Na potrzeby precyzyjnego monitorowania własnej infrastruktury IT nie trzeba tworzyć własnego SOC-a (Security Operations Center) i zatrudniać zespół analityków bezpieczeństwa czy tzw. threat hunters, których zadaniem będzie wyszukiwanie zagrożeń przez 24 godziny na dobę. Można skorzystać z usług dostawcy zarządzanych usług monitorowania bezpieczeństwa lub MDR (Managed Detection and Response) dysponującego wysoko wykwalifikowanymi specjalistami, którzy są w stanie szybko analizować, izolować i eliminować zagrożenia. Taki dostawca będzie monitorować firmowe środowiska pod kątem potencjalnych zagrożeń, zarządzać alertami i decydować, czy dany incydent naraża chronioną organizację na niebezpieczeństwo.

– Brak specjalistów skłania wiele firm do korzystania z usług MDR i MSSP. Każdy z tych modeli ma swoje zalety, ale wspólnym celem jest zapewnienie klientom skutecznej ochrony przed zagrożeniami cybernetycznymi i wsparcie w utrzymaniu bezpiecznego środowiska IT – mówił podczas niedawnej debaty CRN Polska Grzegorz Świrkowski, CEO Net Complex („MSSP: cyberbezpieczeństwo do usług”, nr 10/2023).

Rynek zarządzanych usług bezpieczeństwa jest wciąż bardzo młody, a MDR stanowią na nim zupełną nowość. Dostawcy, którzy tak właśnie siebie klasyfikują – chcąc się odróżnić od zarządzanych usług monitorowania bezpieczeństwa – wskazują na bardziej tradycyjne podejście do cyberbezpieczeństwa, które obejmuje monitorowanie sieci, systemów i aplikacji pod kątem potencjalnych zagrożeń. Monitorowanie bezpieczeństwa ma skupiać się na wykrywaniu i analizie nietypowego zachowania, jak nieoczekiwany ruch sieciowy czy próby nieautoryzowanego dostępu, ale nie oferować zdolności reakcji.

Z kolei usługa MDR ma zapewniać wykrywanie, analizę i reakcję na zagrożenia w modelu 24/7. Jej dostawcy mają wykorzystywać zaawansowane technologie, takie jak sztuczna inteligencja i uczenie maszynowe, do wykrywania i analizowania zagrożeń w czasie rzeczywistym. Powinni też zatrudniać wysoko wykwalifikowanych analityków bezpieczeństwa, którzy mogą prowadzić poszukiwania zagrożeń, reagować na incydenty, łagodzić zagrożenia i zapobiegać dalszym szkodom w razie ataku.

– MDR jest usługą zarządzaną, obejmującą EDR czy XDR. To bardziej zaawansowany SOC, co w praktyce oznacza, że mamy zespół ludzi analizujących i monitorujących zdarzenia w czasie rzeczywistym i reagujących na incydenty – mówił podczas wspomnianej debaty Krzysztof Hałgas, dyrektor zarządzający Bakotechu.

Bez względu na nomenklaturę, monitorowanie bezpieczeństwa często stanowi wymóg ze względu na przepisy. Wiele działających w Europie firm podlega surowym regulacjom dotyczącym ochrony danych i cyberbezpieczeństwa. Monitorowanie może pomóc im dowieść zgodności z tymi przepisami, ponieważ zapewnia dokumentację dotyczącą użytych środków bezpieczeństwa i procedur reagowania na incydenty. Co istotne, dyrektywa NIS2 nakłada większe obowiązki na podlegające przepisom podmioty w zakresie raportowania incydentów. Klasyfikowanie incydentów i zagrożeń oraz określanie ich wpływu na ciągłość działania organizacji stanie się jeszcze ważniejszym zadaniem własnego bądź zewnętrznego SOC-a.

Dobra oferta usług monitorowania

Jakich narzędzi z obszaru monitorowania bezpieczeństwa potrzebuje integrator, aby świadczyć klientom zarządzane usługi tego typu? Jeśli ma skutecznie i efektywnie monitorować dowolną architekturę teleinformatyczną, musi wziąć pod uwagę kilka kwestii.

– W pierwszej kolejności niezbędne jest zinwentaryzowanie zasobów, które mają być objęte monitoringiem. Następnie powinien zadbać o to, aby badana była dostępność systemów klienta, ich stan oraz obciążenie, co pozwala na efektywną realizację NOC-a – Network Operations Center. Myślą przewodnią powinno być minimalizowanie liczby interfejsów zarządzających, a zatem od tego samego systemu powinno się wymagać również innych funkcji, w tym zbierania oraz analizy zdarzeń związanych z bezpieczeństwem. Dzięki temu możliwe staje się uruchomienie SOC-a – mówi Sebastian Krystyniecki, Systems Engineering Management w polskim oddziale Fortinetu.

W idealnym scenariuszu jednocześnie działałaby analityka zarówno dla obszaru NOC, jak i SOC, czy to dla danych spływających w czasie rzeczywistym, czy też historycznych. Dobrze, gdy wybrane narzędzie pozwala na skorzystanie z gotowych integracji, reguł i raportów oraz umożliwia ich modyfikację i/lub tworzenie własnych. Te wszystkie zadania, jak również szereg innych, realizowane mogą być przez dojrzałe systemy klasy SIEM (Security Information and Event Management).

– Gdy sytuacja dotycząca zbierania i analizy dużych ilości danych jest opanowana, należałoby zastanowić się, w jaki sposób usprawnić działanie sieci oraz szybkość reagowania na incydenty – zauważa Sebastian Krystyniecki.

W tej roli sprawdzają się systemy klasy SOAR (Security Orchestration, Automation and Response). Dzięki nim możliwa jest integracja pomiędzy wszystkimi rozwiązaniami w danej infrastrukturze, automatyzacja procesów, a co za tym idzie – skrócenie czasu reakcji z godzin czy też minut do sekund. Warto też wspomnieć o systemach klasy EDR/XDR, umożliwiających precyzyjne zabezpieczenie serwerów oraz stacji roboczych użytkowników czy też systemów klasy sandbox. Dzięki jednym i drugim możliwe staje się zabezpieczenie przed atakami celowanymi czy też zero-day.