Intr-o lume in care amenintarile informatice evolueaza de la o zi la urmatoarea nu se mai pune problema “daca” o companie va suferi un incident de securitate, ci mai degraba “cand” se va intampla acest lucru.
Companiile care tintesc sa aiba un plan de raspuns la incidentele de securitate trebuie acopere trei elemente cheie: experti in securitate, procese si tehnologii. Aceste trei elemente aduse impreuna formeaza un SOC – Security Operations Center.
Un SOC indeplineste multe roluri in strategia de aparare a organizatiei:
- Managementul si monitorizarea sistemelor de securitate (stabilirea unei referinte pentru ce inseamna comportamentul normal al retelei, aplicatiilor si serviciilor)
- Detectarea activitatii neobisnuite indiferent de cand are loc aceasta
- Colectarea, trierea si parsarea alertelor si a logurilor din retea folosind sisteme de tip SIEM (Security Information and Event Management)
- Identificarea si analizarea amenintarilor informatice
- Combaterea incidentelor de securitate
- Minimizarea efectelor incidentului de securitate si remedierea sistemelor afectat
- Verificarea starii de complianta cu reglementarile si legislatiile in vigoare specifice domeniului de activtate al organizatiei
- Alte sarcini administrative care tine de securitatea organizatiei
Cand vine vorba de SecOps, viteza si eficienta sunt doua componente vitale care fac diferenta intre un eveniment minor si o bresa de date catastrofica. Cei doi parametrii de mai sus reprezinta doua metrici importante pentru un SOC – mean time to detect MTTD (timpul mediu de detectie al unui incident de securitate) si mean time to response/recovery MTTR (timpul mediu de remediere dupa un incident de securitate). Cu cat aceste metrici sunt mai mici numerice, cu atat organizatia este mai bine protejata. Insa un SOC se confrunta cu dificultati care pot schimba in mod negativ valorile acestor metrici:
- Oboseala cauzata de numarul mare de alerte. Un analist SOC isi petrece mare parte din timp incercand sa identifice alerte reale de cele fals positive. Centrele SOC moderne dispun de tool-uri de automatizare care folosesc algoritmi de machine learning si AI pentru a automatiza trierea si prioritizarea alertelor care chiar ar putea indica o bresa de securitate
O lipsa de profesionisti in domeniu – un SOC trebuie sa acopere multe aspecte din securitatea organizatiei:
- Testarea si validarea regulilor de firewall
- Gestionarea platforme de endpoint protection
- Operarea SIEM-urilor
- Analizarea de malware si reverse engineering
- Data loss prevention
- OSINT – open source intelligence
Pentru fiecare in parte este nevoie de un specialist, dar de cele mai multe ori SOC-ul nu va putea avea oameni pe fiecare pozitie, si nu la un nivel corespunzator. Oamenii buni sunt greu de gasit si si mai greu de pastrat, iar cresterea unor juniori este un process consumator de timp si de buget. Asa ca, inevitabil, organizatia va fi susceptibila in anumite momente la anumite atacuri informatice: ransomware, phishing, inginerie sociala si altele.
- Costul asociat cu construirea si intretinerea SOC-ului:
- Membrii echipei trebuie sa fie instruiti periodic pentru a fi la zi cu cele mai noi tactici, tehnici si procedure utilizate de hackeri in atacurile lor
- Uneltele folosite trebuie si ele actualizate la zi, licentiate si scalate in concordata cu dimensiunile organizatiei
Multe organizatii aleg sa isi construiasca un SOC in-house si sa se ocupe de toate lucrurile necesare, insa acestea sunt organizatiile care isi permit sa investeasca timp si buget intr-o solutie administrate in regim propriu. Multe alte organizatii, mai mici, aleg un model de “SOC as a Service” ca alternativa mult mai sustenabila, apeland la expertiza vasta unor profesionisti dedicati acestei ramuri a securitatii fara a investi sume colosale de bani intr-o solutie domestica.
Mihai Dumitrascu, Sr Systems Engineer