Usługa SOC (Security Operations Center) sama w sobie nie chroni przed żadnymi konkretnymi typami ataków (jak. np. firewalle, IPSy, WAFy czy systemy antyddos). Jednak dzięki stałemu monitorowaniu bezpieczeństwa zapewnia ona możliwość szybkiej identyfikacji pewnych odstęp (anomalii) np. w zakresie zachowań użytkowników, ruchu sieciowego, czy zapytań do aplikacji. Dzięki temu, w przypadku wystąpienia rzeczywistego incydentu, możliwa jest szybka reakcja i minimalizacja potencjalnych konsekwencji cyberataku.

Na cenę usługi SOC (Security Operations Center) ma wpływ kilka zasadniczych elementów:

• liczba generowanych przez system SIEM alertów / dobę do obsłużenia
• liczba potwierdzonych incydentów bezpieczeństwa / dobę do mitygacji
• liczba monitorowanych źródeł - system SIEM – kliencki vs dostarczony przez Netię
• ilość danych (GB/dobę) lub zdarzeń na sekundę (Events per Second) generowanych przez źródła do systemu SIEM - zakres czasowy świadczenia usługi (np. 24/7/365 vs tylko monitoring poza godzinami roboczymi i w dni wolne od pracy)

- wariant usługi (pełny SOC vs SOC Lite; monitoring vs monitoring + obsługa incydentów)
- poziom SLA - długość kontraktu

Źródłem jest każdy element infrastruktury teleinformatycznej (w tym aplikacje), który potrafi wygenerować i przesłać log – informację o danym zdarzeniu.

System SIEM to podstawowe narzędzie pracy każdego SOC. System ten zbiera logi z monitorowanych źródeł, dokonuje ich agregacji i normalizacji (wystandaryzowania), a następnie, na bazie zaimplementowanych w nim reguł, dokonuje korelacji logów. Na podstawie tych korelacji generowane są alarmy, które następnie są weryfikowane przez zespół analityków SOC.

Pracownicy pierwszej linii wsparcia SOC (analitycy SIEM) podejmują generowane alarmy w celu ich weryfikacji. Większość pojawiających się alarmów to tzw. fałszywe alarmy, tylko niektóre dotyczą rzeczywistych incydentów bezpieczeństwa. Jeśli potwierdzi się, że dany alarm dotyczył incydentu bezpieczeństwa, zakładany jest tzw. ticket w celu właściwej obsługi danego incydentu, a także nadawany jest mu poziom istotności (krytyczności). Incydenty o najwyższym poziomie krytyczności (np. trwający wyciek danych, kampania ransomware) obsługiwane są z wyższym priorytetem niż incydenty typu kampania SPAM czy skanowanie sieciowe organizacji. W celu obsługi incydentu analityk SOC musi często pozyskać dodatkowe informacje – np. zagłębiając się w dane detaliczne (logi) czy kontaktując się z osobą odpowiedzialną za bezpieczeństwo po stronie klienta.

Najprostsze incydenty obsługiwane są na 1 linii wsparcia SOC, jednak, w przypadku niektórych bardziej zaawansowanych przypadków, niezbędne jest wsparcie 2 i 3 linii SOC.

Po rozwiązaniu problemu (tzw. mitygacji incydentu), bilet problemy (ticket) jest zamykany.

Tak, możemy świadczyć usługę w takim modelu. Możemy pracować bezpośrednio na systemie SIEM klienta lub zintegrować go z systemami SIEM Netii.

Dla mniejszych lub mniej wymagających klientów implementujemy zazwyczaj kilka-kilkanaście generycznych scenariuszy korelacji (np. anomalie ruchu sieciowego, wielokrotne nieudane logowanie). Ich zakres pozwala na pokrycie monitoringiem SOC większości najczęściej pojawiających się incydentów. Obecnie posiadamy w ofercie zdefiniowanych około 100 generycznych scenariuszy – do natychmiastowej implementacji w systemie SIEM.

Dla większych podmiotów przygotowujemy dedykowane scenariusze, uwzględniające specyfikę ich branży, wielkość zatrudnienia, wielkość i stopień skomplikowania infrastruktury teleinformatycznej, specyficzne potrzeby i wymagania klienta.

Nie, nie istnieje coś takiego jak całkowite bezpieczeństwo teleinformatyczne. Cyberprzestępczość przybiera coraz bardziej profesjonalne formy, metody przeprowadzenia ataków i wykorzystywane w nich narzędzia ewoluują przez co trudniej jest skutecznie chronić się przed cyberatakami. Skuteczność ataku jest wypadkową czasu i możliwości finansowych atakującego i zawsze znajdzie się jakiś sposób przeprowadzenia takiego ataku.

Każde rozwiązanie czy usługa bezpieczeństwa ICT (w tym SOC) minimalizuje ryzyko wystąpienia ataku, a także zmniejsza ryzyko jego skuteczności, a w konsekwencji – znacząco redukuje ryzyko potencjalnych strat finansowych, wizerunkowych czy prawnych.

Istnieją 3 zasadnicze modele świadczenia tych usług: - usługa realizowana jednorazowo (na żądanie, ad-hoc)