security operation center

SOC – co to jest i kto potrzebuje Security Operation Center

Ochrona danych, Zarządzanie bezpieczeństwem

Ewolucja zagrożeń

Przez ostatnie kilkanaście lat dokonała się radykalna zmiana w dziedzinie zagrożeń związanych ze złośliwym oprogramowaniem. Wirusy, które pod koniec XX wieku miały formę psikusów wyświetlających zabawne komunikaty i efekty dźwiękowe lub wizualne stały się narzędziem w rękach zorganizowanych grup przestępczych. Za dzisiejszym malware’m stoi prężnie funkcjonujący czarny rynek, na którym przebierać można w ofertach sprzedaży 0-dayów, exploitów, exploitpaków, backdorów a nawet gotowych botnetów składających się z tysięcy przejętych komputerów. Wszystko to ułatwia zorganizowanym grupom przestępczym prowadzenie szeroko zakrojonych kampanii phishingowych lub infekowania ransomewarem typu TeslaCrypt, CryptoLocker czy CryptoWall. Sprawia też, że usługi typu SOC (security operations center) stają się nieodzowną częścią systemu zarządzania bezpieczeństwem.

Podejście do ochrony

Niestety ewolucji, jaka dokonała się w dziedzinie zagrożeń nie towarzyszyła dotychczas zmiana naszej mentalności w podejściu do ochrony. Gdyby zapytać statystycznego administratora jak zmieniło się jego podejście do zabezpieczenia infrastruktury IT na przestrzeni ostatnich lat to najprawdopodobniej odparłby, iż dyskietkowego MKS-a zastąpił sieciowym, centralnie zarządzanym antywirusem a prostego firewalla urządzeniem typu „next generation”. Bardziej świadomi administratorzy pochwaliliby się może odebraniem praw administratora lokalnego swoim użytkownikom i stosowaniem polis GPO wymuszających bezpieczną politykę haseł.

Skuteczność

W typowym środowisku IT trudno dzisiaj znaleźć komputer bez antywirusa lub sieć bez firewalla. Pomimo to ciągle słyszymy o nowych przypadkach wykradania danych, wykonywania nieautoryzowanych przelewów lub zaszyfrowania plików w celu wymuszenia okupu. Okazuje się, że komputer z antywirusem, włączoną zaporą systemową i chroniony przez sieciową zaporę typu „next generation” nadal może stanowić łatwy cel dla intruzów. Dzieje się tak dlatego, iż wektory ataków celowo są dobierane tak, aby pominąć najpopularniejsze zabezpieczenia. Dlatego też skuteczność antywirusów jest tak niska a backdoory korzystają z ruchu szyfrowanego inicjowanego przez zainfekowane stacje z wewnątrz sieci. Który administrator będzie bowiem tracił czas na blokowanie portów dla połączeń wychodzących?

Ochrona kompleksowa

W branży security nie istnieje takie pojęcie jak 100% bezpieczeństwo. Wszystkie działania specjalistów od zabezpieczeń dążą do minimalizowania ryzyka związanego z określonymi zagrożeniami. Działań tych musimy zatem podejmować odpowiednio dużo, aby zminimalizować zagrożenia we wszystkich obszarach, w których mogą pojawić się luki. Do podstawowego zakresu obowiązków osoby odpowiedzialnej za bezpieczeństwo należy zatem dbanie o:

  • ochronę urządzeń końcowych
  • ochronę urządzeń mobilnych
  • monitoring i ochronę ruchu sieciowego
  • monitoring i ochronę sieci bezprzewodowych
  • filtrowanie ruchu www i e-mail
  • zbieranie, archiwizowanie i analizę logów zarówno z serwerów jak i urządzeń sieciowych
  • ochronę danych, w tym zgodność z przepisami prawa (np. Ustawa o Ochronie Danych  Osobowych, Krajowe Ramy Interoperacyjności, Ustawa o Ochronie Informacji Niejawnych)
  • opracowywanie i wdrażanie polityk bezpieczeństwa
  • szacowanie ryzyka
  • szkolenia uświadamiające pracowników w kwestiach związanych z zagrożeniami
  • skanowanie systemów pod kątem podatności
  • przeprowadzanie testów penetracyjnych
  • zarządzanie aktualizacjami

Czego potrzebujemy?

Do realizacji tak dużej liczby zadań potrzebujemy całej gamy narzędzi takich jak:

  • bramki filtrujące pocztę
  • serwery proxy filtrujące ruch www
  • centralnie zarządzane antywirusy
  • serwery logów
  • urządzenia IDS/IPS
  • systemy typu SIEM
  • systemy do monitoringu sieci

Do obsługi tych narzędzi musimy natomiast zatrudnić specjalistów, którzy będą dostępni na kilka zmian. Musimy pamiętać, że liczba etatów związanych z bezpieczeństwem powinna gwarantować dostępność również w przypadku urlopów czy zwolnień lekarskich.

Aby zapewnić odpowiednią jakość obsługi i czasy reakcji oraz zagwarantować ciągłość procesów biznesowych konieczne jest także wdrożenie procedur, instrukcji i polityk zgodnych z przepisami prawa, normami branżowymi i wymaganymi przez biznes poziomami dostępności.

Czym dysponujemy?

Rozwiązania techniczne i licencje związane z ochroną infrastruktury IT nie należą niestety do najtańszych. Podobnie ma się sprawa z wynagrodzeniami osób zawodowo zajmujących się bezpieczeństwem (audytorzy, pentesterzy, administratorzy). W efekcie bardzo niewiele firm może sobie pozwolić na wygospodarowanie z budżetu odpowiedniej ilości środków w celu utworzenia wyodrębnionej jednostki organizacyjnej mającej zajmować się bezpieczeństwem. Część zadań nie jest zatem realizowana, a część spada na głowę przypadkowych informatyków. Osoby zajmujące się kwestiami bezpieczeństwa doraźnie nie posiadają natomiast odpowiednich kompetencji. Nie wynika to z ich złej woli, czy zaniedbań, ale zwyczajnie z braku czasu. W natłoku innych obowiązków przeciętny administrator nie jest w stanie rozwijać swojej wiedzy, śledzić trendów, testować i wdrażać rozwiązań, których na rynku jest całe mnóstwo, ale które nie zawsze się sprawdzają w konkretnym środowisku.  Tutaj potrzeba osób dobrze przeszkolonych, doświadczonych i spoglądających na problematykę z szerszej perspektywy.

SOC – wyjście z sytuacji?

Co zatem zrobić w sytuacji, gdy nasze potrzeby związane z zapewnieniem bezpieczeństwa są duże, a środki personalne, technicznie i finansowe, którymi dysponujemy niewielkie? Odpowiedzią może być SOC (Security Operation Center) świadczony w formie usługi przez zewnętrznego dostawcę. Podejście takie jest ostatnio dosyć popularne, nie tylko wśród małych organizacji, ale również dużych instytucji ze względu na jego efektywność i stosunkowo niewielkie koszty utrzymania. SOC  utrzymywany przez zewnętrznego dostawcę typu MSSP (Managed Security Service Provider) gwarantuje dostęp do specjalistycznej wiedzy i narzędzi w stopniu dostosowanym do potrzeb klienta. Trudno sobie wyobrazić sytuację, w której niewielka firma zatrudnia osobę na stanowisku security officera np. na ¼ etatu lub kupuje rozwiązanie typu SIEM za kilkaset tysięcy złotych. W modelu usługowym jest to natomiast scenariusz całkiem realny. Ustalamy z dostawcą zakres udostępnianych narzędzi oraz czasu potrzebnego na realizację z ich pomocą określonych zadań i rozliczamy się wg uzgodnionych stawek miesięcznych. Jeżeli w pewnym momencie zajdzie potrzeba wyłączenia lub włączenia dodatkowych usług, dokonujemy tego z dnia na dzień bez konieczności ponoszenia dodatkowych kosztów. Elastyczność, dostępność i wysoki poziom wiedzy eksperckiej to podstawowe zalety takiego rozwiązania.

A może SOC open source?

Usługi outsourcowane są najczęściej bardziej elastyczne i efektywne. Mimo wszystko zewnętrzny SOC nadal może stanowić poważne wyzwanie dla budżetu organizacji. Credo naszego serwisu mówi, iż bezpieczeństwo to kwestia świadomości zagrożeń, a nie budżetu. Warto zatem wspomnieć, że istnieją rozwiązania open source, dzięki którym niewielkim kosztem wdrożyć możemy własne narzędzia pozwalające na utrzymanie SOC-a. Najbardziej rozpoznawalnym na rynku produktem tego typu jest system Security Onion.

Trzeba tutaj jednak uczciwie zaznaczyć, że do jego wdrożenia potrzeba czasu i specjalistów z pewnym doświadczeniem. Daje on jednak możliwość stopniowego wdrażania narzędzi do monitorowania i już po pierwszych dniach nauki i testów może stanowić przydatne narzędzie w analizie zagrożeń. Inżynier z dobrymi chęciami i czasem na naukę może więc przy jego pomocy zdziałać całkiem sporo. Jeżeli chcielibyście zapoznać się z tym rozwiązaniem bliżej zachęcamy do lektury artykułu, w który wyjaśniamy czym  jest Security Onion i jak zacząć przygodę z jego wdrożeniem: Security Onion 2 – open source SIEM / SOC.

Poszukujesz dostawcy SOC (security operations center)?

Jeżeli poszukujesz dostawcy, który zapewni Twojej firmie wsparcie w zakresie uruchomienia i utrzymania SOC (Security Operations Center) skontaktuj się z nami za pomocą tego formularza. W zależności od Twoich potrzeb i budżetu, którym dysponujesz doradzimy Tobie najlepsze rozwiązanie.

Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

facebookObserwuj
TwitterObserwuj

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.