Według raportu Fortinet aż 68% przedsiębiorstw zgłasza niedobór wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Aby wypełnić tą lukę, na całym świecie potrzebnych jest 3,4 mln nowych specjalistów.
W tym artykule postaram się przedstawić różne podejścia, które mogą pomóc małym i średnim organizacjom stworzyć zespół najlepiej skrojony pod Państwa potrzeby.
SOC w kontekście regulacji prawnych
Nie będę tutaj skupiał się na wszystkich dostępnych ustawach, regulacjach, dyrektywach. Przytoczę jednak kilka najbardziej istotnych z mojego punktu widzenia, które należy wziąć pod uwagę.
Ustawa o krajowym systemie cyberbezpieczeństwa (KSC):
- Ustawa ta nakłada na podmioty publiczne oraz prywatne (operatorów usług kluczowych, dostawców usług cyfrowych) obowiązek wdrożenia środków technicznych i organizacyjnych w celu zapewnienia cyberbezpieczeństwa.
- SOC w Polsce musi spełniać wymagania dotyczące monitoringu i raportowania incydentów, zgodnie z wytycznymi KSC.
- Obowiązek informowania o incydentach: SOC musi zgłaszać poważne incydenty cyberbezpieczeństwa do odpowiednich organów krajowych.
Ustawa o ochronie danych osobowych (UODO):
- Ustawa ta wdraża przepisy RODO na poziomie krajowym, zapewniając ochronę danych osobowych.
- SOC musi zapewnić odpowiednie środki ochrony danych osobowych, monitorując i reagując na wszelkie naruszenia bezpieczeństwa danych.
Regulacje prawne w Unii Europejskiej
Rozporządzenie o Ochronie Danych Osobowych (RODO):
- RODO wprowadza rygorystyczne wymagania dotyczące ochrony danych osobowych w całej UE.
- SOC musi wdrożyć procedury monitorowania i zgłaszania naruszeń danych osobowych w ciągu 72 godzin od ich wykrycia.
- Konieczność przeprowadzania ocen skutków dla ochrony danych (DPIA) przy wprowadzaniu nowych technologii monitorujących.
Dyrektywa NIS (Network and Information Systems Directive):
- Dyrektywa NIS zobowiązuje państwa członkowskie do zapewnienia bezpieczeństwa sieci i systemów informacyjnych.
- SOC musi spełniać standardy bezpieczeństwa i zgłaszać incydenty bezpieczeństwa do krajowych CSIRT (Computer Security Incident Response Team).
- Dyrektywa nakłada obowiązek współpracy i wymiany informacji pomiędzy państwami członkowskimi w zakresie incydentów bezpieczeństwa.
Ludzie, procesy, technologia
SOC w swoim działaniu operacyjnym wykorzystuje zasoby ludzkie, korzystając z procesów i technologii.
Pierwszym i najważniejszym elementem SOC są ludzie. To właśnie ludzie stanowią pierwszą linię obrony. Wiedza, doświadczenie i umiejętności są kluczowe dla skutecznej i efektywnej obrony przed incydentami.
Procesy w SOC zapewniają nam porządek strukturalny i efektywny sposób reagowania na incydenty. Dobrze ułożone procesy są nieodłączną częścią i pomagają w minimalizowaniu ryzyka oraz ograniczaniu wpływu incydentów.
Ostatnim elementem jest technologia. Są to narzędzia umożliwiające zbieranie, analizowanie danych z różnych źródeł, jak również narzędzia do monitorowania sieci, systemów, aplikacji, analizy zachowań użytkowników.
Wszystkie wymienione elementy, ściśle ze sobą współpracując, tworzą skuteczny i zintegrowany system obrony przed cyberzagrożeniami. Dzięki temu zespoły SOC mogą monitorować, wykrywać i reagować na ataki a także szybko przywracać systemy do ich stanu pierwotnego w przypadku powodzenia ataku.
Elementy skutecznego SOC
Wiedza, doświadczenie i umiejętności — ważnym elementem skutecznego SOC jest zespół wykwalifikowanych specjalistów. Aby to spełnić, musimy wziąć pod uwagę kilka istotnych elementów:
Szkolenia i certyfikacje — pracownicy SOC powinni posiadać certyfikaty branżowe, najlepiej dedykowane dla konkretnego obszaru.
Doświadczenie praktyczne — specjaliści powinni mieć doświadczenie w pracy z różnorodnymi systemami i technologiami zabezpieczeń, a także w zarządzaniu incydentami.
Stałe doskonalenie — regularne szkolenia i uczestnictwo w konferencjach branżowych pomogą nam utrzymać wysoki poziom wiedzy o najnowszych zagrożeniach i metodach obrony.
Znajomość nowych technologii — umiejętność korzystania z najnowszych technologii oraz łatwość i elastyczność w adaptacji do zmieniającego się środowiska.
Zrozumienie ryzyka związanego z wszystkimi operacjami IT jest bardzo ważnym elementem dla skutecznego działania SOC. Obejmuje to:
Identyfikacja aktywów — inwentaryzacja wszystkich zasobów IT, w tym sprzętu, oprogramowania, danych i zasobów ludzkich.
Ocena ryzyka — analiza potencjalnych zagrożeń i podatności, a także ocena ich wpływu na organizację.
Zarządzanie ryzykiem — implementacja strategii i procedur mających na celu minimalizowanie ryzyka, takich jak backupy, redundancja i plany odzyskiwania po awarii.
Zgodność z przepisami — SOC musi działać zgodnie z obowiązującymi regulacjami prawnymi i standardami branżowymi, wspomnianymi na początku publikacji.
Szybkość wykrywania — skuteczność SOC zależy od zdolności szybkiego wykrywania zagrożeń:
SIEM (Security Information and Event Management) — implementacja nowoczesnych systemów zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM), które analizują logi w czasie rzeczywistym.
XDR (Extended Detection and Response) — zintegrowane narzędzia XDR, które oferują lepszą widoczność i analizę zagrożeń poprzez zbieranie danych z wielu źródeł.
Analiza behawioralna: Wykorzystanie narzędzi do analizy behawioralnej w celu wykrywania anomalii w zachowaniu użytkowników i systemów. Przykłady: Darktrace, Vectra AI.
Szybkość reakcji na wykryte incydenty jest kluczowa dla minimalizacji szkód:
Procedury reagowania na incydenty — jasno zdefiniowane i przetestowane procedury pozwalają na szybkie i skuteczne działanie.
Automatyzacja reakcji — wykorzystanie narzędzi do automatyzacji reakcji na incydenty w celu przyspieszenia procesu i zmniejszenia błędów.
Ciągły monitoring
24/7/365 Monitoring — SOC musi działać non-stop, aby zapewnić ciągłe monitorowanie i reagowanie na zagrożenia.
Narzędzia do monitorowania — zaawansowane narzędzia do monitorowania sieci, systemów i aplikacji.
Proaktywne wykrywanie — wykorzystanie zaawansowanych technik, takich jak threat hunting, do aktywnego poszukiwania zagrożeń, zanim staną się incydentami.
Budżet — adekwatny budżet jest niezbędny do zapewnienia, że SOC może skutecznie realizować swoje zadania:
Inwestycje w technologię — zakup nowoczesnych narzędzi i technologii, takich jak SIEM, IDS/IPS, XDR, EDR (Endpoint Detection and Response). Przykłady: Microsoft Defender ATP, SentinelOne.
Szkolenia i rozwój — finansowanie ciągłego rozwoju i szkoleń dla pracowników SOC, w tym szkolenia z zakresu AI/ML w kontekście cyberbezpieczeństwa.
Personel — zatrudnienie wystarczającej liczby specjalistów do zapewnienia ciągłego monitoringu i reakcji na incydenty.
Zapewnienie redundancji — inwestycje w backupy, systemy zapasowe i plany awaryjne.
Wybór modelu współpracy
In-house
In-house to model, w którym organizacja buduje, zarządza i utrzymuje własne Security Operation Center wewnętrznie, wykorzystując swoje zasoby.
MSSP (Managed security service providers )
Model MSSP polega na zlecaniu zewnętrznej firmie zarządzania operacjami SOC. MSSP zapewnia monitoring, wykrywanie i reagowanie na incydenty bezpieczeństwa.
Hybrydowy
Model hybrydowy łączy elementy zarówno In-house, jak i MSSP. Organizacja zarządza częścią operacji SOC wewnętrznie, a inne zadania zleca zewnętrznym dostawcom usług MSSP.
Podsumowanie
Na początku artykułu zadaliśmy sobie kilka kluczowych pytań, czy stworzenie własnego SOC jest kosztowne?, czy klasyczne podejście jest nadal aktualne?, czy małe i średnie przedsiębiorstwa mogą sobie pozwolić na SOC?
Na wszystkie te pytania odpowiem twierdząco i podsumowując zadam sobie oraz Państwu jeszcze jedno dodatkowe pytanie.
To który model wybrać?
Bazując na swoich doświadczeniach i obserwacjach, najlepszym modelem dla grupy SMB jest model hybrydowy. Dlaczego akurat ten?, postaram się to podsumować poniżej.
Bliższa współpraca i wymiana wiedzy:
Integracja zespołów — w modelu hybrydowym wewnętrzny zespół SOC może ściśle współpracować z ekspertami MSSP, co pozwala na lepszą wymianę wiedzy i doświadczeń. To wspiera rozwój kompetencji wewnętrznych.
Dostęp do najlepszych praktyk — zespoły mogą wspólnie opracowywać i wdrażać najlepsze praktyki, co zwiększa ogólną skuteczność działań bezpieczeństwa.
Współpraca full-time:
Stałe wsparcie — ****MSSP zapewnia dostęp do specjalistów ds. bezpieczeństwa na pełen etat, co gwarantuje ciągłe wsparcie i szybkie reagowanie na incydenty.
Mentoring i szkolenia — Eksperci MSSP mogą szkolić wewnętrzny zespół SOC, co prowadzi do podniesienia poziomu wiedzy i umiejętności pracowników.
Elastyczność i skalowalność:
Skalowanie usług — organizacje mogą elastycznie skalować usługi MSSP w zależności od potrzeb, co pozwala na efektywne zarządzanie kosztami.
Adaptacja do zmieniających się potrzeb — model hybrydowy pozwala na szybką adaptację do zmieniających się zagrożeń i wymagań biznesowych.
Kontrola nad krytycznymi operacjami:
Wewnętrzna kontrola: SMB mogą zarządzać kluczowymi aspektami bezpieczeństwa wewnętrznie, co pozwala na lepszą kontrolę nad danymi i procesami.
Customizacja — możliwość dostosowania rozwiązań bezpieczeństwa do specyficznych potrzeb organizacji.
Optymalizacja kosztów:
Redukcja kosztów — delegowanie mniej krytycznych zadań do MSSP pozwala na optymalizację budżetu.
Inwestycje w kluczowe obszary — SMB mogą skoncentrować swoje zasoby finansowe na rozwijaniu kluczowych kompetencji i technologii wewnętrznych.
Źródła: