Aktualita

ARB zápis 20.10.2023

Aktualizované 2 novembra, 2023

Obsah

Dňa 02.11.2023 bol zverejnený zápis zo stretnutia Architecture Review Board, ktoré sa konalo dňa 20.10.2023.

Cieľom je vytvoriť riešenie, ktoré pozostáva zo SOC, SIEM a ďalších riešení, ktoré môžu použiť aj ostatné Orgány riadenia.

  • Aktuálne funguje 1 SOC tím, aktuálne funguje prevádzka 24×7
    • SOC v NASES sa rozširuje – budú sa zbierať dáta a incidenty
    • Staré SOC sa musí upgradnúť (obnova HW, doplnenie monitorovacích technológií)
    • koncept je založený na spoločnom 1 SIEM pre NASES a MIRRI aj pre ostatné OR
  • V rámci OPII sa riešil monitoring GOVNET, MIRRI, niektoré subjekty – len pre vybrané systémy
    • V rámci projektu menia pohľad – cieľom je poskytovať komplexnú službu SOC as a service, nie len pre vybrané systémy
    • SOC – rozširovanie monitoringu o nové OVM a systémy čo ma v správe NASES (základne služby)
    • Nové organizácie pri prístupe k monitoringu
      • Je tam veľa prác a následne integrácií nástrojov
      • Teraz chcú len vzorovú implementáciu PoC – ako by to strategicky malo byť riešené do budúcnosti
    • Tento projekt ani realita neumožňuje, aby sa pripájalo veľké množstvo nových OR
  • Momentálne majú 4 klientov (okrem MIRRI a NASES), v rámci pridajú nových 7 klientov
  • V budúcnosti projekt umožní pripojenie nových OR
    • Cieľom nie je robiť len štatistiku incidentov
    • Cieľ je OR napojiť kompletne, nie len pre konkrétny systém
    • Do budúcna bude k dispozícií balík licencií, ktorý ponúkajú a po analýze a uzatvorení zmluvných vzťahov príde tím ich onboardnúť
    • On boarding samotného OVM je náročný proces, v rámci súčasných kapacít sú schopní pripájať 2-3 OVM, trvá to typicky 4-5 mesiacov
    •  Otázka je aj počet licencií na SIEM, zlý koncept by zbytočne vyčerpal kapacity
  • Až v roku 2025 bude riešiť pripojenie ďalších projektov
    • V roku 2024 sa rieši primárne SOC pre NASES a jeho systémy, existujúci SOC klienti a nových 7 klientov
    • Najskôr od 2025 je možné poskytovať služby aj ďalším OVM
  • Práca so zdrojovými kódmi
    • Neprodukujú zdrojové kódy
    • Nebudú kontrolovať zdrojové kódy
    • Kontrola zdrojových kódov bude možné až v druhej časti – posilňovanie kapacít vládnej jednotky CSIRT, budú sa tomu venovať v rámci investície 6 mimo tohto IT projektu
  • Kooperácia s inými SOC, napr. MF
    • MF si buduje svoje vlastné dohľadové centrum
  • Použitie verejných cloudov
    • Azure, AWS, Google cloud – majú vytvorenú infraštruktúru pre SIEM a SOC
    • V rámci projektu sa využíva a ďalej vylepšuje existujúci SIEM
    • Používajú aj nástroje, ktoré bežia vo verejných cloudoch
    • SIEM, SOLAR, bude on prem
    • Preferovaná cesta je používať cloud (napr. Azure defender)
  • Existuje koncept budovania SIEM/SOC
    • Na celoštátnej úrovni taký koncept dnes neexistuje, majú v pláne prísť s koncepciou
  • Service desk budú rozširovať
    • Bezpečnostné incidenty by mali byť samostatne v samostatnej inštancií SD

Aktualizované 2 novembra, 2023

Zanechajte komentár

Vaša e-mailová adresa nebude zverejnená.