Security Operations Center

Security Operations Center (SOCA)

SOCA je zjednodušeně chytrým monitoringem bezpečnostních událostí, reakcí na tyto události, jejich reportingem, systematickým nápravným opatřením a zajištěním kontinuálního zlepšování.

PDF 70 % českých CEO plánuje v roce 2015 zvýšit investice do oblasti digitálních technologií, a to zejména do kybernetické bezpečnosti a zlepšení interních procesů.

Máte přehled o dění z pohledu bezpečnosti ve vaší ICT infrastruktuře? Víte přesně co sledujete, proč právě to, kdo je zodpovědný za cíl sledování, komu dát report, kdo rozhodne o reakci na bezpečnostní událost a jak bude tato reakce vypadat?

Důvodů, proč společnosti často nedostatečně anebo dokonce vůbec nesledují bezpečnost ICT infrastruktury, bývá mnoho – naštěstí se již stále méně objevují domněnky, že sledovat bezpečnost ICT není potřeba, dále obava o diskrétnost či negativní dopady bezpečnostního monitoringu na zainteresované osoby.

Porovnání variant

Služba start SOCA active SOCA premium SOCA
Sběr událostí Ano Ano Ano
Správa zdrojů Ano Ano Ano
Reporting Ano Ano Ano
Analýza reportů Ano Ano Ano
Návrh systematických opatření Ano Ano Ano
Monitoring v reálném čase Ne Ano Ano
Zakládání incidentů Ne Ano Ano
Analýza incidentů 5x8 Ne Ano Ano
Návrhy řešení incidentů 5x8 Ne Ano Ano
Bezpečnostní dohled 24x7 Ne Ne Ano
Analýza incidentů 24x7 Ne Ne Ano
Předschválená samostatná reakce Ne Ne Ano

Popis jednotlivých variant SOC

start SOCA

Očekávám, že je moje ICT infrastruktura v pořádku a v bezpečí.
Z reportů se o tom mohu zpětně přesvědčit.

Pokud společnost potřebuje sledovat bezpečnost víceméně formálně, pokud potřebuje informace o událostech, které se již odehrály, např. kvůli nálezu auditu či regulačním podmínkám, vyhoví základní služba start SOCA. Je-li riziko, spojené s touto základní službou akceptovatelné, lze objednat jen základní síťové či aplikační sondy, které budou umístěné v nejvíce kritických bodech a nastavené ve víceméně výchozím, pravidelně aktualizovaném stavu. Jimi zjištěné události, sjednocené a základním způsobem interpretované v tzv. Security Information and Event Management nástroji (SIEM), pak postačí pravidelně měsíčně reportovat. Tato služba není špatná, auditu vyhoví a určitě nebude dražší než jednotky až desítky tisíc korun měsíčně, v závislosti na pořízení vlastního SIEM. Jednorázové implementační náklady na zavedení služby se budou pohybovat v desítkách či stovkách tisíc, opět v závislosti na SIEM.

Za nevelký finanční nárůst v provozních nákladech lze službu vylepšit o odbornou interpretaci reportu zainteresovaným osobám a zvýšenou četností reportů. Lze také nastavit korelaci událostí v SIEM tak, aby přesně odpovídaly na konkrétní rizika konkrétního aktiva. Jde o velmi výhodné rozšíření, které službu v provozních nákladech neprodraží, bude jen potřeba do implementační části. Bude nezbytné pojmenovat cenná aktiva, analyzovat jejich rizika, nalézt zodpovědné osoby a nastavit konkrétní metriky, jimiž se následně SIEM již automaticky řídí. Tato služba je kvalitativně mnohonásobně lepší a provozně nikoli dražší než předchozí model, protože již přesně říká vlastníkovi aktiva, co se odehrálo. Tuto úroveň považujeme za základní avšak funkční služby SOCA.

active SOCA

Každý den vidím, co se v mé ICT infrastruktuře děje a mohu se spolehnout, že je o ni aktivně postaráno.
Případné bezpečnostní incidenty jsou neprodleně řešeny v rámci několika hodin.

Přestože zpětná znalost toho, co se kde odehrálo, je určitě potřebná a pro audit často dostačující, společnosti, které to myslí s ochranou aktiv vážně, by měly uvažovat o službě v relativně reálném čase. Relativně proto, že každá reakce na bezpečnostní událost je z principu věci reaktivní a je to zejména požadovaný čas reakce, který určuje konečnou podobu služby a cenu za ní. Nejpokročilejší formou je reakce v průběhu samotné události, ta však vyžaduje značnou zralost výkonu i odběru služby, mají-li být dopady na business zákazníka co možná nejmenší.

Proto naše koncepce SOCA zařazuje před tuto nejvyšší úroveň mezistupeň, který je však sám o sobě plnohodnotnou službou, jejímž provozováním a zlepšováním lze nejvyššího stupně dosáhnout.

Pokročilá (active) úroveň služby SOCA rozšiřuje implementovaný start stupeň o okamžitou reakci na bezpečnostní událost, a to formou založení bezpečnostního incidentu v service deskovém nástroji. Založení probíhá automaticky ze SIEM podle předem nastavených metrik a následně je neprodleně zahájeno řešení incidentu. Reakce řešitele je velmi závislá na individuálním požadavku zákazníka a požadovaných maximálních nákladech, ANECT poskytuje zahájení analýzy bezpečnostním odborníkem v pracovní době do čtyř hodin (Dz4h v režimu 5x8). Garantovat čas vyřešení seriózně nelze, řeší se tzv. best-effort (jak nejlépe je to možné). Ani bezhlavé ukončování business služeb není žádoucí, avšak jsou neprodleně alarmovány a informovány zainteresovány osoby, které mohou na doporučení ANECTu rozhodnout o okamžitém a následně i systematickém nápravném opatření. Kvalitativně jde o zásadní vylepšení služby oproti start stupni, protože se události v relativně krátké době skutečně řeší.

Překvapivě ani náklady spojené s přechodem na active úroveň nemusí být nijak limitující, protože navazují na přijatelný start.

premium SOCA

Svou ICT infrastrukturu mám plně pod kontrolou. Ve dne i v noci.
Vím, že při případném bezpečnostním útoku na naši síť přijde reakce do několika minut.

Již zmíněná nejpokročilejší forma služby, premium SOCA, opět navazuje na předchozí stupeň. Vyžaduje důkladné ladění hlášení bezpečnostních událostí, které minimalizuje falešné poplachy, k čemuž střední stupeň více než dobře poslouží. Stejně tak se usadí všechny zúčastněné role a jejich vzájemná komunikace a spolupráce. K již nastaveným pravidlům a technickou-procesním opatřením přidává přesnou definici pracovních postupů v případě různých typů událostí a jejich dopadů na business, a to ve formě check-listů. Stanovuje další komunikační mapy, zajišťující rychlou komunikaci mezi rolemi, zodpovědnými za operativní rozhodnutí s business dopady. Za ANECT je toto plněno v rámci služby ANECT Support® rolemi pracovníka nadstandardní podpory a řízení provozu.

Služba premium SOCA je poskytován formou kvalifikovaného bezpečnostního dohledu v nepřetržitém režimu, kdy operátoři SOCA on-line sledují a vyhodnocují probíhající bezpečnostní události a reagují na ně. Vedle automatického zakládání incidentu v SD nástroji jsou operátoři oprávněni zakládat incident ručně, podle svého odborného posouzení. Analýza události je zahájena okamžitě a zajištěna je také v nepřetržitém režimu rolí analytika. V pohotovosti je také pracovník nadstandardního provozu. Dochází-li k bezpečnostnímu incidentu, operátoři jsou oprávněni ukončit ohroženou službu či provést jiný, předem daný zásah, pokud symptomy a dopady přesně odpovídají check-listu. Pokud se vymykají, událost je dále analyzována a doporučená reakce poté je předložena k zodpovědným rolím, které o provedení reakce rozhodnou. Akce je následně neprodleně vykonána.

Služba premium SOCA je nejvyšším stupněm zralosti SOCA. Její implementační i provozní náklady jsou zcela individuální podle konkrétních potřeb zákazníka. Jsou však odůvodnitelné, protože dopad na business zákazníka při razantním bezpečnostním útoku může být mnohonásobně vyšší.

Nejdříve bezpečí, teprve pak zákon

Samozřejmě, že cokoli SOCA dělá, je v souladu se zákonem o kybernetické bezpečnosti.
Chcete o ní vědět více? Zeptejte se nás

chci konzultaci zdarma

Související oblasti spolupráce, které může ANECT nabídnout: konzultační služby ISMS, kterými jsou nalezena a kvalifikována rizika či prováděn audit, dále kompletní problematika Managementu zranitelnosti, zejména testy zranitelnosti a cyklus kontinuálního zlepšování a komplexní služby zabezpečení infrastruktury ICT.