Czym jest Security Operation Center prawdopodobnie wie większość czytelników Kapitana Hacka. SOC, czyli z espół ekspertów ds. cyberbezpieczeństwa, którzy monitorują stan środowisk informatycznych i reagują na próby złamania zabezpieczeń, zawsze był rozwiązaniem dla największych organizacji. Ważne: Security Operation Center działa w trybie 365/7/24. Pracownicy SOC zajmują się pozyskiwaniem, analizą i korelacją logów, reagują też na wykryte zdarzenia. Mogą także skanować podatności i realizować zadania z zakresu threat intelligence, threat hunting czy usługi typu forensic.
Security Operation Center monitoruje i reaguje
W dzisiejszych czasach zaawansowane i dostosowywane pod konkretną firmę (targetowane), a przez to wyjątkowo skuteczne i niebezpieczne cyberataki stają się normą. Piszemy o nich często na Kapitanie Hacku.
Nadążanie za rosnącą liczbą ataków jest bardzo trudne, zwłaszcza gdy w firmie brakuje wewnętrznych zasobów bezpieczeństwa i odpowiedniego personelu. Zatrudnienie odpowiedniej liczby wykwalifikowanych specjalistów ds. bezpieczeństwa i organizacja ich pracy w trybie całodobowym to skomplikowane i kosztowne przedsięwzięcie. Dlatego dotychczas na profesjonalny SOC mogły sobie pozwolić tylko największe przedsiębiorstwa, o dużych budżetach i rozbudowanych strukturach IT.
Konsekwencje wynikające z braku ciągłego monitorowania bezpieczeństwa mogą powodować problemy w funkcjonowaniu organizacji, ponieważ:
- Potencjalnie szkodliwe incydenty związane z bezpieczeństwem mogą pozostać całkowicie niezauważone
- Występują duże opóźnienia w reagowaniu na incydenty
- Środowisko IT organizacji może być cały czas inwigilowane przez przestępców lub nieuczciwą konkurencję
- W zespole może narastać frustracja ze względu na obciążenie dużą ilością manualnej i żmudnej pracy związanej z zarządzaniem środowiskiem IT, co w efekcie może doprowadzić do rosnącej rotacji pracowników.
Rozwiązaniem jest wdrożenie Security Operation Center. w tej chwili SOC stał się bardziej dostępny, ponieważ w trybie outsourcingu można go kupić jako usługę, czyli SOC as a service. W tym przypadku zewnętrzni eksperci monitorują stan środowiska IT przedsiębiorstwa i realizują ustalone wcześniej scenariusze w razie wykrycia zagrożeń. To o wiele bardziej przystępne kosztowo rozwiązanie, za pomocą którego choćby średnie czy mniejsze przedsiębiorstwa mogą zapewnić bardzo wysoki poziom bezpieczeństwa swojemu środowisku IT.
Systemy wspierają bezpieczeństwo
O to, jak wygląda wsparcie Security Operation Center zapytaliśmy Tomasza Kardysia, product managera z Chmury Krajowej:
„Wszystkie działania wspiera odpowiednie oprogramowanie. Usługa może być realizowana z wykorzystaniem systemów XDR (Extended Detection and Response) lub jak w przypadku rozwiązań Chmury Krajowej – systemów SIEM i SOAR, a świadczona na podstawie uzgodnionych scenariuszy bezpieczeństwa. W przypadku rozwiązań chmurowych, takich jak platforma Microsoft 365 oraz usług chmurowych wdrożonych na platformach chmur obliczeniowych Google Cloud Platform oraz Microsoft Azure mogą zostać zastosowane rozwiązania natywne chmurowe np. Sentinel w kontekście rozwiązań Microsoft lub rozwiązania Chronicle i Siemplify w ramach środowiska GCP.” – powiedział Tomasz Kardyś.
Systemy wspierają pracowników SOC w monitorowaniu środowiska IT.
„Zadaniem rozwiązań SIEM i SOAR jest zbieranie informacji w postaci logów lub flowów, ich normalizacja, analiza pod kątem cybersecurity i korelacja. Wspierają one operatora w przeprowadzeniu triażu oraz wykonania akcji opisanej w ramach scenariusza bezpieczeństwa (reakcja na wykryte zdarzenie). Mogą też samodzielne uruchomić automatyczną reakcję, np. dokonać zmian w monitorowanej infrastrukturze, aby zmitygować wykryte zagrożenia.”
Na zastosowania Chronicle oferowanego przez Google zdecydował się popularny serwis e-commerce Groupon. O efektach i problemach, które udało się dzięki temu rozwiązać można dowiedzieć się z tego filmu:
Scenariusze bezpieczeństwa
Scenariusz bezpieczeństwa to para warunek-akcja tj. czynność, która musi zaistnieć i reakcją na nią, zgodnie z instrukcją dla operatorów SOC lub w postaci zautomatyzowanej reakcji SOAR. Celem scenariusza jest wykrycie konkretnego zagrożenia w postaci zdarzenia lub anomalii w operacjach na zasobach IT, które podlegają monitorowaniu. Może to być na przykład wielokrotna próba logowania, dodawanie ról administracyjnych, eskalacja uprawnień, zmiany przy mechanizmach MFA czy wykrycie złośliwego oprogramowania.
W ramach uzgodnionych czasów SLA dostawca usługi SOC zapewnia reakcję na incydenty bezpieczeństwa i minimalizuje ich skutki lub ogranicza skalę oddziaływania. SOC zapewnia także uzupełnianie bazy wiedzy tak, by skutecznie wyciągać wnioski na podstawie wcześniejszych analiz i efektywniej obsługiwać zdarzenia w ramach przeprowadzania planów korygujących (np. tuning scenariuszy).
Zakres usługi SOC na etapie wdrożenia powinien obejmować, podobnie jak przy usłudze Cloud Security Assessment, przegląd architektury i konfiguracji usług, analizę logów i przedstawienie propozycji reguł bezpieczeństwa oraz implementację potencjalnych skryptów automatyzujących reakcję na wykryte zdarzenia bezpieczeństwa wraz z możliwością przeprowadzenia ich testów.
Na etapie utrzymania SOC może obejmować całą gamę usług bezpieczeństwa, z czego monitoring i reakcją są podstawą:
- Threat Hunting – założeniem usługi jest kompromitacja infrastruktury klienta, czyli złamanie jego zabezpieczeń. Polega na aktywnym poszukiwaniu tzw. IoC (Indicator of Compromise), to znaczy śladów działalności potencjalnego włamywacza w systemach IT. Wykrycie i opisanie nowych wzorców pozwala na przygotowanie nowych scenariuszy bezpieczeństwa w ramach SIEM/SOAR i zwiększanie poziomu bezpieczeństwa.
- Threat Intelligence – usługa polega na dostarczaniu tzw. feedów, tj. wyszukiwaniu w publicznie dostępnych źródłach, komercyjnych i open-source, informacji w celu identyfikacji potencjalnych zagrożeń dla infrastruktury i usług uruchomionych w monitorowanym środowisku. Zagrożenia mogą dotyczyć m.in. kampanii phishingowych, malware, nowych ataków typu APT, czy podatności typu zero-day. Informacje dotyczą całej grupy założeń lub są filtrowane pod kątem specyfiki rynku, na którym działa firma oraz szerzej, aktualnie pojawiających się w cyberprzestrzeni zagrożeń.
- Zarządzanie podatnościami – skanowanie podatności i zarządzanie cyklem aktualizacji monitorowanej infrastruktury wraz z przydzielaniem zadań i ich rozliczaniem to fundament usługi, bazującej na jednym z silników skanujących. Główne zadania to weryfikacja, czy monitorowana infrastruktura jest aktualna w kontekście security hotfixów oraz czy w ramach cyklicznego skanowania pojawiły się w sieci nowe systemy IT (stacje, serwery, sprzęt sieciowy – infrastruktura nieobjęta monitorowaniem w ramach stworzonej w organizacji bazy danych zasobów CMDB), co może sugerować, iż zarządzanie zmianą wymaga poprawy lub mamy do czynienia z nieautoryzowanym dodaniem elementu infrastruktury IT.
- Usługi informatyki śledczej (forensic) – usługa analizy śledczej, uruchamiana na życzenie w momencie zaistnienia istotnego incydentu bezpieczeństwa, który wymaga zebrania i zabezpieczenia elektronicznych dowodów na potrzeby procesu. Forensic obejmuje zebranie wstępnych dowodów powiązanych z incydentem, zabezpieczenie sprzętu elektronicznego, zebranie materiału dowodowego (w tym wykonanie kopii binarnej badanej infrastruktury – twardego dysku serwera, laptopa, pamięci telefonu), eksport logów i zebranie danych na żywo z włączonego sprzętu objętego incydentem, a następnie analiza zabezpieczonego materiału i przygotowanie raportu zawierającego opis czynności wraz z ich wynikami.
Jeżeli chcesz się dowiedzieć więcej o SOC skontaktuj się z ekspertami Chmury Krajowej: Link tutaj.