SOC nigdy nie zasypia
Bombardowane cyberatakami firmy oraz instytucje państwowe muszą budować twierdze chroniące ich dane oraz infrastrukturę informatyczną. Rolę tej twierdzy coraz częściej pełni SOC – Security Operations Center.
Praca w SOC nie należy do najprzyjemniejszych.
Kiedy mieszkasz w spokojnej dzielnicy, którą złoczyńcy omijają szerokim łukiem, to wychodząc na wieczorny spacer co najwyżej wkładasz do kieszeni gaz pieprzowy, na wszelki wypadek. Jeśli żyjesz na obrzeżach miasta, gdzie napady stały się chlebem powszednim, zaczynasz myśleć o zakupie broni lub wynajęciu firmy ochroniarskiej.
Polska jeszcze kilka lat temu należała do tych bezpiecznych „dzielnic” cyfrowego świata, ale to już historia. Wraz z wybuchem wojny na Ukrainie, rodzime firmy oraz instytucje odczuwają na własnej skórze skutki cyberwojny. Menedżerowie i urzędnicy państwowi zaczynają rozumieć, że nie można biernie przyglądać się rozwojowi wypadków, oczekując na ruchy wroga, lecz trzeba je wyprzedzać. Podstawowe zabezpieczenia w postaci antywirusa i firewalla nie zdają do końca egzaminu i trzeba wytoczyć przeciw silnemu napastnikowi ciężkie działa, takie jak SOC – Security Operations Center.
W skład SOC, czyli Centrum Operacji Bezpieczeństwa, wchodzą wyspecjalizowane jednostki, których zadaniem jest monitorowanie, wykrywanie, analizowanie oraz reagowanie na incydenty związane z bezpieczeństwem IT. Do kluczowych funkcji SOC należą: monitorowanie infrastruktury IT w czasie rzeczywistym (serwery, aplikacje, urządzenia końcowe), wykrywanie zagrożeń, analiza oraz reagowanie na incydenty, dokumentowanie działań, spełnianie wymogów RODO, ISO 27 001, NIS 2 itp. Zespół SOC tworzą zazwyczaj trzy zespoły: pierwszy odbiera alerty i zajmuje się ich wstępną oceną, drugi odpowiada za analizę incydentów, zaś trzeci koncentruje się na reagowaniu na zagrożenia, na przykład przystępuje do działania w sytuacjach kryzysowych.
Pracownicy SOC na ogół korzystają z podobnego zestawu narzędzi, przede wszystkim SIEM, EDR, NDR, SOAR czy UEBA. Czasami można też spotkać systemy PAM – przeznaczone do zarządzania dostępem uprzywilejowanym czy platformy zarządzania podatnościami (Vulnerability Management) do skanowania sieci i aplikacji w poszukiwaniu znanych luk w zabezpieczeniach. Nowoczesne SOC wykorzystują również analizę zachowania użytkowników, rozwiązania monitorujące bezpieczeństwo w chmurze, a coraz częściej także analitykę bazującą na sztucznej inteligencji, która pomaga wykrywać anomalie i zmniejszać przeciążenie zespołów alertami.
Dla kogo SOC?
Złoczyńcy na ogół atakują bogatych ludzi, stąd krezusi inwestują duże pieniądze w systemy chroniące ich posiadłości. Czasami jednak złodzieje włamują się do domów mniej zamożnych ludzi. Wprawdzie łup jest wówczas mniejszy, ale zdobyty niewielkim nakładem sił i środków. Podobnie jest w przypadku cyberataków. Gangi ransomware na początku skupiały swoją uwagę na klientach korporacyjnych, dysponujących środkami na opłacenie okupu, ale wraz z upływem czasu zaczęli uderzać w mniejsze firmy, a także instytucje państwowe. Czy to oznacza, że w obecnych czasach każda organizacja powinna budować potężne fortyfikacje i zabezpieczenia?
– Wdrożenie SOC jest uzasadnione w organizacjach przetwarzających lub przechowujących wrażliwe dane osobowe czy finansowe, jak również takich, które posiadają złożoną lub rozległą infrastrukturę IT. Dotyczy to także podmiotów działających w sektorach o wysokim ryzyku cyberataków, jak chociażby finanse, opieka zdrowotna czy energetyka. Do listy organizacji, w których SOC byłby wskazany, można zaliczyć także te podlegające rygorystycznym regulacjom prawnym i normom branżowym w zakresie bezpieczeństwa – wylicza Krystian Stempniak, specjalista ds. walidacji w Transition Technologies MS.
Powyższą listę można dodatkowo rozszerzyć o firmy, które mają już za sobą poważne incydenty bezpieczeństwa i wolałyby unikać kolejnych. Ponadto w tym „rankingu” wysokie miejsce zajmują organizacje dysponujące na tyle cennymi aktywami, że ich przejęcie przez napastników, mogłoby doprowadzić do poważnego zachwiania biznesem lub uszczerbku na wizerunku marki. W każdym razie decyzja dotycząca inwestycji w SOC powinna być podyktowana analizą ryzyka zagrożeń oraz odpowiedzią na pytanie – czy obecne środki bezpieczeństwa są na tyle skuteczne, że powstrzymają potencjalnych napastników?
Nie od razu Kraków zbudowano
Uruchomienie Centrum Operacji Bezpieczeństwa nie jest tym samym, co zakup nowego firewalla czy systemu UTM. Cały proces jest złożony, a na drodze do jego realizacji piętrzą się różne trudności.
– Najtrudniejsze jest pozyskanie ekspertów do pracy w biurze SOC. To nie tylko wyzwanie rynkowe, ale również personalne. To praca w dłuższej perspektywie nużąca i powtarzalna. Poza tym trzeba zatrudnić osoby o wysokich kwalifikacjach. Należy też cały czas dbać o zespół i zapewniać jego stabilny rozwój – tłumaczy Artur Bicki, CEO w Energy Logserver.
Jak wynika z raportu „The Defenders’ Dilemma – State of Threat Detection”, opracowanego przez Vectra AI, praca w SOC nie należy do najprzyjemniejszych. Około dwóch trzecich pracowników czuje się przytłoczonych zalewem nieistotnych alertów cybernetycznych generowanych przez systemy ochronne. W rezultacie specjaliści tracą zaufanie do narzędzi, z których korzystają – niemal połowa z nich twierdzi, że używane przez nich produkty i usługi nie działają tak, jak powinny.
Zdaniem specjalistów zakup właściwych narzędzi to dopiero początek całego projektu – kluczem jest ich integracja oraz umiejętne wykorzystanie przez analityków. Vectra AI wskazuje też, że 73 proc. pracowników SOC korzysta z więcej niż 10 narzędzi, a 45 proc. – z ponad 20-tu.
– Dostosowanie SOC do unikalnych potrzeb klienta to jedno z najtrudniejszych zadań ze względu na zróżnicowane środowiska IT. Konieczna jest integracja narzędzi, takich jak SIEM czy UEBA z licznymi źródłami logów. Poza tym branże mają różne wymagania. Na przykład producenci wprowadzają monitoring sieci OT, a sektor finansowy dodatkowe kontrole dostępu i szyfrowania. Nie można też zapominać o specyficznych wymogach regulacyjnych – tłumaczy Artur Madejski, Product Manager w Exclusive Networks.
Niewykluczone, że już w nieodległej przyszłości procesy związane z integracją, a także brakiem specjalistów ds. cyberbezpieczeństwa, zostaną przynajmniej częściowo rozwiązane. Na przykład część specjalistów wierzy w ujednolicenie i automatyzację poszczególnych elementów składowych SOC.
– Zapytaliśmy naszych dwunastu klientów o to, jak powinien wyglądać SOC przyszłości. Odpowiedzi były bardzo podobne, wszyscy oczekują prostoty, inteligencji, a przede wszystkim automatyzacji procesów – mówi Robert Madej, Regional Sales Manager w Palo Alto Networks.
Bardzo podobnie dalszy rozwój SOC widzą integratorzy. Zdaniem Krystiana Stempniaka wzrost liczby alertów i brak rąk do pracy sprawiają, że automatyzacja rutynowych zadań, takich jak blokowanie adresów IP czy zbieranie dodatkowych danych o zagrożeniu stają się konieczne. Dlatego też należy się spodziewać, że sztuczna inteligencja i uczenie maszynowe będą coraz częściej wykorzystywane do analizy ogromnych zbiorów danych, wykrywania anomalii i wzorców trudnych do zidentyfikowania tradycyjnymi metodami korelacji, a także do redukcji fałszywych pozytywów.
Podobne artykuły
Rising Stars: lokalne rozwiązania na fali
Suwerenność cyfrowa i odwrót od globalnych rozwiązań cyberbezpieczeństwa – przez pryzmat tych wątków rozmawiano o biznesie podczas VI konferencji Rising Stars of Cybersecurity.
Cyfryzacja przemysłu ma swoją cenę
Cyberzagrożenia dla zakładów produkcyjnych w Polsce rosną, co wynika zarówno z postępu technologicznego, jak i sytuacji geopolitycznej.
Skazani na hybrydę: między rygorem a wolnością
Choć statystyki nie pozostawiają złudzeń co do tego, że odsetek firm oferujących pracę zdalną drastycznie spadł, to całkowity powrót do biurek wydaje się niemożliwy. Tym bardziej, że rynek IT dostarcza narzędzi usprawniających funkcjonowanie hybrydowego biura, łączącego zalety obu tych modeli pracy.