Security Operations Center w kilku zdaniach
Monitorowanie bezpieczeństwa teleinformatycznego, czyli co?
Sieć, serwery, urządzenia sieciowe, stacje robocze, firewall i masa innych urządzeń współdziała ze sobą, aby nasze usługi informatyczne / systemy informatyczne działały właściwie. Obecne ataki na infrastrukturę zmieniły swój charakter, nie są tak oczywiste i sztampowe jak dotychczas i wymagają bieżącej obserwacji. Również niepożądane zachowania naszych pracowników i współpracowników wymagają dużo większej aktywności z naszej strony.
Po co chronić / monitorować?
Jest wiele powodów, dla których powinniśmy chronić nasze aktywa teleinformatyczne. Są one dla naszej organizacji bardzo cenne. Systemy produkcyjne, sterowania, księgowe, obsługi Klienta, przetwarzają istotne dla nas dane. Dostęp do nich oraz ich integralność i autentyczność, wpływa na podejmowane przez nas decyzje.
Użytkownicy wewnętrzni, czasem świadomie, a czasem nie, hakerzy, czasem dla pieniędzy, a czasem dla sportu realizują coraz bardziej złożone działania. Trwają one często tygodnie, miesiące i bardzo trudno je wychwycić doraźnym monitorowaniem.
Czy twoje aktywa fizyczne nie są zabezpieczone, czy nie chroni ich wyspecjalizowana ochrona, czy zostawiasz otwarte drzwi? Może bez systemów informatycznych i danych twoje działanie okaże się niemożliwe, albo trudne?
Czasami decyzja związana z monitorowaniem wynika z wymagań prawnych: Krajowy System Cyberbezpieczeństwa, Krajowe Ramy Interoperacyjności, ochrona danych osobowych i inne.
Na czym polega ta usługa?
Polega na podpięciu sond, SIEMa do infrastruktury i bieżące monitorowanie zdarzeń niestandardowych, zachowań systemów i użytkowników. Oczywiście jest to związane z analizą podatności, oceną tego co dzieje się w sieci internet i analizą pułapek – honeypot. SOC identyfikuje zdarzenia, analizuje ich przyczyny i możliwe skutki, identyfikuje problemy, informuje odpowiedzialnych za infrastrukturę, proponuje i wdraża usprawnienia. Profesjonalne Security Opertion Center realizuje szereg usług dodatkowych: testy systemów i infrastruktury, testy socjotechniczne, audyty, hardening i wiele innych aktywności w zakresie bezpieczeństwa.
Czy muszę mieć browar, by napić się piwa? Czy zatrudniam własnego ochroniarza, czy wynajmuję firmę ochroniarską? Oczywiście odpowiedź nie jest jednoznaczna i zależy od wielkości infrastruktury, którą należy monitorować.
Jednak ze względu na wzrost kosztów związanych z zatrudnieniem ekspertów IT i cyberbezpieczeństwa, trudnością przeszkolenia oraz na profesjonalizację i konieczność zapewnienia rozwoju pracownikom, nawet największe przedsiębiorstwa decydują się na zakup usługi zewnętrznej.
Pozwala to na odpowiednie skalowanie usługi i możliwość skupienia się na działalności podstawowej. Profesjonalny SOC obsługuje kilkudziesięciu / kilkuset Klientów, co daje dodatkową wartość związaną z możliwością szybkiego rozwiązywania znanych problemów.
Właściwy dobór operatora SOC zapewnia również odpowiedni poziom dostosowania usługi do indywidulanych potrzeb.
Po pierwsze, trzeba zdecydować co monitorować? Poczta, systemy ERP, CRMy, musimy określić co jest dla nas najważniejsze, jak również pewne wektory możliwych zdarzeń niepożądanych.
Po drugie trzeba określić jak monitorujemy? Jaki SIEM warto wykorzystać, czy mamy inne narzędzia dostarczające informacji o zdarzeniach. Profesjonalny Security Operation Center może realizować swoje zadnia w oparciu o dowolnego SIEMa. Alien Vault, QRadar, Splunk to tylko przykłady systemów, które obsługujemy.
Po trzecie należy zdecydować kiedy monitorujemy? Czy 24 godziny na dobę, czy być może w czasie kiedy nasza organizacja wsparcia IT nie działa, czyli poza dniami pracującymi (Out of Business Day), czy może tylko wtedy, kiedy my i nasi Klienci są aktywni (In Business Day)
Po czwarte kto monitoruje? Jaki zakres prac realizujemy wewnątrz organizacji, a jakie zlecamy na zewnątrz?
Na końcu pozostaje działanie. Uruchomienie własnego Security Operation Center to miesiące budowania zespołu i wypracowywanie procesów funkcjonowania. Profesjonalne zewnętrzne Security Operation Center zyskuje sprawność operacyjną po 2/4 tygodniach od podjęcia współpracy.
Absolutnie nie, w modelu usługi SOCaaS (SOC as a Service), elementem usługi jest również dostarczenie odpowiednich narzędzi do monitorowania.
Eliminuje to konieczność zakupu systemu. W tym modelu możemy wykorzystać sondy i systemy Open Source, lub komercyjne.
Nasz Security Opertion Center pracuje w bardzo różnych środowiskach, wykorzystuje różne narzędzia własne, jak i te posiadane przez naszych Klientów.
One tak samo jak wszystkie inne, a czasami nawet bardziej wymagają monitorowania. Profesjonalny Security Operation Center posiada ekspertów w dziedzinie systemów przemysłowych i umożliwia monitorowanie tych systemów.
Opracowujemy koncepcje monitorowania, wdrażamy SIEM, prowadzimy monitorowanie zgodnie z przyjętym przez Ciebie trybem, również 24 godziny na 365 dni.
Poza monitorowaniem świadczymy szereg usług dodatkowych w zakresie bezpieczeństwa w tym NOC – centrum zarządzania siecią.
Powiązane artykuły na blogu
PoC przeprowadozny z narzędziem monitorowania systemów SCADA zapalił nam żółtą lampkę. Skąd tak dziwny ruch w naszych teoretycznie sterylnych sieciach.
Krajowy System Cyberbezpieczeństwa to wymagania dla operatorów usług kluczowych oraz usług cyfrowych. Czym są te wymagania opisane w dość oszczędny sposób w Ustawie? Co mówi sama ustawa o tym jak zapewnić bezpieczeństwo i ciągłość realizacji usług kluczowych?
11 stycznia pojawiła się kolejna informacja o administracyjnej karze pieniężnej w wysokości 45 tys. złotych. Kara ta po raz kolejny związana jest niezastosowaniem przez Administratora odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków.
