Navzdory neustálým vylepšením systémů kybernetické bezpečnosti je účinnost týmů SOC často nedostatečná. Specialista na kybernetické fúzní centrum a reakci na incidenty ve společnosti MorganFranklin Consulting sdílí své poznatky o zavádění pokročilých standardů monitorování, které pomáhají chránit podniky.
Počet výstrah před hrozbami roste, ale většina z nich jsou falešné poplachy, které analytiky zahlcují a zakrývají skutečná rizika. Podle studie Ponemon Institute, analytici nyní tráví čtvrtinu svého pracovního času kontrolou falešných výstrah, zatímco zpráva Verizon Data Breach Investigations Report ukazuje, že v 74 % případů narušení bezpečnosti systémy generovaly varování, která byla kvůli přetížení analytiků ignorována. Alina Gaifulina, expertka na kybernetickou bezpečnost, se domnívá, že k řešení tohoto problému jsou nezbytné nové proaktivní přístupy k bezpečnosti. Metody, které zavedla v SOC společnosti Deutsche Börse, snížily míru falešných poplachů o 48 % a přinesly roční úspory ve výši přibližně 200 000 EUR na smlouvách o poskytování služeb dodavatelů. Dnes, jako manažerka Cyber Fusion Center a Incident Response ve společnosti MorganFranklin Consulting, Alina Gaifulina zavádí pro klienty společnosti protokoly pro proaktivní vyhledávání hrozeb. Podívejme se, jak přední odborníci na kybernetickou bezpečnost transformují činnost svých týmů, proč je zde důležitý vědecký přístup a jaké výhody přináší proaktivní obrana podnikům.
Obranný tým a útočný tým
Standardní metodou pro testování spolehlivosti kybernetické obrany v moderních společnostech je penetrační testování: jeden tým simuluje útok, zatímco druhý se brání. Červený tým identifikuje zranitelná místa, simuluje útok a po dokončení předá zprávu modrému týmu – specialistům na informační bezpečnost. Tímto způsobem červený tým testuje připravenost modrého týmu bránit se kybernetickým útokům. Problémem je, že týmy pracují izolovaně: útočící strana nechápe, proč obrana selhala, a bránící strana nevidí, jak přesně došlo k narušení bezpečnostního systému.
Alina Gaifulina se s tímto problémem setkala, když nastoupila na pozici analytičky kybernetické bezpečnosti ve společnosti The Adecco Group, mezinárodní personální agentuře považované za jednoho z největších poskytovatelů personálních služeb na světě. Každý kybernetický incident, na jehož řešení se mladá specialistka podílela, odhalil systémové nedostatky – absence protokolů pro obranu proti konkrétním typům útoků, nutnost jednat intuitivně a riziko ztráty kriticky důležitých informací.
V reakci na to Alina Gaifulina systematizovala nashromážděné zkušenosti v oblasti reakce na incidenty a vytvořila operační příručky – podrobné pokyny, které analytikům pomáhají jednat rychle a přesně.
„Mezi ně patřily postupy pro monitorování úniků přihlašovacích údajů na dark webu, reakce na zero-day zranitelnosti, řešení únosů domén a reakce na útoky na obsazené domény a algoritmus opatření pro ztracená firemní zařízení s nasazením šifrování BitLocker,“ uvádí expert.
Díky tomuto přístupu se Alině Gaifulině podařilo zajistit stabilitu společnosti během několika závažných kybernetických incidentů, z nichž většina je dodnes v provozu.
Při vytváření mechanismu pro proaktivní ověřování účinnosti stávajících procesů dospěla Alina Gaifulina k závěru, že stabilní obrana je možná pouze v případě neustálé zpětné vazby mezi útočící a bránící stranou. Specialistka tento koncept nastínila v článku publikovaném v časopise The American Journal of Applied Sciences, kde představila model Purple Team – formát nepřetržité interakce mezi Red Teamem a Blue Teamem. Při tomto přístupu obě strany společně plánují testovací scénáře, sledují účinnost detekčních systémů v reálném čase a analyzují výsledky.
Vzhledem k současné úrovni kybernetických hrozeb je zásadní naučit týmy SOC porozumět myšlení hackerů a rozpoznat známky narušení bezpečnosti i v případě, že monitorovací systémy nehlásí žádné problémy. Tento přístup, který ve svém vědeckém výzkumu potvrdila Alina Gaifulina a který je uplatňován v praxi, umožňuje neustálé zlepšování bezpečnostních systémů a identifikaci zranitelných míst dříve, než je útočníci mohou zneužít.
Tento důraz na propojení výzkumu, praxe a operační spolupráce se odráží také v jejím nedávném přijetí do profesního sdružení Hakaton Raptors, které sdružuje odborníky v oblasti kybernetické bezpečnosti zabývající se aplikovanými obrannými strategiemi a simulací reálných hrozeb.
Maximalizace přesnosti systémů detekce zranitelnosti
Služby v oblasti kybernetické bezpečnosti fungují v paradoxních podmínkách: čím více dat monitorovací systémy shromažďují, tím obtížnější je odhalit stopy skutečných útoků. Značná část generovaných výstrah se ukazuje jako falešně pozitivní. Alina Gaifulina vyvinula řešení tohoto problému založené na optimalizaci procesů a implementaci hybridních detekčních metod.
Této výzvě čelila odbornice, když nastoupila na pozici vedoucí SOC v Deutsche Börse, jedné z největších burzovních skupin na světě. V době, kdy Alina Gaifulina vedla oddělení kybernetické bezpečnosti společnosti, museli její zaměstnanci zpracovávat téměř 200 výstrah denně, z nichž většina se ukázala jako falešné signály. Mezitím se požadavky na úpravu detekčních pravidel ztrácely v obecné frontě úkolů a falešné výstrahy se opakovaly.
Nová vedoucí zásadně změnila pracovní postupy zavedením systému správy úkolů DevOps s jasnými prioritami a odpovědnými vykonavateli. Navíc navázala spolupráci s týmem platformy SOAR za účelem automatizace postupů a vytvořila systém kontroly kvality s metrikami v reálném čase.
Na základě opatření Aliny Gaifuliny se během šesti měsíců snížila hranice denních upozornění z 200 na 100, což představuje celkové snížení o 48 %. Analytici tak získali možnost soustředit se na hloubkovou analýzu skutečně podezřelých aktivit. Výsledkem bylo, že Deutsche Börse dosáhla roční úspory na smlouvách s poskytovateli služeb ve výši přibližně 200 000 EUR.
Při práci na optimalizaci se Alina Gaifulina zabývala otázkou, proč dochází k falešným poplachům, a dospěla k závěru, že útočníci používají techniky, které nejsou obsaženy ve známých databázích podpisů hrozeb. Odbornice se tomuto problému věnovala ve vědecké studii, která byla v roce 2023 publikována v Universal Library of Innovative Research and Studies (Univerzální knihovna inovativního výzkumu a studií), ve které analyzovala důvody neúčinnosti tradičních metod založených na podpisech.
„V této práci navrhuji vícevrstvý model detekce hrozeb, který kombinuje strojové učení pro detekci anomálií a taxonomii MITRE ATT&CK pro mapování událostí na známé taktiky protivníka,“ vysvětluje Alina Gaifulina.
Hybridní přístup navržený výzkumníkem je výrazně účinnější než tradiční metody: algoritmy upřednostňují podezřelé události, zatímco taxonomie pomáhá je kontextualizovat a poskytuje analytikům jasný kontext pro vyšetřování.
Aby byly týmy SOC maximálně efektivní, musí být schopny rozlišit skutečné hrozby v datovém toku a vybudovat obranu na základě pochopení logiky útoku, nikoli pouze na základě formálních signálů. Alina Gaifulina tento přístup zavedla do provozních činností, čímž dosáhla snížení počtu falešných poplachů a zajistila společnosti ekonomické výhody. Vědecký výzkum, který tato odbornice provádí, umožňuje tuto pozitivní zkušenost systematizovat a aplikovat na jiné týmy.
Nastavení vyhledávání indikátorů kompromitace
I optimálně nakonfigurované monitorovací systémy obvykle fungují na reaktivním principu, kdy čekají na detekci podezřelé aktivity a vygenerování výstrahy. Mezitím skupiny zabývající se pokročilými trvalými hrozbami používají techniky, které jim umožňují zůstat neodhaleny. Ve své současné práci Alina Gaifulina implementuje lov hrozeb – přístup, při kterém analytici záměrně hledají indikátory kompromitace, aniž by čekali na automatické výstrahy.
Od června 2025 zastává specialistka pozici manažerky Cyber Fusion Center and Incident Response ve společnosti MorganFranklin Consulting, která spolupracuje s předními světovými společnostmi a pomáhá jim řešit kritické výzvy v oblasti financí, technologií a podnikání. Alina Gaifulina vede tým odpovědný za reakci na kybernetické útoky v regionu EMEA.
Aby zajistila strukturovanost a efektivitu činnosti svého týmu, vypracovala specialistka jasný protokol. Analytici pod jejím vedením formulují hypotézy na základě informací o hrozbách týkajících se aktuálních kampaní, ověřují je na základě údajů o klientech a dokumentují výsledky.
„Pokud se hypotéza potvrdí a je zjištěna skutečná hrozba, je zahájen proces reakce na incident,“ vysvětluje Alina Gaifulina. „Pokud ne, výsledky se i tak zaznamenají: v takovém případě potvrzují, že konkrétní technika útoku nebyla v dané infrastruktuře použita.“
Vedoucí SOC pro region EMEA také zavedl systém pro sledování práce analytiků během směn. Každá ověřená hypotéza je zdokumentována s popisem toho, jaká data byla analyzována, jaké dotazy byly použity a jaké závěry byly vyvozeny. To pomáhá vytvořit znalostní bázi, kterou mohou ostatní analytici využít při ověřování podobných hypotéz.
Tato praxe tvořila základ vědeckého článku publikovaného v časopise „Innovative Science“, ve kterém specialistka analyzuje omezení klasického reaktivního modelu SOC a zdůvodňuje přístup, který uplatňuje v praxi. Úspěšné vyhledávání hrozeb, píše Alina Gaifulina ve svém výzkumu, závisí na třech složkách: kvalitních datech (kompletní telemetrie z EDR, NDR, protokoly operačního systému), kompetentním personálu (specialisté s hlubokým porozuměním taktice protivníka) a vhodných nástrojích (platformy pro práci s velkými objemy dat, jako je ELK stack).
Zkušenosti Aliny Gaifuliny dokládají zásadní proměnu, ke které dnes dochází díky předním odborníkům na kybernetickou bezpečnost – od reaktivního modelu, který pouze reaguje na známé útoky, k proaktivnímu modelu, který neustále vyhledává indikátory ohrožení. Praktické činnosti této odbornice, od snižování počtu falešných poplachů po zavádění proaktivních protokolů pro vyhledávání hrozeb, přinášejí měřitelné výsledky pro podniky klientů. Vědecký výzkum pomáhá systematizovat zkušenosti a vytvářet metodiky, které mohou aplikovat další odborníci v oboru. Tato kombinace praxe a teorie vytváří nové standardy obrany, které umožňují mezinárodním podnikům přizpůsobit se neustále se měnící situaci v oblasti kybernetických hrozeb.
