Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Monitoring bezpieczeństwa. Własny zespół czy outsourcing?

05 październik 2023

Monitoring bezpieczeństwa. Własny zespół czy outsourcing?
Łukasz Zajdel

Łukasz Zajdel

Temat phishingu jest niezwykle ważny, ponieważ tego typu atak jest jednakowo groźny dla osób prywatnych, jak organizacji i to bez względu na ich wielkość. O ile użytkownicy indywidualni nie mogą liczyć na wsparcie zewnętrznych ekspertów, którzy monitorują ich urządzenia, to organizacje jak najbardziej mogą z takiego wsparcia skorzystać. Mowa o monitoringu sieci i infrastruktury IT, który kryje się pod nazwą SOC, czyli Security Operations Center.

Jak SOC identyfikuje atak phishingowy w organizacji?

Przeanalizujmy to na konkretnym przypadku.

W firmie, nazwijmy ją "ABC Sp z o. o..", pracownicy otrzymują na swoje służbowe skrzynki e-mail podejrzane wiadomości, udające oficjalne komunikaty od firmy dostarczającej bardzo istotne dla ich pracy oprogramowanie. Wiadomość sugeruje konieczność natychmiastowej aktualizacji oprogramowania przy wykorzystaniu załączonego linka, by uniknąć utraty danych i uszkodzenia systemu. Zaniepokojeni pracownicy zgłosili tę sytuację do działu bezpieczeństwa IT, jednak ten już znał temat, ponieważ na urządzeniu UTM zabezpieczającym ruch sieciowy pojawił się alert, został przesłany do systemu SIEM i SOC obserwował już sytuację.

Uruchomiona została procedura identyfikacji ataku przy użyciu systemu SIEM, którego praca opiera się na analizie logów. System SIEM może być zintegrowany z innymi zabezpieczeniami, takimi jak systemy antywirusowe lub dedykowane systemy zapobiegające phishingowi. Te narzędzia dostarczają dodatkowych informacji lub ostrzeżeń na temat potencjalnych zagrożeń. W wyniku tych analiz, analitycy SOC mogą potwierdzić, czy doszło do próby ataku opartego na phishingu i podjąć odpowiednie kroki w celu ochrony firmy przed dalszymi zagrożeniami.

Jak wyglądają kolejne etapy działania?

Krok 1: Weryfikacja logów z serwera e-mail

Analitycy SOC sprawdzają logi z serwera e-mail, aby zobaczyć, które skrzynki odbiorców otrzymały podejrzaną wiadomość. Analiza tych logów pomaga zidentyfikować, którzy pracownicy byli potencjalnymi celami ataku.

Krok 2: Analiza zawartości wiadomości

Analitycy przeprowadzają analizę treści wiadomości phishingowej, obejmującą link do "aktualizacji oprogramowania". Skanują go w poszukiwaniu potencjalnych zagrożeń i domen, które mogą być związane z phishingiem.

Krok 3: Analiza ruchu sieciowego

Zauważają, że jeden z pracowników kliknął w link. Dział bezpieczeństwa analizuje ruch sieciowy generowany przez ten klik. To obejmuje identyfikację docelowej strony internetowej (sprawdzenie, czy była ona podejrzana) i ewentualne próby pobierania złośliwego oprogramowania.

Krok 4: Analiza ruchu w sieciach wewnętrznych

Analitycy sprawdzają logi sieciowe wewnętrzne, aby zobaczyć, czy jakiekolwiek urządzenia wewnętrzne próbowały się komunikować z podejrzaną stroną internetową lub inicjować jakiekolwiek nieznane połączenia.

Założeniem tego przykładu było posiadanie przez ABC Sp z o.o. własnego działu bezpieczeństwa IT. Możliwe są jednak również inne scenariusze — załóżmy, że SOC pracował jako zewnętrzny partner?

Wtedy pojawiają się kolejne kroki:

Krok 5: Przekazanie informacji o potencjalnym ataku i zagrożeniu określonych obszarów infrastruktury,

a następnie:

Krok 6: Przekazanie rekomendacji nt. zalecanych możliwości przyszłego zabezpieczenia się przed atakiem.

Często atak nie jest finalizowany od razu. Infekcja pozostaje w formie utajonej do momentu, kiedy kolejne urządzenia i systemy będą zainfekowane. Monitoring 24/7 pozwala uniknąć rozprzestrzeniania się zagrożenia i zabezpiecza infrastrukturę i sieć przed negatywnymi konsekwencjami, a firmę przed stratami.

SOC w wewnętrznych strukturach firmy

Security Operations Center można budować w strukturach własnej firmy. Wymaga to wyodrębnienia tej komórki organizacyjnej i wyposażenia jej w odpowiednie systemy, które pozwalają na obserwację i analizę sytuacji oraz wykrywanie anomalii.

Plusem takiego rozwiązania jest pełna kontrola nad danymi i zachowanie pełnej tajemnicy funkcjonowania organizacji w jej wewnętrznych strukturach. Natomiast minusem są związane z tym wydatki.

Koszty budowy własnego SOC pojawiają się na kilku poziomach. Skuteczne zabezpieczenie sieci wymaga odpowiedniego oprogramowania, które zbiera informacje z urządzeń i sieci. Takie rozwiązania wymagają inwestycji, które TCO często generuje powtarzalne, bardzo istotne koszty.

Dodatkowo potrzebny jest zespół specjalistów, którzy właściwie odczytają i zinterpretują informacje dostarczane przez rozwiązania technologiczne.

Obecnie doświadczamy niedoboru specjalistów z obszaru cybersecurity na rynku, co bezpośrednio przekłada się na wysokość zarobków stanowiących minimalny akceptowalny próg dla osób, które posiadają odpowiednie kwalifikacje.

W związku z tym czynnik ludzki staje się deficytowym zasobem, o który zabiegają wszystkie organizacje zdecydowane na budowę własnego SOC, często bez względu na cenę, czyli poziom wynagrodzenia.

Outsourcing usług SOC

Możliwe jest również drugie rozwiązanie, które redukuje koszty związane z oprogramowaniem i budową własnego zespołu.

Jest to outsourcing usług związanych z monitoringiem sieci/systemów wewnętrznych w zewnętrznej firmie, specjalizującej się w obszarze cyberbezpieczeństwa.

Dzięki tej opcji organizacja korzysta z rozwiązań technologicznych i wyspecjalizowanej obsługi, nie ponosząc pełnych kosztów. Budowa działu SOC i wyposażenie go w odpowiednie narzędzia pozostaje po stronie usługodawcy, natomiast organizacja wybierająca tę formę obsługi czerpie korzyści wynikające z opieki specjalistów i gwarancji zabezpieczeń.

To rozwiązanie wymaga udostępnienia części wrażliwych informacji na temat infrastruktury organizacji zewnętrznej. Całość odbywa się oczywiście w oparciu o odpowiednie umowy i zastrzeżenia, niemniej są organizacje, które nie zaakceptują takiego rozwiązania.

Model hybrydowy

Trzecią drogą jest model hybrydowy – połączenie własnych kompetencji z zewnętrzną obsługą. Kiedy może być dobrym rozwiązaniem? Na przykład wtedy, gdy organizacja posiada wyspecjalizowany zespół, jednak nie jest on w stanie w pełni nadzorować bezpieczeństwa cyfrowego wszystkich jej zasobów.

Może to wynikać z tego, że organizacja skaluje swoją działalność, otwierając nowe biura czy filie, lub też zespół doświadczonych specjalistów nie jest skłonny do pracy w godzinach nocnych czy w weekendy. W takich sytuacjach może on stanowić CORE działania SOC, a zewnętrzny outsourcing staje się jego uzupełnieniem i tzw. trzecią zmianą, pracującą w godzinach niestandardowych.

Pozwala to zapewnić komfort pracy najbardziej doświadczonym jednostkom w SOC oraz budować stabilność zespołu nawet w czasach tak dużego zapotrzebowania na tę specjalizację. SOC Perceptus obsługuje klientów publicznych i prywatnych w obu opisanych wcześniej modelach. Działania naszego zespołu zapewniają opiekę nad siecią i infrastrukturą przez 24 h, 7 dni w tygodniu, 356 dni w roku.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności