CZYM JEST SECURITY OPERATIONS CENTER (SOC)?

Naruszenia danych kosztują organizacje średnio miliony dolarów. W swoim raporcie "2020 Cost of a Data Breach Report" firma IBM stwierdziła, że naruszenie danych kosztowało przeciętną organizację 3,86 miliona dolarów. Cena ta była jeszcze wyższa w przypadku organizacji zlokalizowanych w Stanach Zjednoczonych i działających w branży opieki zdrowotnej i wynosiła odpowiednio 8,64 mln dolarów i 7,13 mln dolarów.

Co kryje się za tą ceną, pytacie?

Może to być fakt, że według IBM zidentyfikowanie i opanowanie naruszenia zajmuje organizacjom średnio 280 dni. Ujmijmy to w ten sposób: cyfrowi napastnicy mieli prawie rok na ukrycie się w systemach i sieciach swoich ofiar. To wystarczająco dużo czasu, aby odkryć i przenieść się do krytycznych zasobów biznesowych, w którym to momencie mogą przenieść poufne informacje. Takie szkodliwe działania ostatecznie przekładają się na koszty odzyskiwania danych, kary za naruszenie przepisów i opłaty prawne.

Wartość SOC

Organizacje potrzebują sposobu, aby poprawić swoją zdolność do wykrywania incydentów na czas. W tym celu, mogą rozważyć stworzenie Security Operations Center (SOC), aby proaktywnie monitorować bezpieczeństwo swoich organizacji. SOC może składać się z fizycznej lokalizacji w której analitycy SOC nadzorują zdolność pracodawcy do bezpiecznego działania, zauważa CompTIA, lub może to być po prostu zespół ekspertów odpowiedzialnych za zapewnienie tej samej funkcji bezpieczeństwa.

Analitycy SOC zazwyczaj wykonują ten sam rodzaj pracy w obu konfiguracjach. Ich obowiązki sięgają od proaktywnego monitorowania zagrożeń za pomocą analizy logów po usuwanie podatności i koordynowanie planu reagowania na incydenty. Wszystko to dzieje się w ramach scentralizowanej jednostki biznesowej.

SOC jako takie przynoszą organizacjom pewne korzyści. Jedną z najważniejszych jest ciągła ochrona. Chodzi o to, aby SOC było obsadzone przez cały czas, tak aby mogło monitorować sieć i/lub obiekt organizacji 24/7, wyjaśnia Cyber Defense Magazine. Ten rodzaj ochrony pomaga zminimalizować czas reakcji i przyspieszyć proces analizy. W konsekwencji, SOC są wyposażone tak, aby zbadać problem bezpieczeństwa zanim przerodzi się on w naruszenie danych, oszczędzając w ten sposób czas i pieniądze organizacji.

Przezwyciężanie wyzwań stojących przed dzisiejszymi SOC

Ważne jest, aby pamiętać, że są pewne rzeczy, które stoją na drodze organizacji do stworzenia efektywnego SOC. Jak zauważa EC-Council, organizacje walczą z luką w umiejętnościach w zakresie cyberbezpieczeństwa, aby znaleźć utalentowanych specjalistów, którzy mogliby pracować w ich SOC. Bez tych wykwalifikowanych pracowników, SOC mogą nie posiadać niezbędnej wiedzy specjalistycznej do korelowania danych o zagrożeniach i usprawniania krytycznych funkcji bezpieczeństwa.

Istnieje również wyzwanie związane z poszukiwaniem narzędzi. Analitycy SOC potrzebują solidnych rozwiązań, które pomogą im w wykrywaniu i zarządzaniu problemami bezpieczeństwa, jeśli chcą zapobiec naruszeniu danych. Kupując coś dla swoich SOC, organizacje muszą oprzeć się chęci reagowania i zamiast tego przyjąć strategiczne podejście do swoich inwestycji w bezpieczeństwo.

"Większość organizacji rozpoczyna swoją podróż po SOC od oceny istniejących mechanizmów kontroli bezpieczeństwa" - zauważa Gartner. "Kiedy czują potrzebę zakupu specjalistycznego narzędzia, stają przed paradoksem wyboru i zbyt wieloma możliwościami na rynku. Gartner zauważa, że wiele organizacji wybiera narzędzie głównie w celu rozwiązania ostatniego incydentu bezpieczeństwa, ponieważ otrzymują budżet zaraz po zdarzeniu. Mają mandat, aby 'upewnić się, że to się nigdy nie powtórzy' i wybierają najkrótszą ścieżkę."

Organizacje mogą zareagować, grając na dłuższą metę i współpracując z zaufanym dostawcą, takim jak Tripwire. Wszystkie jego rozwiązania mogą pomóc analitykom SOC w wypełnianiu ich podstawowych obowiązków. Weźmy na przykład Tripwire Enterprise.

Może on monitorować wszystkie zasoby (Systemy Operacyjne, Urządzenia Sieciowe, Usługi Katalogowe, Bazy Danych i Infrastrukturę Wirtualną) pod kątem zmian i alarmować w przypadku wykrycia jakiejkolwiek zmiany. Dodajmy do tego możliwość oceny systemów pod kątem zgodności z normami branżowymi, takimi jak CIS, NIST i ISO, a organizacje otrzymają rozwiązanie, które może rzucić światło na systemy wymagające uwagi. Aplikacje Tripwire Enterprise Apps (TEIF, DSR i Event Sender) integrują się z wiodącymi narzędziami zarządzania zmianami ITIL w celu identyfikacji zmian (promowania zmian autoryzowanych i zgłaszania nieautoryzowanych), zatwierdzania zmian w związku z łataniem systemu operacyjnego oraz wysyłania szczegółowych danych dziennika do SEIM w celu analizy.

Korzyści płynące z oferty Tripwire dla zespołów SOC nie kończą się na tym. Rozważmy następujące kwestie:

• Tripwire IP360, rozwiązanie Tripwire do zarządzania podatnościami, skanuje Twoje sieci i zbiera dane agentów, aby ocenić systemy pod kątem podatności. Zebrane dane, zasilane przez Tripwire's VERT Team, są następnie prezentowane wraz z oceną ryzyka opartą na wielu czynnikach zaobserwowanych na temat podatności wykrytych w świecie rzeczywistym. IP360 posiada również możliwość wykrywania zasobów znajdujących się w Twojej sieci.

• Tripwire Log Center jest narzędziem do zarządzania logami, które może pobierać i normalizować zdarzenia z urządzeń i wdrożonych agentów. Następnie może generować alerty w oparciu o reguły korelacji, które mogą być dostosowane do danego środowiska.

• Rozwiązania Tripwire dla Przemysłowych Systemów Sterowania nasłuchują ruchu w sieci, aby pomóc w identyfikacji zagrożeń. W połączeniu z Tripwire Log Center, daje to organizacjom możliwość przechwytywania, normalizowania i alarmowania o odchyleniach od stanu wyjściowego.

Autor: DAVID GILMORE