„Blue Bridge“ SOC paslaugos

SOC (Saugumo operacijų centras) – tai specializuotas kompetencijas turinti specialistų komanda, tam skirtos specifinės technologijos ir aiškiai apibrėžti darbo procesai, skirti nuolat stebėti, aptikti ir reaguoti į kibernetinius incidentus organizacijoje.

Saugumo operacijų centro paslaugos reikalingos organizacijoms, kurios nori ženkliai padidinti IT sistemų apsaugą nuo grėsmių ir sumažinti kibernetinių atakų riziką.

Saugumo operacijų centras, veikiantis 9/5,veikia darbo valandomis, o 24/7 SOC užtikrina nenutrūkstamą stebėseną visą parą, kas ypač svarbu didesnėms ar kritinės infrastruktūros įmonėms.

Nors dažnu atveju SOC paslaugų  pakanka standartinėmis darbo valandomis, jei aktyviai vykdote veiklą naktimis ir Jūsų IT komanda taip pat dirba visą naktį, tuomet verta pasvarstyti ir 24/7 variantą.

Taip, SOC padeda atitikti NIS2 direktyvos reikalavimus, nes užtikrina incidentų aptikimą, reagavimą ir tinkamą atskaitomybę. SOC paslaugos apima didelę dalį NIS2 reikalavimų ir yra būtinos tinkamam NIS2 reikalavimų atitikimui.

Saugumo operacijų centro paslaugos naudingos visoms organizacijoms, kurioms svarbus duomenų saugumas ir veiklos tęstinumas – nuo valstybinių institucijų iki privačių įmonių, ypač turinčių kritinius IT resursus.

Pasauliniai tyrimai rodo, kad organizacijos, neturinčios SOC, saugumo incidentus aptinka per vidutiniškai 200 dienų. Dažnai tai per šį laikotarpį patiriama kibernetinio saugumo žala. Turint SOC funkciją savo organizacijoje, incidentų aptikimo terminas trumpėja iki kelių valandų ar kelių dienų.

Saugumo operacijų centro komanda aptinka pačius pirmuosius įsilaužėlių bandymus veikti, juos užkardo, užkerta kelią įgyvendinti visą atakos grandinėlę bei padaryti žalą. organizacijai.

Saugumo operacijų centras padeda laiku aptikti grėsmes, užkirsti kelią incidentams ir sumažinti žalos mastą, taip pat padeda užtikrinti atitiktį saugumo standartams.

SOC sprendimas pritaikomas pagal organizacijos IT infrastruktūrą, rizikas ir specifinius saugumo poreikius. ,,Blue Bridge” Saugumo operacijų centro paslaugų krepšelis yra pritaikytas įvairaus dydžio organizacijoms, nepriklausomai nuo jų veiklos pobūdžio.

Šiuolaikiniai SOC įrankiai dengia praktiškai visus atakos vektorius, tad SOC paslaugos apimtys priklauso nuo organizacijos reikalavimų kibernetiniam saugumui ir numatomo biudžeto.

Diegimo trukmė priklauso nuo infrastruktūros dydžio ir pasirengimo – paprastai tai trunka du – tris mėnesius.

Saugumo operacijų centras ne tik aptinka kibernetines grėsmes, bet ir realiu laiku reaguoja į incidentus taip užkirsdamas kelią žalos plitimui ir šimtais kartų sumažindamas riziką verslui.

Visgi, svarbu suprasti, kad kibernetinio saugumo pasaulyje neegzistuoja ,,visiška apsauga”. Kiekviena priemonė sumažina riziką patirti nuostolius, susijusius su kibernetiniais incidentais, tačiau ,,visiškai” neeliminuoja.

Įsilaužėliai (Raudonoji komanda, angl. Red team) nuolatos tobulina įsilaužimo metodikas, o SOC (Mėlynoji komanda, angl. Blue team) nuolatos tobulina savo gebėjimus įsilaužimo metodus aptikti ir užkardyti.

SIEM (angl. Security Information and Event Management) – tai technologija, kaupianti ir analizuojanti saugumo įvykius, o SOC – tai žmonių, procesų ir įrankių visuma, kuri naudoja SIEM ir kitus sprendimus grėsmių valdymui.

Saugumo operacijų centro funkcijos apima:

• saugumo įvykių stebėjimą,
• incidentų analizę,
• reagavimą į grėsmes,
• pažeidžiamumų valdymą,
• komunikaciją su suinteresuotomis šalimis bei NKSC,
• pat saugumo tobulinimą.

Saugumo operacijų centras:

• trumpina saugumo incidentų aptikimo laiką nuo 200 dienų iki kelių valandų ar dienų,
• padeda stiprinti nuolatinę IT infrastruktūros apsaugą,
• mažina vidinės komandos krūvį,
• jeigu saugumo incidentas visgi įvyksta, turi priemones tiksliai nustatyti saugumo incidento mastą, įsilaužėlių veiksmus ir visas paveiktas sistemas.

Saugumo operacijų centras  yra kertinis saugumo elementas, užtikrinantis grėsmių stebėseną, aptikimą ir reagavimą, tačiau norint pasiekti visapusišką apsaugą, įmonė turi įgyvendinti platesnį kibernetinio saugumo ekosistemos požiūrį.

Be SOC veiklos, organizacijai būtina:

• Apsaugoti tinklo infrastruktūrą – naudoti ugniasienes (angl. firewall), įsilaužimų aptikimo ir prevencijos sistemas (IDS/IPS), segmentuoti tinklus.
• Apsaugoti galinius įrenginius (angl. endpoint) – diegti pažangius EDR/XDR sprendimus (SentinelOne, Microsoft Defender XDR), užtikrinti reguliarų atnaujinimų valdymą ir politikų kontrolę.
• Sustiprinti prieigos valdymą – taikyti daugiapakopį autentifikavimą (MFA), privilegijuotų paskyrų valdymą (angl. PAM, Privileged access management), principą „mažiausios teisės“ (angl. Least Privilege).
• Apsaugoti duomenis ir debesijos aplinkas – naudoti duomenų šifravimą, DLP (Data Loss Prevention) sprendimus, saugumo kontrolę debesijos paslaugose.
• Kelti darbuotojų kibernetinio raštingumo lygį – organizuoti mokymus apie socialinę inžineriją, sukčiavimą el. paštu (angl. phishing) ir saugų elgesį internete.
• Laikytis informacinės higienos ir saugaus elgesio darbe principų – nepalikinėti užrašytų slaptažodžių, nenaudoti darbo įrangos neapsaugotuose tinkluose, atsitraukiant nuo kompiuterio užrakinti paskyrą.
• Turėti atsarginių kopijų ir atkūrimo planą – užtikrinti atsarginių duomenų kopijų darymą bei testuoti atkūrimo scenarijus.
• Valdyti pažeidžiamumus ir atitiktį – reguliariai atlikti saugumo auditus, testavimus (pvz., penetration testing), atitikti standartus (pvz., ISO 27001, NIS2).

Tik šių priemonių visuma kartu su veikiančiu SOC leidžia įmonei sukurti tvirtą, daugiasluoksnę apsaugą nuo šiuolaikinių kibernetinių grėsmių.

Svarbiausi kriterijai:

• reagavimo greitis,
• grėsmių aptikimo plotis,
• komandos sudėtis ir kompetencija,
• pažangūs įrankiai (pvz., SIEM, XDR),
• gebėjimas tirti incidentus.

 Svarbu suprasti, kad gerai dirbantis SOC nuo prastai dirbančio SOC skiriasi ne naudojamomis technologijomis, o kaip funkcionuoja komanda ir kokias kompetencijas ji turi.

Aiškūs ir gerai aprašyti procesai bei aukšta darbuotojų kvalifikacija yra esminiai skiriamieji bruožai, jeigu du Saugumo Operacijų Centrai atlieka savo darbą su tais pačiais įrankiais.

Reikėtų įvertinti:

• tiekėjo patirtį,
• reagavimo greitį,
• grėsmių aptikimo plotį,
• komandos sudėtį ir kompetenciją,
• įrankių pažangumą (pvz., SIEM, XDR),
• gebėjimą ir kvalifikaciją tirti incidentus,
• naudojamas technologijas,
• ataskaitų kokybę,
• paslaugos pritaikomumą organizacijos poreikiams.