Usługa SOC (Security Operations Center) sama w sobie nie chroni przed żadnymi konkretnymi typami ataków (jak. np. firewalle, IPSy, WAFy czy systemy antyddos). Jednak dzięki stałemu monitorowaniu bezpieczeństwa zapewnia ona możliwość szybkiej identyfikacji pewnych odstęp (anomalii) np. w zakresie zachowań użytkowników, ruchu sieciowego, czy zapytań do aplikacji. Dzięki temu, w przypadku wystąpienia rzeczywistego incydentu, możliwa jest szybka reakcja i minimalizacja potencjalnych konsekwencji cyberataku.

Do zalet Netia SOC należą przede wszystkim kompleksowość i możliwość elastycznego dopasowania pakietu usługdo potrzeb IT firmy. W Security Operation Center Netii pracują wszechstronnie wykształceni specjaliści, którzy dzięki swoim umiejętnościom mogą wesprzeć firmę przynajmniej w kilkunasturóżnych obszarach.. Ograniczenia czasowe i zasobowe sprawiają, że zbudowanie samodzielnego zespołu wewnątrz firmy jest często trudne do wykonania. Dlatego też jedną z zalet Security Operations Center Netii jest możliwość utrzymania najwyższego poziomu bezpieczeństwa bez konieczności inwestowania w infrastrukturę informatyczną, rekrutację czy szkolenia personelu.

Warto wykorzystać wspomniane zalety Netia SOC, aby zapewnić wsparcie istniejącemu zespołowi IT wewnątrz firmy.

Obecnie wiele firm opiera swoją działalność biznesową na sieci internetowej, dlatego też priorytetem dla nich powinno być zapewnienie bezpieczeństwa informacji firmowychPrzechwytywanie wrażliwych danych przez cyberprzestępcówstało się aktualnie częstą praktyką a statystyki dotyczące polskiego rynku nie pozostawiają złudzeń: koszt przywrócenia stabilności w firmie po cyberataku wynosi ponad 1 milion złotych. Przedsiębiorstwa, które są narażone na takie koszty niejednokrotnie nie są w stanie wrócić do pełnej wydajności i już w rok po przeprowadzonym ataku upadają.

Security Operations Center od Netii to usługa, która może wesprzeć działanie m.in. dużych i średnich przedsiębiorstw z wielu branży, np. e-commerce, finansowej czy energetycznej.

SOC czyli Security Operations Center toscentralizowana jednostka składająca się z wykwalifikowanych specjalistów ds. cyberbezpieczeństwa, których głównym zadaniem jest dbałość o bezpieczeństwo infrastruktury teleinformatycznej firmy, a także nieustanne monitorowanie bezpieczeństwaw celu wykrywania incydentów i reagowania na nie.

Specjaliści SOC mogą również zaprojektować infrastrukturę bezpieczeństwa od podstaw, aby następnie wdrożyć nowe rozwiązania i zarządzać nimi w sposób kompleksowy. W działalności Security Operations Center nie może zabraknąć też dbałości o ciągłość działania biznesu – a więc doskonalenia procedur, raportowania czy systemowego planowania ulepszeń w zabezpieczeniach oraz zadbania o cykliczne szkolenia pracowników w zakresie security awareness, gdyż, jak pokazuje praktyka, to ludzie wciąż pozostają najsłabszym ogniwem systemów informatycznych.

Do zespołów SOC należy wielu specjalistów ds. cyberbezpieczeństwa m.in. analitycy, incident handlerzy, administratorzy platform czy threat hunterzy.Zespoły Security Operations Center porównywane są często do komórek CERT/CSIRT, jednak to idea SOC zakłada znacznie szersze działanie, niż wspomniane komórki, które skupiają się tylko na incydencie.

Na cenę usługi SOC (Security Operations Center) ma wpływ kilka zasadniczych elementów:

• liczba generowanych przez system SIEM alertów / dobę do obsłużenia
• liczba potwierdzonych incydentów bezpieczeństwa / dobę do mitygacji
• liczba monitorowanych źródeł - system SIEM – kliencki vs dostarczony przez Netię
• ilość danych (GB/dobę) lub zdarzeń na sekundę (Events per Second) generowanych przez źródła do systemu SIEM - zakres czasowy świadczenia usługi (np. 24/7/365 vs tylko monitoring poza godzinami roboczymi i w dni wolne od pracy)

- wariant usługi (pełny SOC vs SOC Lite; monitoring vs monitoring + obsługa incydentów)
- poziom SLA - długość kontraktu

Źródłem jest każdy element infrastruktury teleinformatycznej (w tym aplikacje), który potrafi wygenerować i przesłać log – informację o danym zdarzeniu. Do źródeł SIEM należą m.in. firewalle, UTM-y, routery czy programy antywirusowe. Zespół SOC ma możliwość połączenia istniejących systemów bezpieczeństwa z nowymi zabezpieczeniami, integrując je właśnie w ramach platformy SIEM.

Dowiedz się więcej na temat systemu bezpieczeństwa SIEM.

System SIEM to podstawowe narzędzie pracy każdego SOC. System ten zbiera logi z monitorowanych źródeł, dokonuje ich agregacji i normalizacji (wystandaryzowania), a następnie, na bazie zaimplementowanych w nim reguł, dokonuje korelacji logów. Na podstawie tych korelacji generowane są alarmy, które następnie są weryfikowane przez zespół analityków SOC.

Pracownicy pierwszej linii wsparcia SOC (analitycy SIEM) podejmują generowane alarmy w celu ich weryfikacji. Większość pojawiających się alarmów to tzw. fałszywe alarmy, tylko niektóre dotyczą rzeczywistych incydentów bezpieczeństwa. Jeśli potwierdzi się, że dany alarm dotyczył incydentu bezpieczeństwa, zakładany jest tzw. ticket w celu właściwej obsługi danego incydentu, a także nadawany jest mu poziom istotności (krytyczności). Incydenty o najwyższym poziomie krytyczności (np. trwający wyciek danych, kampania ransomware) obsługiwane są z wyższym priorytetem niż incydenty typu kampania SPAM czy skanowanie sieciowe organizacji. W celu obsługi incydentu analityk SOC musi często pozyskać dodatkowe informacje – np. zagłębiając się w dane detaliczne (logi) czy kontaktując się z osobą odpowiedzialną za bezpieczeństwo po stronie klienta.

Najprostsze incydenty obsługiwane są na 1 linii wsparcia SOC, jednak, w przypadku niektórych bardziej zaawansowanych przypadków, niezbędne jest wsparcie 2 i 3 linii SOC.

Po rozwiązaniu problemu (tzw. mitygacji incydentu), bilet problemy (ticket) jest zamykany.

Tak, możemy świadczyć usługę w takim modelu. Możemy pracować bezpośrednio na systemie SIEM klienta lub zintegrować go z systemami SIEM Netii.

Dla mniejszych lub mniej wymagających klientów implementujemy zazwyczaj kilka-kilkanaście generycznych scenariuszy korelacji (np. anomalie ruchu sieciowego, wielokrotne nieudane logowanie). Ich zakres pozwala na pokrycie monitoringiem SOC większości najczęściej pojawiających się incydentów. Obecnie posiadamy w ofercie zdefiniowanych około 100 generycznych scenariuszy – do natychmiastowej implementacji w systemie SIEM.

Dla większych podmiotów przygotowujemy dedykowane scenariusze, uwzględniające specyfikę ich branży, wielkość zatrudnienia, wielkość i stopień skomplikowania infrastruktury teleinformatycznej, specyficzne potrzeby i wymagania klienta.

Nie, nie istnieje coś takiego jak całkowite bezpieczeństwo teleinformatyczne. Cyberprzestępczość przybiera coraz bardziej profesjonalne formy, metody przeprowadzenia ataków i wykorzystywane w nich narzędzia ewoluują przez co trudniej jest skutecznie chronić się przed cyberatakami. Skuteczność ataku jest wypadkową czasu i możliwości finansowych atakującego i zawsze znajdzie się jakiś sposób przeprowadzenia takiego ataku.

Każde rozwiązanie czy usługa bezpieczeństwa ICT (w tym SOC) minimalizuje ryzyko wystąpienia ataku, a także zmniejsza ryzyko jego skuteczności, a w konsekwencji – znacząco redukuje ryzyko potencjalnych strat finansowych, wizerunkowych czy prawnych.

Istnieją 3 zasadnicze modele świadczenia tych usług: - usługa realizowana jednorazowo (na żądanie, ad-hoc)