Sama technologia Cię nie obroni. Dlaczego Twój biznes potrzebuje SOC?

Materiał sponsorowany

Czym w ogóle jest SOC i jaka jest jego rola w systemie cyberbezpieczeństwa organizacji?

Michał Kaczmarek, manager SOC Trecom: Bardzo dobre pytanie na początek. 

Zacznijmy od - nazwijmy to „definicji” - SOC, czyli Security Operations Center, to operacyjne centrum bezpieczeństwa organizacji. Jest to ścisła organizacja zespołu ludzi, procesów i technologii, która odpowiada za ciągłe monitorowanie środowiska IT/OT/IoT; w celu wykrywania zagrożeń oraz reakcję na nie, w tym incydenty bezpieczeństwa.

W praktyce SOC zbiera i analizuje dane z systemów takich jak SIEM, EDR/XDR, IDS/IPS, WAF, PAM, firewalli, usług chmurowych czy tożsamości użytkowników. W zależności od wielkości czy złożoności środowiska bywa, że jest to ogromna ilość danych, która jest poddawana analizom. Sama technologia więc nie wystarcza. Kluczowe są kompetencje analityków, w tym bardziej specjalistyczne jak umiejętność analizy malware, jakże ważna inżynieria detekcji, proaktywne wyszukiwanie zagrożeń, analiza śledcza, analiza zagrożeń, a w tym wszystkim dojrzałe procedury reagowania.

W naszym SOC działamy w modelu MSSP, czyli dostawcy usług, w trybie 24/7. Zespół jest podzielony na linię 1, 2 i 3, z uwzględnieniem dodatkowych możliwości we wspomnianych wyżej kompetencjach zaawansowanych. To ważne, bo współczesne ataki są wieloetapowe i często rozciągnięte w czasie, lecz także coraz bardziej zautomatyzowane. Wtedy szybka, trafna reakcja często decyduje o powstrzymaniu zagrożenia lub szybkiej utraty kontroli nad sytuacją. Co istotne, sam alert w konsoli niczego jeszcze nie oznacza - istotny jest kontekst, korelacja danych - czy jak to nazywamy w SOC - łączenie kropek - a także umiejętność oceny ryzyka biznesowego.

Dzisiaj SOC jest również odpowiedzią na wymagania regulacyjne. NIS2, nowelizacja KSC czy rekomendacje europejskiej organizacji ENISA jasno wskazują, że organizacje muszą posiadać zdolność do ciągłego monitorowania, szybkiego wykrywania incydentów i reakcji na nie - jest to obszar zarządzania incydentami. Ponadto bardzo mocno pokrywają się z tym wskazówki organizacji takich jak NIST czy SANS, które od lat podkreślają, że skuteczne cyberbezpieczeństwo nie kończy się na wdrożeniu technologii.

Kto powinien korzystać z SOC-a?

W perspektywie ostatnich lat podejście do obszaru zarządzania incydentami się zmienia. Dzisiaj z SOC powinny korzystać wszystkie organizacje, dla których konsekwencje incydentu bezpieczeństwa skutkujące niedostępnością systemów, wyciekiem danych, utratą reputacji czy zatrzymaniem procesów biznesowych oznacza poważne konsekwencje.

Na pewno dotyczy to podmiotów objętych regulacją NIS2 i nowelizacją KSC na polskim gruncie prawym - czyli np. infrastruktury krytycznej, przemysłu, energetyki, ochrony zdrowia, logistyki czy administracji publicznej. 

Warto jednak mieć na względzie, że cyberprzestępczość tylko rośnie, na dużą skalę. Czynników które na to się składa jest co najmniej kilka - od wzrostu tzw. powierzchni ataku - czyli zależności od systemów IT/OT; przez ogromną opłacalność finansową; geopolitykę; po wspomnianą już przeze mnie automatyzację, wspieraną coraz częściej AI. Do tego cyberprzestępcy nie wybierają wyłącznie dużych organizacji, a bardzo często szukają tych, które mają ograniczone zasoby bezpieczeństwa. W tej przestrzeni nie ma również miejsca na etykę, znamy przecież przykłady głośnych ataków choćby na szpitale - zarówno w naszym kraju, jak i w Europie - które są łatwym celem choćby z powodu braku większych inwestycji w bezpieczeństwo w skali ostatnich wielu lat.

Dlatego pytanie nie brzmi dziś „czy potrzebuję wykrywać zagrożenia”, a bardziej - jaki model zarządzania incydentami powinienem wdrożyć. Dla jednych będzie to własny zespół SOC, dla innych model hybrydowy, a dla wielu - najbardziej efektywny okaże się outsourcing do wyspecjalizowanego dostawcy usług. 

Outsourcing a SOC – czy to dobry pomysł, aby sięgnąć po wsparcie z zewnątrz?

W wielu przypadkach to nie tylko dobry pomysł, ale jedyna realna droga do realizacji tego celu.

Budowa własnego SOC jest wymagająca. Potrzebni są kompetentni i doświadczeni analitycy, inżynierowie bezpieczeństwa, z umiejętnościami w obszarze reakcji na incydent, zaznajomionymi z narzędziami klasy SIEM czy XDR. Do tego istotne są dojrzałe procedury, które także wymagają doświadczenia i czasu na wdrożenie. Ponadto konieczność zapewnienia pracy zmianowej w trybie 24/7, czy ciągłego rozwoju kompetencji. Powszechnie jednak wiadomo - wynika to także z każdego raportu rynku pracy w IT - iż mamy ogromną lukę specjalistów, w tym z zakresu cyberbezpieczeństwa. Gdyby jednak udało się ich pozyskać, utrzymanie pełnego zespołu - a mówimy o minimum 6 osobach - bywa niezwykle kosztowne.

W takim kontekście model MSSP pozwala organizacji korzystać z zasobów ludzkich, sprawdzonych procesów i doświadczeń zdobytych podczas obsługi wielu innych środowisk. To w mojej ocenie ogromna zaleta. W naszym SOC bardzo często widzimy wykorzystywanie technik, taktyk czy procedur wykorzystywanych przez adwersarzy, które pojawiają się równolegle u różnych klientów - dzięki temu możemy szybciej budować detekcje i reagować zanim zagrożenie eskaluje.

Dodatkowo outsourcing pozwala osiągnąć monitoring 24/7 znacznie szybciej niż budowa własnego centrum operacyjnego od zera. A właśnie czas reakcji jest dziś jednym z kluczowych parametrów wpływających na bezpieczeństwo środowisk IT, czy OT.

Warto dodać, że outsourcing nie oznacza delegowania odpowiedzialności za bezpieczeństwo firmie zewnętrznej. Wg dobrych praktyk, ale wydaje się także pewnej logiki - najlepiej działa model, w którym MSSP staje się partnerem zespołu IT klienta, rozumie jego procesy biznesowe i wspólnie rozwija zdolności bezpieczeństwa.

Nie każda organizacja ma możliwości, aby postawić i rozwijać własny SOC. Tu wyjściem pozostaje zwrócenie się do zewnętrznego dostawcy. Na co zwrócić uwagę przy wyborze?

Przede wszystkim nie warto oceniać wyłącznie przez pryzmat stosowanej technologii. Wielu dostawców mówi o SIEM-ach, AI czy automatyzacji, ale prawdziwą wartość SOC tworzą ludzie i dojrzałe procesy. Pierwsze pytanie powinno dotyczyć modelu operacyjnego: czy SOC działa realnie 24/7? Jakie poza monitoringiem istnieją kompetencje L2/L3 - inżyniera detekcji, threat hunting, analiza forensic, Cyber Threat Intelligence? A może wcześniej audyty, przygotowanie zgodności z regulacjami? Może pentesty, kampanie awarenessowe? Drugim kluczowym aspektem jest transparentność procesu obsługi incydentów. Podmiot zlecający powinien wiedzieć jakie faktycznie kompetencje kryją się za analizą (np. certyfkaty osobowe, zespołowe), jakie kryteria reakcji i czasu są przyjęte, jaki zakres reakcji, eskalacji, jak zagrożenia są raportowane itp.

Ponadto bardzo ważna jest też zgodność z uznanymi praktykami i standardami, te bowiem istnieją w tym obszarze od lat - choćby framework NIST Incident Response, praktyki SANS czy ISO 27035. To pokazuje dojrzałość operacyjną i faktyczne kompetencje.

Kolejna kwestia to zdolność do rozwoju usługi. SOC powinien rozwijać reguły detekcji, integrować threat intelligence, automatyzować procesy i dostosowywać monitoring do zmian w środowisku klienta. Z perspektywy klienta bardzo istotne jest również to, czy dostawca rozumie wymagania NIS2 oraz KSC. Dzisiaj SOC staje się elementem realizacji obowiązków regulacyjnych, a nie wyłącznie usługą techniczną. 

Co o SOC-ach mówi nowelizacja KSC? Czego wymagają polskie przepisy?

Nowelizacja KSC, implementująca dyrektywę NIS2, bardzo wyraźnie wzmacnia znaczenie zdolności operacyjnych w cyberbezpieczeństwie. Przepisy nie mówią wprost: „musisz posiadać SOC”, ale praktycznie wymagają kompetencji, które SOC zapewnia.

Mówimy tutaj przede wszystkim o ciągłym monitorowaniu systemów, wykrywaniu incydentów i zarządzaniu nimi, analizie ryzyka czy raportowaniu, także zdolnosci do szybkiej reakcji.

NIS2 mocno wskazuje również odpowiedzialność zarządów za cyberbezpieczeństwo. To bardzo istotna zmiana. Bezpieczeństwo przestaje być wyłącznie problemem działów IT - staje się elementem zarządzania ryzykiem organizacji. W praktyce oznacza to, że organizacje będą musiały udowodnić, że posiadają realne zdolności detekcji i reagowania. I właśnie tutaj SOC odgrywa kluczową rolę.

Warto też zauważyć, że regulatorzy coraz częściej patrzą nie tylko na posiadanie narzędzi, ale na efektywność procesów. Można mieć bardzo drogi SIEM, ale bez ludzi, procedur i faktycznego monitoringu środowiska IT – w takiej sytuacji bezpieczeństwo pozostanie iluzją.

Jak działa Trecom SOC i co go wyróżnia na rynku?

Trecom SOC realizuje funkcje wskazane we wcześniejszych pytaniach - to przede wszystkim operacyjne centrum cyberbezpieczeństwa, powstałe w 2018 roku, działające w modelu MSSP 24/7/365, gdzie naszym zadaniem jest ciągłe monitorowanie środowisk klientów, wykrywanie zagrożeń w tym incydenty bezpieczeństwa oraz aktywna reakcja na nie. Jesteśmy zespołem, który od detekcji, przez analizę zdarzeń, koordynację działań po zdolności zaawansowane - realnie wpływa na cyberbezpieczeństwo organizacji.

To, co wyróżnia nasz SOC, to bardzo silne i dojrzałe połączenie ludzi, procesów i technologii - od monitoringu i triage’u realizowanego przez analityków L1, przez pogłębioną analizę L2, aż po kompetencje L3 obejmujące inżynierę detekcji, analizę malware, analizę powłamaniową, CTI czy threat hunting. W praktyce oznacza to, że nie kończymy pracy na wygenerowaniu zdarzenia w narzędziach. Naszym celem jest zrozumienie pełnego kontekstu - każdego artefaktu wpływającego na wygenerowanie zdarzenia, a jeśli jest to zagrożenie - sposobu działania, wektora wejścia, potencjalnego wpływu biznesowego oraz rekomendacji działań naprawczych. Bardzo mocno opieramy się tutaj na praktykach NIST Incident Response Framework, SANS oraz modelach dojrzałości takich jak SIM3.

Co nas także wyróżnia, to ogromna rola inżynierii detekcji. Współczesny SOC nie może opierać się wyłącznie na gotowych regułach SIEM czy domyślnym poziomie logowania. Nasz zespół w trybie ciągłym rozwija reguły detekcji, kalibruje korelacje, redukuje fałszywe alarmy pod konkretne środowiska klientów. To właśnie ten element często odróżnia dojrzały SOC od prostego monitoringu logów. Kolejnym wyróżnikiem jest proaktywne podejście - wyszukujemy oznaki kompromitacji, analizujemy trendy zagrożeń oraz wykorzystujemy CTI do budowania nowych mechanizmów wykrywania. Dzięki temu jesteśmy w stanie identyfikować aktywność przestępców zanim dojdzie do eskalacji, często realizując analizę zagrożeń pod konkretnego klienta, dane o nim i ryzyka sektora jaki reprezentuje.

Istotna jest także omawiana zgodność regulacyjna - SOC Trecom został zaprojektowany właśnie pod kątem tych wymagań - zarówno operacyjnych, jak i procesowych. Oznacza to, iż obok obszaru zarządzania incydentami, mamy kompetencje - może nie jako SOC bezpośrednio, a jako zespoły z którymi współpracujemy w naszej organizacji - również w zakresie zarządzania ryzykiem, zgodnością, realizujące funkcje takie jak CISOaaS, szkolenia, audyty. Z perspektywy klienta - w ramach jednej umowy możemy dostarczyć całe portfolio usług z zakresu cyberbezpieczeństwa.

Na rynku wyróżnia nas także dojrzałość procesów potwierdzona akredytacją Trusted Introducer. To jedno z najważniejszych europejskich wyróżnień dla zespołów SOC/CSIRT, które w Polsce posiada bardzo ograniczona liczba dostawców. Akredytacja potwierdza, że nasze procesy reagowania na incydenty, organizacja pracy i zdolności operacyjne spełniają wymagania dojrzałych standardów w obszarze zarządzania incydentami.

Istotne jest również to, że nie jesteśmy zamknięci na jedną technologię. Potrafimy pracować zarówno na platformach klienta, jak i w modelu usługowym opartym o SecureVisio SIEM, które stanowi narzędzie tej kategorii dla wielu naszych klientów. Zapewnia to dużą elastyczność operacyjną oraz możliwość integracji z już istniejącym ekosystemem bezpieczeństwa klienta. Organizacje mogą rozwijać swoje zdolności SOC bez konieczności rezygnacji z wcześniej wdrożonych technologii i procesów. Ponadto nie są nam obce rozwiązania producentów takich jak Cisco, Microsoft, Palo Alto, CrowdStrike, Splunk czy Fortinet. 

Z mojego punktu widzenia największym wyróżnikiem Trecom SOC jest jednak podejście operacyjne. Staramy się być realnym partnerem bezpieczeństwa dla klienta - zespołem, który rozumie jego środowisko, procesy biznesowe i ryzyka. W czasach NIS2 sama technologia nie wystarcza. Organizacje potrzebują zdolności do wykrywania i reagowania na zagrożenia, a właśnie tę zdolność utrzymujemy na najwyższym poziomie, pozostając transparentnym w naszych działaniach, otwartym na komunikację i jasne przekazy zespołu. Nasi klienci bardzo to sobie cenią.

Jakim zespołem dysponujecie?

Jak już wspomniałem, SOC Trecom to nie jest wyłącznie grupa analityków monitorujących alerty. To zespół specjalistów odpowiedzialnych za pełny proces detekcji, analizy i reagowania na incydenty.

Nasza struktura opiera się o klasyczny podział SOC na linie L1, L2 i L3, jednak bardzo mocno rozwijamy również kompetencje specjalistyczne. Dzisiaj w zespole pracują 22 osoby, pewnie drugie tyle z nami współpracuje realizując inne zdolności z zakresu cyberbezpieczeństwa.

Pierwszą linię stanowią analitycy SOC odpowiedzialni za monitoring bezpieczeństwa 24/7, triage alertów oraz szybką identyfikację potencjalnych incydentów. To oni jako pierwsi analizują anomalie pojawiające się w środowiskach klientów, korelują zdarzenia i podejmują decyzje o eskalacji czy komunikacji z klientem. W naszym modelu bardzo duży nacisk kładziemy na standaryzację procesów, checklisty operacyjne oraz rozwój kompetencji młodszych analityków.

Druga linia odpowiada za pogłębione analizy, ocenę zagrożeń oraz koordynację działań reakcji na incydent, jeśli do niego dojdzie. Na tym poziomie analizujemy techniki działania, możliwe skutki biznesowe oraz potencjalną skalę kompromitacji środowiska.

Trzecia linia to zespół ekspertów zajmujących się najbardziej zaawansowanymi obszarami bezpieczeństwa. Myślę tutaj np. o inżynierii detekcji, analizie forensic, rozwoju automatyzacji, czy implementacji AI.

Ta część zespołu odpowiada także za ciągłe podnoszenie skuteczności detekcji i rozwój całej usługi SOC. Bardzo ważnym elementem naszego modelu jest również rola koordynacji operacyjnej. Funkcjonowanie SOC w trybie 24/7 opiera się na wysokich kompetencjach technicznych, sprawnym zarządzaniu priorytetami, komunikacją z klientami oraz synchronizacją działań pomiędzy liniami wsparcia. Dlatego rozwijamy także role koordynacyjne i operacyjne, które pomagają utrzymać wysoką jakość obsługi incydentów, dobrą komunikację i priorytetyzację działań.

Dużą wagę przykładamy do rozwoju kompetencji wewnątrz zespołu. Część specjalistów rozwija się od poziomu L1 do bardziej zaawansowanych ról. Uważam, że nowoczesny SOC powinien być organizacją uczącą się, w czasach, gdy krajobraz zagrożeń zmienia się bardzo dynamicznie, ale także w kontekście braków kadrowych. Inwestujemy w swoich ludzi od poziomu linii pierwszej, a mam już w zespole osoby, które przeszły wiele szczebli wewnętrznego rozwoju.

Na jakiej technologii działa Trecom SOC?

Narzędzia oczywiście mają kluczowe znaczenie dla integracji danych, budowy skutecznych mechanizmów detekcji oraz właściwej interpretacji zdarzeń przez analityków. Fundamentem naszego środowiska są platformy klasy SIEM, SOAR oraz XDR/EDR, które pozwalają na centralizację logów, korelację zdarzeń oraz automatyzację części procesów operacyjnych. Wykorzystujemy między innymi platformę SecureVisio SIEM, którą możemy dostarczyć w modelu on-prem jak i SaaS. Jak wspomniałem wcześniej, integrujemy jednak także rozwiązania wielu producentów.

To bardzo istotne, ponieważ współczesne środowiska klientów są hybrydowe i wielotechnologiczne. Monitorujemy zarówno klasyczne infrastruktury on-premise, jak i środowiska chmurowe oparte o Azure, AWS czy Google Cloud. Integrujemy dane z firewalli, systemów IAM, poczty, EDR/XDR, sieci, systemów OT czy usług SaaS.

Bardzo mocno rozwijamy również warstwę automatyzacji. Dzięki wykorzystaniu SOAR jesteśmy w stanie przyspieszać reakcję na wybrane incydenty, automatyzować wzbogacanie danych czy realizować określone scenariusze bezpieczeństwa. Jednocześnie zachowujemy bardzo ważny balans - automatyzacja wspiera analityków, ale ich nie zastępuje. Szczególnie przy bardziej zaawansowanych incydentach nadal kluczowe znaczenie ma doświadczenie zespołu.

Już kilka razy wspomniałem, jak ogromną rolę odgrywa inżyniera detekcji. Nie opieramy się więc wyłącznie na gotowych regułach producentów. Nasz SOC stale rozwija własne reguły detekcji, dostosowane do realnych zagrożeń oraz środowisk klientów. W praktyce oznacza to budowę use case’ów opartych między innymi o framework MITRE ATT&CK, dane z threat intelligence oraz doświadczenia zdobyte podczas obsługi zdarzeń i incydentów.

Coraz większe znaczenie mają również rozwiązania związane z cyber threat intelligence i threat huntingiem. Wykorzystujemy platformy CTI oraz dane o aktualnych kampaniach zagrożeń do proaktywnego wyszukiwania oznak kompromitacji i budowy nowych mechanizmów wykrywania.

Technologia jest więc dla nas narzędziem do budowania realnych zdolności operacyjnych, w tym zgodnych z wymaganiami KSC oraz dobrymi praktykami.

Jakie usługi oferujecie poza klasycznym monitoringiem?

Troszkę już o tym wspomniałem. Nasi klienci oczekują i bardzo doceniają rolę realnego wsparcia w budowie odporności organizacji, reagowaniu na incydenty oraz spełnianiu wymagań regulacyjnych. Dlatego zakres naszych usług jest znacznie szerszy niż klasyczny monitoring bezpieczeństwa. Mówiąc nasz zakres - mam na myśli naszą organizację jako całość, nie tylko zespół SOC.

Opisałem jak wspieramy klientów w obszarze zarządzania incydentami, jednak wspomagamy również w przygotowaniu organizacji do ich obsługi. Obejmuje to analizę incydentów, powstrzymanie jego skutków, koordynację działań, analizę powłamaniową oraz rekomendacje działań naprawczych. Jako SOC obok detekcji, analizy i reakcji oferujemy CTI, threat hunting, analizy powłamaniowe, kampanie phishingowe, zaawansowaną inżynierę detekcji. W samym CTI dostarczamy danych o aktualnych zagrożeniach, grupach APT, kampaniach ransomware czy technikach atakujących. Pozwala to lepiej rozumieć krajobraz zagrożeń i szybciej adaptować mechanizmy bezpieczeństwa.

Coraz większy nacisk kładziemy także na automatyzację procesów SOC i wykorzystanie AI do wsparcia pracy analityków. Widzimy bardzo wyraźnie, że przyszłość cyberbezpieczeństwa będzie opierała się na modelu, w którym analitycy skupiają się na analizie i ocenie zagrożeń, a powtarzalne czynności będą coraz częściej realizowane automatycznie.

Jednak wspieramy klientów również w obszarze zgodności regulacyjnej - szczególnie w kontekście NIS2, nowelizacji KSC czy DORA. Pomagamy budować procesy monitoringu, raportowania incydentów oraz zdolności operacyjne wymagane przez regulatorów. W zakresie zespołów Trecom są funkcje dotyczące zarządzania ryzykiem, dostarczania i implementacji narzędzi, usług Network Operation Center i wiele innych. Zachęcam do przejrzenia naszych możliwości na stronie trecom.pl

Czy możesz podać przykład realnego incydentu, który udało się zatrzymać dzięki SOC?

Oczywiście. Jednym z najczęściej wykrywanych ataków to wszelakie próby kompromitacji publicznie dostępnych aplikacje bądź usług. Dzięki korelacji logów z fizycznych serwerów oraz firewalla od razu widzimy próby przełamania zabezpieczeń. Dotyczy to m.in. logowań na serwer które w momencie analizy wzbogacamy poprzez logi sieciowe. W takim scenariuszu widzimy w jaki sposób atakujący próbuje się dostać na dany serwer. Najczęstszą przyczyną jest po prostu rutyna - otwarty port, zapomniana reguła na firewallu służąca technikom, serwisantom do uzyskania tymczasowego dostępu itd. Jako SOC możemy zaadresować potencjalne dziury, przekazać rekomendację co należy wykonać po stronie klienta, żeby wyeliminować potencjalny wektor ataku. Oczywiście, nie zawsze wszelkie zmiany są możliwe do wykonania od razu. Nie zostawiamy jednak klienta samego z tym problemem - wskazujemy potencjalne drogi ataku, ryzyka z tym związane i potencjalne konsekwencje bądź sugerujemy potencjalne kompromisowe rozwiązania, pozwalające chociaż minimalnie zmitygować problem.

Innym popularnym scenariuszem jest próba przejęcia konta pracownika w organizacji. Wycieki haseł to jedna z najpopularniejszych metod kompromitacji kont użytkowników. Jako SOC jesteśmy w stanie w realnym czasie reagować na podejrzane aktywności. Jeśli odnotujemy logowanie zza granicy, gdzie profil organizacji, aktywność bądź stanowisko pracownika nie wskazuje na konieczność logowań spoza Polski, a aktywność konta jednoznacznie wskazuje na kompromitację - możemy od razu przejść do działań ograniczających, a następnie, wraz z klientem, dążyć do wyeliminowania incydentu.