SIEM a SOC priniesli istotu tam, kde predtým vládla len nádej. Pred pár rokmi významný slovenský výrobný podnik žil v pocite, že jeho IT infraštruktúra je v dobrej kondícii. Logy existovali, administrátori robili čo bolo v ich silách, a bezpečnosť nebola akútne naliehavá. Až do momentu, keď prišiel útok – rýchly, rozsiahly a paralyzujúci. Výroba sa zastavila, dodávky sa prerušili, platby sa zablokovali.
Útok odhalil slabinu, ktorá sa síce dala tušiť, no dovtedy nebola vidieť. A kým problém nevidíte, máte dojem, že neexistuje. Realita vás však dobehne vtedy, keď je najhoršie – znie opakovaný vzorec naprieč priemyslom. V biznise sa to môže stať naozaj každému, dôležité je sa zo skúsenosti poučiť.
V konkrétnom podniku sa práve táto udalosť z roku 2023 stala impulzom, ktorá odštartovala zásadnú transformáciu. Podnik chcel získať reálnu kontrolu nad bezpečnostnými udalosťami. A urobiť to tak, aby nemusel budovať vlastný interný SOC tím – čo je dnes pre výrobnú firmu prakticky nemožné.
Neviditeľnosť bola najväčším problémom. Firma mala pocit, že je chránená, ale chýbali jej fakty. Logy síce boli, no roztrúsené naprieč systémami. Keď sa niečo stalo, riešenie každého incidentu začínalo od nuly: manuálne zisťovanie problému, zdĺhavé preverovanie, neistota, či sa na niečo nezabudlo. Chýbala centralizácia, automatické upozornenia, a aj spoľahlivý prehľad o bezpečnostných udalostiach. Bolo jasné, že ak záznamy nebudú zbierané centrálne, ich hodnota je minimálna.
Rozhodnutie: SIEM na Wazuh + SOC dohľad od GAMO
Po analýze viacerých možností, od drahých komerčných riešení typu QRadar či Splunk, sa pre manažment podniku ukázalo spojenie open-source SIEM technológie Wazuh a Managed SOC služby od GAMO ako flexibilné, dostupné, a najmä dlhodobo udržateľné.
Rozhodli sa pre platformu SIEM (Security Information and Event Management), systém, ktorý umožňuje centrálne zhromažďovanie, vyhodnocovanie a koreláciu záznamov a bezpečnostných udalostí naprieč celou IT infraštruktúrou.
Riešenie bolo postavené na verejne dostupnej bezpečnostnej technológii Wazuh, prepojené s dohľadovou službou Security Operation Center (SOC).
Firma získala jednotné miesto pre všetky záznamy, prehľad o dianí v infraštruktúre v reálnom čase a schopnosť rýchlo reagovať na hrozby, bez nutnosti budovania vlastného špecializovaného tímu. To všetko umožnilo centrálne zhromažďovanie a koreláciu logov zo serverov, siete, aplikácií aj endpointov, detekciu podozrivých aktivít, útokov a anomálií, reporting pre IT aj manažment, aj plnenie auditných a legislatívnych požiadaviek.
Kľúčoví však boli ľudia. „Technológia bez odborníkov nestačí. Môžete mať dáta, ale neviete, čo s nimi. SOC tím je nevyhnutný,“ zhodnotil danú situáciu zákazník.
„SIEM je základ, no jeho skutočná sila sa prejaví až vtedy, keď ho obsluhujú špecialisti. Našou úlohou je nielen zachytiť incidenty, ale aj pochopiť ich v kontexte, vyhodnotiť ich dopad a navrhnúť riešenia, ktoré zákazníka chránia dlhodobo,“ potvrdili špecialisti z GAMO.
Nasadenie a prvé výsledky: incidenty začali vychádzať na povrch
Po overení funkčnosti navrhnutého riešenia nasledovala pilotná fáza projektu, adaptácia do ostrej prevádzky a súčasne ladenie a dopĺňanie scenárov. Firma následne získala prakticky okamžite viditeľnosť do svojej infraštruktúry.
Najväčšou výzvou bolo zladenie záznamov zo starších systémov a nastavenie špecifických pravidiel použitia na mieru. Už počas prvých týždňov systém zachytil viacero incidentov, ktoré by predtým zostali nepovšimnuté:
- Brute-force útoky na VPN a systémy
Rýchle a opakované pokusy o uhádnutie hesla, ktoré SOC tím/operátor identifikuje podľa série neúspešných prihlásení z rovnakého zdroja alebo neobvyklej frekvencie pokusov. - Pokusy o komunikáciu so škodlivými C&C servermi
Infikované zariadenie sa pokúša nadviazať spojenie s externým riadiacim serverom, čo SOC operátor odhalí vďaka nezvyčajnej komunikácii s podozrivými IP adresami mimo bežnej prevádzky. - Blokované Active Directory účty pri podozrivej aktivite
Účty používateľov sú zablokované po sérii neúspešných prihlásení alebo pri inej podozrivej aktivite, to signalizuje pokus o neoprávnený prístup či reakciu vnútorného bezpečnostného opatrenia. - Detegované malvérové súbory
Systém identifikuje škodlivé súbory podľa identifikačných znakov alebo správania. Často obsahujú backdoory, ransomvérové komponenty alebo špionážny kód. SOC ich označí, izoluje a preverí zdroj infekcie. - Prístupy na nedôveryhodné domény
Detegované pripojenia na domény s pochybnou reputáciou, (ne)legálne platformy. V tomto prípade SOC blokuje a preveruje tieto spojenia. - Nežiaduca aktivita používateľov
Objavené masívne alebo neočakávané zásahy do dát (napr. zmazanie), môžu signalizovať internú chybu, úmyselnú manipuláciu alebo prítomný ransomvér. SOC vníma udalosť ako kritický incident: prioritou je okamžitý zásah a zastavenie šírenia.
Predtým vs. teraz: Z nádeje sa stala istota
V súčasnosti má spoločnosť chránených viac ako 95 % infraštruktúry a SOC tím pracuje s desiatkami korelačných pravidiel prispôsobených prostrediu zákazníka. V reálnom čase a pravidelne poskytuje manažmentu prehľadné reporty aj odporúčania. Kritické incidenty sa riešia okamžite.
„Pred nasadením SIEM sme mali pocit, že IT je zabezpečené, ale chýbali nám fakty. Dnes vidíme incidenty v reálnom čase a máme istotu, že nad nami bdie profesionálny tím,“ vyjadril spokojnosť zákazník.
Zákazník tú zmenu vystihol presne: „Predtým sme dúfali. Dnes máme dôkazy.“ Rozhodovanie sa presunulo z roviny pocitov do roviny merateľných dát. Detekcia je rýchlejšia, reakcia je profesionálna, riziká sú pod kontrolou. A prevencia stojí menej než riešenie výpadkov! Firma to pocítila na vlastnej skúsenosti.
Podnik už plánuje rozšírenie monitoringu aj na operačné technológie (OT) a implementáciu automatizovaných reakcií pomocou orchestrácie, automatizácie a odozvy zabezpečenia (SOAR), ktorá výrazni zrýchli reakcie na incidenty. Cieľ je jasný: posunúť bezpečnosť na ďalšiu úroveň a minimalizovať čas potrebný na reakciu aj pri komplexnejších hrozbách.
Spojenie odvahy zákazníka a odbornosti tímu
Tento prípad ukazuje, že moderný SIEM a profesionálny SOC nie sú výsadou korporácií. Aj stredne veľká firma môže mať špičkový bezpečnostný dohľad bez extrémnych nákladov či potreby vlastného expertného tímu. Zákazník prijal odvážne rozhodnutie, investoval do bezpečnosti a otvorene pomenoval svoje slabiny. GAMO prinieslo odbornosť, technické know-how a schopnosť reagovať v kritických momentoch.
„Bez dôvery a spolupráce s tímom zákazníka by to nešlo. Každý krok, ktorý dnes vidíme ako úspech, je výsledkom spoločnej práce,“ uzatvára tím GAMO.
Je to dôkaz, že keď sa spojí technologická kompetencia s odhodlaním, výsledkom môže byť odolnejší, bezpečnejší a najmä sebavedomejší podnik.
