Czy biznes potrzebuje Security Operations Center?

Systemy oraz technologie odpowiadające za przechowywanie i zarządzanie danymi oraz sterowanie procesami

Systemy oraz technologie odpowiadające za przechowywanie i zarządzanie danymi oraz sterowanie procesami mają ogromny wpływ na działanie organizacji, można wręcz powiedzieć, że środowiska IT są kluczowe dla rozwoju współczesnego biznesu. Ubiegłoroczna sytuacja związana z lockdownem gospodarki jeszcze pogłębiła tę zależność, a jednocześnie pokazała jak istotne jest stałe czuwanie nad bezpieczeństwem IT – dzisiaj, jak nigdy wcześniej możemy przyznać, że każdy biznes może znaleźć się na celowniku cyberprzestępców.

remote work klawiatura komputer dłonie

Przygotowani na bezpieczną pracę zdalną?

Firmy nie są jednak bezbronne. Dzisiaj praktycznie każda organizacja, szanująca nie tylko własne zasoby, ale także dane klientów i partnerów, ma kilka rodzajów zabezpieczeń takich jak firewall, IPS [Intrusion Prevention System], IDS [Intrusion Detection System], filtrowanie adresów URL i podejrzanych wiadomości e-mail oraz przyzwoite oprogramowanie antywirusowe. Są to właściwie podstawy, aby zapewnić w miarę spokojne korzystanie z sieci, choć do tej pory głównie rozumianej jako sieć lokalna. Sytuacja komplikuje się, gdy dostęp do danych nie jest ograniczony jedynie do pracowników z biur stacjonarnych i sieci lokalnej, ale coraz częściej jest otwarty także dla pracowników zdalnych, partnerów pracujących za pomocą zewnętrznych systemów, wykorzystujących urządzenia i aplikacje webowe i mobilne. Szczególnie w takiej sytuacji, trzeba zdać sobie sprawę z tego, że technologie, które znamy i wykorzystujemy, chronią przed tym, co znamy i przed czym potrafimy się bronić. Dodatkowo wiele firm traktuje bezpieczeństwo IT jako coś statycznego i zajmuje się nim wtedy, gdy jest na to czas lub budżet lub gdy jest już naprawdę „gorąco”. Problem polega na tym, że zagrożenia w Internecie nie są ani statyczne, ani cyberprzestępcom nie brakuje chęci i zasobów do łamania kolejnych barier, a ryzyka często nie dotyczą jedynie możliwości nieautoryzowanego dostępu do danych, ale przede wszystkim grożą utratą reputacji firmy lub innych pozamaterialnych wartości, które mogą pośrednio odbić się na jej wycenie lub chociażby braku możliwości realizacji projektu lub inwestycji. 

haker w kapturze

Cyberprzestępcy są zorganizowani i mają czas

Według opensecurity.pl: „Za dzisiejszym malwarem stoi prężnie funkcjonujący czarny rynek, na którym przebierać można w ofertach sprzedaży 0-dayów, exploitów, backdorów, a nawet gotowych botnetów składających się z tysięcy przejętych komputerów. Wszystko to ułatwia zorganizowanym grupom przestępczym prowadzenie szeroko zakrojonych kampanii phishingowych lub realizowania ataków ransomware …”. Operacje hackerskie inicjowane są zarówno z zewnątrz jak i z wewnątrz organizacji. Przy czym konkretne, właściwe ataki odbywają się w zupełnie innym terminie, często z wnętrza organizacji, kiedy atakujący podszywają się pod zautoryzowanych, legalnych użytkowników aplikacji i sieci.

Według Microsoft, czas od momentu przejęcia przez atakującego kontroli nad pierwszym komputerem, do uzyskania praw administratora dających dostęp do wszystkich zasobów firmy, wynosił do 48 godzin. Natomiast wykrycie faktu, że padło się ofiarą skutecznego ataku zabierało firmom w zależności od branży do 150 dni. Innymi słowy służby IT mają do 48 godzin na wykrycie faktu włamania, w przeciwnym wypadku może dojść do przejęcia pełnej kontroli nad infrastrukturą IT. Czas odgrywa tu kluczową rolę, bywa zatem tak, że standardowe działania lokalnych służb IT – odpowiedzialnych za wiele innych obszarów funkcjonowania firmy – są niewystarczające i po prostu spóźnione.

ataki ddos

SOC, czyli kompetencje ludzi, sprzęt i oprogramowanie

W firmach, dla których bezpieczeństwo IT jest warunkiem ciągłości działania pojawia się zatem potrzeba znalezienia kogoś lub – co bardziej prawdopodobne – zgromadzenia zespołu, który będzie w stanie monitorować sytuację i informować działy IT o wykrytych zagrożeniach. To właśnie Security Operations Center, w skrócie SOC. 

SOC to nazwa zespołu odpowiedzialnego za bieżące monitorowanie i analizę stanu bezpieczeństwa organizacji. Celem zespołu SOC jest wykrywanie, analizowanie i reagowanie na incydenty związane z cyberbezpieczeństwem za pomocą kombinacji rozwiązań technologicznych i zestawu procesów – posłuchaj podcastu „Porozmawiajmy o IT” o Security Operations Center.

Zbudowanie Security Operations Center to jednak spora inwestycja. Niezbędny jest zakup wydajnego i niezawodnego sprzętu do monitorowania logów, do tego dochodzi zestaw niezbędnego oprogramowania typu SIEM [Security Information and Event Management]. Niestety to dopiero początek wydatków … całość musi zostać uzupełniona o wykwalifikowany zespół specjalistów ds. bezpieczeństwa, którzy nie tylko są obecnie bardzo dobrze wynagradzani, ale przede wszystkim niezwykle trudno ich znaleźć, utrzymać i dbać o ich bieżące kwalifikacje. Aktualne zapotrzebowanie na specjalistów znacznie przerasta ilość wykwalifikowanych pracowników dostępnych na rynku. Raport (ISC)2 z listopada 2019 r. szacuje, że niedobór kadr to ponad 290 tysięcy wakatów w samej Europie. 

monitoring it

Jak nietrudno się domyśleć, rozwiązaniem w takiej sytuacji może być skorzystanie z Security Operations Center utrzymywanego przez zewnętrznego dostawcę typu Managed Security Service Provider.

Tego typu współpraca gwarantuje dostęp do specjalistycznej wiedzy i narzędzi w stopniu dostosowanym do potrzeb. Do ustalenia pozostaje zakres usługi w oparciu o zgłoszone do monitorowania zasoby oraz przebieg procesów i adresatów, do których wysyłane będą informacje o potencjalnych zagrożeniach i sugestie niezbędnych działań oraz tryb pracy w modelu 24/7 lub 8/5 w dni robocze, co ma wpływ na finalną stawkę abonamentu. A jeśli kiedyś zajdzie potrzeba zmian, rozbudowy ale także ograniczenia skali działania, będzie można zrealizować to szybko i w prosty sposób. Elastyczność, dostępność i stabilność takiej formy współpracy to niewątpliwy atut i wygoda.

Sprawdź ZAKRES USŁUG 3S SOC
digital security

Chcesz być cyberbezpieczny? Zacznij od…

Współpraca z zewnętrznym Security Operations Center rozpoczyna się od podpisania non-disclosure agreement [NDA]. Kolejnym krokiem jest wykonanie audytu bezpieczeństwa  infrastruktury IT, który trwa od 2 do 4 dni roboczych (dokładny czas zależy od zakresu i stopnia skomplikowania środowiska IT badanej firmy) – zamów audyt bezpieczeństwa IT dla swojej firmy.  Powstały na tej podstawie raport z wnioskami, po zaszyfrowaniu przekazywany jest klientowi oraz odbywa się rozmowa doradcza, na której przedstawiane są rekomendacje dotyczące podjęcia niezbędnych działań lub aktualizacji polityk bezpieczeństwa firmy. Jest to standardowe działanie przed przejściem do następnego kroku proaktywnej ochrony, który polega na monitorowaniu logów z kluczowych urządzeń i systemów IT przez udostępniony w formie usługi system SIEM dostawcy, który czuwa nad bezpieczeństwem organizacji. Proces aktywnej ochrony polega na ciągłej analizie zdarzeń w infrastrukturze IT klienta, a w przypadku pojawiania się anomalii, zagrożeń lub sytuacji nietypowych przekazuje powiadomienia i zalecenia od inżynierów bezpieczeństwa działu SOC usługodawcy.

Autor:

Masz pytania?

Napisz do nas

    FUNKCJONALNOŚĆ

    konfiguracja systemu SIEM i integracja ze wskazanymi źródłami danych

    obsługa scenariuszy bezpieczeństwa

    powiadomienia o wykrytych potencjalnych naruszeniach bezpieczeństwa

    dobowy raport incydentów

    comiesięczny raport incydentów

    Indywidualny harmonogram powiadomień

    niezbędną licencję na współużytkowanie aplikacji SIEM - IBM QRadar w wymiarze 50 lub 100 zdarzeń na sekundę (EPS – events per second)

    powiadomienia email

    prekonfigurowane scenariusze bezpieczeństwa

    własne scenariusze bezpieczeństwa

    rekonfiguracja źródeł danych

    weryfikacji naruszeń bezpieczeństwa

    szczegółowa analiza incydentów

    koordynacja i zalecenie dot. obsługi incydentów

    Retencja danych o incydentach

    Pakiet Standard 50

    Do 5 źródeł danych 

    5 prekonfigurowanych  
    scenariuszy bezpieczeństwa 

    5 prekonfigurowanych scenariuszy 

    limitwana 

    1-3 miesięcy 

    Pakiet Standard 100

    Do 10 źródeł danych 

    5 prekonfigurowanych  
    scenariuszy bezpieczeństwa 

    5 prekonfigurowanych scenariuszy 

    limitowana 

    1-3 miesięcy 

    Rozwiązanie Projektowe

    Indywidualna ilość źródeł danych 

    indywidualna ilość obsługiwanych logów zdarzeń /sekundę 

    indywidualna ilość scenariuszy 

    indywidualna 

    Ta strona wykorzystuje pliki cookies w celu ulepszenia działania seriwsu