S porastom sofisticiranih napada i ubrzanom automatizacijom pretnji, uloga SOC-ova (Centara za operacije bezbednosti) postaje ključna za stabilnost i kontinuitet poslovanja. Na ovu temu razgovarali smo sa Renatom Gimadievim, stručnjakom za SOC rešenja kompanije Kaspersky. Renat je predstavio aktuelan pejzaž pretnji i vektore napada na osnovu analiza za period 2024. i 2025, preporuke i najbolje prakse iz prve ruke za kompanije koje grade ili unapređuju bezbednosne kapacitete. U TechZone intervjuu objašnjava zašto sajber bezbednost nije luksuz i zašto je krucijalno investirati na vreme.
Renat je deo globalnog Kaspersky tima, koji kombinuje telemetriju, SOAR/SIEM pristup i incident-response procese. Ovaj tim ne samo da isporuče tehnologiju, nego i klijente uči kako da je pravilno koriste. To je omogućeno kroz treninge, radionice i hands-on sesije.
Podsećamo vas da smo istom prilikom razgovarali i sa Julijom Novikovom. Čitajte o tome šta se promenilo u proteklih godinu dana, koje grupe su najugroženije i šta države i korisnici mogu odmah da urade da smanje rizik.
Šta pokazuju najnoviji podaci, koje su glavne pretnje koje pratite?
Renat Gimadiev: Kolektivna telemetrija je ogroman izvor uvida. Svakodnevno primamo stotine hiljada jedinstvenih uzoraka malvera i pokazatelja kompromitacije. U poslednje tri godine osnovni obrasci nisu nestali, oni su evoluirali. Vidimo rast haktivizma, aktivnost APT grupa, ciljane akcije protiv državnih institucija i finansijskih organizacija. Napadi se često planiraju i kombinuju. Tako mejlovi iniciraju pristup, web linkovi i exploit servisi na perimetru pridodaju se taktikama. Količina podataka je ogromna, pa koristimo AI i automatizovane sistemeda bismo izdvojili stvarne pretnje i pomogli analitičarima da se fokusiraju na ono što zaista ugrožava poslovanje.
Kako izgleda situacija u Srbiji i regionu? Kako stojimo u odnosu na ostatak Evrope?
Renat Gimadiev: U regionu, uključujući Srbiju, vidimo specifičan problem. To je nedostatak dovoljno obučenih kadrova za sajber i informatičku bezbednost. Mnoge firme traže prave stručnjake, ne samo „zamenu za nekog“, već kandidate koji stvarno mogu da postave procese, nadgledaju ih i reaguju adekvatno kad je to potrebno. To znači da je ulaganje u ljude prvi prioritet. Trebalo bi obrazovati ne samo bezbednosne timove, već i administraciju, finansije i menadžment. Veoma je važno da svi razumeju kako da prepoznaju indikator problema i kakav je workflow u slučaju incidenta. Bez tog znanja i dokumentovanih procedura, čak i dobra tehnologija ne daje očekivani rezultat.
Phishing, ali uz neke nove trikove kroz PDF, kalendar ili Word, koliko je realna pretnja?
Renat Gimadiev: Veoma realna. Tri su osnovna vektora proboja: mejl, web (linkovi i preuzimanja) i ranjivosti na perimetru. Mnoge kampanje APT grupa počinju mejlom koji kombinuje socijalni inženjering i tehničke aspekte (prilozi, zlonamerni linkovi, poziva na akciju). Napadači sofisticirano pripremaju sadržaj tako da izgleda legitimno – menjaju vreme, kontekst, layout poruka – i zato je ključno imati više nivoa zaštite. Mislim na DMARC/ DKIM i SPF podešavanja, sandboxing za dokumente, naprednu mejl zaštitu koja može dinamički da analizira i „pokrene“ sumnjive fajlove u bezbednom okruženju. Bez tih mehanizama, običan korisnik lako može da pogreši i otvori „zaražen“ dokument ili prihvati maliciozan kalendarski poziv.
Kako kompanije da promene veoma čestu percepciju menadžmenta da bezbednost nije samo trošak već investicija?
Renat Gimadiev: Promena perspektive mora da počne od vrha. Bezbednost bi trebalo posmatrati kao poslovno osiguranje. Kada razgovaramo sa C-level menadžmentom, ističemo posledice – prekid prihoda, narušavanje poslovnog lanca, kazne za curenje podataka. Budžeti postoje, ali se često troše na kratkoročne prioritete. Treba pokazati konkretan ROI: šta se gubi ako nema incident response plana, ko će biti pogođen u lancu partnera, kolike su moguće regulatorne kazne. Takođe, kontinuirani model ulaganja (ne jednokratne kupovine) – dokumentaciju, procedure, kadrove i obuke – mnogo su efikasniji nego „kupovina zaštite posle incidenta“.
Kojih prvih koraka bi trebalo da se pridržava jedna kompanija koja tek formira SOC ili unapređuje bezbednost?
Renat Gimadiev: Počnite sistematski. Osnovni „starter pack“ podrazumeva cyber-higijenu i hardening kritičnih servisa (npr. Active Directory), mapiranje imovine, procenu ranjivosti i testiranje spolja (external view) da biste videli šta napadači vide. Dokumentujte strategiju, IT strategiju, security strategiju i incident response plan, pre nego što uvezete tehnička rešenja. Jednako važno je obučiti osoblje i uvesti alate za brzo otkrivanje i izolaciju incidenata. Nakon toga, dopunite sa kompromis-procenom, red-teamingom i penetracionim testovima kako biste dobili nezavisnu sliku o stvarnom stanju.
Koje KPI-jeve svaki SOC treba da prati, i kako ih predstaviti menadžmentu?
Renat Gimadiev: Postoji veliki broj metrika, ali ključne su pokrivenost (bez slepih tačaka nadzora), mean time to detect (MTTD) i mean time to respond (MTTR). Pored toga pratite vreme do primene kritičnih patch-eva, nivo EDR pokrivenosti, vreme za remedijaciju ranjivosti i broj detekcija po vrsti pretnje. Te metrike moraju biti usklađene sa zrelošću SOC-a i organizacije. Jasna, kvartalna izveštavanja olakšavaju komunikaciju sa menadžmentom jer prevode tehničke podatke u poslovne rizike.
Kako integrisati alate različitih proizvođača, koliko je to komplikovano?
Renat Gimadiev: Integracija je ključna. SIEM i SOAR bez integracija ne idu daleko. Sa Kaspersky strane, spremni smo na integracije i nudimo profesionalne usluge, inženjere koji pomažu tokom pre i posle prodaje. Bitno je da rešenja imaju otvorene API-je i jasno dokumentovane procedure. Time se smanjuje vreme integracije i povećava konzistentnost podataka. U praksi, integracije olakšavaju automatizaciju odgovora i orkestraciju zadataka, što znatno podiže efikasnost tima.
Da li se svest o potrebi zaštite menja i da li kompanije više reaguju u poslednje vreme?
Renat Gimadiev: Da, vidimo rast interesa. Kompanije traže znanje, ali im ponekad nedostaju pouzdani izvori. Internet je preplavljen informacijama, pa je teško odvojiti kvalitetne od onih koje to nisu. Platforme koje daju verodostojne, praktične smernice pomažu, kao što je Kaspersky Securelist platforma. Ključno je da bezbednost postane deo svakodnevnog poslovanja, a ne „ad hoc“ aktivnost.
Šta je to čime biste zaključili ovu priču, nešto što biste posebno želeli da istaknete? Kako podstaći razmišljanje da bezbednost nije luksuz.
Renat Gimadiev: Sajber bezbednost nije luksuz i nije samo tehnički projekat. Ona je sastavni deo poslovne strategije. Potrebno je gledati bezbednost holistički: ljudi, procesi i alati moraju da funkcionišu zajedno. Ulaganje u obrazovanje kadrova, dokumentovanje procedura i kontinuirana evaluacija rizika smanjuju šanse da napadači izvuku korist čak i ako do kompromitacije dođe. Regulativa, kazne i prekidi u poslovanju jasno pokazuju da nema brzog rešenja, jer – potrebno je kontinuirano ulaganje.
Ako prihvatimo bezbednost kao stalnu obavezu, a ne kao jednokratni trošak, kompanije će dugoročno zaštititi svoje resurse, reputaciju i poslovanje. Mi, kao stručnjaci i dobavljači rešenja, možemo da pomognemo u tom procesu. Ipak, prvi korak je promena svesti svakog od pojedinaca i početi od ljudi i procedura.
