Czym jest SOC? Rodzaje, korzyści i wyzwania związane z bezpieczeństwem, z którymi potrafi sobie radzić

Migracja do chmury, trwająca dalej praca zdalna, a także coraz wyższy poziom cyfryzacji zmuszają liderów do dokonania ponownej oceny swojego podejścia do cyberbezpieczeństwa. Konieczność ta staje się szczególnie dotkliwa w przypadku przedsiębiorstw, ponieważ już niewielkie naruszenie może prowadzić do strat finansowych, spowodować kary regulacyjne, a nawet uszczerbku na reputacji.

W związku z tym SOC (centrum operacji bezpieczeństwa) wysunęło się na pierwszy plan, jeśli chodzi o kwestie, które przedsiębiorstwa powinny uwzględnić. Czy SOC jest rozwiązaniem w zakresie bezpieczeństwa, którego potrzebuje Twoje przedsiębiorstwo? Ten post powinien pomóc Ci zrozumieć główne zadania SOC i w jaki sposób zapewnia ciągłość biznesową.

Czym jest SOC?

Centrum operacji bezpieczeństwa (SOC) to dedykowana jednostka biznesowa, działająca zgodnie z szeregiem zdefiniowanych procedur i wykorzystująca technologię do nieustannego monitorowania i analizowania incydentów cyberbezpieczeństwa, reagowania na nie i zapobiegania im.

Zespoły SOC, działające w charakterze hubu, przejmują pełną kontrolę nad wcześniej określonymi operacyjnymi procedurami bezpieczeństwa (SOP), aby zapewnić pełną ochronę środowiska technicznego i infrastruktury firmy, a także zgodność ze standardami regulacyjnymi. Zespoły SOC odpowiadają za monitorowanie infrastruktury firmy, sieci, podłączonych urządzeń oraz wszelkiej wymiany danych, do których pomiędzy nimi dochodzi.

Poza pełnieniem roli „strażnika” dostawcy usług SOC przeprowadzają również regularne oceny ogólnego bezpieczeństwa firmy i sugerują kolejne ulepszenia w odpowiedzi na pojawiające się zagrożenia.

Obowiązki przedsiębiorstwa w zakresie SOC obejmują:

• Proaktywne monitorowanie bezpieczeństwa
• Opracowanie i realizacja planu zarządzania incydentami
• Reagowanie na zagrożenia i usuwanie ich
• Zarządzanie dziennikami
• Ustalenie priorytetów dotyczących alarmów, zarządzanie nimi i reagowanie na nie
• Analiza przyczyn źródłowych
• Zarządzanie podatnościami i ich ocena
• Utwardzanie infrastruktury i sieci

Co do zasady, zespoły SOC określają protokół zapobiegawczego utrzymania bezpieczeństwa i postępują zgodnie z nim. Proaktywne mechanizmy wykrywania incydentów cyberbezpieczeństwa i reagowania na nie powinny zostać wdrożone jeszcze przed powołaniem jednostki ds. cyberbezpieczeństwa SOC.

W celu zrozumienia, czy Twoja organizacja jest gotowa na SOC, określ, jakie możliwości technologiczne oraz możliwości w zakresie przepływu pracy/procesów są już realizowane.

Rodzaje operacji SOC według poziomu dojrzałości

Źródło

W celu odpowiedniego określenia zakresu usług informatycznych dotyczących cyberbezpieczeństwa Infopulse zaczyna każde zlecenie od dogłębnego badania infrastruktury informatycznej klienta, jego procesów bezpieczeństwa oraz możliwości technicznych.

Pod względem dojrzałości w zakresie cyberbezpieczeństwa organizacje osiągają wyniki pomiędzy Poziomem 1 a Poziomem 5 w zależności od powyższych czynników.

Poziom 1

Na poziomie podstawowym firmy wdrożyły już następujące kontrole bezpieczeństwa:

• Podstawowe monitorowanie bezpieczeństwa i reagowanie, podyktowane wymogami zgodności
• Gromadzenie danych z dziennika ad hoc i zarządzanie nimi
• Reagowanie na wykrycie na poziomie wejścia do punktów końcowych
• Brak formalnych planów reagowania na incydenty i zarządzania nimi

Takie firmy spełniają minimalne niezbędne wymagania bezpieczeństwa. Jednakże nie są w dobrej kondycji pozwalającej im efektywnie reagować na ukierunkowane ataki i pozostają podatne na naruszenia od wewnątrz.

W większości przypadków niski poziom dojrzałości wynika z braku ekspertyzy ludzi i domen pozwalającej na skuteczne wykrywanie zagrożeń, określanie ich priorytetów i zarządzanie nimi.

Poziom 2

Na tym etapie przedsiębiorstwa polegają na ręcznym i proaktywnym reagowaniu na zagrożenia, jednak brakuje im standaryzacji. To często prowadzi do sporadycznej ochrony bezpieczeństwa i wydłużonej reakcji na incydenty bezpieczeństwa.

Na Poziomie 2 firmy:

• Stworzyły już możliwości centralizacji zdarzeń bezpieczeństwa
• Posiadają już reaktywne przepływy pracy w zakresie analizy zagrożeń
• Posiadają już możliwości analityczne na poziomie wejściowym
• Posiadają już zautomatyzowany system ustalenia priorytetów dotyczących alarmów
• Posiadają już ręczną ocenę podatności

Powyższe prowadzi do wyższego poziomu bezpieczeństwa. Jednakże firmy posiada możliwości wykrywania głównych zagrożeń, a nie identyfikowania wczesnych oznak naruszenia czy ekspozycji. Zespoły bezpieczeństwa nadal mają słabe punkty, zwłaszcza jeśli chodzi o wyrafinowane formy ataków. Wgląd w zagrożenia wewnętrzne, jak i zewnętrzne jest umiarkowany.

Poziom 3

Organizacje na Poziomie 3 polegają na udokumentowanych i spójnych najlepszych praktykach bezpieczeństwa, a także wykorzystują narzędzia bezpieczeństwa do usprawnienia powtarzających się obowiązków.

Zakres możliwości obejmuje:

• Sformalizowany proces monitorowania
• Analiza zagrożeń oparta na danych analitycznych
• Określone plany zarządzania incydentami i reagowania na nie
• Szerszy zakres możliwości wykrywania zagrożeń
• Proaktywna identyfikacja zagrożeń
• Zautomatyzowane przepływy pracy pozwalające na badanie zagrożeń

Na tym etapie można skutecznie stworzyć rozwiązania i zespoły SOC, aby dalej stymulować usprawnienia operacyjne pod kątem widoczności, utwardzania i proaktywnego monitorowania. Organizacje na Poziomie 3 znajdują się w dobrej pozycji, która pozwala im na wczesne wykrywanie incydentów, ale mogą potrzebować więcej czasu na reakcję z powodu brakujących zdolności do koordynacji pomiędzy różnymi funkcjami.

Poziom 4

Organizacje na Poziomie 4 są w stanie w zdecydowany sposób reagować na szereg incydentów bezpieczeństwa dzięki dobrze udokumentowanemu procesowi reagowania, który opiera się na zautomatyzowanym wykrywaniu zagrożeń, badaniu oraz narzędziach analitycznych.

Wdrożone zostały następujące aspekty bezpieczeństwa:

• Skonsolidowane dane z dzienników i centralizacja zdarzeń bezpieczeństwa
• Serwery, punkty końcowe i sieci do informatyki śledczej
• Dojrzałe procesy wykrywania zagrożeń i reagowania na nie
• Rozwiązania oparta na uczeniu maszynowym pozwalające na wykrywanie anomalii
• Wysoki poziom automatyzacji standardowych przepływów pracy
• Możliwości dotyczące wydajności oparte na KPI/SLA

Organizacje na Poziomie 4 potrafią szybko poradzić sobie z pojawiającymi się zagrożeniami na etapie początkowym, a także prowadzić efektywną szeroko zakrojoną współpracę, umożliwiającą opracowywanie usprawnień w zakresie bezpieczeństwa w całej firmie. Prawdopodobne jest, że takie przedsiębiorstwa posiadają również fizyczne zespoły SOC dostępne przez całą dobę lub polegają na SOC jako dostawcy usług.

Poziom 5

Bezpieczeństwo jest przedsięwzięciem obejmującym całą firmę, aktywnie wspieranym przez wszystkich interesariuszy. Organizacje na Poziomie 5 przyjęły proaktywne podejście do zarządzania zagrożeniami i bezpieczeństwa. Posiadają one:

• Agendę obowiązującą w całej korporacji, zapewniającą pewne poziomy bezpieczeństwa i stymulującą nieustanne doskonalenie
• Systemy monitorowania bezpieczeństwa, zapobiegania i wykrywania działające przez całą dobę
• Proaktywne możliwości identyfikowania i ograniczania podatności
• Dojrzałą architekturę SIEM oraz pomocnicze technologie SOC maksymalizujące wydajność swojego personelu.

Organizacje na Poziomie 5 zazwyczaj działają w uregulowanych branżach – między innymi finansach, telekomunikacji i służbie zdrowia – a ich aspiracje do osiągnięcia doskonałości w zakresie bezpieczeństwa są również napędzane przez wymogi regulacyjne i dotyczące zgodności. Są one również głównym celem cyberprzestępców, ale posiadają odporność, która pozwala im przetrzymać ukierunkowane ataki i być o jeden krok przed pojawiającymi się zagrożeniami.

Korzyści płynące z SOC

Biorąc pod uwagę fakt, iż 56% przedsiębiorstw otrzymuje codziennie ponad 1000 alertów bezpieczeństwa, spokojnie można przyjąć, że główną korzyścią płynącą z SOC jako funkcji biznesowej jest możliwość skutecznego, szybkiego i sformalizowanego reagowania na takie zdarzenia.

Poza tym utworzenie SOC przynosi również następujące korzyści:

• Ciągła ochrona; wyższy poziom ciągłości biznesowej
• Ujednolicone i scentralizowane reakcje na zagrożenia oparte na wymogach SOP/dotyczących zgodności
• Szybsze badanie i usuwanie podatności i problemów bezpieczeństwa
• Dogłębna analiza środowiska zagrożeń i raportowanie ustaleń
• Nieustanne doskonalenie w zakresie bezpieczeństwa

Pośrednie korzyści płynące z SOC (i dojrzałości w zakresie cyberbezpieczeństwa, mówiąc ogółem) obejmują również:

• Lepszą zgodność z przepisami
• Niższe szanse wystąpienia naruszeń
• Niezakłócone poziomy usług
• Lepsza reputacja marki

Tworzenie uzasadnienia biznesowego wprowadzenia SOC

SOC generuje najwięcej korzyści dla przedsiębiorstw na Poziomach 3 do 5. Jeśli Twoja organizacja wciąż znajduje się na niższym poziomie dojrzałości w zakresie cyberbezpieczeństwa, warto najpierw rozważyć usługi doradztwa w zakresie cyberbezpieczeństwa, aby określić priorytety dotyczące kolejnych strategicznych inicjatyw i inwestycji w technologie.

Przed ułożeniem planów uruchomienia działalności SOC liderzy biznesowi powinni ocenić swój poziom dojrzałości w zakresie cyberbezpieczeństwa i stworzyć swoje uzasadnienie biznesowe w oparciu o takie ustalenia.

Oceń bieżący poziom dojrzałości w zakresie cyberbezpieczeństwa

Operacje SOC są złożone. Nie każdy rodzaj potrzeb biznesowych wymaga dedykowanego zespołu SOC, ponieważ solidną ochronę w cyberprzestrzeni można osiągnąć przy pomocy alternatywnych metod, takich jak:

• Scentralizowane zarządzanie incydentami i pojedyncze logowanie
• Wdrożenie systemów SIEM (np. Azure Sentinel)
• Wdrożenie bezpieczeństwa sieciowego (przeciwko DDoS, IPS, IDS, proxy, SSL, bezprzewodowe)
• Rozwiązania w zakresie monitorowania ruchu (np. Azure Traffic Manager)

Przedsiębiorstwa, które mogą osiągnąć z wprowadzenia SOC największe korzyści powinny już posiadać:

• Ochronę krytycznej infrastruktury informatycznej
• Podstawowe monitorowanie i rejestrowanie zdarzeń
• Możliwości wykrywania zagrożeń, zapobiegania im i ich monitorowania
• Wystarczające kompetencje w zakresie cyberbezpieczeństwa, pozwalające odróżnić reaktywne od proaktywnych podejść do bezpieczeństwaoraz konieczność wdrażania każdej opcji w odpowiednim czasie.

Określ funkcje, których potrzebujesz

W zależności od branży, w której działasz, poziomu dojrzałości, a także posiadanych w organizacji talentów Twoje zapotrzebowanie na różne rozwiązania technologiczne SOC i procesy może się różnić.

Pięć podstawowych funkcji SOC to:

1. Monitorowanie zagrożeń bezpieczeństwa – Które narzędzia i przepływy pracy posiadasz? Czy Twoja działalność wymaga monitorowania przez całą dobę? Czy możesz określić swoje obecne słabe punkty?
2. Zarządzanie incydentami bezpieczeństwa – Czy muszą zostać spełnione jakiekolwiek wymogi biznesowe, regulacyjne albo dotyczące zgodności? Czy jesteś związany SLA z klientem? Czy posiadasz określone wskaźniki monitorowania wydajności zespołu?
3. Rekrutacja i utrzymanie personelu – Średnio firmy potrzebują 8 miesięcy na zatrudnienie i przeszkolenie wewnętrznego analityka SOC. Czy rozważasz alternatywne umowy usługowe, takie jak outsourcing czy zatrudnienie dostawcy usług?
4. Opracowywanie i optymalizacja procesów – Czy posiadasz udokumentowane procesy operacyjne i SOP? A co z przepływami pracy i podręcznikami operacyjnymi? Dokumentowanie ma kluczowe znaczenie dla opracowywania kolejnych ulepszeń.
5. Strategia radzenia sobie z nowymi zagrożeniami – Jaka jest Twoja strategia radzenia sobie z nowymi zagrożeniami? Czy planujesz inwestować w nową technologię do analityki i monitorowania, która usprawni wykrywanie zagrożeń? Jak zamierzasz zapewnić, że Twoje praktyki w zakresie cyberbezpieczeństwa pozostaną aktualne?

Oszacuj swoje wymagania dotyczące możliwości

Dwa powszechne scenariusze operacyjne to SOC wewnętrzne i wirtualne. Te drugie można zorganizować jako outstaffing, zespoły zarządzane albo rozwiązanie „SOC jako usługa”. Każda opcja posiada swoje zalety i pewne ograniczenia.

Operacje wewnętrzne mogą wydawać się najprostszą opcją. Jednakże brak ekspertyzy dotyczącej ustawiania operacji plus wyzwania związane z rekrutacją mogą wydłużyć termin utworzenia SOC. Operacje wewnętrzne wymagają również oddzielnego budżetu. Średnio przedsiębiorstwo wydają 2,86 milionów dolarów amerykańskich rocznie na utrzymywanie wewnętrznego SOC.

Delegowanie utrzymywania SOC na zarządzanego dostawcę usług skraca czas instalacji i zapewnia dostęp do brakującej ekspertyzy. Z tego powodu ponad 50% przedsiębiorstw decyduje się na częściowy lub całkowity outsourcing swojego SOC. Infopulse również posiada możliwości i narzędzia, które pomagają przedsiębiorstwom zbudować centrum SOC lub wspierają ich bieżące operacje.

Podsumowanie

SOC to strategiczny „zasób” bezpieczeństwa, chroniący przedsiębiorstwa przed znanymi i pojawiającymi się zagrożeniami. Pozyskanie możliwości proaktywnego identyfikowania zagrożeń i podatności na początkowym etapie jest szczególnie ważne dla przedsiębiorstw działających w regulowanych branżach, w których naruszenie prowadzi do potężnych kar z tytułu braku zgodności z przepisami i uszczerbku na reputacji marki.

Jednocześnie SOC to coś więcej niż po prostu funkcja informatyczna, jest to skonsolidowany zestaw firmowych praktyk operacyjnych stymulujących nieustanne usprawienia. Biorąc pod uwagę dalekosiężne implikacje SOC, utworzenie takiej jednostki jest wyzwaniem.

Skontaktuj się ze specjalistami Infopulse ds. bezpieczeństwa, aby odbyć wstępne konsultacje dotyczące swojego poziomu dojrzałości w zakresie cyberbezpieczeństwa i uzyskać wskazówki dotyczące kolejnych kroków przy wdrażaniu SOC.

Artykuł pochodzi z magazynu:
FOCUS ON Business #3 March-April (2/2022)