SOC – od człowieka do uczenia maszynowego

Security Operations Center, czyli Centrum Operacji Bezpieczeństwa, stanowili początkowo specjaliści do spraw bezpieczeństwa, którzy analizowali logi zarejestrowanych incydentów lub ich prób, a następnie wdrażali procedury, które miały pozwolić uniknięcie podobnych zdarzeń w przyszłości. Jednak z biegiem czasu liczba ataków i prób włamań zaczęła narastać w takim tempie, że człowiek nie był w stanie za nimi nadążyć, dlatego zaprzęgnięto do pomocy moc obliczeniową oferowaną przez maszyny – która stawała się coraz większa, aby być w stanie analizować narastającą lawinowo liczbę incydentów związanych z cyberwłamywczami. Tak właśnie narodziły się platformy SIEM (Security Information and Event Management), mające na celu efektywny monitoring bezpieczeństwa środowiska IT dla identyfikacji, analizy oraz odpowiednio wczesnego wykrycia potencjalnego zagrożenia.

Jednak kilka lat temu okazało się, że nawet połączone siły SOC i SIEM, korzystające z wysoce specjalistycznych narzędzi i produktów ochronnych, nie są w stanie zapewnić stuprocentowej skuteczności, dlatego należało sięgnąć po dodatkową pomoc - sztuczną inteligencję. Znacznie usprawniło to diagnostykę, a także pozwoliło na całodobowy monitoring infrastruktury IT. W odpowiedzi na coraz bardziej skomplikowane metody działań cyberprzestępców, zasilono ją zdolnością uczenia maszynowego, dzięki któremu pojawiła się możliwość rozpoznawania najnowszych metod, których używają włamywacze.

A jaka będzie przyszłość tego rozwiązania? Pojawią się coraz bardziej zaawansowane systemy, wykrywające zmiany/fluktuacje w zachowaniu użytkowników oraz stacji roboczych i serwerów – niestandardowe może być oznaką próby włamania bądź manipulacji. Ważna jest także ich uniwersalność, a więc muszą adaptować się do posiadanej przez daną firmą infrastruktury IT, aby skutecznie gromadzić spływające z różnych źródeł i urządzeń dane. Dlatego wiele rozwiązań SOC jest modułowych – każda z jego składowych to wysoka specjalizacja w innej dziedzinie bezpieczeństwa – a wspólne działanie daje skuteczne efekty. Konsolidację zdarzeń z wielu systemów w jednej, usystematyzowanej formie ułatwia pracę inżynierom bezpieczeństwa, dając jasny pogląd na sytuację oraz sugerując metody zwalczania zagrożeń.

Czy potrzebujesz SOC i czy możesz sobie pozwolić na to rozwiązanie?

Rozwiązanie SOC jest potrzebne wszędzie tam, gdzie istnieje ryzyko kradzieży danych wszelkiego rodzaju – firmowych, osobowych, prywatnych. Automatyczne systemy obronne, wsparte przez SI, są w stanie odsiewać ponad 99% fałszywych alarmów, pozostawiając inżynierom tylko prawdziwe incydenty. A ponieważ ataki mogą zdarzyć się dosłownie w każdej chwili, po SOC sięgają zarówno średniej wielkości firmy, jak i duże korporacje. Brak skutecznej ochrony to nie tylko włamanie do sieci, ale również plama wizerunkowa - przepisy zmuszają do każdego zgłaszania wycieku danych – oraz ewentualne kary finansowe, przewidziane przez ustawę w sprawie RODO z 25 maja 2018.

Wprowadzenie SOC pozwoli tego uniknąć. Dlaczego więc wiele firm waha się z jego wdrożeniem? Odpowiedź jest prosta - ze względu na koszty. Skuteczny system SOC wymaga wielu specjalistycznych narzędzi, wysoce wyspecjalizowanej kadry, a także zaawansowanych rozwiązań w obszarze ochrony danych i infrastruktury IT. I owszem, jest to prawda – jeśli firma chce stworzyć własny SOC in-house, koszty miesięczne tego rozwiązania mogą być bardzo wysokie. Można jednak zdać się na outsourcing, czyli powierzenie tego zadania firmie zewnętrznej, zamiast inwestycja we własne zaplecze. Na polskim rynku są firmy świadczącego tego typu usługi, a dobrym przykładem mający wieloletnie doświadczenie w tej dziedzinie Comarch.

Jak zaplanować i wdrożyć SOC? Kto powinien to zrobić?

Niezależnie od tego, czy będzie się wdrażać własny SOC, czy też powierzy to zadanie firmie zewnętrznej, przygotowanie należy zacząć od dokładnej analizy modelu biznesowego, obejmującego rodzaj świadczonych usług, posiadane zaplecze sprzętowe oraz metody pozyskiwania, przetwarzania i przechowywania danych. Wiedza na ten temat pozwoli na optymalne dobranie narzędzi analitycznych SOC.

Automatyzacja uzyskiwana dzięki SOC sprawdzi się we wszystkich obszarach biznesowych – odciąża inżynierów od konieczności osobistego sprawdzania logów incydentów i szukania źródeł wycieków, pozwalając im skupić się na innych zadaniach, a interwencje przeprowadzać tylko w najbardziej wymagających przypadkach.

SOC własny czy outsourcing? Wady i zalety obydwu rozwiązań

Jakie są wady i zalety posiadania własnego SOC, a zdanie się na firmę zewnętrzną? W przypadku własnego należy liczyć się z dużymi kosztami stałymi oraz okresowo dodatkowymi – zarówno narzędzie, jak i sam sprzęt wymagają aktualizacji. Ponadto należy oddelegować pracowników, którzy będą zajmować się sprawdzaniem i analiza raportów dostarczanych przez system. Zaleta? Dane nigdy nie wychodzą poza firmę. W przypadku outsourcingu jest to jedyna wada – pracownicy firmy trzeciej mają do nich dostęp – ale ilość zalet jest znacznie większa. Przede wszystkim płaci się za jakość, a więc w cenie są wliczeni specjaliści, a także zawsze aktualne rozwiązania i narzędzia. Ponadto przed wdrożeniem SOC firma outsourcingowa jest w stanie określić stopień ryzyka oraz dopasować do niego odpowiednie moduły, aby zapewnić wysokich poziom świadczonych usług. Obniża to ie tylko koszty, ale i ryzyko związane z cyberatakami.

Szukając dobrego dostawcy rozwiązań SOC, warto zainteresować się ofertą Comarch, która od kilkunastu lat z powodzeniem wdraża je w firmach różnej wielkości.