Dobrze zabezpieczone środowisko IT to nie tylko odpowiednio skonfigurowane usługi bezpieczeństwa, ale także odpowiednio przeszkoleni ludzie specjalizujący się w tym obszarze oraz adekwatne i utwardzone procesy w organizacji, w tym monitorowania zdarzeń bezpieczeństwa. Security Operations Center to zespół ekspertów ds. cyberbezpieczeństwa, którzy monitorują stan środowisk i reagują na próby złamania zabezpieczeń. Rozwiązanie, z którego dotąd korzystały tylko największe organizacje, jest teraz dostępne także dla średnich przedsiębiorstw.
Specjaliści od cyberbezpieczeństwa to obecnie bardzo poszukiwani pracownicy. Ich zarobki są relatywnie wysokie, zadań do wykonania dużo, a doświadczonych specjalistów - niewielu. Tymczasem zagrożenia ze strony przestępców cały czas rosną - wg Data Protection Trends Report opracowanego przez firmę Veeam w 2021 roku nawet 69% dużych firm w Europie Środkowo-Wschodniej padło ofiarą ataków ransomware, które spowodowały przestoje w ich działalności. W 7 na 10 przypadków zaatakowane przedsiębiorstwa utraciły część danych, a jednej trzeciej z nich nie udało się odzyskać.
Cyberprzestępcy cały czas próbują włamać się do firmowych środowisk IT, często działając z innych stref czasowych. W większości organizacji specjaliści ds. bezpieczeństwa pracują w godzinach funkcjonowania biura, a w porze nocnej lub w weekendy pozostaje trzymać kciuki za skuteczność wdrożonych zabezpieczeń. Największe organizacje, takie jak banki, ubezpieczyciele czy operatorzy telekomunikacyjni nie mogą sobie pozwolić na zakłócenie działalności działania, dlatego w swoich strukturach stworzyły Security Operations Center.
Security Operations Center monitoruje i reaguje
Security Operations Center to całodobowe centrum cyberbezpieczeństwa organizacji - zajmuje się monitorowaniem bezpieczeństwa zasobów IT, w tym infrastruktury i usług w trybie 365/7/24. Pracownicy SOC zajmują się pozyskiwaniem, analizą i korelacją logów, reagują też na wykryte zdarzenia. Security Operations Center może skanować podatności, a także realizować zadania z zakresu threat intelligence, threat hunting czy usługi typu forensic.
Zatrudnienie odpowiedniej liczby wykwalifikowanych specjalistów ds. bezpieczeństwa i organizacja ich pracy w trybie całodobowym to trudne i kosztowne przedsięwzięcie. Dlatego SOC może outsoursować i kupić jako usługę, czyli SOC as-a-service. W tym przypadku zewnętrzni, eksperci monitorują stan środowiska IT przedsiębiorstwa i realizują ustalone wcześniej scenariusze w razie wykrycia zagrożeń. To o wiele bardziej przystępne kosztowo rozwiązanie, dzięki któremu średnie, a nawet małe przedsiębiorstwa, mogą zapewnić bardzo wysoki poziom bezpieczeństwa swojemu środowisku IT.
Czy organizacja, która korzysta z chmury obliczeniowej potrzebuje Security Operations Center?
Jedną z zalet chmury obliczeniowej jest jej wysoki stopień bezpieczeństwa. Chmury publiczne mają liczne, wbudowane zabezpieczenia, a serwery stoją w bezpiecznych, monitorowanych całodobowo centrach danych. Nie oznacza to jednak, że użytkownik usługi może w ogóle zignorować zabezpieczenie środowiska IT. Szczegółowo opisaliśmy tę kwestię we wpisie na temat zakresu odpowiedzialności za bezpieczeństwo w chmurze publicznej. Wyjaśniamy w nim, za jakie obszary bezpieczeństwa odpowiada dostawca usługi, a za jakie - użytkownik. Jeżeli organizacja posiada rozbudowane środowisko IT, nawet w chmurze publicznej, SOC nadal będzie miał do spełnienia ważne zadanie.
Systemy wspierają bezpieczeństwo
Pracę ludzi w Security Operations Center wspiera odpowiednie oprogramowanie. Usługa może być realizowana z wykorzystaniem systemów XDR (Extended Detection and Response) lub jak w przypadku rozwiązań Chmury Krajowej - systemów SIEM i SOAR, a świadczona na podstawie uzgodnionych scenariuszy bezpieczeństwa. W przypadku rozwiązań chmurowych, takich jak platforma Microsoft 365 oraz usług chmurowych wdrożonych na platformach chmur obliczeniowych Google Cloud oraz Microsoft Azure mogą zostać zastosowane rozwiązania natywne chmurowe np. Sentinel w kontekście rozwiązań Microsoft lub rozwiązania Chronicle i Siemplify w ramach środowiska Google Cloud.
Zadaniem rozwiązań SIEM i SOAR jest zbieranie informacji w postaci logów lub flowów, ich normalizacja, analiza pod kątem cybersecurity i korelacja. Wspierają one operatora w przeprowadzeniu triażu oraz wykonania akcji opisanej w ramach scenariusza bezpieczeństwa (reakcja na wykryte zdarzenie). Mogą też samodzielne uruchomić automatyczną reakcję, np. dokonać zmian w monitorowanej infrastrukturze aby zmitygować wykryte zagrożenia.
Scenariusze bezpieczeństwa
Scenariusz bezpieczeństwa to para warunek-akcja tj. czynność, która musi zaistnieć i reakcją na nią, zgodnie z instrukcją dla operatorów SOC lub w postaci zautomatyzowanej reakcji SOAR. Celem scenariusza jest wykrycie konkretnego zagrożenia w postaci zdarzenia lub anomalii w operacjach na zasobach IT, które podlegają monitorowaniu. Może to być na przykład wielokrotna próba logowania, dodawanie ról administracyjnych, eskalacja uprawnień, zmiany przy mechanizmach MFA czy wykrycie złośliwego oprogramowania.
W ramach uzgodnionych czasów SLA usług SOC dostawca usługi zapewnia reakcję na incydenty bezpieczeństwa i minimalizuje ich skutki lub ogranicza skalę oddziaływania. SOC zapewnia także uzupełnianie bazy wiedzy tak, by skutecznie wyciągać wnioski na podstawie wcześniejszych analiz i efektywniej obsługiwać zdarzenia w ramach przeprowadzania planów korygujących (np. tuning scenariuszy).
Zakres usługi SOC na etapie wdrożenia powinien obejmować, podobnie jak przy usłudze Cloud Security Assessment, przegląd architektury i konfiguracji usług, analizę logów i przedstawienie propozycji reguł bezpieczeństwa oraz implementację potencjalnych skryptów automatyzujących reakcję na wykryte zdarzenia bezpieczeństwa wraz z możliwością przeprowadzenia ich testów.
Na etapie utrzymania SOC może obejmować całą gamę usług bezpieczeństwa, z czego monitoring i reakcją są podstawą:
Threat Hunting - założeniem usługi jest kompromitacja infrastruktury klienta, czyli złamanie jego zabezpieczeń. Polega na aktywnym poszukiwaniu tzw. IoC (Indicator of Compromise), to znaczy śladów działalności potencjalnego włamywacza w systemach IT. Wykrycie i opisanie nowych wzorców pozwala na przygotowanie nowych scenariuszy bezpieczeństwa w ramach SIEM/SOAR i zwiększanie poziomu bezpieczeństwa.
Threat Intelligence - usługa polega na dostarczaniu tzw. feedów, tj. wyszukiwaniu w publicznie dostępnych źródłach, komercyjnych i open-source, informacji w celu identyfikacji potencjalnych zagrożeń dla infrastruktury i usług uruchomionych w monitorowanym środowisku. Zagrożenia mogą dotyczyć m.in. kampanii phishingowych, malware, nowych ataków typu APT, czy podatności typu zero-day. Informacje dotyczą całej grupy założeń lub są filtrowane pod kątem specyfiki rynku, na którym działa firma oraz szerzej, aktualnie pojawiających się w cyberprzestrzeni zagrożeń.
Zarządzanie podatnościami - skanowanie podatności i zarządzanie cyklem aktualizacji monitorowanej infrastruktury wraz z przydzielaniem zadań i ich rozliczaniem to fundament usługi, bazującej na jednym z silników skanujących. Główne zadania to weryfikacja czy monitorowana infrastruktura jest aktualna w kontekście security hotfixów oraz czy w ramach cyklicznego skanowania pojawiły się w sieci nowe systemy IT (stacje, serwery, sprzęt sieciowy - infrastruktura nieobjęta monitorowaniem w ramach stworzonej w organizacji bazy danych zasobów CMDB), co może sugerować, że zarządzanie zmianą wymaga poprawy lub mamy do czynienia z nieautoryzowanym dodaniem elementu infrastruktury IT.
Usługi informatyki śledczej (forensic) - usługa analizy śledczej, uruchamiana na życzenie w momencie zaistnienia istotnego incydentu bezpieczeństwa, który wymaga zebrania i zabezpieczenia elektronicznych dowodów na potrzeby procesu. Forensic obejmuje zebranie wstępnych dowodów powiązanych z incydentem, zabezpieczenie sprzętu elektronicznego, zebranie materiału dowodowego (w tym wykonanie kopii binarnej badanej infrastruktury - twardego dysku serwera, laptopa, pamięci telefonu), eksport logów i zebranie danych na żywo z włączonego sprzętu objętego incydentem, a następnie analiza zabezpieczonego materiału i przygotowanie raportu zawierającego opis czynności wraz z ich wynikami.
Im więcej procesów w organizacjach przechodzi transformację cyfrową, tym większym zagrożeniem dla ciągłości działania są cyberprzestępcy. Security Operations Center to potężne narzędzie, kiedyś dostępne tylko dla największych organizacji. Dziś, m.in. dzięki Chmurze Krajowej, która ma tę usługę w swoim portfolio, może wspierać także mniejsze organizacje. Chcesz wiedzieć czy SOC to rozwiązanie dla Twojej organizacji? Zapraszamy do kontaktu. Do zobaczenia w chmurze!