irodarészünk, ami azért jó, mert olyan védelmi környezet van körülötte, amit egy átlag irodaépületben nehéz lenne megvalósítani, hiszen mégis Közép-Kelet-Európa egyik legnagyobb adatközpontjáról van szó. Egyébként teljesen függetlenek vagyunk a T-Systems hálózatától, részben azért, mert a saját üzemeltetőinket is monitorozzuk.

Állandó harc és verseny: kontroll alatt a kiberbűnözés (interjú)

IVSZ: A CTRL-központot is figyelitek?

H. Gy.: Természetesen. Az összes bent dolgozó ember napi tevékenységét folyamatosan naplózzuk és az általuk végzett összes műveletet rögzítjük egy speciális szoftverrel. Ezt nem mi monitorozzuk, hanem a Magyar Telekom biztonsági igazgatója tartja kézben. Ez az ügyfeleink számára is biztosítékot jelent, mert ha bármilyen probléma adódna, minden auditált, így akár az elemzőink tevékenysége teljeskörűen visszakövethető.

IVSZ: Említetted a pénzügyi területet – ezen felül milyen profilú vállalatok vannak az ügyfelek között?

H. Gy.: Egy bizonyos fejlettségre van szükség ahhoz, hogy egy cég SOC-szolgáltatást vegyen igénybe. Ha az ügyfél nem tud foglalkozni az innen érkező riasztásokkal/adatokkal, akkor nincs sok hozzáadott értéke a szolgáltatásnak, bár nagy cégként erre is van megoldásunk (például a kiszervezett biztonsági vezetési szolgáltatás). Ügyfeleink nagy része fejlett informatikai rendszert használó cég, főleg a nagyvállalati szektorból, de van megrendelésünk energia-, kormányzati- vagy épp média területről is.

IVSZ: Milyen jellemző támadástípusokkal, incidensekkel kell foglalkozni? Változnak ezek a nemzetközi trendek mentén?

H. Gy.: Kívülről még mindig a hálózati felderítés a leggyakoribb, ezt követik azok, amelyek egy-egy webszerver sérülékenységét próbálják kihasználni, de továbbra is elképesztően magas a kártékony e-mailek aránya is. A belül érzékelhető események közül, a kifelé tartó gyanús adatforgalom, a nem tipikus felhasználói magatartás, a nem várt hibák, vagy az adatszivárgás jelenthetnek leggyakrabban incidenseket. Ezek talán a legfontosabbak technológiai oldalról. Jelenleg ebben a környezetben naponta körülbelül kétmilliárd naplóeseményt dolgozunk fel, amiből ezres nagyságrendű a riasztás. Ez nem azt jelenti, hogy történik is valami, csak jelzik a rendszereink, hogy valamire rá kell nézni. Napi körülbelül 40-50 olyan incidens van, amivel mélyebben foglalkoznunk kell, mielőtt átadnánk az ügyfeleinknek.

IVSZ: A támadások céljait lehet kategorizálni? Inkább adatszerzésre, kémkedésre irányulnak, vagy „csak” a rendszerek túlterhelése a cél?

H. Gy.: Meglehetősen beszédes adat, hogy egy védelem nélküli számítógépet a netre csatlakoztatva, azt szinte azonnal automatizált támadások érik és tíz percen belül fel is törik, mivel a robotok azonnal elkezdenek nyitott portokat szkennelni. Az ilyen típusú, sérülékenységet kereső aktivitás naponta százmilliós nagyságrendben is elérheti a cégeket Magyarországon. Ennek támadóoldali célja minél nagyobb automatizmussal a sokból azt a keveset megtalálni, ahonnan tovább lehet jutni.

A terheléses támadások mindennaposak, amire egyéb megoldást ajánlunk, mert azt csak megfelelő hálózati eszközzel lehet meggátolni. Az ennél kifinomultabb támadások esetében célzottabb támadásokról beszélünk, ezek általában adatszerzésre vagy károkozásra vannak kiélezve. Egyik ügyfelünknél például lefüleltünk egy rosszindulatú kódot, ami egy keyloggert telepített a megfertőzött gépre, ami a billentyű leütéseket és képernyőképeket továbbította egy külső szerverre. A malware-t visszafejtve megszereztük a hozzáférést a külső szerverhez, amin más cégek adatait is megtaláltuk. Ezt az esetet adatokkal együtt jelentettük a GovCERT-nek, akik kiértesítették az érintetteket, hogy minimalizálhatóak legyenek a károk. A Deutsche Telekom vállalatcsoport tagjai most már minden országában létrehoztak SOC-központokat, ezek között pedig egy adatcserélő kommunikációs csatorna működik. Ha én látom, hogy egy ügyfelemet például COVID-19-cel kapcsolatos levelekkel bombáznak, ezeket az információkat fel lehet tölteni egy központi adatbázisba, ebből aztán a többi SOC is értesülhet és sokkal hamarabb felismerhetünk egy támadást. Ugyanez igaz visszafelé is, azaz, ha például Bonnban publikálnak aktuális incidensből használható információkat (IP címeket, támadási mintákat stb.), akkor arról másodperceken belül értesülünk mi is és felkészülhetünk azok kezelésére.

IVSZ: Apropó, COVID! Észleltétek ezzel kapcsolatban, hogy megnövekedett a támadások száma, vagy új módszerek jelentek meg?

H. Gy.: Az adathalász e-mailek száma rendkívüli módon megnőtt, de szerencsére mi ebből a szempontból védettebbek vagyunk, mert a Google Fordító még nem tud olyan magyar fordításokat generálni, ami hitelesnek hatna, ezért nálunk nem olyan sikeresek az ilyen támadások. A nemzetközi sajtóban azért lehetett olvasni arról, hogy egészségügyi intézményeket értek jelentősebb támadások, illetve a hackerek elkezdték a különböző távmunka-megoldások sérülékenységeit kutatni, mert ez a típusú hálózati forgalom nagy mértékben növekedett. Ennek hatására mi is fejlesztettünk, ma már van például felhőszolgáltatások naplóadatainak feldolgozására alkalmas megoldásunk is.

Állandó harc és verseny: kontroll alatt a kiberbűnözés (interjú)

IVSZ: Egy ilyen központ hogyan tud versenyben maradni, folyamatosan fejlődni, az új technológiákkal lépést tartani?

H. Gy.: Nehéz tartani a lépést a kiberbűnözéssel. A legnagyobb probléma, hogy gyorsan, sok pénzt lehet keresni azzal, ha valaki ügyesen tud feltörni adatbázisokat, megszerezni információkat, így a másik oldal motivációja erős. Nekünk folyamatosan tanulni kell, figyelni a trendeket, de így is egy lépéssel le leszünk maradva. Persze vannak módszereink és stratégiáink arra, hogy tartsuk az iramot. Az anomáliák észlelése például rendkívül fontos, mert az korábban nem látott eseményre utal, a másik megoldás pedig – amit alkalmazunk – a különböző SOC-központok közti adatcsere. Most nem csak köztünk és a Deutsche Telekom tagvállalatok közötti adatcseréről beszélek, hanem egyéb, fizetős szolgáltatást nyújtó szolgáltatások igénybevételéről is. Mi többek között a Recorded Future szolgáltatását használjuk. Kiemelten fontos még, hogy nagyon sok mindent automatizálunk, de egyre nagyobb szerepet kap a gépi tanulási és mesterséges intelligenciaeszközök alkalmazása a SOC-ok környezetében. Igaz ezek ma még főleg az anomáliák észlelésével foglalkoznak, de rendkívül nagy potenciál van ezekben. Azt gondoljuk, hogy a miénkéhez hasonló SOC-központok egyre általánosabbak lesznek, sőt, azt merem mondani, hogy egy kellően fejlett cégnek három éven belül kell, hogy legyen szolgáltatásként igénybe vett, vagy saját SOC-központja.

Javaslatok Biztonság Incidenskezelés kialakításához*

  • Naplóelemzés és biztonsági monitoring megfelelő kialakítása felhő alapú vagy on-prem környezetben
  • Use-case alapú elemzés kidolgozása
  • Playbook alapú folyamatok kiépítése
  • SOAR (Security Orchestration, Automation and Response) réteg bevezetése és abban minél több automatizált folyamat elkészítése
  • Threat Intelligence és hírszerzési információk bekötése és folyamatos használata
  • Megfelelően képzett és motivált L1, L2 és L3 elemzők felvétele
  • 7*24 órás műszakok kialakítása, folyamatos üzem fenntartása
  • Incidenskezelés életciklusának kialakítása és támogatása
  • SOC kapcsolatok kialakítása és folyamatos fejlesztése

*Amennyiben a megfelelő incidenskezelési környezet kiépítésére, az elemzők folyamatos képzésére és motiválására, a folyamatos üzemeltetésre és fejlesztésre nincs megfelelő erőforrás, nincs értelme belső SOC központ kialakításának, értelmesebb azt piaci szereplőktől szolgáltatásként igénybe venni.