Security Operations Center w kilku zdaniach

Security Opertaion Center jest usługą monitorowania bezpieczeństwa teleinformatycznego.

Monitorowanie bezpieczeństwa teleinformatycznego, czyli co?

Sieć, serwery, urządzenia sieciowe, stacje robocze, firewall i masa innych urządzeń współdziała ze sobą, aby nasze usługi informatyczne / systemy informatyczne działały właściwie. Obecne ataki na infrastrukturę zmieniły swój charakter, nie są tak oczywiste i sztampowe jak dotychczas i wymagają bieżącej obserwacji. Również niepożądane zachowania naszych pracowników i współpracowników wymagają dużo większej aktywności z naszej strony.

Po co chronić / monitorować?

Jest wiele powodów, dla których powinniśmy chronić nasze aktywa teleinformatyczne. Są one dla naszej organizacji bardzo cenne. Systemy produkcyjne, sterowania, księgowe, obsługi Klienta, przetwarzają istotne dla nas dane. Dostęp do nich oraz ich integralność i autentyczność, wpływa na podejmowane przez nas decyzje.

Użytkownicy wewnętrzni, czasem świadomie, a czasem nie, hakerzy, czasem dla pieniędzy, a czasem dla sportu realizują coraz bardziej złożone działania. Trwają one często tygodnie, miesiące i bardzo trudno je wychwycić doraźnym monitorowaniem.

Czy twoje aktywa fizyczne nie są zabezpieczone, czy nie chroni ich wyspecjalizowana ochrona,  czy zostawiasz otwarte drzwi? Może bez systemów informatycznych i danych twoje działanie okaże się niemożliwe, albo trudne?

Czasami decyzja związana z monitorowaniem wynika z wymagań prawnych: Krajowy System Cyberbezpieczeństwa, Krajowe Ramy Interoperacyjności, ochrona danych osobowych i inne.

Na czym polega ta usługa?

Polega na podpięciu sond, SIEMa do infrastruktury i bieżące monitorowanie zdarzeń niestandardowych, zachowań systemów i użytkowników. Oczywiście jest to związane z analizą podatności, oceną tego co dzieje się w sieci internet i analizą pułapek – honeypot. SOC identyfikuje zdarzenia, analizuje ich przyczyny i możliwe skutki, identyfikuje problemy, informuje odpowiedzialnych za infrastrukturę, proponuje i wdraża usprawnienia. Profesjonalne Security Opertion Center realizuje szereg usług dodatkowych: testy systemów i infrastruktury, testy socjotechniczne, audyty, hardening i wiele innych aktywności w zakresie bezpieczeństwa.

NOC, SOC,
Czy SOC własny, czy usługa zewnętrzna?

Czy muszę mieć browar, by napić się piwa? Czy zatrudniam własnego ochroniarza, czy wynajmuję firmę ochroniarską? Oczywiście odpowiedź nie jest jednoznaczna i zależy od wielkości infrastruktury, którą należy monitorować.

Jednak ze względu na wzrost kosztów związanych z zatrudnieniem ekspertów IT i cyberbezpieczeństwa, trudnością przeszkolenia oraz na profesjonalizację i konieczność zapewnienia rozwoju pracownikom, nawet największe przedsiębiorstwa decydują się na zakup usługi zewnętrznej.

NOC, SOC, Security Operation Center

Pozwala to na odpowiednie skalowanie usługi i możliwość skupienia się na działalności podstawowej. Profesjonalny SOC obsługuje kilkudziesięciu / kilkuset Klientów, co daje dodatkową wartość związaną z możliwością szybkiego rozwiązywania znanych problemów.

Właściwy dobór operatora SOC zapewnia również  odpowiedni poziom dostosowania usługi do indywidulanych potrzeb.

Jak wdrożyć Security operation center?

Po pierwsze, trzeba zdecydować co monitorować? Poczta, systemy ERP, CRMy, musimy określić co jest dla nas najważniejsze, jak również pewne wektory możliwych zdarzeń niepożądanych.

Po drugie trzeba określić jak monitorujemy? Jaki SIEM warto wykorzystać, czy mamy inne narzędzia dostarczające informacji o zdarzeniach. Profesjonalny Security Operation Center może realizować swoje zadnia w oparciu o dowolnego SIEMa. Alien Vault, QRadar, Splunk to tylko przykłady systemów, które obsługujemy.

Po trzecie należy zdecydować kiedy monitorujemy? Czy 24 godziny na dobę, czy być może w czasie kiedy nasza organizacja wsparcia IT nie działa, czyli poza dniami pracującymi (Out of Business Day), czy może tylko wtedy, kiedy my i nasi Klienci są aktywni (In Business Day)

Po czwarte kto monitoruje? Jaki zakres prac realizujemy wewnątrz organizacji, a jakie zlecamy na zewnątrz?

Na końcu pozostaje działanie. Uruchomienie własnego Security Operation Center to miesiące budowania zespołu i wypracowywanie procesów funkcjonowania. Profesjonalne zewnętrzne Security Operation Center zyskuje sprawność operacyjną po 2/4 tygodniach od podjęcia współpracy.

Czy muszę mieć własnego SIEMa?

Absolutnie nie, w modelu usługi SOCaaS (SOC as a Service), elementem usługi jest również dostarczenie odpowiednich narzędzi do monitorowania.

Eliminuje to konieczność zakupu systemu. W tym modelu możemy wykorzystać sondy i systemy Open Source, lub komercyjne.

Nasz Security Opertion Center  pracuje w bardzo różnych środowiskach, wykorzystuje różne narzędzia własne, jak i te posiadane przez naszych Klientów.

Co z systemami produkcyjnymi OT / SCADA / Telemetria?

One tak samo jak wszystkie inne, a czasami nawet bardziej wymagają monitorowania. Profesjonalny  Security Operation Center posiada ekspertów w dziedzinie systemów przemysłowych i umożliwia monitorowanie tych systemów.

Jesteśmy do Twojej dyspozycji

Opracowujemy koncepcje monitorowania, wdrażamy SIEM, prowadzimy monitorowanie zgodnie z przyjętym przez Ciebie trybem, również 24 godziny na 365 dni.

Poza monitorowaniem świadczymy szereg usług dodatkowych w zakresie bezpieczeństwa w tym NOC – centrum zarządzania siecią.

Chcesz dowiedzieć ile kosztuje SOC?
Skontaktuj się z nami arrow
Chcesz kupić podstawową usługę SOC?
Zapoznaj się z naszą ofertą! arrow