Niedziałające Security Operations Center

Security Operations Center jest scentralizowaną jednostką, która zajmuje się kwestiami bezpieczeństwa na poziomie organizacyjnym oraz technicznym.

SOC powinien wykorzystywać narzędzia do monitorowania, przetwarzania, analizy i oceny danych na temat pojawiających się incydentów w celu obrony stron internetowych, aplikacji, baz danych, centr danych i serwerów, sieci, komputerów oraz innych punktów końcowych. Proces powstawania SOC’a oraz optymalizacja sprawności jego działania do pełnego potencjału jest długim i złożonym procesem. Poza elementami strukturalnymi, istnieją również niezbędne narzędzia bez których nie jest możliwa prawidłowa identyfikacja zagrożeń:

  1. Powinien powstać jasny proces dowodzenia oraz silna decyzyjność w kontekście działań naprawczych niezbędnych do najkrótszego w czasie wykrycia zagrożenia.
  2. Całość przeanalizowanych danych powinna być składowana/wyświetlana w jednym, widocznym dla całego zespołu miejscu.
  3. Filtrowanie niepotrzebnego szumu w celu zaoszczędzenia czasu.
  4. Stworzenie i pracowanie na bazie standardowych oraz najbardziej znanych kluczowych parametrów umożliwiających wykrycie oraz śledzenie zagrożeń w sposób ciągły. Przykładem mogą być:
  • Nieudane próby logowania
  • Zmiana danych w systemie
  • Anomalie związane z atakiem DoS
  • Nieautoryzowany dostęp do danych wrażliwych
  • Powtarzające się ataki z jednego źródła

Występuje kilka bardzo ważnych elementów, które muszą zostać wprowadzone, aby SOC działał sprawnie. Jednym z nich jest prawidłowy podział ról, który oprócz poprawy działania SOC’a, pozwala jasno uwidocznić sens powstania takiego działu w organizacji.

Poniżej znajduje się opis ról oraz procesów z nimi związanymi:

  • Poziom 1 – Alert Analyst – osoba odpowiedzialna za monitorowanie alertów kolejki incydentów zabezpieczeń. Odpowiada za stan sensorów i endpointów – zbiera i przesyła istotne dane do poziomu 2. Wstępne wykrywanie włamań poprzez odpowiednią analizę alertów.
  • Poziom 2 – Incident Reponder – wykonywanie dogłębnej analizy incydentów. Korelacja danych z różnych źródeł oraz określenie stanu krytyczności systemu/zestawu danych, które zostały narażone. Doradztwo w działaniach remediacyjnych i nowych metodach analitycznych w wykrywaniu zagrożeń.
  • Poziom 3 – Subject Matter Expert/Hunter – osoba posiadająca dużo wiedzy na temat sieci, urządzeń końcowych, zagrożeń, kryminalistyki oraz inżynierii odwrotnej złośliwego oprogramowania, ale także działania poszczególnych aplikacji. Element zespołu czekający na konkretne przypadki, a nie eskalację zgrożenia wynikającą z występowania kilku incydentów. Ściśle zaangażowana w rozwój, konfigurację (strojenie) oraz implementację narzędzi służących za wykrywanie zagrożeń.
  • Poziom 4 – SOC Manager – zajmuje się zarządzanie zasobami ludzkimi, budżetem, planowanie zmianami oraz używaną technologią. Osoba odpowiedzialna za komunikację z zarządem – służy jako punkt organizacyjny dla krytycznych dla strony biznesowej incydentów. Zapewnia ogólny kierunek rozwoju SOC oraz wnosi wkład w strategię bezpieczeństwa.

Prawidłowa budowa zespołu pozwala na sprawną ochronę organizacji przed pojawiającymi się zagrożeniami.