– SOC (ang. Security Operations Center) SIEM (Security Information and Event Management) są niezbędne dla każdej firmy, która troszczy się o bezpieczeństwo informacji – mówił w trakcie pierwszego dnia Exatel Security Day 2017 Jakub Syta, Dyrektor Biura Zarządzania Usługami Bezpieczeństwa w Exatel. Patronem medialnym wydarzenia jest BiznesAlert.pl.
Jego zdaniem ważne w tym kontekście są mechanizmy kontrolne.
– Aby SOC dobrze działał i przyniósł oczekiwane rezultaty powinien być dobrze skonfigurowany, na bieżąco utrzymywany i stale monitorowany – mówił przedstawiciel Exatela.
Przy czym zaznaczył, że mechanizmy kontrolne mogą przeszkadzać firmom.
– Mogą dawać fałszywe poczucie bezpieczeństwa, kosztują więcej niż wnoszą wartości, gromadzą dowody niedochowania należytej staranności – powiedział Syta.
Jego zdaniem o tym czy mechanizmy kontrolne są skuteczne dowiadujemy się wówczas gdy dochodzi do problemów, ataków. W tym kontekście zaznaczył, że najlepszym sposobem na sprawdzenie tego czy dany podmiot jest przygotowany do ataków jest przeprowadzenie symulacji takiego incydentu.
– Jeżeli firma nie jest w stanie tego zrobić bądź się przed tym obronić to świadczy, że coś jest nie tak ze skutecznością– mówił menedżer Exatela dodając przy tym, że bezpieczeństwo jest wieloaspektowym pojęciem.
W tym kontekście zaznaczył, iż przepis na dobry SOC to są przede wszystkim ludzie, technologie oraz wspomniane wcześniej procesy.
Zdaniem Jakuba Syty wdrożenie dobrego SOC polega m.in. na wykrywaniu i reagowaniu na kradzież informacji, instalacje złośliwego oprogramowania, modyfikację istotnych elementów do niecnych celów, ataki odmowy dostępu, nadużywanie uprawnień.
Stwierdził również, że proces ten napotyka na pewne trudności wśród których wskazał zapewnienie stałego monitorowania bez względu na porę dnia czy roku ponieważ przestępcy potrafią pracować o różnych godzinach i niekoniecznie w momencie gdy w danej firmie pracuje dział IT. Problemy pojawia się również w przypadku zapewnienia scenariuszy reagowania na różne incydenty, tak aby w przypadku wystąpienia określonej sytuacji każdy pracowni zachował się w taki sam sposób.
Problematyczna okazuje się również znajomość technologii, które są niezbędne do ochrony złożonej infrastruktury. W trakcie wystąpienia przedstawiciel Exatela wymienił kilka z nich m.in. anti ddos DLP, firewall, SSL Intercepr. Przy czym według niego wszystkie powinny być skupione wokół SIEM.
– W ramach systemów tej klasy mają miejsce korelacje. Kojarzone są wydarzenia jakie miały miejsce w rożnych punktach infrastruktury. Ponadto są miejscem gromadzeniach danych o wspomnianych wydarzeniach – powiedział Syta.
Jako najczęstsze trudności w tej kwestii wskazał m.in. .utwardzenie infrastruktury, integracja narzędzi,
– SOC jest przydatny ale kluczem do bezpieczeństwa jest infrastruktura i zapewnienie jej bezpieczeństwa. Ważne jest jej utwardzanie i monitorowanie monitorowanie zdarzeń a także reakcja na nie i wyciąganie wniosku tak aby jeszcze bardziej umocnić infrastruktury – mówił uczestnik konferencji.
Stwierdził również, że SOC to także mechanizm kontrolny.
– Po co budować SOC i prowadzić stały monitoring? Po pierwsze, jesteśmy coraz bardziej uzależnieni od nowych technologii, po drugie dochodzi do ataków. Przestępców nie interesuj ą godziny pracy działu IT, czy organizacja potrafi się ochronić, czy plany budżetowy zakłada inwestycje w zakresie cyberbezpieczeństwa, czy jest co kraść – podkreślał Syta dodając, że brak umiejętności w obszarze cyberzagrożeń nie jet usprawiedliwieniem dla braku podejmowania działań.