Security Operations Center

Monitorowanie i reakcja na cyberzagrożenia

Bezpieczeństwo sieci i systemów - Odbierz poradnik!

Security Operations Center (SOC) to kompleksowa usługa zapewniająca reakcję w przypadku wystąpienia ataku na zasoby teleinformatyczne. Usługa składa się z wysoce specjalistycznych narzędzi informatycznych, profesjonalnej wiedzy i doświadczenia z zakresu bezpieczeństwa teleinformatycznego oraz procedur reakcji na wykryte zagrożenia. Stałe monitorowanie sieci, systemów oraz zabezpieczeń teleinformatycznych umożliwia identyfikację cyberzagrożeń oraz ataków. Doświadczenie oraz sprawność zespołu działającego w oparciu o zdefiniowane procedury reakcji zapobiega kompromitacji. Nieprzerwane wnioskowanie oraz ciągła analiza ryzyka doskonali stan bezpieczeństwa.

Priorytetem SOC jest ochrona danych organizacji oraz przeciwdziałanie zagrożeniom płynącym z sieci. Usługa jest projektowana pod potrzeby Klienta, w taki sposób aby reakcja na incydent była możliwie szybka oraz zapewniała skuteczną obronę przez atakiem.

Usługa składa się z grupy procesów, które są realizowane przez wybrane linie wsparcia inżynierów oraz specjalistów BLUEsec. Security Operations Center zapewnia zarówno podstawowe monitorowanie bezpieczeństwa oraz odpowiednią reakcję, jak i bardziej zaawansowane procesy, czyli zarządzanie podatnościami, analizę ryzyka, konfigurację i utrzymanie narzędzi bezpieczeństwa, analizę poincydentalną (forensic) czy szkolenia.

Dowiedz się więcej o usłudze Security Operations Center

Trzy filary skutecznego SOC

Zagrożenia bezpieczeństwa ciągle się zmieniają a techniki ataków na systemy teleinformatyczne ulegają stałej ewolucji. Usługa SOC realizowana jest przez inżynierów oraz specjalistów, którzy tworzą multidyscyplinarny zespół. Podstawowa usługa realizowana jest w oparciu o cztery poziomy reakcyjne, które powiązane są ze sobą poprzez proces incydent response.

  • Poziom 1 – Alert Analyst – rola odpowiedzialna za monitorowanie alertów kolejki incydentów zabezpieczeń; odpowiada za stan sensorów i endpointów – zbiera i przesyła istotne dane do poziomu 2; wstępne wykrywanie włamań poprzez odpowiednią analizę alertów.
  • Poziom 2 – Incident Responder – rola odpowiedzialna za wykonywanie analizę incydentów (threat hunting). Korelacja danych z różnych źródeł oraz określenie stanu krytyczności systemu/zestawu danych, które zostały narażone. Zapewnia opracowanie działań remediacyjnych i nowych metod analitycznych w wykrywaniu zagrożeń.
  • Poziom 3 – Subject Matter Expert/Hunter – rola posiadająca wiedzę na temat sieci, urządzeń końcowych, zagrożeń, kryminalistyki oraz złośliwego oprogramowania, ale także działania poszczególnych aplikacji. Ściśle zaangażowana w rozwój, konfigurację oraz implementację narzędzi służących za wykrywanie zagrożeń.
  • Poziom 4 – SOC Manager – rola odpowiedzialna za zarządzanie zasobami (ludzie, technologia) oraz doskonalenie procesu; pełni rolę punktu organizacyjnego dla krytycznych incydentów. Zapewnia ciągłe doskonalenie strategii bezpieczeństwa.

Security Operations Center w nomenklaturze wojskowej porównywane jest do sił szybkiego reagowania. Aby zapewnić możliwą szybką reakcje na zagrożenie bezpieczeństwa danych operatorzy SOC muszą wiedzieć jakie działania konieczne są do podjęcia oraz w jakiej kolejności je zrealizować. W przypadku ataku na system teleinformatyczny poszczególne zdania wykonywane są zgodnie z wcześniej ustaloną procedurą zarządzania incydentem oraz w oparciu o plan reakcji. Procedura zarządzania incydentem ustalana jest z Klientem na etapie wdrożenia usługi i zapewnia spełnienie wymagań bezpieczeństwa, takich jak RODO czy krajowym systemie cyberbezpieczeństwa (dyrektywą NIS).. Procedura zakłada zgodność z najważniejszymi standardami obszarowymi, w tym w szczególności ISO/IEC 27001, NIST, PCI czy HIPAA. Jakość procesów Security Operations Center polega na sprawnym przepływie informacji. Procesy wymagają ekstremalnej standaryzacji działań, aby upewnić się, że nic nie zostanie pominięte lub sfabrykowane. Stałe testowanie procedury zarządzania incydentami zapewnia, że operatorzy Security Operations Center działają skutecznie jako spójna jednostka podczas eskalacji incydentu.

Technologia Security Operations Center umożliwia identyfikację ataku na system teleinformatyczny niemal w czasie rzeczywistym. W stock technologiczny wchodzi specjalistyczne oprogramowanie pozwalające na identyfikację oraz klasyfikację systemów teleinformatycznych, analizę i korelację logów systemowych, monitorowanie sieci, wykonywanie audytów bezpieczeństwa, analizę zagrożeń w sieci czy realizację tzw. threat hunting. Dodatkowo SOC BLUE energy działa w oparciu o dedykowane narzędzia do zarządzania wiedzą i przebiegiem procesu obsługi incydentu. Ważne jest, aby wykorzystywane technologie mogły zostać ujęte w innych funkcjonujących już w organizacji procesach, takich jak analiza ryzyka lub zarządzanie podatnościami.

Procesy funkcjonujące w SOC

SOC > Analiza środowiska IT

Analiza środowiska IT

SOC > Archiwizacja logów

Archiwizacja logów

SOC > Ciągłe monitorowanie

Ciągłe monitorowanie

SOC > Analiza malware i forensic

Analiza malware i forensic

SOC > Budowanie wiedzy i świadomości

Budowanie wiedzy i świadomości

SOC > Testy penetracyjne i zarządzanie podatnościami

Testy penetracyjne i zarządzanie podatnościami

Dowiedz się jak zbudować SOC w Twojej organizacji

Co daje skalowalny SOC?

  • Wykorzystanie utrzymywanego przez Klienta lub dostarczenie systemu SIEM
  • Projekt pozwalający na identyfikację potencjalnych możliwości ataków oraz źródeł danych o atakach
  • Precyzyjna, wcześniej uzgodniona reakcja na incydent (np. kontakt z CSO, rekonfiguracja zapory sieciowej)
  • Uzupełnienie tylko tych obszarów bezpieczeństwa, które tego wymagają
  • Bieżąca informacja o poziomie bezpieczeństwa danych
  • Indywidualne podejście i stałe wsparcie w obszarze bezpieczeństwa

Klienci

  • Ministerstwo Rozwoju
  • Telewizja Polska
  • Mazowiecka Jednostka Wdrażania Programów Unijnych
  • Ministerstwo Zdrowia
  • Gaz System
  • Operator Systemu Magazynowania
  • Katowicki Holding Węglowy S.A.
  • Orange Polska S.A.
  • Autostrada Wielkopolska S.A.
  • Uniwersytecki Szpital Kliniczny we Wrocławiu
  • Urząd Komunikacji Elektronicznej
  • Spółdzielcza Grupa Bankowa
  • Polska Grupa Energetyczna
  • Szpital MSWiA w Szczecinie
  • Wojewódzki Szpital Specjalistyczny w Jastrzębiu Zdroju
  • ABC Data S.A.
  • Rządowe Centrum Legislacji
  • Narodowy Fundusz Zdrowia
  • Energa IIT
  • Polskie Górnictwo Naftowe i Gazownictwo S.A.

Partnerzy

  • Advenica
  • Alien Vault
  • Baramundi Software AG
  • Famoc
  • Hp
  • IBM
  • MobileIron
  • Paloalto Networks