Security Operations Center

Security Operations Center

Je řešení zajišťující komplexní centralizaci řízení bezpečnostních událostí a incidentů v jednom bodě s cílem minimalizace reakční doby na incident a škod z něj plynoucích.


 

Centrálny bod bezpečnosti

Nemenovaná spoločnosť využívala celý rad technologických riešení, ktoré slúžili na zaisťovanie kybernetickej bezpečnosti. Mala však ťažkosti s ich obsluhou. Hlavné problémy spočívali v ich rozdielnosti, užívateľských rozhraniach a v chýbajúcom centrálnom vyhodnocovacom mechanizme. Ďalším problémom bola vysoká fluktuácia pracovníkov v IT oddelení, ktorí s týmito rozdielnymi technologickými riešeniami pracovali. Opakované zaškoľovanie zamestnancov na širokú škálu bezpečnostných nástrojov tak tvorilo vysokú položku v rozpočte.

Táto spoločnosť sa na nás obrátila so žiadosťou o pomoc vo vzniknutej situácii. Východiskový stav sa javil z počiatku veľmi komplikovane. Zahájili sme centralizáciu bezpečnosti do jedného bodu a zastrešili správu bezpečnostných technológií v rámci supportu. Centrálnym bodom sa stalo bezpečnostné operačné centrum (SOC) štruktúrované na viaceré úrovne.

Samotnému budovaniu SOC predchádzala rozsiahla analýza, ktorá nám poskytla potrebné informácie na integráciu všetkých technológií do centrálneho bodu. V rámci analýzy sme spracovali predovšetkým register zdrojov logov, analýzy rizík a aj modely hrozieb a vytvorili sme procesy potrebné na prevádzkovanie bezpečnostného centra nielen v jeho rámci, ale aj v celej spoločnosti. Súčasťou týchto analýz bolo taktiež posúdenie zákazníkovej infraštruktúry a optimalizácia nastavení jednotlivých technológií.

Na prvý problém pri budovaní SOC sme narazili v priebehu zlučovania jednotlivých zdrojov pod centralizovaný dohľad. Väčšie množstvo na mieru vytvorených zdrojov (prevažne v podobe aplikácií) nebolo možné dohliadať štandardnou cestou a bolo potrebné pripojiť ich prostredníctvom agentov. Táto skutočnosť podstatne predĺžila dobu implementácie. 

Druhý problém, ktorý nasledoval po pripojení zdrojov, bolo odladenie tzv. false positives. Tie sme vyriešili behom pilotnej prevádzky, kedy v rámci customizácie došlo k ich minimalizácii tak, aby generovali iba relevantné udalosti a nezaťažovali zbytočne infraštruktúru. Zákazník tak mohol plne využívať SOC k zaisťovaniu bezpečnosti svojej infraštruktúry.

Popis riešenia

Security Operations Center SOC zaisťuje komplexnú centralizáciu riadenia bezpečnostných udalostí a incidentov v jednom bode, s cieľom minimalizovať reakčnú dobu na incident a škody z nej vyplývajúce. Bezpečnostné operačné centrum stojí na pilieroch prípravy, detekcie, analýzy, investigácie, reakcie a post incident aktivít.

Kontinuálnym monitoringom v reálnom čase identifikujeme, prípadne prijmeme, notifikáciu o potenciálne škodlivom chovaní v chránenej infraštruktúre – detekcia. Určíme, či sa jedná o bezpečnostnú udalosť alebo o bezpečnostný incident, ktorý môže mať negatívny dopad na nami chránenú infraštruktúru – analýza.

Cieľom skúmania daného bezpečnostného incidentu je zistiť konkrétne dopady a cestu, ktorou sa útočníkovi podarilo preniknúť do infraštruktúry – investigácia. Okamžitou reakciou minimalizujeme dopad bezpečnostných incidentov – reakcia. Po úspešnej reakcii zaistíme ponaučenie z incidentov (kontinuálne zlepšovanie), kontrolu zavedenia nápravných opatrení a reporting zistených skutočností na zvýšenie informovanosti – post incident aktivity.

To všetko vďaka silnej kombinácii procesov, technológií a ľudských zdrojov priamo optimalizovaných na zákazníkove potreby.

Výhody

  • Zníženie reakčnej doby na incident (zvýšenie efektivity) a teda zmiernenie dopadu             incidentu (zníženie nákladov na obnovu).
  • Centralizácia bezpečnosti do jedného bodu.
  • Real-time znalosť bezpečnostnej situácie v infraštruktúre.
  • Zníženie nákladov na ľudský faktor (operátori SOC namiesto technikov na jednotlivé technológie).
  • Minimalizácia možnosti pochybenia operátorov (automatizácia bezpečnosti) vďaka vopred definovaným postupom riešenia incidentov.
  • Reflexia aktuálnych aj novovznikajúcich hrozieb (pokrytie komplexného portfólia bezpečnostných hrozieb).

Prečo zvoliť AEC?

  • Sme tím skúsených bezpečnostných konzultantov a architektov.
  • Dokážeme integrovať široké portfólio technológií do jedného bodu a nad týmito technológiami nastaviť procesy k zaisteniu správnej funkčnosti navrhnutého riešenia.
  • Nami navrhnuté riešenie je v súlade s národnou legislatívou, ale aj medzinárodnými štandardami.
  • Navrhnuté riešenie a jeho funkčnosť testujeme penetračnými testami.
  • Sme lokálna firma s kmeňovými zamestnancami a preferujeme osobný prístup ku každému zákazníkovi.
  • Máme 30 rokov skúseností v oblasti bezpečnosti informácií naprieč sektormi (banky, energetika a utility, telekomunikácie, výrobné podniky, média a obchod, poisťovne, verejný sektor).

Referencie

Dlhodobo spolupracujeme s firmami a organizáciami naprieč celým trhom. Medzi našimi zákazníkmi nájdete nadnárodne spoločnosti ale taktiež aj malé firmy a drobných podnikateľov. Všetkým vychádzame maximálne v ústrety a poskytujeme služby na mieru s ohľadom na ich veľkosť a oblasť pôsobenia. Konkrétne referencie radi predložíme na vyžiadanie.