Stwórz procesy monitorowania i zarządzania incydentami bezpieczeństwa
Należy pamiętać jakie są 3 podstawowe cechy jednostki SOC. Są to procesy, ludzie i technologia. Dobrze zaplanowane procesy, realne i zbudowane proporcjonalnie do możliwości organizacji są bardzo ważne, gdyż pozwolą one wykrywać i mitygować incydenty bezpieczeństwa na bardzo wczesnej fazie ataku. Procesy te muszą wskazywać jasne uprawnienia zespołu.
Świadoma organizacja nie powinna w pierwszej kolejności zastanawiać się i analizować incydentu, lecz zabezpieczyć swoją infrastrukturę przed zmaterializowaniem się jego na większej ilości aktywów w organizacji. Sam proces powinien posiadać dedykowane procedury i scenariusze reagowania na danego typu incydenty (tzw. playbooki). W tworzeniu takiego typu procesu organizacje powinny wykorzystywać międzynarodowe standardy, np. ISO 27035, NIST CSF 2.0.
Obecnie szacuje się, że w Polsce do spełnienia wymogów, które będą nałożone w ramach implementacji Dyrektywy UE NIS2 brakuje specjalistów w obszarze cyberbezpieczeństwa. Zbudowanie SOC-a to zatrudnienie kilkunastu specjalistów kilku linii wsparcia, m.in. posiadających umiejętności analitycznego myślenia, znajomości technologii i administrowania systemami bezpieczeństwa, umiejących przeprowadzać analizę powłamaniową.
Bardzo ważnym jest by osoby te posiadały umiejętności miękkie w zakresie komunikacji z pozostałą częścią organizacji. Nie powinno dochodzić do sytuacji, że działy bezpieczeństwa są traktowane jak milicja obywatelska, lecz używając analogi jak straż pożarna. Konflikty interpersonalne mogą doprowadzić do braków reakcji na incydent, strat finansowych w przypadku zmaterializowania się incydentu.
Ponadto osoby kierujące jednostkami SOC nie powinny pozwalać, aby w zespole dochodziło do zjawiska monotonii. Pracownik pracujący na pierwszej linii wsparcia SOC w trybie 24/7 po dwóch latach wykonywania tych samych cyklicznych prac może czuć efekt wypalenia. Może to skutkować chęcią zmiany pracodawcy przez tego pracownika, a także do braku podejmowania prawidłowych reakcji na alarmy generowane w systemach bezpieczeństwa.
Zarządzanie zmianą
Przede wszystkim należy zrozumieć kontekst organizacji oraz jakie występuje kluczowe procesy w organizacji. Należy też znać swoją infrastrukturę teleinformatyczną. Dość często zauważalnym problemem jest brak separacji i segmentacji sieci lub znajdują się w niej punkty styku, przez które potencjalny atakujący może przeskakiwać pomiędzy segmentami sieci. SOC w swoich narzędziach nie powinien skupiać się danych śmieciowych tylko je odpowiednio dobierać. W przypadkach płaskiej struktury sieci monitorowanie samych kluczowych systemów wspierających procesy kluczowe może skutkować, iż podjęte działania na wygenerowany alarm to tak naprawdę gaszenie pobojowiska.
W takich przypadkach przedstawiciele zespołów bezpieczeństwa powinni brać udział jako konsultanci w projektowaniu i wdrażaniu nowych systemów i urządzeń infrastrukturalnych. Ich głos nie powinien być odbierany przez pozostałych członków zespołów wdrożeniowych jako ten negatywny i przeszkadzający we wdrożeniu. Przede wszystkim to przy współpracy jednostek IT z organami bezpieczeństwa w pierwszej kolejności warto opracować wymagania bezpieczeństwa dla produktów ICT wykorzystywanych w organizacji.
Gromadzenie materiałów dowodowych
W przypadkach, gdy incydent już się zmaterializował to jednym z ważnych elementów jest zgromadzenie i analiza materiałów dowodowych. Także w ramach tego zadania, a także spełnienia zabezpieczenia organizacyjnego standardu PN ISO/IEC 27001:2023-08 jest gromadzenie materiałów dowodowych. Zabezpieczenie to ma swoje rozwinięcie w standardzie ISO 27037. W ramach tego zadania dość często pierwszy kontakt z materiałem, który może stanowić dowód mają pracownicy terenowych służb IT, pracownicy działów sieci i infrastruktury serwerowej.
Ważnym elementem w tym jest by materiał nie uległ zniszczeniu lub nieświadomej manipulacji. Warto aby osoby będące pierwsze na miejscu nie dokonały czynności, które utrudnią późniejsze śledztwo. Dla tego typów przypadków aby zespoły bezpieczeństwa dysponowały dedykowaną i prostą procedurą dla pracowników, tak aby np. pracownik nie wyłączył sprzętu komputerowego, usuwając przy tym całą zawartość informacji z pamięci RAM.
Pozycja siły? To się nie sprawdzi
Powyższe praktyki to tylko fragment tego jak działy cybersecurity mogą współpracować ze służbami IT tworząc synergie tych organów. Wzorowym zachowaniem świadomych „bezpieczników” jest nie podchodzenie do służb IT i innych pracowników z pozycji siły. Takie proste ludzkie zachowania, pomoc w pracy coodziennej, i dzięki ludzkim odruchom, mogą zwiększyć szanse na szybką i skuteczną reakcją na zagrożenia oraz zminimalizować skutki.
Przykładem tych prostych zachowań mogę wskazać jeden historyczny incydent, którym zarządzałem, gdzie pracownik terenowych służb IT pojawił się na miejscu w mgnieniu oka biegnąc przez cały (dość spory) teren organizacji ;)
