Bezpieczeństwo IT

Monitoring bezpieczeństwa IT – budować własny zespół czy zdecydować się na outsourcing?

Dyrektor sprzedaży
Łukasz Zajdel
Dyrektor Sprzedaży

Powiązane usługi

Tagi

Przewodnim tematem Europejskiego Miesiąca Cyberbezpieczeństwa jest zagrożenie phishingiem. Temat jest niezwykle ważny, ponieważ tego typu atak jest jednakowo groźny dla osób prywatnych, jak organizacji i to bez względu na ich wielkość.

O ile użytkownicy indywidualni nie mogą liczyć na wsparcie zewnętrznych ekspertów, którzy monitorują ich urządzenia, to organizacje jak najbardziej mogą z takiego wsparcia skorzystać. Mowa o rozwiązaniu jakim jest monitoring bezpieczeństwa IT, który kryje się pod nazwą SOC, czyli Security Operations Center.

Jak monitoring bezpieczeństwa IT identyfikuje atak phishingowy w organizacji?

Przeanalizujmy to na konkretnym przypadku. W firmie, nazwijmy ją “ABC Sp z o. o. .”, pracownicy otrzymują na swoje służbowe skrzynki e-mail podejrzane wiadomości, udające oficjalne komunikaty od firmy dostarczającej bardzo istotne dla ich pracy oprogramowanie. Wiadomość sugeruje konieczność natychmiastowej aktualizacji oprogramowania przy wykorzystaniu załączonego linka, by uniknąć utraty danych i uszkodzenia systemu. Zaniepokojeni pracownicy zgłosili tę sytuację do działu bezpieczeństwa IT, jednak ten już znał temat, ponieważ na urządzeniu UTM zabezpieczającym ruch sieciowy pojawił się alert, został przesłany do systemu SIEM i SOC obserwował już sytuację.

Uruchomiona została procedura identyfikacji ataku przy użyciu systemu SIEM, którego praca opiera się na analizie logów. System SIEM może być zintegrowany z innymi zabezpieczeniami, takimi jak systemy antywirusowe lub dedykowane systemy zapobiegające phishingowi. Te narzędzia dostarczają dodatkowych informacji lub ostrzeżeń na temat potencjalnych zagrożeń. W wyniku tych analiz, analitycy SOC mogą potwierdzić, czy doszło do próby ataku opartego na phishingu i podjąć odpowiednie kroki w celu ochrony firmy przed dalszymi zagrożeniami.

Jak wyglądają kolejne etapy działania?

Krok 1: Weryfikacja logów z serwera e-mail

Analitycy SOC sprawdzają logi z serwera e-mail, aby zobaczyć, które skrzynki odbiorców otrzymały podejrzaną wiadomość. Analiza tych logów pomaga zidentyfikować, którzy pracownicy byli potencjalnymi celami ataku.

Krok 2: Analiza zawartości wiadomości

Analitycy przeprowadzają analizę treści wiadomości phishingowej, obejmującą link do “aktualizacji oprogramowania”. Skanują go w poszukiwaniu potencjalnych zagrożeń i domen, które mogą być związane z phishingiem.

Krok 3: Analiza ruchu sieciowego

Zauważają, że jeden z pracowników kliknął w link. Dział bezpieczeństwa analizuje ruch sieciowy generowany przez ten klik. To obejmuje identyfikację docelowej strony internetowej (sprawdzenie, czy była ona podejrzana) i ewentualne próby pobierania złośliwego oprogramowania.

Krok 4: Analiza ruchu w sieciach wewnętrznych

Analitycy sprawdzają logi sieciowe wewnętrzne, aby zobaczyć, czy jakiekolwiek urządzenia wewnętrzne próbowały się komunikować z podejrzaną stroną internetową lub inicjować jakiekolwiek nieznane połączenia.

Założeniem tego przykładu było posiadanie przez ABC Sp z o.o. własnego działu bezpieczeństwa IT. Możliwe są jednak również inne scenariusze – załóżmy, że SOC pracował jako zewnętrzny partner?

Wtedy pojawiają się kolejne kroki:

Krok 5: Przekazanie informacji o potencjalnym ataku i zagrożeniu określonych obszarów infrastruktury,

a następnie:

Krok 6: Przekazanie rekomendacji nt. zalecanych możliwości przyszłego zabezpieczenia się przed atakiem.

Często atak nie jest finalizowany od razu. Infekcja pozostaje w formie utajonej do momentu, kiedy kolejne urządzenia i systemy będą zainfekowane. Monitoring 24/7 pozwala uniknąć rozprzestrzeniania się zagrożenia i zabezpiecza infrastrukturę i sieć przed negatywnymi konsekwencjami, a firmę przed stratami.

Monitoring bezpieczeństwa IT w wewnętrznych strukturach firmy

Security Operations Center można budować w strukturach własnej firmy. Wymaga to wyodrębnienia tej komórki organizacyjnej i wyposażenia jej w odpowiednie systemy, które pozwalają na obserwację i analizę sytuacji oraz wykrywanie anomalii.

Plusem takiego rozwiązania jest pełna kontrola nad danymi i zachowanie pełnej tajemnicy funkcjonowania organizacji w jej wewnętrznych strukturach. Natomiast minusem są związane z tym wydatki.

Koszty budowy własnego SOC pojawiają się na kilku poziomach. Skuteczne zabezpieczenie sieci wymaga odpowiedniego oprogramowania, które zbiera informacje z urządzeń i sieci. Takie rozwiązania wymagają inwestycji, które TCO często generuje powtarzalne, bardzo istotne koszty. Dodatkowo potrzebny jest zespół specjalistów, którzy właściwie odczytają i zinterpretują informacje dostarczane przez rozwiązania technologiczne.

Obecnie doświadczamy niedoboru specjalistów z obszaru cybersecurity na rynku, co bezpośrednio przekłada się na wysokość zarobków stanowiących minimalny akceptowalny próg dla osób, które posiadają odpowiednie kwalifikacje. W związku z tym czynnik ludzki staje się deficytowym zasobem, o który zabiegają wszystkie organizacje zdecydowane na budowę własnego działu monitoringu bezpieczeństwa IT, często bez względu na cenę, czyli poziom wynagrodzenia.

Outsourcing usług SOC

Możliwe jest również drugie rozwiązanie, które redukuje koszty związane z oprogramowaniem i budową własnego zespołu. Jest to outsourcing usług związanych z monitoringiem sieci/systemów wewnętrznych w zewnętrznej firmie, specjalizującej się w obszarze cyberbezpieczeństwa.

Dzięki tej opcji organizacja korzysta z rozwiązań technologicznych i wyspecjalizowanej obsługi, nie ponosząc pełnych kosztów. Budowa działu SOC i wyposażenie go w odpowiednie narzędzia pozostaje po stronie usługodawcy, natomiast organizacja wybierająca tę formę obsługi czerpie korzyści wynikające z opieki specjalistów i gwarancji zabezpieczeń.

To rozwiązanie wymaga udostępnienia części wrażliwych informacji na temat infrastruktury organizacji zewnętrznej. Całość odbywa się oczywiście w oparciu o odpowiednie umowy i zastrzeżenia, niemniej są organizacje, które nie zaakceptują takiego rozwiązania.

Model hybrydowy

Trzecią drogą jest model hybrydowy – połączenie własnych kompetencji z zewnętrzną obsługą. Kiedy może być dobrym rozwiązaniem?

Na przykład wtedy, gdy organizacja posiada wyspecjalizowany zespół, jednak nie jest on w stanie w pełni nadzorować bezpieczeństwa cyfrowego wszystkich jej zasobów. Może to wynikać z tego, że organizacja skaluje swoją działalność, otwierając nowe biura i filie, lub też zespół doświadczonych specjalistów nie jest skłonny do pracy w godzinach nocnych czy w weekendy. W takich sytuacjach może on stanowić CORE działania SOC, a zewnętrzny outsourcing staje się jego uzupełnieniem i tzw. Trzecią zmianą, pracującą w godzinach niestandardowych. Pozwala to zapewnić komfort pracy najbardziej doświadczonym jednostkom w SOC i budować stabilność zespołu nawet w czasach tak dużego zapotrzebowania na tę specjalizację.

SOC Perceptus obsługuje klientów publicznych i prywatnych w obu opisanych wcześniej modelach. Działania naszego zespołu zapewniają opiekę nad siecią i infrastrukturą przez 24 h, 7 dni w tygodniu, 356 dni w roku. Jeśli zastanawiają się Państwo nad outsourcingiem tego typu usług, zapraszamy do kontaktu.

Artykuł miał premierę w Security Magazine, wydanie specjalne 10(19)2023

💬Od początku roku do marca odnotowaliśmy ponad 40 tys. poważnych incydentów. Zagrożeń z roku na rok przybywa i obawiam się, że będzie ich jeszcze więcej. Jesteśmy na regularnej wojnie w cyberprzestrzeni. Codziennie jesteśmy poddani atakom ze strony grup powiązanych ze służbami

‼️Szkodliwe oprogramowanie wymierzone w polskie instytucje rządowe było w tym tygodniu dystrybuowane przez grupę APT28, wiązaną ze służbami rosyjskimi. Wrogą działalność odnotowały i opisały zespoły @CERT_Polska oraz @CSIRT_MON. Sprawdźcie rekomendacje⤵️
https://cert.pl/posts/2024/05/apt28-kampania/

Właściwe zabezpieczenie danych klientów, dbałość o bezpieczeństwo przeprowadzanych transakcji płatniczych, a także inne działania związane z bezpieczeństwem online pozwalają uniknąć poważnych strat finansowych oraz wizerunkowych #CyberMajówka

Zalecana aktualizacja aplikacji #Dell #OpenManage Enterprise ze względu na ujawnioną lukę w zabezpieczeniach https://www.dell.com/support/kbdoc/en-us/000224251/dsa-2024-184-security-update-for-dell-openmanage-enterprise-vulnerability

🔴 Zhackowali sieć jednej z najbezpieczniejszych firm na świecie - MITRE. Ominęli dwuczynnikowe uwierzytelnienie. Do sieci badawczej NERVE dostali się przez podatny system VPN.

✅ Jeśli ktoś pasjonuje się cyberbezpieczeństwem, najpewniej słyszał o MITRE. CVE, czy program ATT&CK

Wczytaj więcej
Chcesz zadbać o cyberbezpieczeństwo?

Skontaktuj się z nami!

Zostaw dane - oddzwonimy

Nasz specjalista odezwie się do Ciebie najpóźniej kolejnego dnia roboczego. Nie musisz wypełniać pola wiadomości, ale krótka informacja o interesującym Cię temacie rozmowy będzie dla nas cenną wskazówką.

Powiązane usługi