S•O•C

Security Operations Center – KUTATÓLABOR

×

CyberQuest 2024

A részletes program ITT...

Bemutatkozás

Kiberbiztonság

A szervezeteket veszélyeztető fenyegetések spektruma évről évre egyre szélesebb, különösen mióta az üzleti tevékenységek globális szinten működnek, illetve az IoT nyomán az eszközök számossága és választéka rohamosan bővül.

További kihívást jelentenek az intézményi hálózatok számára az un. BYOD (bring your own device, „magunkkal hordott eszközök”) megjelenése, – mint például okos telefon, okosóra, tablet, stb. – hiszen ezek megcáfolják azt a hagyományosan alkalmazott nézetet, miszerint a hálózatok „határán” felállított, kívülről érkező támadások elleni védelem elég biztonságot nyújt a fenyegetésekkel szemben.

Azonban az újabb módszerek, melyek a hálózat egyszerű monitorozásán, illetve a szignatúra-alapú felderítésen alapulnak, szintén hatástalannak bizonyulnak a modern fenyegetésekkel szemben. A támadók egyre kifinomultabb, "álcázott" technikákkal kerülik meg a hagyományos védelmi és felderítési mechanizmusokat, melynek során forgalmi mintázatuk szinte megkülönböztethetetlenné válik a szabályos adminisztratív tevékenységektől.


Biztonsági Műveleti Központ
Security Operation Center, SOC

A mai fenyegetések elleni védelem formalizált, strukturált és fegyelmezett megközelítést igényel. Egy SOC a szolgáltatások széles skáláját nyújtja, a megfigyeléstől és a menedzsmenttől kezdve az átfogó fenyegetésekkel szemben megvalósítható védelmi megoldásokig és a hosztolt biztonságig, amelyek az ügyfél igényeihez igazíthatók.

Egy modern és hatékony SOC három fő építőelem köré szervezhető: szakember (elemző, incidensfelelős, fenyegetésvadász), biztonsági folyamatok és technológia. A biztonsági műveleti központok általában biztonsági elemzőkkel és mérnökökkel dolgoznak, akik figyelemmel kísérik és elemzik a hálózatok, szerverek, végpontok, adatbázisok, alkalmazások, webhelyek és más rendszerek tevékenységeit, olyan rendellenes tevékenységeket keresve, amelyek biztonsági eseményt vagy veszélyt jelezhetnek. A SOC feladata annak biztosítása, hogy a lehetséges biztonsági incidenseket és fenyegetéseket helyesen azonosítsák, elemezzék, megvédjék, kivizsgálják és jelentsék. Egy első szintű elemző a biztonsági riasztások ellenőrzésével (valós vagy téves), priorizálásával és elemzésével foglalkozik. Ha az incidens egyszerűbb eszközökkel nem kezelhető és nem oldható meg, feljebb kerül egy második szintű elmzőhöz vagy incidensfelelőshöz mélyebb kivizsgálás céljából. A piramis csúcsán a harmadik szintű, un. fenyegetésvadászok (threathunter) állnak, akik komplex és kifinolmult technikákkal felderítik az incidens okát és eredetét. A technológia két alapeleme alapeleme a SIEM (security information and event management system) és a SOAR (security orchestration, automation and response).

A SIEM rendszereket az adatok gyűjtésére és szűrésére, a fenyegetések észlelésére és osztályozására, valamint a fenyegetések elemzésére és kivizsgálására használják. A SOAR platformok a SIEM-ekhez hasonlóak abban, hogy összegyűjtik, korrelálják és elemzik a riasztásokat. A SOAR technológia azonban egy lépéssel továbbmegy a fenyegetésekkel kapcsolatos intelligencia integrálásával és az incidensek kivizsgálásának és a válaszadás munkafolyamatainak automatizálásával, a biztonsági csapat által kidolgozott playbookok alapján.

Célkitűzések

Egyik fő célunk a kiberbiztonság különböző aspektusainak egyetemi szintű népszerűsítése és támogatása, mivel a vállalatoknak, vállalkozásoknak és más intézményeknek előbb-utóbb szükségük lesz tapasztalt és jól képzett szakemberekre, mérnökökre és kutatókra ezen a területen. Az oktatás és az elméleti háttér megteremtése mellett különös hangsúlyt fektetünk a kiberbiztonsági kutatásra, fejlesztésre és innovációra, hogy gyakorlati technikákat és módszereket biztosítsunk hallgatóink és partnereink számára. Az oktatás gyakorlatában a projektalapú megközelítés kialakítására, a tehetséggondozásra és a kutatás ösztönzésére összpontosítunk. Ennek érdekében a hallgatókkal együtt kutatócsoportokat hozunk létre, ahol gyakorlati megközelítésben ismerkednek meg a kutatás és fejlesztés kihívásaival, és megtapasztalják a csapatmunkát.

A kibervédelmi kutatások támogatása érdekében az egyetemi hálózaton belül folyamatosan fejlesztjük a "mag" valós/virtualizált hibrid teszthálózatot, amely egy biztonsági műveleti központot (SOC) és egy mézeskalács-szegmenst foglal magában, kiegészítve további behatolásérzékelési, -megelőzési és -elemzési megoldásokkal. A SOC nagyrészt virtualizált környezetben, nyílt forráskódú építőelemek felhasználásával működik. Mivel a kibervédelmi kutatások (Honeypot és SOC optimalizálása, támadóprofilok készítése, digitális törvényszéki vizsgálat, aktív elrettentés, incidenskezelés) nagy mennyiségű napló- és forgalmi mintát igényelnek, különböző kibervédelmi kihívásokat és versenyeket (Capture the flag (CTF) és támadás/védelem versenyek) szervezünk, amelyek egyrészt kiváló motivációt és orientációt nyújtanak a hallgatók számára a kiberbiztonság felé, másrészt elegendő "valósághűnek tűnő" szimulált támadási adatot biztosítanak az elemzéshez és optimalizáláshoz.