Czy biznes potrzebuje Security Operations Center?

Systemy oraz technologie odpowiadające za przechowywanie i zarządzanie danymi oraz sterowanie procesami mają ogromny wpływ na działanie organizacji, można wręcz powiedzieć, że środowiska IT są kluczowe dla rozwoju współczesnego biznesu. Ubiegłoroczna sytuacja związana z lockdownem gospodarki jeszcze pogłębiła tę zależność, a jednocześnie pokazała jak istotne jest stałe czuwanie nad bezpieczeństwem IT – dzisiaj, jak nigdy wcześniej możemy przyznać, że każdy biznes może znaleźć się na celowniku cyberprzestępców.

Przygotowani na bezpieczną pracę zdalną?

Firmy nie są jednak bezbronne. Dzisiaj praktycznie każda organizacja, szanująca nie tylko własne zasoby, ale także dane klientów i partnerów, ma kilka rodzajów zabezpieczeń takich jak firewall, IPS [Intrusion Prevention System], IDS [Intrusion Detection System], filtrowanie adresów URL i podejrzanych wiadomości e-mail oraz przyzwoite oprogramowanie antywirusowe. Są to właściwie podstawy, aby zapewnić w miarę spokojne korzystanie z sieci, choć do tej pory głównie rozumianej jako sieć lokalna. Sytuacja komplikuje się, gdy dostęp do danych nie jest ograniczony jedynie do pracowników z biur stacjonarnych i sieci lokalnej, ale coraz częściej jest otwarty także dla pracowników zdalnych, partnerów pracujących za pomocą zewnętrznych systemów, wykorzystujących urządzenia i aplikacje webowe i mobilne. Szczególnie w takiej sytuacji, trzeba zdać sobie sprawę z tego, że technologie, które znamy i wykorzystujemy, chronią przed tym, co znamy i przed czym potrafimy się bronić. Dodatkowo wiele firm traktuje bezpieczeństwo IT jako coś statycznego i zajmuje się nim wtedy, gdy jest na to czas lub budżet lub gdy jest już naprawdę „gorąco”. Problem polega na tym, że zagrożenia w Internecie nie są ani statyczne, ani cyberprzestępcom nie brakuje chęci i zasobów do łamania kolejnych barier, a ryzyka często nie dotyczą jedynie możliwości nieautoryzowanego dostępu do danych, ale przede wszystkim grożą utratą reputacji firmy lub innych pozamaterialnych wartości, które mogą pośrednio odbić się na jej wycenie lub chociażby braku możliwości realizacji projektu lub inwestycji.

Cyberprzestępcy są zorganizowani i mają czas

Według opensecurity.pl: „Za dzisiejszym malwarem stoi prężnie funkcjonujący czarny rynek, na którym przebierać można w ofertach sprzedaży 0-dayów, exploitów, backdorów, a nawet gotowych botnetów składających się z tysięcy przejętych komputerów. Wszystko to ułatwia zorganizowanym grupom przestępczym prowadzenie szeroko zakrojonych kampanii phishingowych lub realizowania ataków ransomware …”. Operacje hackerskie inicjowane są zarówno z zewnątrz jak i z wewnątrz organizacji. Przy czym konkretne, właściwe ataki odbywają się w zupełnie innym terminie, często z wnętrza organizacji, kiedy atakujący podszywają się pod zautoryzowanych, legalnych użytkowników aplikacji i sieci.

Według Microsoft, czas od momentu przejęcia przez atakującego kontroli nad pierwszym komputerem, do uzyskania praw administratora dających dostęp do wszystkich zasobów firmy, wynosił do 48 godzin. Natomiast wykrycie faktu, że padło się ofiarą skutecznego ataku zabierało firmom w zależności od branży do 150 dni. Innymi słowy służby IT mają do 48 godzin na wykrycie faktu włamania, w przeciwnym wypadku może dojść do przejęcia pełnej kontroli nad infrastrukturą IT. Czas odgrywa tu kluczową rolę, bywa zatem tak, że standardowe działania lokalnych służb IT – odpowiedzialnych za wiele innych obszarów funkcjonowania firmy – są niewystarczające i po prostu spóźnione.

SOC, czyli kompetencje ludzi, sprzęt i oprogramowanie

W firmach, dla których bezpieczeństwo IT jest warunkiem ciągłości działania pojawia się zatem potrzeba znalezienia kogoś lub – co bardziej prawdopodobne – zgromadzenia zespołu, który będzie w stanie monitorować sytuację i informować działy IT o wykrytych zagrożeniach. To właśnie Security Operations Center, w skrócie SOC.

SOC to nazwa zespołu odpowiedzialnego za bieżące monitorowanie i analizę stanu bezpieczeństwa organizacji. Celem zespołu SOC jest wykrywanie, analizowanie i reagowanie na incydenty związane z cyberbezpieczeństwem za pomocą kombinacji rozwiązań technologicznych i zestawu procesów – posłuchaj podcastu „Porozmawiajmy o IT” o Security Operations Center.

Kluczowe obszary za które odpowiada SOC:

Proaktywne wykrywanie niepożądanej aktywności, aby jak najszybciej wiedzieć o incydentach i zminimalizować ich skutki.
Szacowanie ryzyka – aby wskazać potencjalny cel ataku oraz minimalizować jego skutki.
Zarządzanie podatnościami, aby mieć praktyczną wiedzę, co może być narażone na nowe zagrożenia.
Świadomość kluczowych zasobów, systemów i użytkowników działających w monitorowanej organizacji, tak by być świadomym ich potencjalnych zagrożeń.
Zarządzanie dziennikami zdarzeń, aby mieć możliwość dochodzenia źródeł i szacowania skali incydentu lub naruszenia.

Zbudowanie Security Operations Center to jednak spora inwestycja. Niezbędny jest zakup wydajnego i niezawodnego sprzętu do monitorowania logów, do tego dochodzi zestaw niezbędnego oprogramowania typu SIEM [Security Information and Event Management]. Niestety to dopiero początek wydatków … całość musi zostać uzupełniona o wykwalifikowany zespół specjalistów ds. bezpieczeństwa, którzy nie tylko są obecnie bardzo dobrze wynagradzani, ale przede wszystkim niezwykle trudno ich znaleźć, utrzymać i dbać o ich bieżące kwalifikacje. Aktualne zapotrzebowanie na specjalistów znacznie przerasta ilość wykwalifikowanych pracowników dostępnych na rynku. Raport (ISC)2 z listopada 2019 r. szacuje, że niedobór kadr to ponad 290 tysięcy wakatów w samej Europie.

Jak nietrudno się domyśleć, rozwiązaniem w takiej sytuacji może być skorzystanie z Security Operations Center utrzymywanego przez zewnętrznego dostawcę typu Managed Security Service Provider.

Tego typu współpraca gwarantuje dostęp do specjalistycznej wiedzy i narzędzi w stopniu dostosowanym do potrzeb. Do ustalenia pozostaje zakres usługi w oparciu o zgłoszone do monitorowania zasoby oraz przebieg procesów i adresatów, do których wysyłane będą informacje o potencjalnych zagrożeniach i sugestie niezbędnych działań oraz tryb pracy w modelu 24/7 lub 8/5 w dni robocze, co ma wpływ na finalną stawkę abonamentu. A jeśli kiedyś zajdzie potrzeba zmian, rozbudowy ale także ograniczenia skali działania, będzie można zrealizować to szybko i w prosty sposób. Elastyczność, dostępność i stabilność takiej formy współpracy to niewątpliwy atut i wygoda.

Dotychczas miesięczny koszt usług SOC u zewnętrznych dostawców był kwotą rozpoczynającą się od kilkunastu tysięcy złotych miesięcznie, obecnie wydatki te można kilkukrotnie zmniejszyć rozpoczynając od ustandaryzowanych pakietów bezpieczeństwa, które koncentrują się na ochronie najbardziej kluczowych miejsc w infrastrukturze IT. Dzięki temu można szybko i łatwo przeprowadzić wdrożenie takiej usługi także w organizacjach, dla których posiadanie specjalistów bezpieczeństwa i zakup własnego systemu SIEM, do tej pory należało do wydatków przekraczających standardowe budżety.

Sprawdź ZAKRES USŁUG 3S SOC

Chcesz być cyberbezpieczny? Zacznij od…

Współpraca z zewnętrznym Security Operations Center rozpoczyna się od podpisania non-disclosure agreement [NDA]. Kolejnym krokiem jest wykonanie audytu bezpieczeństwa infrastruktury IT, który trwa od 2 do 4 dni roboczych (dokładny czas zależy od zakresu i stopnia skomplikowania środowiska IT badanej firmy) – zamów audyt bezpieczeństwa IT dla swojej firmy. Powstały na tej podstawie raport z wnioskami, po zaszyfrowaniu przekazywany jest klientowi oraz odbywa się rozmowa doradcza, na której przedstawiane są rekomendacje dotyczące podjęcia niezbędnych działań lub aktualizacji polityk bezpieczeństwa firmy. Jest to standardowe działanie przed przejściem do następnego kroku proaktywnej ochrony, który polega na monitorowaniu logów z kluczowych urządzeń i systemów IT przez udostępniony w formie usługi system SIEM dostawcy, który czuwa nad bezpieczeństwem organizacji. Proces aktywnej ochrony polega na ciągłej analizie zdarzeń w infrastrukturze IT klienta, a w przypadku pojawiania się anomalii, zagrożeń lub sytuacji nietypowych przekazuje powiadomienia i zalecenia od inżynierów bezpieczeństwa działu SOC usługodawcy.

Zbigniew Szostak

Dyrektor Działu Produktów i Rozwiązań w Grupie 3S

Zbigniew Szostak

Sprawdź profil na LinkedIn

[contact-form-7 404 "Nie znaleziono"]

ZAKRES USŁUG 3S SOC – MONITORING I RAPORTOWANIE

3S SOC – Monitoring i Raportowanie to abonamentowa usługa gromadzenia, analizy i korelacji logów z kluczowych systemów udostępnianych przez klienta oraz automatyczne, całodobowe informowanie o wykrytych incydentach.

Przeznaczona jest dla organizacji, które posiadają w swojej infrastrukturze kilka źródeł danych.

Rekomendowane systemy do objęcia monitoringiem: Windows Server, Active Directory, router/UTM/firewall, serwer plików, inne serwery Linux.

FUNKCJONALNOŚĆ

konfiguracja systemu SIEM i integracja ze wskazanymi źródłami danych

obsługa scenariuszy bezpieczeństwa

powiadomienia o wykrytych potencjalnych naruszeniach bezpieczeństwa

dobowy raport incydentów

comiesięczny raport incydentów

Indywidualny harmonogram powiadomień

niezbędną licencję na współużytkowanie aplikacji SIEM - IBM QRadar w wymiarze 50 lub 100 zdarzeń na sekundę (EPS – events per second)

powiadomienia email

prekonfigurowane scenariusze bezpieczeństwa

własne scenariusze bezpieczeństwa

rekonfiguracja źródeł danych

weryfikacji naruszeń bezpieczeństwa

szczegółowa analiza incydentów

koordynacja i zalecenie dot. obsługi incydentów

Retencja danych o incydentach

Pakiet Standard 50

Do 5 źródeł danych

5 prekonfigurowanych
scenariuszy bezpieczeństwa

5 prekonfigurowanych scenariuszy

limitwana

1-3 miesięcy

Pakiet Standard 100

Do 10 źródeł danych