Cyber Monday – klasyczny SOC – czy wciąż nam wystarcza?

PrzezIreneusz Sas

W trakcie ostatniej konferencji KSC Forum w Wiśle miałem okazję brać czynny udział w grupie roboczej prowadzonej przez Karol Kij, której tematem było — Bezpieczeństwo jako usługa: przyszłość SOC w kontekście NIS2.

Ta dyskusja była przyczynkiem do refleksji i zainspirowała mnie do napisania poniższej publikacji.

Temat SOC jest dla mnie o tyle bliski, gdyż sam na co dzień zderzam się z tego typu tematami oraz w maju tego roku postanowiłem na łamach SecurityMagazine.PL opracować publikację, która dotyczyła właśnie tego obszaru.

Link do publikacji znajdziesz tutaj – Czy Twoja firma naprawdę potrzebuje SOC.

Wszyscy widzimy to, że technologia ewoluuje bardzo szybko, co niesie ze sobą równie nowe możliwości, jak również wyzwania.

Klasyczne Security Operations Center (SOC) jest standardem od wielu lat, ale czy jest standardem wystarczającym na obecne czasy?

Warto zadać sobie tutaj dwa kluczowe pytania:

Czy klasyczny SOC jest wciąż wystarczający?

Czy są na rynku alternatywy, które mogą lepiej odpowiadać na potrzeby współczesnych firm?

Klasyczne SOC — ograniczenia tradycyjnego podejścia

SOC w klasycznym ujęciu opiera się na monitorowaniu, wykrywaniu i reagowaniu na zagrożenia. Struktura oparta jest na poziomach (tier) i dzieli obowiązki według skomplikowania zagrożenia, gdzie:

Tier 1 – Podstawowy monitoring i eskalacja incydentów

Scenariusz – analityk Tier 1 zauważa wzrost prób logowania z nieznanych adresów IP do wewnętrznej aplikacji firmowej. Sprawdza podstawowe dane i korzysta z dostępnych narzędzi, aby określić, czy są to podejrzane działania. Po stwierdzeniu anomalii, eskaluje incydent do Tier 2, dostarczając wstępne informacje, takie jak logi zdarzeń.

Tier 2: Analiza bardziej złożonych incydentów i eskalacja na Tier 3

Scenariusz – analityk Tier 2 otrzymuje pełne logi prób logowania, przeprowadza głębszą analizę behawioralną oraz analizuje ruch sieciowy, aby ustalić, czy dochodzi do działań niepożądanych. Korzystając z narzędzi, takich jak SIEM i UBA (User Behavior Analytics), analizuje schematy i potwierdza, że działania mogą być złośliwe. Eskaluje sprawę do Tier 3, zalecając dalsze dochodzenie i analizę zagrożenia.

Tier 3: Dochodzenia, zaawansowana analiza i reagowanie

Scenariusz – zespół Tier 3 przeprowadza szczegółową analizę zdarzeń. Odkrywa, że adresy IP pochodzą ze znanych z wcześniejszych ataków na instytucje finansowe. Analitycy Tier 3 uruchamiają zaawansowane narzędzia, aby prześledzić ścieżkę ataku i ustalić, czy doszło do naruszenia. W razie potrzeby aktywują procedury zarządzania incydentami i współpracują z zespołem prawników, aby zapewnić zgodność z regulacjami.

Przykłady wyzwań klasycznego SOC:

  • Powolność reakcji — struktura oparta na poziomach może powodować znaczące opóźnienia. Eskalacja zagrożeń przez kilka poziomów zwiększa czas reakcji, co przy obecnych zaawansowanych zagrożeniach może być kluczowe;
  • Brak skalowalności — SOC w klasycznym ujęciu ma ograniczoną skalowalność w dynamicznie rosnących i skomplikowanych środowiskach. Rosnące ilości danych, urządzeń IoT, infrastruktura chmurowa i rozproszona praca zdalna sprawiają, że klasyczne SOC mają trudności z obsługą tak złożonych środowisk bez znacznego wzrostu liczby pracowników;
  • Brak integracji danych — w klasycznym SOC brak jest ścisłej integracji danych wywiadowczych, analizy ryzyka i zarządzania zgodnością z regulacjami;
  • Ograniczenia ludzkie — zespoły SOC są obciążone rutynowymi zadaniami, takimi jak np. monitorowanie logów. Nadmiar fałszywych alarmów oraz powtarzających się zadań może zmniejszyć skuteczność zespołu i prowadzić do przeoczenia rzeczywistych zagrożeń. Tradycyjny model SOC często nie jest w stanie w pełni wykorzystać automatyzacji, co dodatkowo obciąża zasoby ludzkie;
  • Niedostateczne wykorzystanie nowoczesnych technologii — klasyczny SOC może polegać na starszych technologiach, takich jak systemy SIEM, które nie zawsze są w stanie zidentyfikować zaawansowane zagrożenia. Może brakować również zautomatyzowanych procesów decyzyjnych, takich jak te oferowane przez SOAR (Security Orchestration, Automation, and Response) czy AI, które umożliwiają szybszą reakcję;
  • Kosztowne utrzymanie — klasyczny SOC wymaga znacznych inwestycji w zasoby ludzkie, infrastrukturę i technologie. Utrzymanie klasycznej struktury SOC, zwłaszcza w małych i średnich firmach, może być trudne ze względu na rosnące koszty związane z koniecznością zatrudnienia większej liczby analityków, a także ze względu na brak możliwości zautomatyzowania pewnych procesów.

Co może być alternatywą odpowiadającą dzisiejszym potrzebom?

  • Cyber Fusion Centers (CFC) to może być odpowiedź na niedoskonałości klasycznych SOC. Zamiast dzielić zadania na poziomy, taka usługa spełnia wszystkie potrzebne aspekty cyberbezpieczeństwa, zarządzania ryzykiem oraz zgodności z regulacjami w jednym, zintegrowanym podejściu;
  • Zintegrowane dane — CFC zbierają dane z różnych źródeł — od tradycyjnych systemów IT, przez dane wywiadowcze o zagrożeniach, aż po dane o zgodności z obowiązującymi regulacjami;
  • Szybsze reagowanie — dzięki automatyzacji procesów (np. SOAR) oraz wykorzystaniu sztucznej inteligencji i machine learning, CFC są w stanie natychmiastowo analizować zagrożenia i podejmować decyzje w czasie rzeczywistym;
  • Kompleksowe zarządzanie ryzykiem — CFC zarządzają nie tylko incydentami, ale także ryzykiem i odpornością operacyjną. Dzięki temu są bardziej przygotowane na zaawansowane zagrożenia oraz zgodność z nowymi regulacjami.

Kluczowe elementy:

  • Zarządzanie ryzykiem i zgodnością — CFC to nie tylko monitoring zagrożeń, ale także integracja procesów związanych z zarządzaniem ryzykiem i zgodnością z regulacjami, co jest kluczowe, szczególnie w branżach regulowanych, takich jak finanse czy energetyka. Regularne audyty i testy penetracyjne są częścią tych działań;
  • Współpraca między działami — łączenie różnych działów w organizacji, takich jak zespoły IT, operacje biznesowe i prawnicy, pozwala na szybkie i skoordynowane działania w przypadku incydentów;
  • Przewidywanie zagrożeń — oprócz reakcji na zagrożenia, stosowane są technologie AI i ML do przewidywania potencjalnych zagrożeń na podstawie analizy danych historycznych i trendów w zagrożeniach;
  • Zarządzanie incydentami i odporność operacyjna — w CFC zarządzanie incydentami obejmuje pełny cykl, od wykrycia, przez analizę, po odbudowę i wnioski na przyszłość. CFC są również odpowiedzialne za zwiększanie odporności operacyjnej organizacji poprzez budowanie scenariuszy na wypadek ataków oraz testowanie procedur reakcji na incydenty;
  • Zautomatyzowane procesy decyzyjne — CFC korzystają z zaawansowanych narzędzi automatyzacji (SOAR), co umożliwia automatyczne reagowanie na niektóre incydenty. To nie tylko przyspiesza działania, ale także minimalizuje wpływ błędów ludzkich;
  • Analiza zachowań użytkowników — monitoring zachowań użytkowników i wykrywanie anomalii to jeden z kluczowych aspektów CFC. Dzięki UBA (User Behavior Analytics) możliwe jest identyfikowanie nietypowych zachowań, które mogą wskazywać na wewnętrzne lub zewnętrzne zagrożenia;
  • Współpraca międzysektorowa — CFC często współpracują z zewnętrznymi podmiotami, np. z agencjami rządowymi, innymi firmami z branży, dostawcami usług Threat Intelligence, aby dzielić się informacjami o zagrożeniach i najlepszymi praktykami;
  • Ciągła edukacja i rozwój zespołu — ze względu na dynamiczne zmiany w środowisku zagrożeń, CFC inwestują w ciągłe szkolenie swojego personelu. Rozwój kompetencji obejmuje zarówno technologiczne aspekty cyberbezpieczeństwa, jak i zrozumienie przepisów prawnych oraz regulacyjnych, które mogą mieć wpływ na bezpieczeństwo organizacji;
  • Threat Intelligence — integracja danych wywiadowczych z systemów wewnętrznych i zewnętrznych umożliwia natychmiastową reakcję na nowe zagrożenia. CFC są stale aktualizowane o nowe techniki ataku, co pozwala na natychmiastowe zastosowanie środków zaradczych.

Epilog

Nie jest ważne, jak będziemy nazywali powyższe usługi, czy będzie to SOC, czy CFC, czy też może Cyber Defence, ważne jest posiadanie świadomości, że zmiany są ciągłe, że cyber ataki są coraz bardziej zaawansowane i organizacje muszą nadążać za tymi zmianami.

Opisana przeze mnie ewolucja pokazuje, że stare metody mogą być niewystarczające do skutecznej obrony. Organizacje muszą inwestować w zintegrowane rozwiązania, automatyzację oraz budowanie kompetencji, aby skutecznie chronić swoje zasoby w coraz bardziej złożonym świecie technologii.

Podobne wpisy

Cyber Monday — krok przed atakującym, czyli jak korzystać z MITRE ATT&CK

Cyber Monday — krok przed atakującym, czyli jak korzystać z MITRE ATT&CK

PrzezIreneusz Sas

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) to kompleksowa, globalnie dostępna baza wiedzy na temat zachowań i taktyk przeciwnika. Opracowana przez MITRE Corporation. Pierwsza baza ATT&CK powstała w 2013 roku, gdzie dostępnych było 64 techniki dla systemu Windows. Obecnie mamy 202 techniki i 435 sub-technik dla systemów Windows, MacOS i Linux. Struktura ATT&CK przedstawiona jest w…

Cyber Monday — chroń siebie i swoje dane w cyfrowym świecie

Cyber Monday — chroń siebie i swoje dane w cyfrowym świecie

PrzezIreneusz Sas

Jak chronić siebie i swoje dane w cyfrowym świecie Witaj czytelniku/czytelniczko w kolejnej publikacji w ramach inicjatywy 2BeAware gdzie wraz z Krzysztof Bryła budujemy świadomość bezpieczeństwa i przyczyniamy się do podniesienia jego poziomu w cyfrowym świecie. Dzisiaj będzie mała powtórka, poruszę tematy, które już pojawiły się w ramach #CyberMonday. Tematy te są jednak bardzo ważne…

Phishing — jak jedna wiadomość e-mail zmieniła świat cyfrowego bezpieczeństwa

Phishing — jak jedna wiadomość e-mail zmieniła świat cyfrowego bezpieczeństwa

PrzezIreneusz Sas

Ktoś pomyśli, o ludzie, po raz kolejny phishing. Ileż można?. Spoglądając jednak na statystyki, które niezmiennie pokazują tę formę ataku w czołówce, jest to temat, o którym trzeba pisać i mówić ciągle. Trzeba, tym bardziej że mamy październik, europejski miesiąc cyberbezpieczeństwa. Krótka historia Phishing narodził się w połowie lat 90, kiedy to ówcześni crakerzy, podszywając…

Cyber Monday — framework DREAD, kolejny przykład modelowania zagrożeń

Cyber Monday — framework DREAD, kolejny przykład modelowania zagrożeń

PrzezIreneusz Sas

Mamy drugi poniedziałek czerwca i czwartą, przed ostatnią publikację z obszaru modelowania zagrożeń. Dzisiaj naszym bohaterem będzie framework DREAD. DREAD to framework, który opracowany został przez firmę Microsoft i opublikowany po raz pierwszy w 2002 roku przez Davida LeBlanca i Michaela Howarda. Jest świetnym uzupełnieniem modelu STRIDE, którego opis znajdziesz tutaj: STRIDE Framework Co kryje…

Cyber Monday — IAAA framework — fundament bezpieczeństwa informacji

Cyber Monday — IAAA framework — fundament bezpieczeństwa informacji

PrzezIreneusz Sas

Witam Cię w ten piękny poniedziałkowy poranek w świecie, gdzie bezpieczeństwo cyfrowe jest codziennością, gdzie nasza prywatność i ochrona danych są obowiązkowe. Dzisiaj w ramach #cybermonday inicjatywy 2BeAware chcemy Wam przedstawić, jako uzupełnienie naszej infografiki (patrz tutaj) framework IAAA (Identification, Authentication, Authorization, Accountability), który jest jednym z fundamentów, na których opiera się bezpieczeństwo informacji i…

Cyber Monday — PASTA — metodyka, która poszerzy Twoje horyzonty w modelowaniu zagrożeń

Cyber Monday — PASTA — metodyka, która poszerzy Twoje horyzonty w modelowaniu zagrożeń

PrzezIreneusz Sas

Czy zastanawiał*ś się kiedyś, jak dobrze ocenić ryzyko cyberataków i lepiej chronić swoje zasoby? Chętnie Ci w tym pomogę, publikując kolejny artykuł z cyklu proaktywnego podejścia do cyberbezpieczeństwa w ramach inicjatywy 2BeAware . Przyglądniemy się bliżej metodyce PASTA – Process for Attack Simulation and Threat Analysis. PASTA, to metodyka opracowana przez CEO VerSprite Cybersecurity Tony…