Spis treści:
Przygotowani ns bezpieczną pracę zdalną?
Cyberprzestępcy są zorganizowani i mają czas
SOC, czyli kompetencje ludzi, sprzęt i oprogramowanie
Chcesz być cyberbezpieczny? Zacznij od...
Przygotowani na bezpieczną pracę zdalną?
Dzisiaj praktycznie każda organizacja, szanująca nie tylko własne zasoby, ale także dane klientów i partnerów, ma kilka rodzajów zabezpieczeń takich jak firewall, IPS [Intrusion Prevention System], IDS [Intrusion Detection System], filtrowanie adresów URL i podejrzanych wiadomości e-mail oraz przyzwoite oprogramowanie antywirusowe. Są to właściwie podstawy, aby zapewnić w miarę spokojne korzystanie z sieci, choć do tej pory głównie rozumianej jako sieć lokalna. Sytuacja komplikuje się, gdy dostęp do danych nie jest ograniczony jedynie do pracowników z biur stacjonarnych i sieci lokalnej, ale coraz częściej jest otwarty także dla pracowników zdalnych, partnerów pracujących za pomocą zewnętrznych systemów, wykorzystujących urządzenia i aplikacje webowe i mobilne. Szczególnie w takiej sytuacji, trzeba zdać sobie sprawę z tego, że technologie, które znamy i wykorzystujemy, chronią przed tym, co znamy i przed czym potrafimy się bronić. Dodatkowo wiele firm traktuje bezpieczeństwo IT jako coś statycznego i zajmuje się nim wtedy, gdy jest na to czas, lub budżet lub gdy jest już naprawdę „gorąco”. Problem polega na tym, że zagrożenia w Internecie nie są ani statyczne, ani cyberprzestępcom nie brakuje chęci i zasobów do łamania kolejnych barier, a ryzyka często nie dotyczą jedynie możliwości nieautoryzowanego dostępu do danych, ale przede wszystkim grożą utratą reputacji firmy lub innych pozamaterialnych wartości, które mogą pośrednio odbić się na jej wycenie lub chociażby braku możliwości realizacji projektu lub inwestycji.
Cyberprzestępcy są zorganizowani i mają czas
Według opensecurity.pl: „Za dzisiejszym malwarem stoi prężnie funkcjonujący czarny rynek, na którym przebierać można w ofertach sprzedaży 0-dayów, exploitów, backdorów, a nawet gotowych botnetów składających się z tysięcy przejętych komputerów. Wszystko to ułatwia zorganizowanym grupom przestępczym prowadzenie szeroko zakrojonych kampanii phishingowych lub realizowania ataków ransomware …”. Operacje hackerskie inicjowane są zarówno z zewnątrz jak i z wewnątrz organizacji. Przy czym konkretne, właściwe ataki odbywają się w zupełnie innym terminie, często z wnętrza organizacji, kiedy atakujący podszywają się pod zautoryzowanych, legalnych użytkowników aplikacji i sieci. Z kolei według Microsoft, czas od momentu przejęcia przez atakującego kontroli nad pierwszym komputerem, do uzyskania praw administratora dających dostęp do wszystkich zasobów firmy, wynosił do 48 godzin. Natomiast wykrycie faktu, że padło się ofiarą skutecznego ataku zabierało firmom w zależności od branży do 150 dni. Innymi słowy, służby IT mają do 48 godzin na wykrycie faktu włamania, w przeciwnym wypadku może dojść do przejęcia pełnej kontroli nad infrastrukturą IT. Czas odgrywa tu kluczową rolę, bywa zatem tak, że standardowe działania lokalnych służb IT – odpowiedzialnych za wiele innych obszarów funkcjonowania firmy – są niewystarczające i po prostu spóźnione.
SOC, czyli kompetencje ludzi, sprzęt i oprogramowanie
W firmach, dla których bezpieczeństwo IT jest warunkiem ciągłości działania, pojawia się zatem potrzeba znalezienia kogoś lub – co bardziej prawdopodobne – zgromadzenia zespołu, który będzie w stanie monitorować sytuację i informować działy IT o wykrytych zagrożeniach. To właśnie Security Operations Center, w skrócie SOC. Celem zespołu SOC jest wykrywanie, analizowanie i reagowanie na incydenty związane z cyberbezpieczeństwem za pomocą kombinacji rozwiązań technologicznych i zestawu procesów.
Kluczowe obszary, za które odpowiada SOC:
- Proaktywne wykrywanie niepożądanej aktywności, aby jak najszybciej wiedzieć o incydentach i zminimalizować ich skutki,
- Szacowanie ryzyka – aby wskazać potencjalny cel ataku oraz minimalizować jego skutki,
- Zarządzanie podatnościami, aby mieć praktyczną wiedzę, co może być narażone na nowe zagrożenia,
- Świadomość kluczowych zasobów, systemów i użytkowników działających w monitorowanej organizacji, tak by być świadomym ich potencjalnych zagrożeń,
- Zarządzanie dziennikami zdarzeń, aby mieć możliwość dochodzenia źródeł i szacowania skali incydentu lub naruszenia.
Zbudowanie Security Operations Center to jednak spora inwestycja. Niezbędny jest zakup wydajnego i niezawodnego sprzętu do monitorowania logów, do tego dochodzi zestaw niezbędnego oprogramowania typu SIEM [Security Information and Event Management]. Niestety to dopiero początek wydatków … całość musi zostać uzupełniona o wykwalifikowany zespół specjalistów ds. bezpieczeństwa, którzy nie tylko są obecnie bardzo dobrze wynagradzani, ale przede wszystkim niezwykle trudno ich znaleźć, utrzymać i dbać o ich bieżące kwalifikacje.
Jak nietrudno się domyśleć, rozwiązaniem w takiej sytuacji może być skorzystanie z Security Operations Center utrzymywanego przez zewnętrznego dostawcę typu Managed Security Service Provider. Tego typu współpraca gwarantuje dostęp do specjalistycznej wiedzy i narzędzi w stopniu dostosowanym do potrzeb. Do ustalenia pozostaje zakres usługi w oparciu o zgłoszone do monitorowania zasoby oraz przebieg procesów i adresatów, do których wysyłane będą informacje o potencjalnych zagrożeniach i sugestie niezbędnych działań oraz tryb pracy w modelu 24/7 lub 8/5 w dni robocze, co ma wpływ na finalną stawkę abonamentu. A jeśli kiedyś zajdzie potrzeba zmian, rozbudowy, ale także ograniczenia skali działania, będzie można zrealizować to szybko i w prosty sposób. Elastyczność, dostępność i stabilność takiej formy współpracy to niewątpliwy atut i wygoda.
Chcesz być cyberbezpieczny? Zacznij od…
Współpraca z zewnętrznym Security Operations Center rozpoczyna się od podpisania non-disclosure agreement [NDA]. Kolejnym krokiem jest wykonanie audytu bezpieczeństwa infrastruktury IT, który trwa od 2 do 4 dni roboczych (dokładny czas zależy od zakresu i stopnia skomplikowania środowiska IT badanej firmy). Powstały na tej podstawie raport z wnioskami, po zaszyfrowaniu przekazywany jest klientowi oraz odbywa się rozmowa doradcza, na której przedstawiane są rekomendacje dotyczące podjęcia niezbędnych działań lub aktualizacji polityk bezpieczeństwa firmy. Jest to standardowe działanie przed przejściem do następnego kroku proaktywnej ochrony, który polega na monitorowaniu logów z kluczowych urządzeń i systemów IT przez udostępniony w formie usługi system SIEM dostawcy, który czuwa nad bezpieczeństwem organizacji. Proces aktywnej ochrony polega na ciągłej analizie zdarzeń w infrastrukturze IT klienta, a w przypadku pojawiania się anomalii, zagrożeń lub sytuacji nietypowych przekazuje powiadomienia i zalecenia od inżynierów bezpieczeństwa działu SOC usługodawcy - dowiedz się więcej o usługach Bezpieczeństwa IT.
