Bezpieczny biznes. Postaw na SOC i śpij spokojnie

Artykuł sponsorowany

Za nami Miesiąc Cyberbezpieczeństwa. Październik to czas, w którym szczególnie wybrzmiewają apele o potrzebę podnoszenia jakości ochrony, budowania odporności organizacji czy stosowania zasad cyberhigieny. Choć w ostatnich tygodniach więcej uwagi poświęcano tym kwestiom, musimy pamiętać, że cyberbezpieczeństwo to proces, który powinien trwać nieprzerwanie przez cały rok. 

Ryzyko dotyczy każdego. Zarówno pojedynczy użytkownicy, jak i większe, średnie oraz mniejsze organizacje mogą mieć do czynienia z cyberzagrożeniami. Nie musimy przywoływać tu przykładów spektakularnych operacji prowadzonych przez hakerów powiązanych ze służbami specjalnymi obcych państw (np. Rosji czy Białorusi), aby zobaczyć, że mówimy o naprawdę poważnym problemie. 

Spójrzmy na ostatnie wydarzenia i aktywność cyberprzestępców w Polsce. Incydenty w markowej sieci drogerii i aptek oraz firmach z branży technologicznej, które pozornie nie powinny dać się zhakować, pokazują, że nawet prawdziwi specjaliści nie mogą tracić czujności. 

„Nie trzeba łamać systemów”

Już samym wyzwaniem jest rozległy katalog technik i metod działania atakujących (od phishingu, ransomware, przez spoofing, po DDoS). Sprawcy idą z duchem czasu, rozwijając swoje zdolności i umiejętności tak, aby podnieść skuteczność prowadzonych operacji. 

Do tego dochodzą kwestie środowiskowe oraz wewnątrz organizacji, które tylko wzmacniają ryzyko. Marek Makowski, kierownik działu architektury rozwiązań cyberbezpieczeństwa w spółce EXATEL, wymienia tu m.in. brak tzw. bezpieczników (specjalistów odpowiedzialnych za cyberbezpieczeństwo), słabą integrację/interoperacyjność rozwiązań bezpieczeństwa oraz nieodpowiedni poziom świadomości kierownictwa oraz pracowników.

Podczas webinaru organizowanego przez firmę, ekspert podkreślił, że to właśnie czynnik ludzki najczęściej okazuje się być najsłabszym punktem cyberbezpieczeństwa organizacji. „Nie trzeba łamać systemów, tylko łamać ludzi” – sparafrazował słowa Kevina Mitnicka.

Problemy często wynikają również z całkowitego braku lub niepoprawnej polityki aktualizacji systemów oraz aplikacji; domyślnej konfiguracji systemów i urządzeń; braku bądź nieodpowiedniej segmentacji sieci; słabego uwierzytelniania użytkowników czy też niewłaściwego monitoringu bezpieczeństwa. Wyzwań może być oczywiście zdecydowanie więcej.

SOC na straży bezpieczeństwa

Biorąc po uwagę ryzyko i czyhające w sieci zagrożenia, warto swoją uwagę skupić na Security Operation Center. SOC to wyspecjalizowane centrum bezpieczeństwa, bazujące na trzech filarach: ludziach, technologii i procesach/procedurach.

Patrząc z perspektywy cyberbezpieczeństwa organizacji, SOC koncentruje się na wykrywaniu zagrożeń prowadzonym nieprzerwanie w trybie 24/7/365. Oczywiście w przypadku wykrycia i potwierdzenia incydentu, zespół SOC jest odpowiedzialny za jego prawidłową obsługę (rozwiązanie problemu lub eskalację do kolejnych linii wsparcia) czy bieżące raportowanie. Po zakończeniu działań mitygacyjnych, ważne jest przywrócenie stanu sprzed jego wystąpienia i w następnym kroku wyciągnięcie prawidłowych wniosków z analizy poincydentalnej, której skutkiem powinny być zmiany w infrastrukturze prowadzące do zabezpieczenia się przed ponownym wystąpieniem takiego problemu.

Trzy warianty

Pytanie tylko, czy konieczne jest budowanie własnego SOC-a w organizacji? To tylko jedna z możliwości i powiedzmy wprost: najdroższa. Z reguły stosują ją duże podmioty, które mogą sobie pozwolić na budowę i późniejsze utrzymanie działalności SOC. Dużym plusem jest tu z pewnością pełna kontrola, jaką posiadamy nad własnym centrum bezpieczeństwa. 

Inną opcją jest skorzystanie z usług zewnętrznych podmiotów, np. firmy EXATEL.  Wiąże się to po pierwsze - ze zdecydowanie niższymi kosztami, a po drugie - szybszą implementacją.

Występuje również model hybrydowy, który łączy zalety obu modeli: pozwala na utrzymanie kluczowych kompetencji wewnątrz organizacji, a jednocześnie korzystamy ze wsparcia zewnętrznych ekspertów. 

Widzieć jak najwięcej

W przypadku Security Operation Center szczególną uwagę należy poświęcić triadzie widoczności SOC. To podejście, które polega na zagwarantowaniu pełnej i zintegrowanej widoczności tak, aby mieć świadomość na temat potencjalnych zagrożeń oraz ryzyka. 

„Chodzi o to, żebyśmy mieli jak najszerszą widoczność tego, co dzieje się w naszej infrastrukturze” – wyjaśnił Marek Makowski, wskazując na znaczenie rozwiązań klasy EDR (oraz XDR), NDR i SIEM.

EDR, czyli Endpoint Detection Point, skupia się na monitorowaniu, analizie i reagowaniu na zagrożenia na poziomie urządzeń końcowych (np. komputery, serwery czy urządzenia mobilne). Zawiera funkcje takie jak zbieranie danych z punktów końcowych, wykrywanie anomalii, zautomatyzowane odpowiedzi na incydenty i narzędzia analizy.

Jednak atakujący prowadzą coraz bardziej zaawansowane operacje, stosując złożone narzędzia i nieprzeciętne techniki, dlatego tu na znaczeniu zyskuje XDR. Extented Detection and Response  rozszerza funkcjonalność EDR na całą infrastrukturę, tym samym zwiększając widoczność i zapewniając bardziej holistyczne podejście do detekcji zagrożeń w różnych warstwach infrastruktury IT. W praktyce pozwala na korelację danych z wielu źródeł i automatyzuje odpowiedzi na złożone ataki. 

„W mniejszych organizacjach, o mniej skomplikowanej infrastrukturze, EDR i XDR mogą z powodzeniem być głównym narzędziem monitorującym i pozwalającym na reagowanie na zagrożenia. W większych podmiotach, świetnie spiszą się jako jedno ze źródeł zasilających platformę klasy SIEM” – wskazał ekspert EXATEL podczas webinaru.

Lepsze wykrywanie podejrzanej aktywności

A co w przypadku podmiotów o znacznie bardziej rozbudowanej infrastrukturze, gdzie cyberbezpieczeństwo ma znaczenie krytyczne?

Tu pojawia się Security Information and Event Management. SIEM obejmuje zbieranie i agregację logów z wielu źródeł (np. firewalli, serwerów, aplikacji, urządzeń końcowych). Analiza i korelacja zdarzeń pozwalają na wykrywanie podejrzanych aktywności oraz wykrywanie incydentów, które mogą być trudne do zidentyfikowania bez tego narzędzia. Na tej podstawie istnieje możliwość wczesnego ostrzegania o podejrzeniu zagrożenia, które w skuteczny sposób może być obsłużone przez analityka pierwszej linii SOC. 

Generalnie chodzi o przekształcenie surowych danych w wartościowe informacje o zagrożeniach, co ułatwia reakcję.

Automatyczna reakcja na incydent

Podczas webinaru Marek Makowski omówił również inną ciekawą platformę bezpieczeństwa – Security Orchestration, Automation and Response. SOAR pozwalającą m.in. na automatyzację rutynowych procesów (m.in. zbierania danych), skracając czas reakcji na incydenty oraz zmniejszając obciążenie pracą analityków SOC (w efekcie mniejszy zespół może więcej). 

SOAR integruje różne narzędzia bezpieczeństwa (SIEM, EDR, IPS, firewalle), dzięki czemu istnieje możliwość ich automatycznego uruchomienia w reakcji na incydent.  Dzięki SOAR nawet odmienne systemy bezpieczeństwa są zintegrowane. Usprawnia to wszystkie procesy bezpieczeństwa.

SOC to wiele korzyści

Można więc powiedzieć, że korzystanie z usług SOC niesie wiele korzyści z punktu widzenia bezpieczeństwa. Aby usystematyzować dotychczasowe informacje, warto wskazać na m.in.:

• zmniejszenie ryzyka: centrum bezpieczeństwa pomaga szybko wykrywać i neutralizować zagrożenia, co zmniejsza ryzyko utraty danych i przestojów;
• zgodność z regulacjami: SOC wspiera spełnienie wymagań związanych z przepisami i standardami (np. RODO);
• zwiększenie wydajności operacyjnej: możliwość skupienia się na kluczowych działaniach biznesowych bez konieczności martwienia się o bezpieczeństwo;
• obniżenie kosztów: brak potrzeby inwestycji i utrzymania zasobów po stronie klienta.

Bogata oferta firmy EXATEL

EXATEL oferuje różne usługi w zależności od potrzeb. Generalnie możemy je podzielić na trzy główne grupy: cyberbezpieczństwo defensywne, ofensywne oraz wdrożenie i infrastruktura. 

Przypomnijmy, że w przypadku pierwszej kategorii (cyberbezpieczństwo defensywne) spółka oferuje usługi SOC, gwarantując nieprzerwany, kompleksowy monitoring infrastruktury w celu wykrywania działań niepożądanych i obsługę incydentów przez trzy linie SOC. 

Można także skorzystać z EXATEL Assistance, które w atrakcyjnej cenie daje wsparcie SOC w obszarze weryfikacji i neutralizacji incydentów oraz Wsparcia bezpieczeństwa EXATEL, które dzięki bliskiej współpracy z Departamentem Cyberbezpieczeństwa oraz Departamentem Informatyki spółki, pozwala klientom na dostęp w trybie projektowym do ekspertów, wiedzy i kompetencji, w tym w obszarze bezpieczeństwa ofensywnego i defensywnego. Mowa o wsparciu blisko 100 dziedzinowych inżynierów i architektów. 

W przypadku cyberbezpieczeństwa ofensywnego, EXATEL oferuje np. testy penetracyjne czy usługi takie jak wykrywania luk i podatności w zabezpieczeniach, oceny całych środowisk oraz prowadzenia testów phishingowych, dzięki którym możliwe jest budowanie świadomości pracowników. 

Z kolei jeśli chodzi o ostatnią grupę (wdrożenie i infrastruktura), spółka może przeprowadzić rekonesans infrastrukturalny, który jest wykonywany przez ekspertów bezpieczeństwa defensywnego i różnych specjalizacji IT.

Polega na przeglądzie warstwy technologii sieci (w tym jej segmentacji), storage, wirtualizacji systemów IT, systemów bezpieczeństwa i zrozumieniu stanu dojrzałości używanych technologii w środowisku teleinformatycznym organizacji. W efekcie powstaje obszerny raport, dzięki któremu możliwe jest zaplanowanie dalszych kroków na rzecz poprawy efektywności środowiska, ciągłości działania i zmniejszenia kosztów utrzymania infrastruktury.

Dodatkowo warto zwrócić uwagę na programy systematyzowania bezpieczeństwa sieci LAN. Inżynierowie cyberbezpieczeństwa i IT w EXATEL, wspierają organizacje w weryfikacji, usprawnianiu i przebudowywaniu sieci LAN, poprawiając jej bezpieczeństwo, obniżając koszty utrzymania, zapewniając równocześnie podczas realizowanych prac ciągłość działania systemów. Poza procesami standardowych konserwacji i modernizacji, zorganizowane w ramach programu działania warto podejmować cyklicznie, najlepiej co 3 lata. 

Specjaliści EXATEL mogą również pomóc w wyborze, wdrażaniu, wsparciu i dostrajaniu wielu platform, w tym m.in. SIEM, WAF, EDR, NGFW, PIM/PAM, NAV czy poczty e-mail.

Partner godny zaufania

Marek Makowski podkreślił na koniec prezentacji, że „sama, nawet najlepsza technologia z zakresu cyberbezpieczeństwa, nie zabezpieczy infrastruktury, bo nie daje określonych rezultatów”. Jak zaznaczył, kluczowe staje się odpowiednie rozpoznanie potrzeb danego środowiska, a następnie dopasowanie rozwiązań i procesów do organizacji. 

Nigdy nie można też zapominać o adekwatnym monitorowaniu i reagowaniu na incydenty, a także współpracyprzekładającej się na jakość bezpieczeństwa. Pamiętajcie, że zawsze należy posiadać partnera godnego zaufania, który wesprze was w najtrudniejszym czasie. Takim partnerem może być EXATEL.