Jak ve vaší organizaci vybudovat efektivní Security Operations Center

12 listopadu, 2019
David Pilař

Autor

David Pilař

Head of Services společnosti SoftwareONE Czech Republic

Se složitostí moderních sítí, sofistikovaností současných hrozeb a mezerami ve schopnostech v oblasti kybernetického zabezpečení mnoho organizací jednoduše nemá k dispozici zdroje a znalosti pro vybudování vlastního efektivního řešení Security Operations Center (SOC).

Jelikož se SOC organizace typicky skládá z nejzkušenějších členů IT týmu, kteří analyzují a reagují na různé bezpečnostní incidenty a výstrahy, je dnes stále těžší takový tým složit. Mnoho organizací proto dnes přemýšlí, jak SOC implementovat, když jim v cestě stojí tolik překážek.

Máme pro vás ale dobrou zprávu: vytvoření silného SOC ve vaší organizaci není nemožné. Podívejme se, jak můžete složit efektivní SOC, které bude možné udržovat i v následujících letech.

Proč je důležité mít Security Operations Center?

Ještě než začneme se možná budete divit, proč je důležité, aby vaše organizace měla SOC, přestože již máte implementována opatření kybernetické obrany. Skutečností ale je, že i s těmito opatřeními není nikdy garantováno, že vám zajistí kompletní ochranu, obzvláště když kyberzločinci vyvíjejí útoky, které mohou překonat bezpečnostní nástroje. Obranné mechanismy, které máte nasazeny, vás pravděpodobně ochrání jen proti těm ohrožením, proti kterým byly vyvinuty. Takže například zero-day útoky nebo neznámé hrozby zvenčí mohou stále překonat vaše zabezpečení a najít si cestu do vaší sítě.

Security Operations Center je oproti tomu schopné monitorovat, upozorňovat a reagovat na bezpečností incidenty, jakmile jsou odhaleny. Ať už máte dedikovaný SOC tým, nebo budujete vaše SOC prostřednictvím externího poskytovatele řízeného zabezpečení, budou rizika a upozornění nepřetržitě monitorována, aby byly útoky identifikovány a minimalizovala se doba reakce. Ideou je přejít od ochrany založené na obraně perimetru a zaměřit se na prevenci i detekci a ošetření hrozeb v reálném čase.

Co je požadováno od silného SOC

Dříve, než se vydáte na cestu budování efektivního SOC, měli byste vědět několik základních věcí. Celý proces se vyvíjí kolem lidí, procesů a technologií a jejich vzájemné spolupráce. Schopnosti analytiků a specialistů SOC vaší organizace musí být kvůli složitosti moderních sítí skutečně na špičkové úrovni. Najít členy týmu se schopnostmi požadovanými pro boj s těmito sofistikovanými hrozbami bude zcela zásadní. Obzvláště proto, že sítě začínají být distribuovány mezi cloudovými prostředími a on-premise datovými centry. Je také důležité, aby členové týmu porozuměli modelu sdílené odpovědnosti.

Vaše SOC by mělo zahrnovat týmy pro zabezpečení koncových bodů, ochranu sítě a cloudu a řízení identit. Každý tým pak může dobře využít své individuální schopnosti. V rámci každého týmu jsou využívány různé nástroje, které upozorňují na útoky již při prvních známkách podezření. Pokud nemůže být hrozba okamžitě ošetřena, je nutné ji izolovat od zbytku sítě, dokud ji nebude možné vyřešit.

Takže jaké technologie budete potřebovat nasadit? Vaše organizace bude potřebovat implementovat nástroje, které budou schopné držet krok s moderními kybernetickými útoky a při výběru těchto nástrojů byste měli klást důraz na rychlost detekce a následné reakce. Absolutní nezbytností je také nepřetržité zapojování novějších technologií a sledování informací o aktualizacích, které s nimi souvisejí. Pamatujte na to, že informovanost je klíčem k efektivnímu SOC.

Problémy při budování silného SOC

Největší překážkou vybudování silného Security Operations Center jsou bohužel rozdíly ve schopnostech zapojených lidí. Je totiž stále složitější najít kandidáty se správnými schopnostmi. Cyber-Security Ventures dokonce předpovídá, že do roku 2021 bude neobsazeno kolem 3,5 milionu pracovních pozic v oboru kybernetické bezpečnosti. Bez silného týmu schopných analytiků nemůže SOC tým jednoduše držet krok s hrozbami, se kterými je konfrontován.

Dalším problémem, který organizace zažívají, je rozšiřování jejich interních znalostí. Vy i vaši kolegové si musíte udržovat příslušné certifikace, schopnosti a vlastnosti, které se postupně vyvíjejí. Může jít o měsíční, týdenní a dokonce i denní závazek, který ale musí být učiněn. Pokud tyto schopnosti nebudete udržovat pravidelnými školeními a certifikacemi, začnete zaostávat. A pokud budete zaostávat, bude trpět také možnost nápravy.

A konečně, poslední velký problém, který musí organizace u svého SOC řešit, je retence. Kvůli extrémně vysoké poptávce po kvalifikovaných analyticích a expertech je nanejvýš důležité, abyste si udrželi zaměstnance, které v současnosti máte. Seznamte je předem s jejich jasným kariérním plánem a pokračujte v rozdělování různých úkolů. Aby zůstal váš SOC tým motivovaný, bude potřebovat přesvědčivé a zajímavé výzvy.

Jak zapadá SoftwareONE do strategie vašeho SOC

Jak je zmíněno výše, občas je pro organizaci lepší, když se spoléhá na řízené služby poskytovatele SOC, jako je SoftwareONE. SoftwareONE SOC je navrženo pro nepřetržité monitorování prostředí zákazníka, aby bylo možné pečlivě reagovat na bezpečnostní hrozby.

Náš přístup nejen že najde mezery ve vašem zabezpečení, ale také je ošetří. Prvním krokem v procesu dosažení efektivního SOC je uvědomění si, že má vaše prostředí zranitelnosti, které možná neumíte ošetřit. Naším prvním krokem v tomto procesu jsou vždy služby spojené s posouzením a poradenstvím, které pomohou tyto zranitelnosti odhalit. To můžeme provést prostřednictvím posouzení vyspělosti zabezpečení, posouzení rizik nebo jiným způsobem, který bude nejlépe vyhovovat vaší situaci.

Jakmile odhalíme mezery, budeme schopni definovat pravidla a kontrolní mechanismy, které vaše organizace potřebuje. Třetí částí tohoto plánu je pak implementovat takové technologie a kontrolní mechanismy, které mohou být monitorovány týmem SOC pro upozornění na hrozby a následnou reakci.

Navíc máme možnost automatizovat cloudové zabezpečení, které snižuje celkové riziko a snižuje náklady na nápravu. Automatizace hraje velkou roli při detekci a ošetření zranitelností, stejně jako při celkové správě zabezpečení. Odstraněním dalšího personálu a nástrojů jsme schopni současně zásadním způsobem snížit náklady i omezit rizika.

Udržte si náskok

Efektivní Security Operations Center pomůže vaší organizaci monitorovat, analyzovat a reagovat na hrozby. Ať už máte kapacity na vybudování vlastního SOC, nebo jste se rozhodli pokračovat s poskytovatelem služeb, jste na správné cestě. Jakmile uvedete věci do pohybu, budete na správné cestě k prevenci a detekci hrozeb ještě dříve, než se jakkoli dotknou vaší organizace.

Nastupte na cestu k SOC

Chcete-li se dozvědět více o našich řešeních, prostudujte si naši nabídku služeb řízeného zabezpečení.

Chcete plně využívat vaše licence k platformě Office 365, se všemi daty, na všech zařízeních a skutečně bezpečně? Kontaktujte nás a zjistěte více o možnostech zabezpečení vašeho prostředí Office 365 se službou Security & Compliance Advisory.

Přidat komentář