Security Operations Center

Security Operations Center

SOC zajišťuje komplexní centralizaci řízení bezpečnostních událostí a incidentů v jednom bodě s cílem minimalizovat reakční doby na incident a škod z něj plynoucích.


 

Centrální bod bezpečnosti

Nejmenovaná společnost využívala celou řadu technologických řešení, které sloužily k zajišťování kybernetické bezpečnosti. Měla však potíže s jejich obsluhou. Hlavní problémy spočívaly v jejich rozdílnosti, uživatelských rozhraních a v chybějícím centrálním vyhodnocovacím mechanismu. Dalším problémem byla vysoká fluktuace pracovníků v IT oddělení, kteří s těmito rozdílnými technologickými řešeními pracovali. Opakované zaškolování zaměstnanců na širokou škálu bezpečnostních nástrojů tak tvořilo vysokou položku v rozpočtu.

Tato společnost se na nás obrátila s žádostí o pomoc ve vzniklé situací. Výchozí stav se jevil z počátku velmi komplikovaně. Zahájili jsme centralizaci bezpečnosti do jednoho bodu a zaštítili správu bezpečnostních technologií v rámci supportu. Centrálním bodem se stalo bezpečnostní operační centrum (SOC) strukturované do více úrovní.

Samotnému budování SOC předcházela rozsáhlá analýza, která nám poskytla potřebné informace k integraci veškerých technologií do centrálního bodu. V rámci analýzy jsme zpracovali zejména registr zdrojů logů, analýzy rizik i modely hrozeb a vytvořili jsme procesy potřebné pro provozování bezpečnostního centra nejen v jeho rámci, ale i v celé společnosti. Součástí těchto analýz bylo také posouzení zákazníkovy infrastruktury a optimalizace nastavení jednotlivých technologií.

Na první problém při budování SOC jsme narazili během slučování jednotlivých zdrojů pod centralizovaný dohled. Větší množství na míru vytvořených zdrojů (převážně v podobě aplikací) nebylo možné dohledovat standardní cestou a bylo třeba je připojit prostřednictvím agentů. Tato skutečnost podstatně prodloužila dobu implementace.

Druhý problém, který následoval po připojení zdrojů, bylo odladění tzv. false positives. Ty jsme vyřešili během pilotního provozu, kdy v rámci customizace, došlo k jejich minimalizaci tak, aby generovaly pouze relevantní události a nezatěžovaly zbytečně infrastrukturu. Zákazník tak mohl plně využívat SOC k zajišťování bezpečnosti své infrastruktury.

Popis řešení

Security Operations Center SOC zajišťuje komplexní centralizaci řízení bezpečnostních událostí a incidentů v jednom bodě s cílem minimalizovat reakční doby na incident a škod z něj plynoucích. Bezpečnostní operační centrum stojí na pilířích přípravy, detekce, analýzy, investigace, reakce a post incident aktivit.

Kontinuálním monitoringem v reálném čase identifikujeme, případně přijmeme, notifikaci o potenciálně škodlivém chování v chráněné infrastruktuře – detekce. Určíme, zda se jedná o bezpečnostní událost, nebo o bezpečnostní incident, který může mít negativní dopad na chráněnou infrastrukturu – analýza.

Cílem zkoumání daného bezpečnostního incidentu je zjistit konkrétní dopady a cestu, kterou se útočníkovi podařilo proniknout do infrastruktury – investigace. Okamžitou reakcí minimalizuje dopad bezpečnostních incidentů – reakce. Po úspěšné reakci je zajištěno poučení se z incidentu (kontinuální zlepšování), kontrolu zavedení nápravných opatření a reporting zjištěných skutečností pro zvýšení informovanosti – post incident aktivity.

To vše díky silné kombinaci procesůtechnologií a lidských zdrojů přímo optimalizovaných pro zákazníkovy potřeby.

Výhody

  • Snížení reakční doby na incident (zvýšení efektivity) a tudíž zmírnění dopadu incidentu (snížení nákladů na obnovu).
  • Centralizace bezpečnosti do jednoho bodu.
  • Real-time znalost bezpečnostní situace v infrastruktuře.
  • Snížení nákladů na lidský faktor (operátoři SOC namísto techniků pro jednotlivé technologie).
  • Minimalizace možnosti pochybení operátorů (automatizace bezpečnosti) díky předem definovaným postupům řešení incidentů.
  • Reflexe aktuálních, ale i nově vznikajících hrozeb (pokrytí komplexního portfolia bezpečnostních hrozeb).

Proč zvolit AEC?

  • Jsme tým zkušených bezpečnostních konzultantů a architektů.
  • Umíme integrovat široká portfolia technologií do jednoho bodu a nad těmito technologiemi nastavit procesy k zajištění správné funkčnosti navrženého řešení.
  • Námi navržené řešení je v souladu s národní legislativou, ale i mezinárodními standardy.
  • Navržené řešení a jeho funkčnost testujeme penetračními testy.
  • Jsme lokální firmou s kmenovými zaměstnanci a preferujeme osobní přístup ke každému zákazníkovi.
  • Máme 30 let zkušeností v oblasti bezpečnosti informací napříč sektory (banky, energetika a utility, telekomunikace, výrobní podniky, média a obchod, pojišťovny, veřejný sektor).

Reference

Dlouhodobě spolupracujeme s firmami a organizacemi napříč celým trhem. Mezi našimi zákazníky najdete nadnárodní společnosti, ale také malé firmy a drobné podnikatele. Všem vycházíme maximálně vstříc a poskytujeme služby na míru s ohledem na jejich velikost i oblast působení. Konkrétní reference rádi předložíme na vyžádání.