Serie cybersecurity (10/10): SOC la maxim: optimizați securitatea organizației cu un Centru de Operațiuni de Securitate

SOC este o structură centralizată de securitate, în care o echipă de experți vă monitorizează, analizează și protejează rețeaua, sistemele datele împotriva atacurilor cibernetice. O echipă SOC poate detecta, identifica și răspunde la incidente și amenințări de securitate; respectiv poate preveni sau atenua impactul acestora.

Gândiți-vă la un SOC ca la centrul nervos al securității organizației dumneavoastră: este ca și cum ați avea o echipă de agenți de securitate, detectivi și pompieri care lucrează împreună pentru a vă menține organizația în siguranță. Un SOC vă poate ajuta să vă protejați organizația de amenințări, indiferent dacă provin din exterior sau din interior.

Dar SOC nu este foarte ușor de realizat: are nevoie de planificare, resurse și expertiză. Iar provocări precum găsirea și păstrarea unor profesioniști în domeniul securității; ținerea pasului cu atacurile cibernetice; precum și gestionarea / analizarea datelor complexe generate sunt tot atâtea motive pentru a vă gândi de două ori înainte să implementați.

%
media globală a maturității SOC/centrelor operaționale de securitate [Sursa: Microsoft]
miliarde
de evenimente / secundă sunt procesate de SOC-ul Google Cloud. [Sursa: Google]
În acest articol:
  1. Funcțiile SOC
  2. Elemente cheie SOC: Oamenii, procesele și tehnologia
  3. Instrumente și tehnologii SOC
  4. Modele SOC: in-house, externalizat, hibrid
  5. Studii de caz SOC

Funcțiile SOC

Un SOC acoperă câteva roluri importante, legate de protejarea organizației de amenințări și incidente cibernetice:

Monitorizarea

Colectarea și prelucrarea datelor din diverse surse (rețele, servere, puncte finale, aplicații și baze de date), pentru a obține vizibilitate asupra poziției de securitate și a activităților organizației. Monitorizarea ajută la identificarea oricăror anomalii sau comportamente suspecte care pot indica un potențial atac sau o compromitere.

Detecția

Prelucrarea datelor colectate anterior, pentru a identifica și verifica orice incidente sau amenințări de securitate. Detectarea vă ajută să determinați natura, domeniului de aplicare și gravitatea unui atac, dar și a motivele și metodele atacatorului.

Analiza

Investigarea și înțelegerea detaliilor și implicațiilor incidentului / amenințării de securitate. Analiza ajută la evaluarea impactului și a riscului unui atac, precum și a cauzei principale și a vectorului de atac; apoi sunt generate și partajate informații privind amenințările: indicatori de compromitere, tactici, tehnici și proceduri etc.

Răspunsul

Luarea de măsuri adecvate pentru a limita și a atenua incidentul amenințarea la adresa securității. Răspunsul oprește sau limitează daunelor și perturbările cauzate de un atac, și restabilește operațiunile și funcționalitățile normale.

Prevenirea

Punerea în aplicare și îmbunătățirea măsurilor de securitate, pentru a preveni sau reduce probabilitatea unor atacuri viitoare. Prevenirea ajută la creșterea rezilienței și maturității organizației în materie de securitate, precum și la respectarea standardelor și reglementărilor de securitate. Un pas esențial al prevenirii constă în educarea și formarea personalului și a utilizatorilor cu privire la cele mai bune practici de securitate.

Elemente cheie SOC: Oamenii, procesele și tehnologia

Cele trei elemente-cheie ale unui SOC (oamenii, procesele și tehnologia) lucrează împreună pentru asigurarea funcțiilor și operațiunilor de securitate cibernetică:

Oamenii: profesioniști în domeniul securității, cu competențele, cunoștințele și experiența adecvate pentru a face față provocărilor în materie de securitate. Echipa unui SOC trebuie să aibă mentalitatea și atitudinea potrivite pentru a face față stresului și presiunii de a lucra într-un mediu dinamic și solicitant.
Procesele: politicile și procedurile care definesc fluxurile de lucru și activitățile de securitate: răspunsul la incidente, informațiile privind amenințările, raportarea etc. Procesele SOC trebuie să fie clare și coerente, dar și flexibile și adaptabile, pentru a asigura calitatea și eficiența operațiunilor de securitate.
Tehnologia: instrumentele și tehnologiile care susțin funcțiile și operațiunile de securitate (SIEM, EDR, SOAR etc.). Tehnologia unui SOC trebuie selectată și integrată pe baza nevoilor și obiectivelor de securitate ale organizației dvs., dar și pe baza compatibilității și interoperabilității cu instrumentele și sistemele deja existente.

Instrumente și tehnologii SOC

SIEM (Security Information and Event Management)

Agregă, corelează și analizează datele din mai multe surse (jurnale, trafic de rețea, alerte etc.), pentru a oferi o imagine centralizată și cuprinzătoare a evenimentelor / incidentelor de securitate din organizația dvs. SIEM facilitează monitorizarea, detectarea și generarea de rapoarte și tablouri de bord.

EDR (Endpoint Detection and Response)

Monitorizează și protejează punctele finale (laptopuri, desktopuri, dispozitive mobile etc.), împotriva atacurilor cibernetice. EDR ajută detectarea și reacția la activitățile rău intenționate de la nivelul punctelor finale (malware, ransomware etc.), precum și colectarea / analiza datelor de la nivelul punctelor finale pentru identificarea amenințărilor și expertiza criminalistică.

SOAR (Security Orchestration, Automation, and Response)

Eficientizează fluxurile de lucru și procesele de securitate (de ex. răspunsul la incidente, informațiile despre amenințări, gestionarea vulnerabilităților etc.). SOAR crește eficiența și eficacitatea echipei SOC prin reducerea sarcinilor manuale și a erorilor umane.

XDR (Extended Detection and Response)

Analizează datele din mai multe domenii de securitate (rețeaua, endpoint-uri, cloud, e-mail etc.), pentru a oferi o imagine holistică și contextuală a incidentelor / amenințărilor de securitate din organizația dvs. XDR crește capacitatea de detecție și răspuns a echipei SOC, oferind mai multă vizibilitate și informații, ceea ce rezultă în acțiuni mai rapide și mai precise.

Modele SOC: in-house, externalizat, hibrid

Diferite modele de SOC pe care organizațiile le pot alege (în funcție de nevoile, obiectivele și resursele de securitate):

SOC in-house

Presupune construirea și administrarea unui SOC în cadrul organizației, folosind propriul personal, infrastructură și instrumente. Acest model este potrivit pentru organizațiile care au un nivel ridicat de nevoi și obiective de securitate, precum și resursele și expertiza necesare pentru a-și construi și întreține propriul SOC.

Oferă organizației un control și o vizibilitate deplină asupra operațiunilor sale de securitate, precum și capacitatea de a-și personaliza și optimiza soluțiile și procesele de securitate.
Oferă acoperire și operațiuni de securitate personalizate și cuprinzătoare, bazate pe nevoile și obiectivele de securitate specifice ale organizației.
În general, promovează o cultură a conștientizării securității și a cooperării între părțile interesate ale organizației, îmbunătățind comunicarea și coordonarea eforturilor de securitate.
Necesită o investiție și un angajament semnificativ de timp, bani și expertiză, precum și provocarea de a găsi și de a păstra profesioniști calificați și experimentați în domeniul securității.
Se poate confrunta cu dificultăți în a ține pasul cu evoluția amenințărilor și tendințelor în materie de securitate, precum și în gestionarea și analizarea datelor mari generate și colectate de SOC.
Îi pot lipsi perspectiva externă și feedback-ul pe care le poate oferi un furnizor de servicii terț, care pot contribui la îmbunătățirea și inovarea soluțiilor și proceselor de securitate.

SOC externalizat

Presupune externalizarea funcțiilor și operațiunilor SOC către un furnizor de servicii terț, cum ar fi un furnizor de servicii de securitate gestionate (MSSP) sau un furnizor SOC-as-a-service (SOCaaS). Acest model este potrivit pentru organizațiile care au nevoi și obiective de securitate de nivel scăzut sau mediu, precum și resurse și expertiză limitate pentru a-și construi și întreține propriul SOC.

Permite organizației să valorifice competențele, experiența și tehnologia furnizorului de servicii, precum și să reducă costurile și complexitatea creării și întreținerii unui SOC.
Asigură o acoperire și operațiuni de securitate rentabile și scalabile, oferind un model de servicii flexibil și adaptabil care poate satisface nevoile și așteptările în schimbare ale organizației în materie de securitate.
Permite organizației să acceseze cele mai recente tehnologii și tendințe în materie de securitate de la furnizorul de servicii, precum și să beneficieze de perspectiva externă și de feedback-ul pe care le poate oferi furnizorul de servicii.
Implică unele compromisuri și riscuri, cum ar fi pierderea controlului și a vizibilității asupra unor operațiuni de securitate, dependența și încrederea față de furnizorul de servicii și potențialele probleme de compatibilitate și integrare cu instrumentele și sistemele existente ale organizației.
Este posibil să nu poată oferi nivelul adecvat de acoperire și personalizare a securității de care are nevoie organizația, în special dacă organizația are un profil de risc ridicat și un mediu IT complex.
Poate crea probleme de comunicare și coordonare între echipele SOC interne și externe, precum și între diferiții furnizori de servicii pe care organizația îi poate utiliza, ceea ce poate afecta calitatea și coerența serviciilor de securitate.

SOC hibrid

Implică o combinație de elemente SOC interne și externalizate, în care organizația păstrează o parte din funcțiile și operațiunile SOC la nivel intern, delegând altele unui furnizor de servicii terț. Acest model este potrivit pentru organizațiile care au un nivel mediu spre ridicat de nevoi și obiective de securitate, precum și flexibilitatea și capacitatea de a echilibra elementele SOC interne și externalizate.

Permite organizației să echilibreze beneficiile și provocările atât ale modelului intern, cât și ale celui externalizat, precum și să abordeze nevoile și lacunele specifice de securitate ale organizației.
Permite organizației să optimizeze utilizarea resurselor și a expertizei sale, concentrându-se pe funcțiile și operațiunile de securitate esențiale și critice, în timp ce externalizează cele secundare și necritice către un furnizor de servicii.
Îmbunătățește reziliența și maturitatea organizației în materie de securitate, permițând îmbunătățirea și inovarea continuă a soluțiilor și proceselor de securitate, precum și accesul la cele mai recente tehnologii și tendințe în materie de securitate de la furnizorul de servicii.
Necesită o planificare și o coordonare atentă a rolurilor și responsabilităților echipelor SOC interne și externe, precum și o comunicare și o colaborare clară și consecventă între acestea, pentru a asigura alinierea și integrarea operațiunilor și obiectivelor de securitate.
Implică unele compromisuri și riscuri, cum ar fi pierderea controlului și a vizibilității asupra unor operațiuni de securitate, dependența și încrederea față de furnizorul de servicii și potențialele probleme de compatibilitate și integrare cu instrumentele și sistemele existente ale organizației.
Adaugă complexitate și variabilitate la mediul de securitate, prin introducerea mai multor domenii, instrumente și echipe de securitate, ceea ce poate crea dificultăți în gestionarea și monitorizarea performanței și calității securității.

Studii de caz SOC

SOC de succes (industria bancară)

O bancă multinațională, instituție financiară cu milioane de clienți și mii de angajați în întreaga lume, operează un SOC care monitorizează și protejează rețeaua, sistemele și datele împotriva atacurilor cibernetice. SOC este un model SOC hibrid, în care banca păstrează funcțiile și operațiunile de securitate esențiale și critice la nivel intern, în timp ce externalizează funcțiile și operațiunile secundare și necritice către un furnizor de servicii terț.

Recent, echipa SOC a detectat și a oprit un atac DDoS asupra platformei online a băncii. Atacul a durat câteva ore și a afectat numeroși clienți și tranzacții.

Pentru soluționare, echipa SOC a trecut prin câteva etape:

SIEM a avertizat echipa SOC cu privire la traficul anormal și la problemele de performanță ale platformei.
XDR a oferit echipei SOC o imagine completă și contextuală a incidentului și a amenințării, prin combinarea și analiza datelor din diferite domenii de securitate.
SOAR a automatizat și simplificat fluxurile și procesele de securitate (răspunsul la incidente, informațiile despre amenințări, raportarea etc.), reducând munca manuală și erorile și îmbunătățind coordonarea.
Echipa SOC a confirmat atacul DDoS și a informat rapid conducerea, autoritățile de reglementare și publicul.
Apoi, SOC a blocat traficul rău intenționat și a reparat operațiunile și funcționalitatea platformei.
În urma atacului, echipa SOC a studiat atacul și a realizat un raport pentru conducere și stakeholderi.

Prin utilizarea unui model SOC hibrid împreună cu multiple instrumente și tehnologii, echipa SOC a reușit să detecteze și să răspundă rapid și eficient atacului DDoS. Astfel, a fost prevenită orice pierdere majoră de date sau deteriorare a rețelei și sistemelor băncii.

SOC nereușit (sistem public de sănătate)

Un sistem public de asistență medicală, organizație cu milioane de angajați și pacienți, operează o structură SOC descentralizată și fragmentată, în care fiecare dintre subunități și entități are propriile echipe și instrumente SOC. Coordonarea și integrarea reduse vin „la pachet” cu instrumente și tehnologii învechite, vulnerabile la atacuri cibernetice.

În 2017, SOC nu a reușit să oprească un atac ransomware. Atacatorii s-au folosit de o vulnerabilitate cunoscută într-un protocol de partajare a fișierelor în rețea și au infectat numeroase computere din mai multe țări, inclusiv multe dintre entitățile sistemului de sănătate respectiv. Ransomware-ul a blocat fișierele și a cerut bani pentru a le debloca. Atacul a afectat serviciile sistemului, precum programările, intervențiile chirurgicale, rețetele etc., producând daune pentru milioane de pacienți și angajați.

SOC a eșuat pentru că:

Sistemul nu a remediat vulnerabilitatea de partajare a fișierelor în rețea, deși furnizorul de software și agenția națională de securitate cibernetică i-au avertizat cu două luni înainte de atac.
SOC nu știa ce active și sisteme avea și nu știa că în rețeaua sa se afla un sistem de operare vechi.
SOC nu și-a monitorizat și înregistrat rețeaua și nu a văzut accesul și criptarea atacatorilor.
Nu a existat un plan de răspuns la atac și nu a existat informare rapidă și clară către conducere, autoritățile de reglementare sau public.

Prin neglijarea igienei de bază în materie de securitate și a celor mai bune practici, structura SOC a sistemului nu a reușit să protejeze sistemul și pacienții acestuia de atacul cibernetic și a provocat o întrerupere și o deteriorare masivă a serviciilor sistemului.

***

SOC este o structură de securitate cibernetică care vă poate ajuta să vă protejați organizația de atacuri prin monitorizarea, detectarea, analiza, răspunsul și prevenirea incidentelor / amenințărilor de securitate. Pentru un SOC performant, e nevoie să aliniați strategia SOC cu obiectivele de afaceri, să stabiliți stack-ul potrivit de tehnologii și să decideți în privința modelului adecvat de SOC (intern, externalizat sau hibrid). Foarte important: asigurați-vă că aveți o echipă de profesioniști în cybersecurity, cu competențele, cunoștințele și experiența necesare pentru a face față provocărilor.

Prin urmare, un SOC nu este doar o soluție tehnică, ci și o soluție strategică, care implică oameni, procese și tehnologii care conlucrează pentru a vă menține organizația în siguranță.

***

La infinilink, credem că securitatea cibernetică este un efort continuu, iar menținerea vigilenței este esențială pentru a fi în fața amenințărilor cibernetice. Urmând câțiva pași relativ simpli, și menținând o atitudine activă în materie de securitate, puteți reduce semnificativ riscul de a cădea victimă atacurilor cibernetice.

Pentru orice informații suplimentare privind securitatea cibernetică și serviciile de cybersecurity ale infinilink, vă rugăm să ne contactați sau să accesați pagina web dedicată serviciilor cybersecurity.

Articole similare

Scroll to Top