SOC as a Service (Security Operations Center)

SOC (Security Operations Center) to jednostka, która prowadzi, unifikuje i koordynuje aktywności z zakresu cyberbezpieczeństwa w organizacji. Efektem jest zwiększenie możliwości w zakresie wykrywania, reagowania oraz przeciwdziałania zagrożeniom. SOC monitoruje i zarządza wszystkimi usługami bezpieczeństwa wzmacniając ochronę infrastruktury IT. Podejmowane czynności realizowane są przy wykorzystaniu zaawansowanych systemów bezpieczeństwa.

SOC as a Service to gotowa usługa opracowana z myślą o wszystkich organizacjach, które chcą lub są zobowiązane do monitorowania i zarządzania bezpieczeństwem w trybie 24/7/365, a nie mają odpowiednej wielkości i zasobów, aby samodzielnie zbudować i utrzymywać SOC. Usługi realizowane są przez wykwalifikowany zespół inżynierów bezpieczeństwa ESKOM. Jednocześnie spełniają one warunki techniczne stawiane podmiotom świadczącym usługi outsourcingu bezpieczeństwa zgodnie z wymogami Krajowego systemu Cyberbezpieczeństwa (KSC). Wśród klientów ESKOM jest wiele podmiotów będących Operatorami Usług Kluczowych, dla których świadczona jest usługa SOC as a service.

Skontaktuj się z nami!
Nie jesteś pewny, czy to usługa dla Ciebie? Nasi inżynierowie IT z chęcią udzielą Ci odpowiedzi na wszelkie pytania, podpowiedzą najelpsze rozwiązanie!

DLACZEGO OUTSOURCING SOC?

Budowa SOC w organizacji to kosztowne i czasochłonne przedsięwzięcie. Po drodze trzeba zmierzyć się z wieloma wyzwaniami. Wybierając SOC as a Service zyskujemy:

  1. Szybkie uruchomienie SOC
  2. Rozwiązanie problemu niskiej dostępność ekspertów cyberbezpieczeństwa na rynku
  3. Gwarancję monitoringu w trybie 24/7/365
  4. Prowadzenie działań przez SOC w czasie rzeczywistym
  5. Wykorzystanie zaawansowanych narzędzi analitycznych
  6. Oszczędności w budżecie IT

Twój SOC, zespół ESKOM

SOC as a Service to usługa monitoringu bezpieczeństwa, w ramach której operatorzy ESKOM monitorują i alarmują o wystąpieniu incydentów bezpieczeństwa wykrytych w infrastrukturze klienta. Logi, procesy i systemy klienta obserwowane są w trybie ciągłym. Stosowane są przy tym zaawansowane techniki do zbierania i porównywania danych z różnych źródeł. Umożliwia to wykrywanie nietypowej aktywności w infrastrukturze.

W przypadku wykrycia anomalii zespół operatorów ESKOM klasyfikuje incydent, przypisuje mu odpowiedni priorytet i reaguje adekwatnie do oceny poziomu zagrożenia, a także ważności incydentu. Zespół ESKOM przejmuje również odpowiedzialność za współdziałanie z zespołami CSIRT, np. CSIRT NASK, podczas obsługi incydentu, jak i późniejszej koordynacji działań, które mają na celu usunięcie skutków incydentu. Zespół ESKOM bierze na siebie również obsługę niezbędnych działań komunikacyjnych. Informacje o rejestrowanych incydentach udostępniane są w zakresie potrzebnym do realizacji postawionych zadań.

Usługa SOC as a Service zapewnia możliwość prowadzenia i systematycznego szacowania ryzyka zdarzenia lub incydentu, włącznie z procesem zarządzania ryzykiem oraz incydentami w oparciu o najbardziej aktualny stan wiedzy.

SOC dla Operatorów Usług Kluczowych

Ustawa o KSC nakłada na OUK obowiązki związane z wdrożeniem systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. Operator Usługi Kluczowej musi zapewnić odpowiednie i proporcjonalne do oszacowanego ryzyka środki techniczne oraz organizacyjne, bazujące na najnowszym stanie wiedzy. W szczególności konieczne jest objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym.

SOC as s Service to usługa monitoringu w pełni zgodna z wymogami organizacyjnymi oraz funkcjonalnymi stawianymi przez ustawę o KSC.

Na OUK, od chwili wyznaczenia, spoczywają następujące obowiązki.

W ciągu 3 miesięcy:

  • szacowanie ryzyka dla swoich usług kluczowych
  • zarządzanie incydentami i obsługa incydentów we własnych systemach
  • wyznaczenie osoby kontaktowej z właściwym CSIRT i organem właściwym do spraw cyberbezpieczeństwa
  • prowadzenie działań edukacyjnych dla użytkowników

W ciągu 6 miesięcy:

  • wdrożenie odpowiednich i adekwatnych do oszacowanego ryzyka środków technicznych oraz organizacyjnych
  • zbieranie informacji o zagrożeniach i podatnościach
  • stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego

W ciągu 12 miesięcy:

  • przygotowanie pierwszego audytu w rozumieniu ustawy i przekazania sprawozdania z audytu wskazanym w ustawie podmiotom

 

JAK W PRAKTYCE DZIAŁA SOC as a SERVICE?

Klient zleca outsourcing SOC zespołowi ekspertów cyberbezpieczeństwa ESKOM w celu monitorowania ich zdarzeń systemowych, środowiska IT, urządzeń sieciowych czy innych zasobów IT pod kątem zaawansowanych ataków oraz zagrożeń.

Obszary działania SOC

  1. Zbieranie logów
  2. Raportowanie
  3. Badania i rozwój
  4. Threat intelligence
  5. Baza wiedzy
  6. Obsługa zgłoszeń – ticketing
  7. SIEM – zarządzanie informacjami i zdarzeniami
  8. Agregacja i korelacja informacji oraz zdarzeń

WARSTWY SOC

SOC działa na kilku poziomach:

Linia 1

Pierwsza linia SOC as a Service skupia się na podstawowych czynnościach związanych z monitorowaniem bezpieczeństwa. Najważniejsze zadania podejmowane przez pierwszą linię SOC as a Service:

  • monitorowanie
  • obsługa zgłoszeń – otwieranie ticketów
  • wstępna analiza i rozwiązywanie problemów

Operacje w tym obszarze obejmują bieżące monitorowanie zgłoszeń i incydentów, a także ich wstępną analizę – zgodnie z ustalonymi procedurami i scenariuszami. Incydenty o niskim priorytecie obsługiwane są – zgodnie z dokonanymi uzgodnieniami – samodzielnie przez zespół ESKOM i klient nie jest o nich informowany. Okresowo, zwykle co miesiąc, przygotowywane są raporty podsumowujące liczbę incydentów i czasy obsługi.

Usługa świadczona zgodnie z ustalonym SLA. W tym zakresie czas reakcji operatorów liczony jako czas od pojawienia się zdarzenia w systemie SIEM do podjęcia pierwszych działań przez operatorów wynosi 15 min. W przypadku jednorazowego nawarstwienia się liczby zdarzeń powyżej 8 w ciągu godziny SLA może to ulec zmianie.

Linia 2

Druga linia SOC as a Service odpowiada za prowadzenie bardziej zaawansowanych, specjalistycznych działań związanych z cyberbezpieczeństwem. Do najważniejszych z nich zalicza się:

  • pogłębiona analiza, także w kontekście branżowym
  • rozwiązywanie problemów
  • rekomendowanie działań

Linia 2 obejmuje analizę otrzymanego zgłoszenia, zebranie wszystkich niezbędnych informacji niezbędnych do poprawnego obsłużenia incydentu, a także weryfikację poprawności i kompletności dostarczonych danych źródłowych. W przypadku incydentów o wysokim priorytecie opracowany zostaje tzw. scenariusz mitygacji zagrożenia wynikającego z incydentu a pracownicy klienta otrzymują wsparcie w tym zakresie. Jednocześnie zespół ESKOM przygotowuje scenariusz działań naprawczych mających na celu usunięcie skutków incydentu, a ostatecznie opracowuje wnioski z incydentu mające na celu ograniczenie możliwości powtórzenia się danego typu incydentu w przyszłości.

Na tym poziomie prowadzona jest także analiza logów pod kątem zabezpieczenia klienta przed pojawiającymi się nowymi zagrożeniami nie objętymi dotychczasowymi regułami w SIEM jak i procedurami reakcji. Zespół ESKOM proponuje także nowe scenariusze (reguły korelacyjne) bezpieczeństwa do wdrożenia w systemie SIEM i propozycje optymalizacji aktualnie działających scenariuszy bezpieczeństwa. Proponowane są także zabezpieczenia systemu przed przyszłymi podobnymi przypadkami. Dodatkowo powiadamiane są o incydencie odpowiednie służby – o ile jest to wskazane lub wymagane. Okresowo, zwykle co kwartał, odbywają się spotkania mające na celu podsumowanie wydarzeń z ostatniego okresu oraz określenie możliwości optymalizacji.

Usługa świadczona zgodnie z ustalonym SLA.

Linia 3

Trzecia linia SOC as a Service to operacje prowadzone na najwyższych poziomie złożoności i zaawansowania. Obejmują one m.in.:

  • zaawansowana analiza, także w kontekście branżowym
  • prewencja
  • aktywne poszukiwanie zagrożeń – threat hunting
  • kryminalistyka
  • akcje „kontrwywiadowcze”
  • analiza inżynierska malware

 

Linia 3 obejmuje wykonywanie analiz śledczych (forensics), w tym ustalenie wstępnego wektora ataku, poszukiwanie i propozycje zabezpieczenia urządzeń, które mogą̨ być źródłem ataku, a także zabezpieczenie źródeł dowodowych na potrzeby przyszłych postepowań i zrobienie kopii systemu do analizy.

Wstępna analiza wykonywana jest zdalnie, w przypadku konieczności zabezpieczenia dowodów możliwe są̨ dwa rozwiązania – zabezpieczenie dowodów przysłanych kurierem do siedziby ESKOM lub podjęcie działań u klienta. Ostatecznie przygotowywany jest raport podsumowujący analizę i płynące z niej wnioski.

 

DLACZEGO ESKOM?

ESKOM ma wieloletnie doświadczenie jako podmiot świadczący usługi z zakresu cyberbezpieczeństwa, w tym na potrzeby operatorów usług kluczowych podlegających KSC. Firma spełnia wymagania rozporządzenia Ministra Cyfryzacji.

M.in. posiada certyfikaty:

ISO 27001 – zarządzanie bezpieczeństwem informacji.

ISO 22301 – zarządzanie ciągłością działania

Pomieszczenia wykorzystywane przez ESKOM do świadczenia usługi spełniają wymogi ustawy KSC oraz rozporządzeń wdanych na mocy ustawy.

Zespół ekspertów SOC as a Service posiada adekwatne systemy, narzędzia i wiedzę, które pozwalają na analizę otrzymanego szkodliwego lub złośliwego kodu, wykonywanie badania systemów informatycznych pod kątem posiadanych podatności, a także pomoc w zabezpieczeniu informacji potrzebnych do analizy po włamaniowej.