Má SIEM bez SOC význam? Nie, kľúčovým pilierom sú ľudia
S rastúcim počtom kybernetických útokov, pribúdajúcimi zraniteľnosťami a geopolitickými hrozbami, sa pod tlakom menia aj zákony nútiace spoločnosti investovať do kybernetickej bezpečnosti. Kto nezaspal, uvedomoval si riziká a investoval do IT bezpečnosti, je o krok vpred. Ostatní musia dohnať zameškané a naplniť tak zákonné požiadavky. Našťastie je tu riešenie.
S blížiacim sa implementovaním novej regulácie NIS2 do našich zákonov, rastie aj dopyt po technických riešeniach, ktoré by mali uspokojiť požiadavky tejto smernice. Pre väčšinu spoločností, ktoré to s bezpečnostným monitoringom myslia vážne, bude nasadenie SIEM riešenia samozrejmosťou. A pre tie, ktoré chcú na bezpečnostné upozornenia aj proaktívne reagovať, bude samozrejmosťou SOC (Security Operations Center).
PREČO NESTAČÍ MAŤ LEN SIEM?
Vladimír Frčo, SOC bezpečnostný špecialista zo spoločnosti Alanata má v tejto téme jasno: „Nechcem vás sklamať, ale SIEM nie je zázračný nástroj, ktorý za vás vyrieši všetky problémy bezpečnosti. Už jeho nasadenie si vyžaduje pomerne veľké úsilie, hlavne, ak integrujete neštandardné zdroje dát. Potrebné sú aj bohaté skúsenosti z viacerých oblastí IT bezpečnosti. Ak aj SIEM postavíte sami a dotiahnete jeho funkcionalitu do dokonalosti, všetko vám bude nanič, pokiaľ na jeho upozornenia nebude mať kto reagovať. SIEM sa tak stane drahým inventárom vo vašom portfóliu bezpečnostných produktov.“
ZÁKLADOM JE VYBUDOVANIE BEZPEČNOSTNÉHO OPERAČNÉHO STREDISKA
Hlavnou súčasťou SOC – Security Operations Center sú špecialisti na kybernetickú bezpečnosť, ktorí sledujú prichádzajúce upozornenia zo SIEM a reagujú na ne. Vladimír Frčo konštatuje, že SIEM nemusí byť jediný technický prostriedok v rukách SOC špecialistov: „Na to, aby pracovníci operačného centra mohli pracovať rýchlo a efektívne, potrebujú používať aj ďalšie nástroje.“
Medzi odporúčané nástroje patrí napríklad SOAR (Security Orchestration, Automation and Response). „Tento nástroj pomáha špecialistom automatizovať repetitívne činnosti ako je analýza IOC (Indicator of Compromise), vykonáva triáž, uľahčuje zakladanie bezpečnostných incidentov, vykonáva automatické úlohy na pripojených systémoch alebo reportuje o svojej činnosti,“ vysvetľuje Vladimír Frčo.
Ďalšie benefity SOAR:
- zníženie záťaže zamestnancov
- zvýšená efektívnosť
- štandardizácia postupov
- zlepšená rýchlosť reakcie
- jednoduchá integrácia nástrojov
- zlepšená analýza a správa
- nízke prevádzkové náklady
Okrem technických prostriedkov potrebuje SOC aj kvalitne popísané procesy. Každá situácia vyžaduje individuálny prístup, ktorý by mal byť popísaný v dokumentácii. Proces, ktorý unifikovane rieši vzniknuté situácie je možné preniesť do SOAR platformy. Tak sa zabezpečí jednotný postup pre riešenie každého bezpečnostného upozornenia alebo incidentu.
Zdroj: Alanata a. s.
KVALITNÝ SOC STOJÍ NA TROCH PILIEROCH
Kým technológie sa dajú zakúpiť, nájsť skúsených odborníkov na trhu práce je v dnešnej dobe nesmierne náročné. Taktiež aj tvorba procesov vyžaduje čas a skúsenosti. Logickým riešením pre túto situáciu je zakúpenie SOC ako služby (SOCaaS – SOC as a Service). SOCaaS prináša nielen úsporu ľudských zdrojov, finančnú úsporu na nákup licencií, ale aj nákup okamžitého know-how v oblasti bezpečnosti. Kvalitný SOC teda stojí na ľuďoch, technológiách a procesoch.
Zobrazit Galériu