Rok 2020 oraz 2021 zostały zdominowane przez pracę zdalną, nie tylko w branży IT. Każdy z nas codziennie korzysta z kilku/kilkunastu aplikacji, które wymagają zalogowania się. Wraz ze wzrostem ilości użytkowników i aplikacji, wzrasta też ryzyko cyberataków, dlatego temat cyberbezpieczeństwa z roku na rok zyskuje coraz większą popularność. A kim właściwie są specjaliści ds. cyberbezpieczeństwa i jak wygląda ich praca?
Gość odcinka, Łukasz Drążek, na co dzień pracujący w Kaseya jako Analityk ds. cyberbezpieczeństwa, przybliży nam temat tego w jaki sposób chronione bezpieczeństwo firm w sieci, a w szczególności:
⭐️ Co to jest SOC – Security Operation Center i czym się zajmuje
⭐️ Jak wygląda praca analityka ds. bezpieczeństwa
⭐️ Jakie wyzwania niosą ze sobą cyberataki i potencjalni hakerzy
🎥 Pełen odcinek możesz zobaczyć na naszym kanale YouTube:
Nikodem: Cześć! Jestem Nikodem, to jest podcast DEVision. Dzisiaj moim gościem jest Łukasz. Cześć Łukasz. (Łukasz: Cześć.). Dzisiejszym naszym tematem będzie cyberbezpieczeństwo, ale zanim przejdziemy do głównego tematu powiedz nam kilka słów o sobie.
Łukasz: Pracuję w cybersecurity, w dziale SOC – to jest dział monitoringu – już od 4 lat. W świecie cyberbezpieczeństwa można przyjąć, że w dalszym ciągu jest to początek mojej kariery, a wręcz nawet dopiero raczkowanie. Postaram się w miarę opowiedzieć jak to wygląda, jak doszedłem, jak rozpocząłem moją karierę i postaram się Wam opowiedzieć jak wygląda praca w SOC-u.
Cybersecurity to jest taki dość ciekawy temat. Wydaje mi się, że większość ludzi się z tym spotkała, każdy gdzieś słyszał o jakimś hackowaniu, o firewallach, antywirusach, itd. A jednocześnie wydaje mi się, że jest bardzo mała świadomość w społeczeństwie.
Cybersecurity jest stosunkowo nowe w świecie IT, a szczególnie pośród ludzi nietechnicznych świadomość bezpieczeństwa jest niesamowicie niska. Zaczynając już od najprostszych haseł, samej ochrony, aktualizacji systemu, czy właśnie firewalla. Ludzie całkowicie o tym zapominają – od tego jesteśmy my. 😀
No właśnie! Jakbyś rozwinął to dokładnie – czym się zajmujesz?
Ja pracuję w SOC-u. Jestem analitykiem i monitorujemy sieć eventów, zdarzeń, które mogą być stosunkowo zagrożeniem dla systemu, dla firmy i próbujemy je wyłapać. 90% takich incydentów to są tak zwane “false positive’y”, czyli nic się nie dzieje i nie ma żadnego zagrożenia dla systemu – głównie są to prace deweloperów, którzy albo zapomnieli poinformować, że te prace będą robili, albo po prostu im się nie chciało poinformować, że te prace będą robili. 😉 Głównie to jest otrzymywanie właśnie tych zdarzeń. I kolejna rzecz to jest właśnie znajdowanie tych eventów, które są zagrożeniem dla systemu.
Właśnie chciałem zadać tutaj dwa pytania zanim będziesz kontynuował. Po pierwsze: czym jest SOC?
SOC to jest Security Operation Center. Jesteśmy grupą ludzi w danej korporacji, która monitoruje – jak wspomniałem wcześniej – sieć przez 24 godziny na dobę. W większości firm jest to w różnoraki sposób podzielone. Często przy większych firmach na strefy czasowe, przy mniejszych firmach jest to na zmiany w aktualnej korporacji, czyli musimy przez 24 godziny na dobę obserwować sieć. I to się oczywiście również łapie w weekendy.
Jasne, weekendy też, bo przecież zło nie śpi. 😀 A drugie moje pytanie jest takie: powiedziałeś, że 90% przypadków to są te “false positive”. A co z pozostałymi dziesięcioma procentami?
Dziesięć… to nawet zawyżyłem. Szczerze powiedziawszy to bardzo zawyżyłem, nawet bym zszedł na 99% i 1% tych, w których coś się dzieje. To również zależy od firmy. Są firmy, które mają SOC wewnętrzny, na przykład banki, które mają SOC tylko wewnętrzny i działają w obrębie firmy i nie wychodzą na zewnątrz. Są również SOC-i, które świadczą usługi dla firm zewnętrznych – tak jak firma, w której aktualnie pracuję. Mamy klientów, dla których właśnie świadczymy te usługi. W takich wypadkach dzwonimy. W przypadku jeżeli jest to poważniejszy incydent – całkowicie blokujemy dostęp do sieci danego urządzenia. W tym wypadku niestety nie mamy większego pola do popisu. W firmach zamkniętych odbywa się to zupełnie inaczej. Takie firmy zamknięte właśnie posiadają różne stopnie, tzw. Tiery – jest np. Tier 1, Tier 2, Tier 3 – gdzie na tym pierwszym poziomie masz osoby, które bezpośrednio wyłapują incydenty, czyli robią taki 100% monitoring. I na takim Tierze 1 jeżeli wypadnie jakikolwiek incydent, który jest bardziej złożony, odsyłają go dalej, do następnej linii obrony – do Tieru 2, który dogłębnie sprawdza i poświęca czas na to. Do tego na przykład mamy jeszcze kolejną linię, T3, w której np. znajdują się tzw. Threat Hunterzy – sami osobiście poszukują takich słabych punktów w systemie; jakiś wirusów, innych możliwych zagrożeń.
Czy osoby z tego Tieru 3 też mogą dokonywać jakiś takich pseudo ataków, żeby wyłapać słabości systemu?
Nie. Cyberbezpieczeństwo jest podzielone na dwie główne grupy. Jest to grupa defensywna i grupa ofensywna. Z reguły w większości firm, jeżeli posiadają obydwie te grupy, to z reguły są to dwie totalnie oddzielne grupy – mamy tzw. “Blue Team” i “Red Team”. Do Blue Teamu zaliczamy właśnie SOC, który jest całkowicie defensywny, on monitoruje sieć i zajmuje się głównie wyszukiwaniem tych zagrożeń. Red Team całkowicie zajmuje się atakiem. I tam właśnie posiadamy Pentesterów, którzy wykonują testy penetracyjne i aktywnie poszukują słabości systemu. Z reguły próbują to zrobić z zewnątrz.
Co się stanie, jeżeli Czerwony Team znajdzie jakąś lukę w systemie?
Taki Red Team, czyli Pentesterzy, wykonując testy penetracyjne próbują się bezpośrednio z zewnątrz dostać do systemu. Jeżeli znajdą lukę to opisują ją w raporcie i ktoś później próbuje to załatać. 😀
Dowiadujemy się, że mamy lukę w systemie. Coś nie zadziałało jak powinno, bo ktoś z zewnątrz był w stanie się dostać do naszego systemu i trzeba to naprawić – ale to rozumiem, że jest jakiś zespół, który się tym będzie zajmował. Czy to się poprawia, np. instalując dodatkowe antywirusy, czy jakieś firewalle się stawia? Jak to wygląda?
To już jest rola ludzi odpowiedzialnych za infrastrukturę danej firmy i za bezpieczeństwo. Jeszcze raz wracamy do tego, że Blue Team jest całkowicie odpowiedzialny tylko za monitoring i wyszukiwanie dziur w systemie albo nie wyszukiwanie, tylko po prostu wyłapywanie zagrożeń. Pentesting to jest atakowanie systemu i szukanie tych słabości. Od ochrony i infrastruktury są już kolejni ludzie, którzy właśnie to muszą łatać.
Te 0.9% o których teraz wspomniałeś… to znaczy, że doszło do jakiegoś incydentu. Jak może dojść do tego incydentu? Co się musi się wydarzyć w sieci żebyście wykryli taką aktywność?
Takim najprostszym wytłumaczeniem, dla którego zaczynamy już podejmować jakiekolwiek akcje i chyba najbardziej znanym w świecie hakerów, że tak powiem, najprostszym i najłatwiejszym do wykonania jest tzw. “brute-force” – czyli sieć botnetów, która zaczyna atakować sieć i łamać hasła. I jak zauważamy taką aktywność? Niesamowicie dużo prób zalogowania się zakończonych niepowodzeniem to dla nas już jest lampka, że zaczęło się coś dziać. 150 loginów na jednego użytkownika i zakończonych niepowodzeniem – to już jest nienaturalne.
Dobra, czyli rozumiem, że pojedynczy user nie jest w stanie tego normalnie wygenerować? Tak jak mówisz, że to musi być przynajmniej 150.
Niekoniecznie 150. Każdy klient ustala sobie jaki jest dla niego limit, żebyśmy podjęli akcję. Związane jest to z tym, że jedne firmy mają większe zabezpieczenia, drugie mają mniejsze. Jedne są bardziej pewne tego, co się stanie, a drugie mniej. W tym wypadku jeszcze nie doszliśmy do tego, że większym zagrożeniem jest aniżeli po takich 150-200 próbach zalogowania jak mamy jedno, które zakończyło się powodzeniem…
Jedno… masz na myśli po stronie hakera?
Potencjalnego hakera. Bo nie można nigdy założyć, że to jest haker, prawda? Nigdy nie wiadomo, co to jest. W wypadku, kiedy jest to klient to ma również swoich vendorów zewnętrznych, którzy również się zajmują stroną aktywną cyberbezpieczeństwa, czyli tak zwanym Pentestingiem. W wypadku jeżeli to jest właśnie np. 150-200, mogą to być po prostu testy. Albo może to być po prostu test również wewnętrzny, sprawdzanie zabezpieczeń. W takim wypadku z reguły polega to na tym, że izolujemy urządzenie i dzwonimy do klienta i próbujemy się dowiedzieć, czy to było zaplanowane, czy klient wie, co się stało i dlaczego. I w tym momencie reszta już leży po stronie klienta.
Żeby podsumować, czy ja to dobrze rozumiem… Mamy firmę, nazwijmy ją “Firma A”, która generuje swój produkt, przyszła do was, zatrudnia was i mówi: “potrzebujemy kogoś od cyberbezpieczeństwa”. Przychodzicie wy i sprawdzacie tę sieć, która jest wokół tej Firmy A. I teraz mówisz, że jest jeszcze jakaś inna firma zewnętrzna, która próbuje dokonać tego ataku testowego?
Zgadza się. To zależy dokładnie od firmy, bo są firmy, które świadczą usługi monitoringu, jak i również zarazem Pentestingu, czyli właśnie tego aktywnego sprawdzania sieci i wyszukiwania błędów.
Bardzo mnie interesuje, jak wygląda twoja praca na co dzień. Mówisz, że musicie sprawdzać tę sieć przez 24 godziny na dobę. Domyślam się, że pracujecie na zmiany?
Zgadza się. Pracujemy na zmiany. Tu znowu to samo zależy od firmy. Większe firmy mają podzielone to na strefy czasowe. Często są to np. jedne grupy pracujące, dajmy na to w Indiach, inne w Meksyku i jeszcze inne właśnie w centralnej Europie. Ale są też firmy, które są małe i nie mogą sobie pozwolić na różne strefy czasowe. I wtedy tacy pracownicy, analitycy, po prostu działają 24h na dobę przez siedem dni w tygodniu, i jest to na zmiany. Jak to działa? To już zależy od firmy. Jedne mają to zrobione w bardziej przystępny sposób, inne w mniej. Z reguły to trzeba się jednak liczyć z pracą na noce, na popołudnia.
Dobrze, a czy możesz nam teraz opisać, jak wygląda twój dzień pracy? Załóżmy, że dzisiaj pracujesz od godziny 16 do 24. Co będziesz robił?
Ja to lubię tłumaczyć na zasadzie: widzisz pana na ochronie przy budowie, który siedzi w kanciapie i siedzi i ogląda ekran. Tak właśnie mniej więcej wygląda moja praca. 😉 Siedzę i oglądam ekran i sprawdzam wszystkie eventy po kolei, które przyjdą. Obserwuję je i głównie właśnie oceniam, jakie jest ryzyko. Czy ten event jakkolwiek może wpłynąć na spójność i bezpieczeństwo danej firmy? I również jak ten pan ochroniarz, czy to przy budowie, czy w galerii, jest ten 1%, że ktoś spróbuje wejść na teren budowy. I wtedy właśnie mamy ten, co wspomnieliśmy, procent 99 do jednego, że jednak może się to przydarzyć. Głównie jest to sprawdzanie rzeczy, które przychodzą, które wyłapuje automatyzacja.
Właśnie o to chciałem zapytać też. Czy masz jakieś narzędzia, które pomagają ci w tym procesie, czy też wszystko ręcznie przeglądasz?
Tak. Posiadamy narzędzia, a każda firma posiada swoje własne narzędzia. Jest na rynku bardzo dużo popularnych narzędzi. Jednym z bardzo popularnych SIEM-ów jest Splunk. Kolejnym jest na przykład QRadar. Są również firmy, które mają swoje własne zaprojektowane urządzenia i one pomagają w wyłapaniu tych eventów. I tu się zaczyna kolejny etap pracy.
Czy jako osoba, która pracuje w cybersecurity też programujesz?
Jeżeli jesteś już na tym drugim etapie SOC-u, tzw. Tier 2 czy Tier 3 i jeszcze wyżej, i jesteś odpowiedzialny za backend tego całego SOC-u, to tu już wchodzi właśnie programowanie i tworzysz tzw. rulki tej automatyzacji, tych systemów SIEM. To polega na researchu – szukasz, jakie są możliwe wirusy. To jest wielkie społeczeństwo ludzi, którzy się tym zajmują. I na tej podstawie właśnie gdzieś tam ludzie się tym dzielą w tej swojej firmie. Na nowo napotkanych słabościach tego systemu tworzysz nowe rulki, które wyłapują jakiekolwiek możliwe zagrożenie.
Czy rulki to jest jakiś skrót od ról?
Tak – rulki od “rules”.
Czyli rozumiem, że po prostu nakładasz sobie jakieś takie rule i w momencie, w którym dany event wpada w tę rulę… przykładowo 150 prób zalogowania się na dane hasło wpada w tę konkretną rulę i wtedy jest podejmowana konkretna decyzja.
Zgadza się. Właśnie to jest idealny przykład – tworzysz rulkę, która liczy po kolei, ile było tych prób zalogowania, dochodzimy tam do 20, 30, 150 – i automatyzacja wybiera ten event i wysyła do monitoringu. Taka jest właśnie mniej więcej rola programowania w SOC-u.
Myślę, że o cybersecurity dawniej się tak wiele nie mówiło i że ten temat stał się dopiero niedawno popularny.
Ostatnio zrobiło się bardzo głośno, szczególnie na głównych reklamach na Instagramie, LinkedInie można znaleźć miliony kursów z cyberbezpieczeństwa. Największy boom na cyberbezpieczeństwo zaczął się rozwijać po wprowadzeniu RODO. Jeszcze bardziej zaczęło się to rozwijać po nakładaniu kar na firmy, które miały przecieki danych osobowych. Coraz więcej firm zaczęło zaczęło się obawiać o te właśnie kary. Zaczęliśmy zauważać coraz więcej wycieków i właśnie temat cyberbezpieczeństwa zaczął się rozwijać, temat ochrony. Później przyszła pandemia. Bardzo dużo firm przeszło na pracę zdalną. I znowu weszliśmy w temat bezpieczeństwa, w temat trzymania pracy ludzi w tym bezpiecznym otoczeniu. Zaczęliśmy rozmawiać o bezpieczeństwie połączeń, o tym, jakie dane są przesyłane, jak te dane trafiają bezpośrednio między pracownika a infrastrukturę korporacji.
Czy żeby zacząć pracę w cybersecurity potrzebujesz jakiejś takiej wiedzy technologicznej? Musisz umieć programować?
Ja do cyber się dostałem bez żadnego wcześniejszego przygotowania w strefie technologicznej. Co prawda za czasów szkolnych, studenckich miałem zainteresowania technologiczne. Lubiłem to, ale to była stuprocentowo kwestia hobbystyczna. Poza tym, nigdy nie programowałem, nigdy nie byłem na studiach informatycznych. Przyszedł czas, kiedy postanowiłem – jak to ludzie lubią mówić – dorosłą pracę i trafiłem do korporacji. Dostałem możliwość trafienia do działu cybersecurity. Przygotowałem się, dałem z siebie wszystko, poświęciłem na to dużo czasu, dużo pracy – no i się udało. Osobiście uważam, że część techniczna cybersecurity nie jest tak duża jak w przypadku programowania i bardzo dużo rzeczy do cybersecurity polega głównie na poświęconym czasie na naukę, tym, jak bardzo jesteś zmotywowany, że chcesz w to wejść – a potem już przechodzimy do tego, czy lubisz swoją pracę i czy zaczyna się to robić twoim hobby. Cybersecurity jest ciężkie i trzeba to lubić.
A czy ty lubisz swoją pracę? 🙂
Jest to moje hobby. Jest to moje aktualne hobby.
Czego się uczysz, żeby rozwijać się w tej pracy?
Wszystkiego. 😀 Nie żartuję. Cybersecurity to taki dział, gdzie żeby zadbać o bezpieczeństwo tej infrastruktury firmy, praktycznie musisz mieć dosyć rozległą wiedzę w kwestiach technologicznych, w kwestiach tego, jak działa komputer, jak działa internet. Musisz naprawdę bardzo dużo wiedzieć. Ja na co dzień uczę się, korzystam z przeróżnych kanałów informacyjnych, które tworzą np. w Polsce bardzo popularne: Niebezpiecznik i przeróżne cybersecurity news, i inne kanały, na których wielka społeczność cybersecurity dzieli się swoimi doświadczeniami, nowościami i nowymi zagrożeniami, które powstają. I to jest nieustająca nauka. Jeżeli chcemy się utrzymać w cybersecurity, chcemy być pewni, że to bezpieczeństwo firmy jest utrzymane to nie ma dnia, żebyśmy się nie musieli uczyć i żebyśmy się nie musieli doskonalić. Jak mamy drzwi to włamywacz próbuje na co dzień znaleźć nowe rozwiązania, żeby przez te drzwi wejść. Tak samo właśnie jest w cybersecurity. Hakerzy nie śpią. Hakerzy codziennie próbują znaleźć nowe wejście do systemu, nową lukę – i tak samo my codziennie musimy się uczyć i codziennie się doskonalić, dzielić się informacjami w tej społeczności, żeby zapewnić bezpieczeństwo tego systemu.
Chciałbym wrócić do tego, jak mówiłeś, że przygotowywałeś się do swojej pierwszej rozmowy. Jakbyś mógł się nam pochwalić z czego korzystałeś, żeby się przygotować, albo jakich rzeczy musiałeś się nauczyć?
Korzystałem z materiałów, które były udostępnione przez wydawców certyfikacji security+. Również są dostępne kursy – tylko nie chciałbym tego nazywać kursami, żeby nie mylić – materiały wideo, w których rozdział po rozdziale jest jeszcze dodatkowo tłumaczone wszystko, co zostało zawarte właśnie np. w tej książce przygotowującej do tej certyfikacji.
Wspomniałeś o certyfikatach. Czy w twojej pracy są one wymagane?
I tu jest temat rzeka. 😀 Certyfikaty są w różnych firmach wymagane bardziej i mniej. Ja osobiście uważam, że certyfikat jako papierek to raczej forma wzbogacenia się firmy, która ten certyfikat wydała. Jak najbardziej są przydatne – są dobre certyfikaty, które sam osobiście bym na pewno polecił. Niektóre są niesamowicie również drogie. Ale jeszcze raz, jak wspomniałem – żeby wejść do tej branży, uważam, że poświęcenie swojego czasu i wyuczenie się jest ważniejsze aniżeli certyfikat. Często to, co się okazuje później, jak się przyjdzie do firmy, bardzo się różni od tego, co jest w tym certyfikacie zawarte. Ja osobiście uważam, że udowodnienie swojej wiedzy pracodawcy na etapie rekrutacji powinno być ważniejsze aniżeli kolekcja papierków, na które wydaliśmy dosyć spore środki, żeby tylko dostać ten papierek.
Zdecydowanie zgodzę się tutaj z Tobą. Czy Twoja praca jest bardzo odpowiedzialna?
Bardzo. Od nas zależy, czy potencjalna firma gdzieś zapłaci karę, czy nie, jak i również cała istota infrastruktury bezpieczeństwa danych często może zależeć np. właśnie od potencjalnego przeoczenia jednego incydentu. Tu dużo się wiąże z odpowiedzialnością, z obserwowaniem, ze spokojem i nie możemy poświęcić ani chwili na to, żeby przeoczyć. Dużo tu tworzy porządek – to, jak jesteśmy ustawieni, jaką mamy higienę pracy. Wszystko, co nam umknie, może być kamieniem milowym dla firmy.
Tak jak wspomniałeś – temat dopiero raczkuje, dlatego myślę, że czeka go jeszcze wspaniała przyszłość. Wiele rzeczy się pozmienia, będzie wiele nowości i mam nadzieję, że kiedyś w przyszłości będzie nam dane o tym porozmawiać.
Niewątpliwie jeszcze będziemy mieli nieraz okazję o tym wspomnieć.
To wszystko na dzisiaj. Zachęcamy jak zawsze do subskrypcji, zostawienia lajków, komentarzy i pamiętajcie o tym, żeby dbać o swoje hasła! 😉
🎧 Możesz również słuchać nas na Spotify, iTunes – tak jak lubisz najbardziej!
