Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Czy twoja firma naprawdę potrzebuje SOC?

Czy twoja firma naprawdę potrzebuje SOC?

Zagrożeń w cyberprzestrzeni jest coraz więcej, nakładanych regulacji — również. Nic więc dziwnego, że rodzą się pytania jak podejść do tematu monitorowania bezpieczeństwa.Czy stworzenie własnego SOC jest kosztowne? Czy klasyczne podejście jest nadal aktualne? Czy małe i średnie przedsiębiorstwa mogą sobie pozwolić na SOC?

Według raportu Fortinet aż 68% przedsiębiorstw zgłasza niedobór wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Aby wypełnić tą lukę, na całym świecie potrzebnych jest 3,4 mln nowych specjalistów.

W tym artykule postaram się przedstawić różne podejścia, które mogą pomóc małym i średnim organizacjom stworzyć zespół najlepiej skrojony pod Państwa potrzeby.

SOC w kontekście regulacji prawnych

Nie będę tutaj skupiał się na wszystkich dostępnych ustawach, regulacjach, dyrektywach. Przytoczę jednak kilka najbardziej istotnych z mojego punktu widzenia, które należy wziąć pod uwagę.

Ustawa o krajowym systemie cyberbezpieczeństwa (KSC):

    • Ustawa ta nakłada na podmioty publiczne oraz prywatne (operatorów usług kluczowych, dostawców usług cyfrowych) obowiązek wdrożenia środków technicznych i organizacyjnych w celu zapewnienia cyberbezpieczeństwa.
    • SOC w Polsce musi spełniać wymagania dotyczące monitoringu i raportowania incydentów, zgodnie z wytycznymi KSC.
    • Obowiązek informowania o incydentach: SOC musi zgłaszać poważne incydenty cyberbezpieczeństwa do odpowiednich organów krajowych.

      Ustawa o ochronie danych osobowych (UODO):

        • Ustawa ta wdraża przepisy RODO na poziomie krajowym, zapewniając ochronę danych osobowych.
        • SOC musi zapewnić odpowiednie środki ochrony danych osobowych, monitorując i reagując na wszelkie naruszenia bezpieczeństwa danych.

          Regulacje prawne w Unii Europejskiej

            Rozporządzenie o Ochronie Danych Osobowych (RODO):

              • RODO wprowadza rygorystyczne wymagania dotyczące ochrony danych osobowych w całej UE.
              • SOC musi wdrożyć procedury monitorowania i zgłaszania naruszeń danych osobowych w ciągu 72 godzin od ich wykrycia.
              • Konieczność przeprowadzania ocen skutków dla ochrony danych (DPIA) przy wprowadzaniu nowych technologii monitorujących.

                Dyrektywa NIS (Network and Information Systems Directive):

                  • Dyrektywa NIS zobowiązuje państwa członkowskie do zapewnienia bezpieczeństwa sieci i systemów informacyjnych.
                  • SOC musi spełniać standardy bezpieczeństwa i zgłaszać incydenty bezpieczeństwa do krajowych CSIRT (Computer Security Incident Response Team).
                    • Dyrektywa nakłada obowiązek współpracy i wymiany informacji pomiędzy państwami członkowskimi w zakresie incydentów bezpieczeństwa.

                      Ludzie, procesy, technologia

                      SOC w swoim działaniu operacyjnym wykorzystuje zasoby ludzkie, korzystając z procesów i technologii.

                      8DyZ2LWXfznHcAAAAASUVORK5CYII=

                      Pierwszym i najważniejszym elementem SOC są ludzie. To właśnie ludzie stanowią pierwszą linię obrony. Wiedza, doświadczenie i umiejętności są kluczowe dla skutecznej i efektywnej obrony przed incydentami.

                      Procesy w SOC zapewniają nam porządek strukturalny i efektywny sposób reagowania na incydenty. Dobrze ułożone procesy są nieodłączną częścią i pomagają w minimalizowaniu ryzyka oraz ograniczaniu wpływu incydentów.

                      Ostatnim elementem jest technologia. Są to narzędzia umożliwiające zbieranie, analizowanie danych z różnych źródeł, jak również narzędzia do monitorowania sieci, systemów, aplikacji, analizy zachowań użytkowników.

                      Wszystkie wymienione elementy, ściśle ze sobą współpracując, tworzą skuteczny i zintegrowany system obrony przed cyberzagrożeniami. Dzięki temu zespoły SOC mogą monitorować, wykrywać i reagować na ataki a także szybko przywracać systemy do ich stanu pierwotnego w przypadku powodzenia ataku.

                      Elementy skutecznego SOC

                      Wiedza, doświadczenie i umiejętności — ważnym elementem skutecznego SOC jest zespół wykwalifikowanych specjalistów. Aby to spełnić, musimy wziąć pod uwagę kilka istotnych elementów:

                      • Szkolenia i certyfikacje — pracownicy SOC powinni posiadać certyfikaty branżowe, najlepiej dedykowane dla konkretnego obszaru.

                      • Doświadczenie praktyczne — specjaliści powinni mieć doświadczenie w pracy z różnorodnymi systemami i technologiami zabezpieczeń, a także w zarządzaniu incydentami.

                      • Stałe doskonalenie — regularne szkolenia i uczestnictwo w konferencjach branżowych pomogą nam utrzymać wysoki poziom wiedzy o najnowszych zagrożeniach i metodach obrony.

                      • Znajomość nowych technologii — umiejętność korzystania z najnowszych technologii oraz łatwość i elastyczność w adaptacji do zmieniającego się środowiska.

                      Zrozumienie ryzyka związanego z wszystkimi operacjami IT jest bardzo ważnym elementem dla skutecznego działania SOC. Obejmuje to:

                      • Identyfikacja aktywów — inwentaryzacja wszystkich zasobów IT, w tym sprzętu, oprogramowania, danych i zasobów ludzkich.

                      • Ocena ryzyka — analiza potencjalnych zagrożeń i podatności, a także ocena ich wpływu na organizację.

                      • Zarządzanie ryzykiem — implementacja strategii i procedur mających na celu minimalizowanie ryzyka, takich jak backupy, redundancja i plany odzyskiwania po awarii.

                      Zgodność z przepisami — SOC musi działać zgodnie z obowiązującymi regulacjami prawnymi i standardami branżowymi, wspomnianymi na początku publikacji.

                      Szybkość wykrywania — skuteczność SOC zależy od zdolności szybkiego wykrywania zagrożeń:

                      • SIEM (Security Information and Event Management) — implementacja nowoczesnych systemów zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM), które analizują logi w czasie rzeczywistym.

                      • XDR (Extended Detection and Response) — zintegrowane narzędzia XDR, które oferują lepszą widoczność i analizę zagrożeń poprzez zbieranie danych z wielu źródeł.

                      • Analiza behawioralna: Wykorzystanie narzędzi do analizy behawioralnej w celu wykrywania anomalii w zachowaniu użytkowników i systemów. Przykłady: Darktrace, Vectra AI.

                      Szybkość reakcji na wykryte incydenty jest kluczowa dla minimalizacji szkód:

                      • Procedury reagowania na incydenty — jasno zdefiniowane i przetestowane procedury pozwalają na szybkie i skuteczne działanie.

                      • Automatyzacja reakcji — wykorzystanie narzędzi do automatyzacji reakcji na incydenty w celu przyspieszenia procesu i zmniejszenia błędów.

                      Ciągły monitoring

                      • 24/7/365 Monitoring — SOC musi działać non-stop, aby zapewnić ciągłe monitorowanie i reagowanie na zagrożenia.

                      • Narzędzia do monitorowania — zaawansowane narzędzia do monitorowania sieci, systemów i aplikacji.

                      • Proaktywne wykrywanie — wykorzystanie zaawansowanych technik, takich jak threat hunting, do aktywnego poszukiwania zagrożeń, zanim staną się incydentami.

                      Budżet — adekwatny budżet jest niezbędny do zapewnienia, że SOC może skutecznie realizować swoje zadania:

                      • Inwestycje w technologię — zakup nowoczesnych narzędzi i technologii, takich jak SIEM, IDS/IPS, XDR, EDR (Endpoint Detection and Response). Przykłady: Microsoft Defender ATP, SentinelOne.

                      • Szkolenia i rozwój — finansowanie ciągłego rozwoju i szkoleń dla pracowników SOC, w tym szkolenia z zakresu AI/ML w kontekście cyberbezpieczeństwa.

                      • Personel — zatrudnienie wystarczającej liczby specjalistów do zapewnienia ciągłego monitoringu i reakcji na incydenty.

                      • Zapewnienie redundancji — inwestycje w backupy, systemy zapasowe i plany awaryjne.

                      Wybór modelu współpracy

                      In-house

                      In-house to model, w którym organizacja buduje, zarządza i utrzymuje własne Security Operation Center wewnętrznie, wykorzystując swoje zasoby.

                      r6aH3MSJE9UUERERERGdP39eTQ2dYQ3oiYiIiIhoeLHLDRERERFRCmNAT0RERESUwhjQExERERGlMAb0REREREQpjAE9EREREVEKY0BPRERERJTCGNATEREREaUwBvRERERERCmMAT0RERERUQpjQE9ERERElMIY0BMRERERpTAG9EREREREKYwBPRERERFRCmNAT0RERESUwhjQExERERGlMAb0REREREQpjAE9EREREVEKY0BPRERERJTCGNATEREREaUwBvRERERERCmMAT0RERERUQpjQE9ERERElMIY0BMRERERpTAG9EREREREKYwBPRERERFRygL+f8ZnigdMH8edAAAAAElFTkSuQmCC

                      MSSP (Managed security service providers )

                      Model MSSP polega na zlecaniu zewnętrznej firmie zarządzania operacjami SOC. MSSP zapewnia monitoring, wykrywanie i reagowanie na incydenty bezpieczeństwa.

                      wcYK2hckTKXNwAAAABJRU5ErkJggg==

                      Hybrydowy

                      Model hybrydowy łączy elementy zarówno In-house, jak i MSSP. Organizacja zarządza częścią operacji SOC wewnętrznie, a inne zadania zleca zewnętrznym dostawcom usług MSSP.

                      D9d7ipr7INGTQAAAABJRU5ErkJggg==

                      Podsumowanie

                      Na początku artykułu zadaliśmy sobie kilka kluczowych pytań, czy stworzenie własnego SOC jest kosztowne?, czy klasyczne podejście jest nadal aktualne?, czy małe i średnie przedsiębiorstwa mogą sobie pozwolić na SOC?

                      Na wszystkie te pytania odpowiem twierdząco i podsumowując zadam sobie oraz Państwu jeszcze jedno dodatkowe pytanie.

                      To który model wybrać?

                      Bazując na swoich doświadczeniach i obserwacjach, najlepszym modelem dla grupy SMB jest model hybrydowy. Dlaczego akurat ten?, postaram się to podsumować poniżej.

                      Bliższa współpraca i wymiana wiedzy:

                      • Integracja zespołów — w modelu hybrydowym wewnętrzny zespół SOC może ściśle współpracować z ekspertami MSSP, co pozwala na lepszą wymianę wiedzy i doświadczeń. To wspiera rozwój kompetencji wewnętrznych.

                      • Dostęp do najlepszych praktyk — zespoły mogą wspólnie opracowywać i wdrażać najlepsze praktyki, co zwiększa ogólną skuteczność działań bezpieczeństwa.

                      Współpraca full-time:

                      • Stałe wsparcie — ****MSSP zapewnia dostęp do specjalistów ds. bezpieczeństwa na pełen etat, co gwarantuje ciągłe wsparcie i szybkie reagowanie na incydenty.

                      • Mentoring i szkolenia — Eksperci MSSP mogą szkolić wewnętrzny zespół SOC, co prowadzi do podniesienia poziomu wiedzy i umiejętności pracowników.

                      Elastyczność i skalowalność:

                      • Skalowanie usług — organizacje mogą elastycznie skalować usługi MSSP w zależności od potrzeb, co pozwala na efektywne zarządzanie kosztami.

                      • Adaptacja do zmieniających się potrzeb — model hybrydowy pozwala na szybką adaptację do zmieniających się zagrożeń i wymagań biznesowych.

                      Kontrola nad krytycznymi operacjami:

                      • Wewnętrzna kontrola: SMB mogą zarządzać kluczowymi aspektami bezpieczeństwa wewnętrznie, co pozwala na lepszą kontrolę nad danymi i procesami.

                      • Customizacja — możliwość dostosowania rozwiązań bezpieczeństwa do specyficznych potrzeb organizacji.

                      Optymalizacja kosztów:

                      • Redukcja kosztów — delegowanie mniej krytycznych zadań do MSSP pozwala na optymalizację budżetu.

                      • Inwestycje w kluczowe obszary — SMB mogą skoncentrować swoje zasoby finansowe na rozwijaniu kluczowych kompetencji i technologii wewnętrznych.

                      Źródła:

                      Oceń artykuł

                      Powiązane materiały

                      Zapisz się do newslettera

                      Bądź na bieżąco z najnowszymi informacjami na temat
                      cyberbezpieczeństwa