Axians IT/OT SOC

Zdarma 2/2022 Zobrazení: 298
Axians IT/OT SOC

Kybernetické útoky a bezpečnostní incidenty se staly běžnou součástí každodenního života většiny společností. Ochrana perimetru patří mezi již překonaná paradigmata. Schopnost detekce bezpečnostních incidentů a rychlá a odpovídající reakce na ně je klíčovou dovedností pro zajištění kybernetické bezpečnosti. Axians IT/OT SOC tuto detekci a reakci na bezpečnostní incidenty umožňuje, nabízí ovšem mnohem více.

Kybernetické dohledové centrum        Security Operations Center       bezpečnostní monitoring        reakce na incidenty          SOC

Jakou roli hraje SOC ve společnosti?

Kybernetické dohledové centrum (angl. Security Operations Center, SOC) je centrální bezpečnostní jednotka, která má ve společnosti na starosti odhalování bezpečnostních incidentů a reakci na ně. Základními stavebními kameny jsou technologie, lidé a procesy. Mezi hlavní činnosti SOC týmu patří:

  • Bezpečnostní monitoring: jedná se o centrální sběr logů ze všech dostupných prvků, od koncových uživatelských zařízení, přes síťové prvky a databáze, až po bezpečnostní systémy, jako jsou firewally, EDR (end point detection and response), IDS (intrusion detection system) systémy, nebo dokonce systémy pro správu zranitelností. Tyto logy jsou analyzovány a korelovány s cílem odhalení bezpečnostních incidentů.
  • Reakce na incident a obnova: cílem není pouze detekce bezpečnostního incidentu, ale především zajištění, že jeho dopad na činnost společnosti bude minimální a všechny klíčové systémy budou funkční a dostupné.
  • Proaktivní eliminace zranitelností a zvyšování bezpečnosti: cílem SOC týmu je celkové zlepšení kybernetické bezpečnosti v organizaci. Na základě analyzovaných dat může tým navrhovat procesní vylepšení, například změny v procesu správy aktualizací na základě aktuálního stavu a trendů v počtu přítomných zranitelností na kritických systémech.
  • Soulad se standardy a zákony: v rámci významných kybernetických incidentů plní SOC koordinační roli nejen v rámci organizace, ale zajišťuje spolupráci s dalšími partnery. Například spolupráci s NÚKIB v případě povinnosti hlásit bezpečnostní incidenty podle Zákona o kybernetické bezpečnosti.

Detailní představení SOC a jeho činností bylo uvedeno v čísle DSM 02/2018. Mnohé společnosti stojí před rozhodnutím, zda vybudovat SOC tým přímo v rámci organizace, nebo si zakoupit řešení v rámci poskytování SOC jako služby. Přestože má první varianta nesporné výhody, hlavní problémy spočívají především ve vysokých nákladech a v nedostatku odborníků na trhu práce. Box 1 nabízí srovnání klíčových parametrů interního SOC a SOC jako služby. Níže se pak budeme zabývat variantou SOC jako služba a výhodami, které nabízí.

Screenshot 2022 06 18 at 09.51.30

Axians IT/OT SOC jako služba

Společnost Axians nabízí SOC jako službu a v současné době provozuje jeden z největších SOC týmů v České republice.

Přestože byla služba oficiálně spuštěna teprve minulý rok, tým dokáže nabídnout plné spektrum služeb od bezpečnostního monitoringu, přes řešení incidentů, až po vysoce odborné služby forenzní analýzy, analýzy malwaru a threat huntingu. Tým sídlí v Brně a v Basileji.

Jak už název napovídá, Axians IT/OT SOC se nezaměřuje pouze na klasické IT prostředí. Zkratka OT (operations technologies) v názvu označuje výrobní řídící systémy, do kterých se řadí např. i systémy SCADA (Supervisory Control And Data Acquisition). Mezi aktuální trendy patří právě sbližování dříve striktně oddělených světů firemních IT systémů a výrobních a řídících systémů. O průmyslu 4.0 a o bezpečnosti OT systémů si můžete přečíst více v DSM 01/2021 a DSM 03/2018. Právě na tyto trendy reagujeme a naší službou jsme schopni pokrýt IT i OT infrastrukturu. V OT oblasti se řídíme především standardem NIST SP 800-821.

Screenshot 2022 06 18 at 09.52.02Obr. 1: Proces sběru dat a řešení incidentu

Outsourcing služby SOC vyžaduje blízkou spolupráci mezi zákazníkem a dodavatelem služby. V nejběžnějším formátu spolupráce je dodavatel SOC služby odpovědný za bezpečnostní monitoring a identifikaci bezpečnostních incidentů. Po identifikaci incidentu probíhá jeho detailní analýza, triage (kategorizace a prioritizace) a návrh konkrétních kroků pro řešení incidentu. Zákazník a jeho interní tým je následně odpovědný za realizaci navržených opatření ve své infrastruktuře. Dodavatelský SOC tým neprovádí žádné aktivní zásahy v infrastruktuře zákazníka. Obr. 1 detailně popisuje celý životní cyklus bezpečnostního incidentu.

Axians IT/OT SOC je postaven na technologii Radar Services2. Nejedná se pouze o běžné řešení typu SIEM, ale o celý soubor nástrojů. Axians SOC platforma se skládá z několika modulů, které je možné přizpůsobit požadavkům zákazníka. Kromě základního sběru bezpečnostních logů je možné dodat také modul analýzy síťového provozu, jenž umožňuje v reálném čase odhalovat anomálie a rizika na základě signatur a behaviorálních detekčních mechanismů.

Celková architektura řešení je popsána na Obrázku 2. Ta navíc integruje dvě dodatečné služby, řízení zranitelností (Vulnerability Management) a systém pro ochranu koncových zařízení (extended detection and response, XDR). Systém pro řízení zranitelností je základní proaktivní službou, která umožňuje eliminaci slabých míst infrastruktury zákazníka ještě před jejich zneužitím. V kombinaci se službou SOC navíc umožňuje efektivní identifikaci vektoru útoku analyzovaného bezpečnostního incidentu. Služba ochrany koncových zařízení je cenným zdrojem dat pro SOC, umožňuje detailní monitoring (logování) aktivity na koncových zařízeních a to včetně činností operačního sytému, každé aplikace a také monitoring síťové komunikace. V případě identifikace incidentu umožňuje vzdálený sběr dat pro forenzní analýzu a také hromadnou reakci na incident (např. izolace napadených zařízení nebo provedení nápravných akcí). Ze všech analyzovaných dat jsou pravidelně vytvářeny přizpůsobené reporty na zákaznickém panelu.

schema soc Kreslicí plátno 1 Kreslicí plátno 1Obr. 2: Architektura Axians IT/OT SOC

Celá platforma umožňuje efektivní provoz kybernetického dohledového centra, včetně tiketovacího nástroje a rozsáhlé škály moderních analytických nástrojů. Další výhodou řešení je specifické zaměření a podpora OT prostředí a sběru všech relevantních dat, včetně podpory proprietárních průmyslových protokolů.

Screenshot 2022 06 18 at 09.50.19Obr. 3: Zákaznický příklad z praxe

Závěr

SOC je jedním ze základních prvků kybernetické bezpečnosti ve společnosti, který umožňuje efektivní odhalení bezpečnostních incidentů a reakci na ně. Provozování interního SOC týmu může být velmi nákladné a představuje velké množství výzev, které je potřeba zvládnout. Efektivní možností je nákup SOC jako služby. Axians IT/OT SOC disponuje kvalitním týmem odborníků a nabízí několik dalších klíčových služeb. Pokud Vás SOC jako služba zaujal, neváhejte se na nás obrátit s dalšími dotazy na Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript..

Screenshot 2022 06 18 at 09.49.34Obr. 4: Axians IT/OT Security Operations Center (SOC)

Screenshot 2022 06 18 at 09.49.59Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. 

Poznámky pod čarou:

  1. https://csrc.nist.gov/publications/detail/sp/800-82/rev-3/draft
  2. https://www.radarcs.com/
Vytisknout